BackDoor.Proxybox : Votre PC transformé en proxy

Une page concernant le Malware Backdoor.Proxybox.
Ce malware transforme le PC en proxy, le faisant joindre un botnet, qui permet ensuite d’être vendu dans le milieu underground.

J’ai rencontré deux fois ce dernier dans des packs via l’exploit Kit Redkit avec notamment le scareware Live Security Platinum, ZeroAccess/Sirefef et quelques autres malwares : http://www3.malekal.com/malwares/index.php?hash=83f2235a378929d194ecf7f67f2e2e78

La partie malware est interressante, elle embarque une DLL et une partie Rootkit.
La partie Rootkit permet de protéger les fichiers en hookant les API notamment de suppression/lecture de fichiers.

Le drop de la DLL %APPDATA%/Adobe/Sp.DLL :


La création du Service SPService :

L’ajout du Service dans le groupe netsvc

La création de la clef du service SPService

Le chargement du driver rxsupply.sys :

Le hook qui empêche la suppression du fichier :

On trouve un fichier fs.cfg qui indique les fichiers protégés par le rootkit :

Malwarebyte’s Anti-Malware gère bien l’infection :

La page de Symantec résume tout ceci : http://www.symantec.com/security_response/writeup.jsp?docid=2012-071005-4515-99&tabid=2
Notez la date de découverte au 4 Juillet 2012 (ce qui est relativement récent) pour la suite de l’article.

La page du panel – cette dernière est en HTTPs.
Elle embarque un Captcha – enfin au bout de 5 tentatives l’IP est bloquée.

La page d’index du Panel.
Notez l’annonce de Mars 2012 qui indique un changement de serveur, ce qui signifie que l’infection est antérieure à Mars 2012 (rappel Symantec l’a découvert en Juillet).

A droite, vous avez les prix de ventes.
Enfin un botnet de 6500 PC sont en ligne.

On peux contacter l’administrateur si on a besoin de support.

La répartition des machines infectées/proxy selon le pays, dans le cas, où l’on cherche un proxy dans un pays en particulier.

Exemple ici avec des IPs françaises avec  la localisation GeoIP.

On peux vérifier si la machine est connue des RBL.

Il est aussi possible de chercher des proxy par critère.

Par Etats américain :

La partie History permet de lister l’historique des achats.
Settings permet la gestion du compte et la possible de choisir les types d’achats.
Le panel fournit aussi une API qui doit certainement permettre d’interroger la base pour automatiquer la récupération d’adresse proxy.

Le nombre de PC disponibles dégringolent assez rapidement :

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 47 times, 1 visits today)

4 thoughts on “BackDoor.Proxybox : Votre PC transformé en proxy

  1. Rootkit, ca tourne uniquement sur xp. il me semble que c’est plus compliqué sur les windows plus récents.
    Merci pr ton site 🙂

  2. Sammy, il est vrai qu’en apparence les « virus gendarmerie » sont moins « bien fichus » et les panels pas très esthétiques mais pourquoi en serait-il autrement puisque les rançongiciels remplissent parfaitement leurs rôles. Ici, les objectifs ne sont clairement pas les mêmes, ce qui entraine une sophistication du code. Les technologies de furtivité permettent de ralentir la détection de leurs activités. En général, les cybercriminels revendent sur le blackmarket des lots par pays, etc.. puis les acquéreurs de ces relais opèrent leurs affaires sur des one-shot. Albapsor, observe plus attentivement la capture d’écran de la description Symantec, en particulier la partie « Systems Affected ».

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *