BackDoor.Proxybox : Votre PC transformé en proxy

Une page concernant le Malware Backdoor.Proxybox.
Ce malware transforme le PC en proxy, le faisant joindre un botnet, qui permet ensuite d’être vendu dans le milieu underground.

J’ai rencontré deux fois ce dernier dans des packs via l’exploit Kit Redkit avec notamment le scareware Live Security Platinum, ZeroAccess/Sirefef et quelques autres malwares : http://www3.malekal.com/malwares/index.php?hash=83f2235a378929d194ecf7f67f2e2e78

La partie malware est interressante, elle embarque une DLL et une partie Rootkit.
La partie Rootkit permet de protéger les fichiers en hookant les API notamment de suppression/lecture de fichiers.

Le drop de la DLL %APPDATA%/Adobe/Sp.DLL :


La création du Service SPService :

L’ajout du Service dans le groupe netsvc

La création de la clef du service SPService

Le chargement du driver rxsupply.sys :

Le hook qui empêche la suppression du fichier :

On trouve un fichier fs.cfg qui indique les fichiers protégés par le rootkit :

Malwarebyte’s Anti-Malware gère bien l’infection :

La page de Symantec résume tout ceci : http://www.symantec.com/security_response/writeup.jsp?docid=2012-071005-4515-99&tabid=2
Notez la date de découverte au 4 Juillet 2012 (ce qui est relativement récent) pour la suite de l’article.

La page du panel – cette dernière est en HTTPs.
Elle embarque un Captcha – enfin au bout de 5 tentatives l’IP est bloquée.

La page d’index du Panel.
Notez l’annonce de Mars 2012 qui indique un changement de serveur, ce qui signifie que l’infection est antérieure à Mars 2012 (rappel Symantec l’a découvert en Juillet).

A droite, vous avez les prix de ventes.
Enfin un botnet de 6500 PC sont en ligne.

On peux contacter l’administrateur si on a besoin de support.

La répartition des machines infectées/proxy selon le pays, dans le cas, où l’on cherche un proxy dans un pays en particulier.

Exemple ici avec des IPs françaises avec  la localisation GeoIP.

On peux vérifier si la machine est connue des RBL.

Il est aussi possible de chercher des proxy par critère.

Par Etats américain :

La partie History permet de lister l’historique des achats.
Settings permet la gestion du compte et la possible de choisir les types d’achats.
Le panel fournit aussi une API qui doit certainement permettre d’interroger la base pour automatiquer la récupération d’adresse proxy.

Le nombre de PC disponibles dégringolent assez rapidement :

 

(Visité 139 fois, 1 visites ce jour)

Vous pouvez aussi lire...