Backdoor IRC (snk) se propage par Skype (Win32.Phorpiex)

Trouvés par S!Ri, il ya quelques jours :

Une Backdoor IRC (Je ne pense pas que ce soit un nrgbot / Dorkbot) qui sévit sur Skype.
Mais plutôt une Backdoor IRC qui ressemble assez à celle qui sévissiant sur MSN en 2006/2007 : http://forum.malekal.com/vers-virus-msn-et-arnaques-sur-msn.html

Le lien envoyé se trouve sur mediafire :

Skype_Worm_IM

On obtient un fichier IM2021463-JPG.scr qui est un executable (le malware ensomme)

Skype_Worm_IM_lien_mediafire

Le malware : http://malwaredb.malekal.com/index.php?hash=9b1c227d8bed48135cbb65666a8f24a6

Les antivirus sont à la rue :

https://www.virustotal.com/file/acd608ff0b07ffcf199312cc6c05bdc86a4bfaaa759a9711e33d334654ea160b/analysis/1359219589/

SHA256: acd608ff0b07ffcf199312cc6c05bdc86a4bfaaa759a9711e33d334654ea160b
File name: IMG2021464-JPG.scr
Detection ratio: 2 / 45
Analysis date: 2013-01-26 16:59:49 UTC ( 1 minute ago )

Fortinet W32/Zbot.ANQ!tr 20130126
Panda Suspicious file 20130126

Les phrases envoyés par le malware suivi du lien :

hahaha
LOL
Is this you??
Picture of you???
Tell me what you think of this picture
This is the funniest picture ever!
I cant believe I still have this picture
Someone showed me your picture
Your photo isn’t really that great
I love your picture!
What you think of my new hair color?
What do you think of my new hair?
You look so beautiful on this picture
You should take a look at this picture
Take a look at my new picture please
What you think of this picture?
Should I upload this picture on facebook?
Someone told me it’s your picture

Skype_Worm_IM_IRCBot_string_memoire

Le malware va par des disques amovibles (Autorun) : Skype_Worm_IM_IRCBot_string_memoire2
il est aussi capable d’envoyer des mails avec le malware en pièce jointe : Skype_Worm_IM_IRCBot_string_memoire3

Les connexions avec la Backdoor IRC :

Skype_Worm_IM_IRCBot
Skype_Worm_IM_IRCBot2

Pas mal de merdes sont téléchargées : Skype_Worm_IM_IRCBot3

Les liens sur 84.32.116.143 sont interressants (EDIT : ce malware se nomme Rozena) :

(il doit y avoir une inversion entre sma et gig car ça paraît plus logique d’appeler sma pour Simba)

Le Smokebot POST sur imageshoster.ru/pics/index.php (46.166.169.187)

inetnum: 46.166.169.0 – 46.166.169.255
netname: SANTREX-INTERNET-SERVICES
descr: Santrex NL Services
country: NL

Ce qui m’interpèle surtout c’est que ce malware aussi downloadé un malware lié aux groupes « OVH » qui a hacké Uptobox (et qui a aussi DoS mon site) : http://www.malekal.com/2012/11/28/en-uptobox-hacked/

Sur le site http://www.exposedbotnets.com/2012/12/beerpigfarmru-installs-crap-hosted-by.html – on peux lire :

Skype_h4r3

h4r3 c’est le groupe « OVH » et je confirme, ils ont bien fait downloader des fichiers min / sma / gig / smo
En commentaire on apprend que c’est un gars qui a comme pseudo snk et qui se trouve sur hackforums.net
D’ailleurs exposednet a posté ces Backdoor IRC :

Tout ce petit monde semble lié.
En tout cas, on peux voir qu’à partir d’une simple Backdoor IRC, on peux se retrouver avec des malwares plus coriaces. Mais ça c’est pas vraiment nouveau, c’était aussi déjà le cas avec les infections MSN, afin de monétiser : http://forum.malekal.com/msn-infections-liees-t19729.html

EDIT : http://secuboxlabs.fr/kolab/api?hash=1f0ee32f9417fae5e62d7016bf7fc16e362e1dea

Son petit nom Win32.Phorpiex => http://virusscan.jotti.org/en/scanresult/aa5cf9628404f625ef1aff7e57546160c2625c46

 

EDIT – 27 Janvier 2013

Simplement pour signaler une autre affiliation :

Skype_Worm_Scareware

Le scareware System Progressive Protection
Skype_Worm_Scareware2

La détection : http://malwaredb.malekal.com/index.php?hash=ada97d28c150ed517a9e59e757490b7f Skype_Worm_Scareware3

EDIT 31 Janvier

SecuBox Labs a fait une image avec les affiliations de ce malware Phorpiex : http://secuboxlabs.fr/kolab/api?hash=1f0ee32f9417fae5e62d7016bf7fc16e362e1dea

Phoenix_affiliation

Hier, un malware de type ransomware a été lancé, ce dernier crypte les fichiers.
Cela rappelle des précédents, surtout le fond d’écran avec le message : http://www.malekal.com/2011/03/25/retour-de-gpcode-documents-have-been-encrypted-by-a-very-strong-cypher-rsa-1024/

Contrairement à ce qui est écrit, le malware n’est pas GPCode mais plutôt ce ransomware qui a sévit en avril : http://www.malekal.com/2012/04/12/trojanw32ransomcrypt-trojan-encoder-prise-en-otage-des-documents/ mais les fix n’ont pas l’air de fonctionner.

ransomware_ircbackdoor_DE_Team ransomware_ircbackdoor_DE_Team2 ransomware_ircbackdoor_DE_Team3

EDIT 9 Août : Email SPAM Malicieux

Le malware envoie des mails malicieux avec des images :

1328 N Aug 09 Kenneth12@4526. ( 55K) You should take a look at this picture
1330 N Aug 09 Steven06@3002.c ( 55K) Tell me what you think of this picture
1331 N Aug 09 Nancy36@6028.co ( 55K) You look so beautiful on this picture
1332 N Aug 09 Kenneth15@4893. ( 55K) Take a look at my new picture please
1333 N Aug 09 Michael80@4288. ( 55K) You look so beautiful on this picture
1334 N Aug 09 Thomas63@9722.c ( 55K) You look so beautiful on this picture
1335 N Aug 09 Donald93@2741.c ( 55K) Should I upload this picture on facebook?
1336 N Aug 09 Sarah24@8608.co ( 55K) Should I upload this picture on facebook?
1337 N Aug 09 Sandra76@4662.c ( 55K) Your photo isn’t really that great
1338 N Aug 09 Sarah31@6455.co ( 55K) Take a look at my new picture please
1339 N Aug 09 Kenneth24@8577. ( 55K) I cant believe I still have this picture
1340 N Aug 09 Charles56@1807. ( 55K) This is the funniest picture ever!
1341 N Aug 09 Thomas25@5807.c ( 55K) You should take a look at this picture
1342 N Aug 09 Mary40@7111.com ( 55K) Someone showed me your picture
1343 N Aug 09 William81@4099. ( 55K) I cant believe I still have this picture spam_trojan_Phorpiex Les fichiers attachés sont des zips du type :

IMG1649081560-JPG.zip
IMG2943285439-JPG.zip IMG2960236219-JPG.zip
IMG6588426489-JPG.zip
et renferme un fichier scr qui n’est autre que le malware spam_trojan_Phorpiex2 1ce9f472bea96c492e88d8af6c940bf1 IMG6588426489-JPG.zip
a830c6db7abd1f2d85dc2919e6c92a83 IMG7549254172-JPG.scr

http://malwaredb.malekal.com/index.php?hash=a830c6db7abd1f2d85dc2919e6c92a83 spam_trojan_Phorpiex3

EDIT – Aout 2014 : BoSSaBoT – Linux IRCBot.

Snk semble avoir tenté de lancer un botnet Linux avec le malware BoSSaBoT : https://twitter.com/malekal_morte/status/744499910268030976

EDIT – 19 Juin 2016 : SnK et son Win32.Phorpiex toujours en activité

Soit trois ans après l’entrée initiale.
vu là : http://www.commentcamarche.net/forum/affich-33635453-skype-envoi-de-liens
Le lien : http://www.goo.gl/8Kcpnf?profile_photo=%3Cpseudo_skype_de_la_personne
Les statistiques :

Trojan.Phorpiex_statistiques

Trojan.Phorpiex_statistiques_2

1h après, + 200 hits :

Trojan.Phorpiex_statistiques_3

Le lien goo.gl mène à http://pictx.com/images/gallery.php qui balance le malware – Godaddy :

pictx.com has address 107.180.58.44

Trojan.Phorpiex_img_fake_facebook

La clef de démarrage du Trojan :

HKU\S-1-5-21-1414354644-3124441945-3030872903-1001\...\Run: [Microsoft Windows Manager] => C:\Users\Marjorie\M-5050403858259403920495930930302040\winmgr.exe [192944 2016-06-19] ()

Trojan.Phorpiex_processus

Côté détection.. sur le topic commentcamarche.net – l’utilisateur avait Windows Defender qui est comme d’habitude largué.

SHA256:38cb98bf4feff8a9691e12029594e934bba8e53128e5c7636f67ab9cef837f69
File name:IMG0525040502016-JPEG.www.facebook.com.com
Detection ratio:14 / 55
Analysis date:2016-06-19 10:07:05 UTC ( 15 minutes ago )
AntivirusResultUpdate
AVGMSIL10.ACXR20160619
AegisLabUds.Dangerousobject.Multi!c20160619
AvastMSIL:GenMalicious-FBK [Trj]20160619
Avira (no cloud)TR/Dropper.MSIL.ijbn20160619
BaiduWin32.Trojan.WisdomEyes.151026.9950.999920160618
ESET-NOD32a variant of MSIL/Injector.PON20160619
FortinetW32/IRCBot.AIUZ!tr20160619
GDataWin32.Worm.Phorpiex.BPQWWL20160619
IkarusTrojan.MSIL.Inject20160619
KasperskyTrojan.Win32.IRCbot.aiuz20160619
McAfeeArtemis!B7CDD73C70AE20160619
McAfee-GW-EditionArtemis20160619
Qihoo-360HEUR/QVM03.0.0000.Malware.Gen20160619
SophosMal/Generic-S20160619

à la connexion IRCd, ces autres malwares sont téléchargés :

TCP_MISS/200 211749 GET http://pictx.com/css/s.exe - DIRECT/107.180.58.44 application/x-msdownload
TCP_MISS/200 193317 GET http://pictx.com/css/t.exe - DIRECT/107.180.58.44 application/x-msdownload
SHA256:7abb827a0bf006fa14e42b679ea5107eabc28bcd9cdcee8737c68d5d101f1ef2
File name:t.exe
Detection ratio:5 / 55
Analysis date:2016-06-19 11:38:15 UTC ( 2 minutes ago )
AntivirusResultUpdate
AvastMSIL:GenMalicious-FBK [Trj]20160619
BaiduWin32.Trojan.WisdomEyes.151026.9950.999920160618
ESET-NOD32a variant of MSIL/Injector.PON20160619
IkarusTrojan.MSIL.Inject20160619
Qihoo-360HEUR/QVM03.0.0000.Malware.Gen20160619

Le fichier est signé, voir les dossiers : Signature numérique et malware et Étude IBM: Les malware signés sont en constante augmentation

Trojan.Phorpiex_fichiers_signes

Skype Spreader :

Trojan.Phorpiex_Skype_spreader

Les communications IRCd vers 125.212.217.30:5050 (le port 5050 est typique de SnK) :

inetnum: 125.212.208.0 - 125.212.223.255
netname: hcmccable-net
country: VN
descr: ip range assign for Internet Cable Service in HCMC
descr: Vung dia chi danh cho dich vu Internet Cable tai Tp HCM
admin-c: VIG4-AP
tech-c: VIG4-AP
status: ASSIGNED NON-PORTABLE
changed: hm-changed@vnnic.net.vn 20080320
changed: hm-changed@vnnic.net.vn 20131211
mnt-by: MAINT-VN-VNNIC
mnt-irt: IRT-VNNIC-AP
source: APNIC

Trojan.Phorpiex_IRC_communication

Bref classique mais contenu du nombre de hits, cela semble relativement efficace encore.

EDIT – Monétisation avec le ransomware Cerber

Trojan.Phorpiex_monetize_cerber_2 Trojan.Phorpiex_monetize_cerber

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 228 times, 1 visits today)

5 thoughts on “Backdoor IRC (snk) se propage par Skype (Win32.Phorpiex)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *