Backdoor IRC évoluée : Rootkit

Un billet concernant une Backdoor IRC un peu évoluée, j’en avais parlé sur le billet sur NOD32 Version 5.
Le malware est disponible depuis ce lien : http://www3.malekal.com/malwares/index.php?&hash=ea32a22fc1f83912f5a90f653a3491d3

Au niveau du drop du payload, rien d’extraordinaire, le dropper installe directement le malware dans %APPDATA%


C’est après que cela devient interressant.
On voit déjà que alg.exe ajoute la clef Run – une injection d’un processus système.

mais explorer.exe aussi..

En fait, si l’on regarde de plus près, le malware est en permanence, via les processus système, en train de réécrire la clef Run.
Ainsi si l’on supprime la clef Run et que le malware est actif, elle sera remise.

La Clef Run est rookitée, HijackThis et regedit ne la voit pas.

Le fichier lui aussi est rookité, explorer ou un dir dans cmd ne le liste pas.

Dans mon cas, OTL et GMER plantent, les deux plante sur msvcrt.dll

ZHPDiag n’est pas capable de lister la clef Run.

La connexion au Control Center est effectuée par explorer.exe sur l’adresse hackmeh.net (46.105.241.149) (NIXHOSTVPS – OVH UK)


Par contre, Malwarebyte Anti-Malware arrive à supprimer le fichier sans souci.

En fait, ici le problème n’est pas vraiment la suppression, car le malware se charge par une clef Run – un démarrage en mode sans échec et ce dernier n’est plus actif. La clef Run et le fichier deviennent alors visibles.
Ici le problème est plutôt de s’apercevoir que l’on est infecté, une personne qui regarde ses processus et clef Run de temps en temps ne verra rien, il faut regarder les connexions établies (ou les surveiller avec un pare-feu), un simple Currports listera la connexion d’explorer.exe.

Encore faut-il arriver à déterminer le fichier source.

Si la personne n’a pas le réflèxe de passer  Malwarebyte Anti-Malware ou aller jeter un oeil en mode sans échec, c’est mort.
Bref ça fait beaucoup de choses à faire, dans le cas d’un utilisateur néophyte, il est à peu près sûr que si l’antivirus ne voit pas le fichier et ne le détecte pas, c’est mort.

Je vous mets la détection, à titre de référence, une version non détectée du même malware, peut-être déjà en ligne : http://www.virustotal.com/file-scan/report.html?id=35e791aefceda115f0fbf95540c837d7360100f03dfe2d22327b514ce4cdcffb-1316614240

File name: ea32a22fc1f83912f5a90f653a3491d3
Submission date: 2011-09-21 14:10:40 (UTC)
Current status: finished
Result: 14 /44 (31.8%)	VT Community

Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.09.21.01	2011.09.21	Trojan/Win32.Refroso
AntiVir	7.11.15.0	2011.09.21	TR/Gendal.6664274
Antiy-AVL	2.0.3.7	2011.09.21	-
Avast	4.8.1351.0	2011.09.18	-
Avast5	5.0.677.0	2011.09.18	-
AVG	10.0.0.1190	2011.09.21	SHeur4.CPV
BitDefender	7.2	2011.09.21	Trojan.Generic.6664274
ByteHero	1.0.0.1	2011.09.13	-
CAT-QuickHeal	11.00	2011.09.21	-
ClamAV	0.97.0.0	2011.09.21	-
Commtouch	5.3.2.6	2011.09.21	-
Comodo	10190	2011.09.21	UnclassifiedMalware
DrWeb	5.0.2.03300	2011.09.21	Trojan.Inject.53848
Emsisoft	5.1.0.11	2011.09.21	Trojan.Crypt!IK
eSafe	7.0.17.0	2011.09.20	-
eTrust-Vet	36.1.8573	2011.09.21	-
F-Prot	4.6.2.117	2011.09.21	-
F-Secure	9.0.16440.0	2011.09.21	Trojan.Generic.6664274
Fortinet	4.3.370.0	2011.09.21	-
GData	22	2011.09.21	Trojan.Generic.6664274
Ikarus	T3.1.1.107.0	2011.09.21	Trojan.Crypt
Jiangmin	13.0.900	2011.09.21	-
K7AntiVirus	9.113.5168	2011.09.20	-
Kaspersky	9.0.0.837	2011.09.21	Trojan.Win32.Jorik.Drefir.gy
McAfee	5.400.0.1158	2011.09.21	PWS-Zbot.gen.ko
McAfee-GW-Edition	2010.1D	2011.09.21	Artemis!EA32A22FC1F8
Microsoft	1.7604	2011.09.21	-
NOD32	6481	2011.09.21	-
Norman	6.07.11	2011.09.21	-
nProtect	2011-09-21.02	2011.09.21	-
Panda	10.0.3.5	2011.09.20	Suspicious file
PCTools	8.0.0.5	2011.09.21	-
Prevx	3.0	2011.09.21	-
Rising	23.76.02.03	2011.09.21	-
Sophos	4.69.0	2011.09.21	-
SUPERAntiSpyware	4.40.0.1006	2011.09.21	-
Symantec	20111.2.0.82	2011.09.21	-
TheHacker	6.7.0.1.303	2011.09.21	-
TrendMicro	9.500.0.1008	2011.09.21	-
TrendMicro-HouseCall	9.500.0.1008	2011.09.21	-
VBA32	3.12.16.4	2011.09.21	-
VIPRE	10541	2011.09.21	-
ViRobot	2011.9.21.4681	2011.09.21	-
VirusBuster	14.0.223.0	2011.09.20	-
Additional information
Show all 
MD5   : ea32a22fc1f83912f5a90f653a3491d3
SHA1  : 07d968cd13d51b9c7502bf985b29b38f83cdd73f
SHA256: 35e791aefceda115f0fbf95540c837d7360100f03dfe2d22327b514ce4cdcffb

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 14 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *