Backdoor.Win32.Bafruz : Trojan.KillAV intelligent

Xylibox a posté sur son blog une étude de malware qui fait un peu de bruit : http://xylibox.blogspot.com/2011/07/trojanfakeavlvt.html

Le malware se propage à travers des messages de commentaires sur Facebook qui conduit à de fausses pages Youtube comme celle-ci dessous :

Backdoor.Bafruz

Un fichier Flash-Player.exe est proposé en téléchargement pour lire la dite vidéo.
Du faux codec comme on a l’habitude de voir.

Les URLs sont de la forme http://ip/suitedechiffres

Une fois executé, une fausse popup d’erreur System Error ! Access denied s’ouvre.

puis le malware s’exécute en userland et kernel-land.

Ce dernier se copie dans les répertoires C:\WINDOWS\update.1 – l’attribut des répertoires et fichiers sont cachés.

Le chargement du userland set fait par une clef Run :

O4 – HKLM\..\Run: [wxpdrv] C:\WINDOWS\update.1\svchost.exe

et pour le kernel-land par un service (actif en mode sans échec) :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wxpdrivers « ImagePath »
Type: REG_EXPAND_SZ
Data: C:\WINDOWS\update.1\svchost.exe srv

puis le malware passe son temps à effectuer des requetes.
Notamment des URLs search=error

1312455525.237    444 192.168.1.27 TCP_MISS/200 409 GET http://46.55.133.188/search=error – DIRECT/46.55.133.188 text/html
1312455528.476    286 192.168.1.27 TCP_MISS/200 409 GET http://46.55.133.188/search=error – DIRECT/46.55.133.188 text/html
1312455578.162    199 192.168.1.27 TCP_MISS/200 409 GET http://178.74.192.130/search=error – DIRECT/178.74.192.130 text/html
1312455581.191    204 192.168.1.27 TCP_MISS/200 409 GET http://178.74.192.130/search=error – DIRECT/178.74.192.130 text/html
1312455636.744    356 192.168.1.27 TCP_MISS/200 409 GET http://176.73.114.175/search=error – DIRECT/176.73.114.175 text/html
1312455639.262    357 192.168.1.27 TCP_MISS/200 409 GET http://176.73.114.175/search=error – DIRECT/176.73.114.175 text/html
1312455711.542    200 192.168.1.27 TCP_MISS/200 409 GET http://94.189.255.64/search=error – DIRECT/94.189.255.64 text/html
1312455713.869    240 192.168.1.27 TCP_MISS/200 409 GET http://94.189.255.64/search=error – DIRECT/94.189.255.64 text/html
 

dont voici une petite liste :

 
31.170.136.8
46.150.250.150
46.162.36.69
46.47.104.169
71.197.60.173
77.121.204.96
77.239.75.190
82.202.91.71
87.199.46.133
89.47.81.103
92.249.110.26
93.105.3.20
93.113.207.140
93.126.78.128
93.152.152.146
93.170.114.203
93.177.139.244
93.177.161.208
95.69.246.72
113.255.218.154
174.44.154.17
178.150.111.109
178.151.38.204
178.165.27.181
178.219.90.62
188.190.5.124
188.231.225.104
195.22.125.24
213.111.70.44
213.135.186.100
 

Chacune de ces IP héberge une fausse page Youtube et un fichier Flash-Player.exe qui est identique.
Cela fait terriblement penser à KoobFace.

Le malware modifie des clefs pour forcer le démarrage en mode sans échec. Notamment il change aussi :

Parent process:
Path: C:\WINDOWS\update.1\svchost.exe
PID: 3420
Child process:
Path: C:\WINDOWS\system32\reg.exe
Information: Outil de Registre de la console (Microsoft Corporation)
Command line: »C:\WINDOWS\system32\reg.exe » add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot /v AlternateShell /t REG_SZ /d services32.exe /f
 
 

La popup suivante s’ouvre et le PC redémarre en mode sans échec :

Virus detected!

Choosing a method for processing detected malicious software

Trojan :
backdoor.11.Win32.xnco

Le mode sans échec n’est pas accessible entièrement, pendant le démarrage, le malware désinstalle l’antivirus installé.

Une fois l’antivirus désinstallé, le malware laisse l’icône de l’antivirus installé dans le systray afin que l’utilisateur ne s’aperçoive de rien.
Si l’internaute clic sur l’icone, une popup rouge s’ouvre affichant le faux message :

Attention!
NomAntivirus operates under enhanced protection  mode.
This is a temporary measure necessary for immediate  response to the threat from virus.
No action is required  from you.

C’est donc un Trojan.KillAV intelligent.
Ce dernier peux viser les antivirus :

Agava Firewall   
Avast
Microsoft Security Essentials
Kaspersky Internet Security 7
Kaspersky Internet Security 2009
Kaspersky Internet Security 2010
Kaspersky Internet Security 2011
Kaspersky Anti-virus 7
Kaspersky Anti-virus 2009
Kaspersky Anti-virus 2010
Kaspersky Anti-virus 2011
AVG Anti-Virus
Anvira AntiVir
Comodo    McAfee
Microsoft Defender
ESET NOD32 Antivirus
ESET Smart Security
Dr. Web
Norton Antivirus
Outpost Firewall
Panda Antivirus         

A noter que sur le sample testé la détection n’est pas mauvaise : http://www3.malekal.com/malwares/index.php?&hash=bfe737620506583c7cddd18a71479b1c

File name:
bfe737620506583c7cddd18a71479b1c
Submission date:
2011-08-04 10:23:25 (UTC)
Current status:
finished
Result:
33 /43 (76.7%)    VT Community

Compact
Print results  Antivirus    Version    Last Update    Result
AhnLab-V3    2011.08.04.00    2011.08.04    Win-Trojan/Vkont.1201664
AntiVir    7.11.12.213    2011.08.04    BDS/Bafruz.B
Antiy-AVL    2.0.3.7    2011.08.03    Trojan/win32.agent.gen
Avast    4.8.1351.0    2011.08.03    Win32:Malware-gen
Avast5    5.0.677.0    2011.08.03    Win32:Malware-gen
AVG    10.0.0.1190    2011.08.04    SHeur3.CLIY
BitDefender    7.2    2011.08.04    Trojan.Agent.ASAI
CAT-QuickHeal    11.00    2011.08.04    Trojan.AntiAV.oax
ClamAV    0.97.0.0    2011.08.04    –
Commtouch    5.3.2.6    2011.08.04    –
Comodo    9620    2011.08.04    Heur.Suspicious
DrWeb    5.0.2.03300    2011.08.04    Trojan.VkBase.73
Emsisoft    5.1.0.8    2011.08.04    Backdoor.Win32.Bafruz!IK
eSafe    7.0.17.0    2011.08.03    –
eTrust-Vet    36.1.8483    2011.08.04    –
F-Prot    4.6.2.117    2011.08.03    –
F-Secure    9.0.16440.0    2011.08.04    Trojan.Agent.ASAI
Fortinet    4.2.257.0    2011.08.04    W32/AntiAV.OAX!tr
GData    22    2011.08.04    Trojan.Agent.ASAI
Ikarus    T3.1.1.104.0    2011.08.04    Backdoor.Win32.Bafruz
Jiangmin    13.0.900    2011.08.03    Trojan/AntiAV.btb
K7AntiVirus    9.109.4973    2011.08.02    Trojan
Kaspersky    9.0.0.837    2011.08.04    Trojan.Win32.AntiAV.oax
McAfee    5.400.0.1158    2011.08.04    Generic FakeAlert.dk
McAfee-GW-Edition    2010.1D    2011.08.04    FakeAlert-SecurityAntivirus
Microsoft    1.7104    2011.08.04    Backdoor:Win32/Bafruz.B
NOD32    6349    2011.08.04    Win32/Delf.QCZ
Norman    6.07.10    2011.08.04    Delf.FHUF
nProtect    2011-08-04.01    2011.08.04    Trojan/W32.AntiAV.1201664
Panda    10.0.3.5    2011.08.03    –
PCTools    8.0.0.5    2011.08.04    Trojan.Generic
Prevx    3.0    2011.08.04    –
Rising    23.69.03.03    2011.08.04    Trojan.Win32.Fednu.svj
Sophos    4.67.0    2011.08.04    Mal/Generic-L
SUPERAntiSpyware    4.40.0.1006    2011.08.04    –
Symantec    20111.2.0.82    2011.08.04    Trojan Horse
TheHacker    6.7.0.1.269    2011.08.03    –
TrendMicro    9.200.0.1012    2011.08.04    TROJ_ANTIAV.CW
TrendMicro-HouseCall    9.200.0.1012    2011.08.04    TROJ_ANTIAV.CW
VBA32    3.12.16.4    2011.08.03    –
VIPRE    10061    2011.08.04    Trojan.Win32.Generic.pak!cobra
ViRobot    2011.8.4.4605    2011.08.04    Dropper.Agent.1201664
VirusBuster    14.0.151.1    2011.08.03    Trojan.AntiAV!/9aazmSPFg0
Additional information
Show all
MD5   : bfe737620506583c7cddd18a71479b1c
SHA1  : 81e5a20461980bc70523812aca5a05edd873f81e
SHA256: 376bbe715542e816e16c94c55d3af8a1f50aea55ca85afc2b417a6bb4cd9241a

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 24 times, 1 visits today)

One thought on “Backdoor.Win32.Bafruz : Trojan.KillAV intelligent

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *