Aperçu rapide : Ransom.Win32.Birele et Backdoor.Win32.Papras

Hier j’ai pas mal bourriné sur le site de tracking en soumissions de malwares présents sur des BlackHole

Deux malwares au noms inconnus ont attiré mon attention : Ransom.Win32.Birele et Backdoor.Win32.Papras

Ransom.Win32.Birele

Se lance par une simple Clef Run – Ce dernier crypte les documents et réclame 50 $ pour débloquer vos documents.
Comme vous pouvez le voir le malware vise les internautes italiens.

Xylitol avait bloggué sur ce Ransomware il y a quelques temps : http://xylibox.blogspot.com/2011/12/encryption-virus-ransomware-targeting.html
Le principe n’est pas nouveau puisqu’en 2008 Gpcodeavait frappé ou plus vicieux WormsCortex : où comment se faire de l’argent….

Entre le Virus Gendarmerie et plus globalement les fake police, ce ransomware – on commence à assiter à une explosion de ce type de malwares.

La détection du dropper : http://www.virustotal.com/file-scan/report.html?id=f96d470e47e5fbc6eb9f68fc1036ca2ab19cca0231ed2f08803f17a9433c848e-1323893565

ClamAV	0.97.3.0	2011.12.14	PUA.Packed.PECompact-1
eSafe	7.0.17.0	2011.12.13	Suspicious File
Jiangmin	13.0.900	2011.12.14	Backdoor/Hupigon.bsgu
McAfee-GW-Edition	2010.1E	2011.12.14	Heuristic.LooksLike.Win32.Suspicious.C!83
NOD32	6712	2011.12.14	a variant of Win32/Injector.MEW

MD5   : 567e5e39598903b3d5a67d129674c2ba
SHA1  : 62d53031040f43e83722b75b34f0f2f29da33dc7
SHA256: f96d470e47e5fbc6eb9f68fc1036ca2ab19cca0231ed2f08803f17a9433c848e

Backdoor.Win32.Papras

Comme son nom l’indique, c’est une Backdoor.

Le dropper prend le contrôle d’explorer.exe puis lance un batch qui supprime le dropper (classique).

La DLL au moment de la récupération : http://www.virustotal.com/file-scan/report.html?id=25a8a0f28b8994365cc4f25d1e82316381c9d82da7dddf1347fec9e4a0a746b6-1323893647

Fortinet	4.3.388.0	2011.12.14	W32/FakeAV.EE!tr
Kaspersky	9.0.0.837	2011.12.14	UDS:DangerousObject.Multi.Generic
McAfee	5.400.0.1158	2011.12.14	Artemis!9FAEBA55B824
McAfee-GW-Edition	2010.1E	2011.12.14	Artemis!9FAEBA55B824
VIPRE	11254	2011.12.14	Trojan.Win32.Generic.pak!cobra

MD5   : 9faeba55b824504066d3cb7bac1024e8
SHA1  : 8a6f53f1620e47656d6195cd3dc360673fd2369e
SHA256: 25a8a0f28b8994365cc4f25d1e82316381c9d82da7dddf1347fec9e4a0a746b6

Le dropper lâche une DLL dans system32 qui est chargée en Thread dans explorer.exe

la DLL droppée :

File name: clipmstp.dll
Submission date: 2011-12-15 11:36:01 (UTC)
Current status: finished
Result: 4/ 43 (9.3%)	VT Community

Compact 
Print results  Antivirus	Version	Last Update	Result
AVG	10.0.0.1190	2011.12.14	Win32/Heri
Fortinet	4.3.388.0	2011.12.15	W32/FakeAV.EE!tr
Kaspersky	9.0.0.837	2011.12.15	Backdoor.Win32.Papras.erp
-
NOD32	6713	2011.12.15	a variant of Win32/Kryptik.XJL

MD5   : 27c6a51ee58b74ff39ba461ba066c522
SHA1  : baa1e2e241ec33ebbbda29d58eb582a90a03b415
SHA256: 7e99049afd97e5423e556cd1d88eed1a16dd2106d24229875e9c2f4cf5dfe551

Le nom de la DLL est aléatoire – elle est aussi avec l’attribut caché.


Une injection du processus système d’explorer.exe qui permet de mettre dans le vent pas mal de pare-feu/Firewal.
Simple mais efficace.

La DLL est chargée dans explorer.exe au démarrage à partir de la clef suivante du registre Windows :

	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls "powenwxp"
		Type: REG_SZ
		Data: C:\WINDOWS\system32\blasgsvc.dll

De plus le fichier est verrouillée par explorer.exe – plusieurs solutions sont possibles  :

  • Tuer le processus explorer.exe pour supprimer la DLL
  • Supprimer la clef du registre Windows, redémarrer l’ordinateur, la DLL n’est plus chargée, vous pouvez la supprimer. Ceci est possible par le fait que le malware ne monitore pas la suppression de la clef pour la remettre automatiquement.
  • Utiliser des outils qui suppriment la DLL au redémarrage via un script personnalisé.

Exemple avec OTL – mettre ce script avec le nom de la DLL en question :

:files
C:\Windows\system32\nomdll.dll

Cliquez sur le bouton Correction, OTL doit vous proposer de supprimer la DLL au redémarrage.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 30 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *