Backdoor:Win32/Fynloski.A sur Orange via no-ip.org

Suite en quelque sorte du billet planete-lolo : cracks et….. RATs – où je suis depuis quelques jours les cracks qui y sont postés sur ce boad Warez.
La majorité sont des malwares et notamment, il y a une campagne de malware détecté en Backdoor:Win32/Fynloski.A par Microsoft qui sont postés par le même auteur.
Les détections sont relativement mauvaises, le pirate utilisant des stubs pour bypasser les détections.

Ces derniers conduisent via des adresses no-ip.org à une IP Orange sur le BAS de Reims-156 (IP en 86.208.)

Le premier thesheitan.no-ip.org a été fermé par l’abuse de no-ip, il y a quelques jours :

thesheitan.no-ip.org :
http://www3.malekal.com/malwares/index.php?&hash=bd1829843641d264c9ef57ee175a68ae
http://www3.malekal.com/malwares/index.php?&hash=23164d9a65009224da40f273e742e268
http://www3.malekal.com/malwares/index.php?&hash=f629ee640abd8be3ede2f57f4fe66057
http://www3.malekal.com/malwares/index.php?&hash=e0fa1ac1c9b50c988b970408fede0585

Du coup, le pirate est passé sur un autre no-ip.org wiked.no-ip.org  qui vient d’être fermé à l’instant :
http://www3.malekal.com/malwares/index.php?&hash=98ec68e0b73728b2bfc0fb2cbca31227
http://www3.malekal.com/malwares/index.php?&hash=5d0a0678b0c710afaf9e0a0a8bc3dae8

malekalmorte@MaK-tux:/tmp$ host wiked.no-ip.org ; host thesheitan.no-ip.org
wiked.no-ip.org has address 0.0.0.0
thesheitan.no-ip.org has address 86.208.78.41

Très certainement donc le pirate a perdu des machines infectées suite à ces coupures, ce dernier ne semble pas vouloir d’ailleurs maintenant ses machines infectées car il ne semble pas faire télécharger des mises à jour non détectées.

Je profite de ce billet pour saluer l’abuse de no-ip qui est super réactif, ça fait plaisir (d’ailleurs ils m’ont parlé d’un troisième compte inti-fada.no-ip.org).
J’ai aussi maillé l’Abuse d’Orange, mais pas certains qu’il y aura des suites.

On verra si de nouveaux malwares avec de nouveaux no-ip.org vont être mis en ligne.
Le traditionnel jeu du chat et de la souris.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 62 times, 1 visits today)

6 thoughts on “Backdoor:Win32/Fynloski.A sur Orange via no-ip.org

  1. Salut,

    Très bien ton billet mais quand je veux ouvrir le fichier dans ma VM de VirtualBox, il m’affiche une erreur. Je sais très bien ce que ça veut dire mais toi tu utilises quels machine virtuelle dans ce genre de cas ?

  2. Salut,

    Je ne pense pas que le type de VM utilisié joue – je crois pas que le dropper embarque des anti-vm.
    Il faut que .Net FrameWork soit installé et normalement ça doit fonctionner.

  3. Bonjour Mak,

    Nous arrivons au même constat : cette personne ne renonce pas à ses activités criminelles.
    Certains éléments permettent de remonter à une petite équipe qui opère depuis la France.

    * thesheitan.no-ip.org (C&C :: 86.192.158.127 – FRANCE – (areims-156-1-31-127.w86-192.abo.wanadoo.fr) – Orange (1604/TCP))
    * thesheitan.no-ip.org (C&C :: 86.208.78.41 – FRANCE – (areims-156-1-79-41.w86-208.abo.wanadoo.fr) – Orange (1604/TCP))
    * wiked.no-ip.org (C&C :: 86.192.136.6 – FRANCE – (areims-156-1-49-6.w86-192.abo.wanadoo.fr) – Orange (1604/TCP))
    * wiked.no-ip.org (C&C :: 86.208.8.204 – FRANCE – (areims-156-1-65-204.w86-208.abo.wanadoo.fr) – Orange (1604/TCP))
    * wiked.no-ip.org (C&C :: 86.192.159.181 – FRANCE – (areims-156-1-32-181.w86-192.abo.wanadoo.fr) – Orange (1604/TCP))

    Avec des traces d’activités illégales similaires qui remontent à plusieurs mois.
    2011-08-05 12:11:11 > 90.34.233.56 (areims-156-1-6-56.w90-34.abo.wanadoo.fr)
    2011-08-13 05:36:01 > 90.34.107.42 (areims-156-1-4-42.w90-34.abo.wanadoo.fr)

    Le dernier échantillon (5D0A0678B0C710AFAF9E0A0A8BC3DAE8) a pour structure Module…darkcoleft.exe##DATA##
    Deux stubs .NET personnalisés sont cumulés pour protéger le PE embarqué
    Ce malware tente de se faire passer pour « MSRSAAP.EXE »,
    Un composant Microsoft: « Remote Service Application ».
    http://www.threatexpert.com/report.aspx?md5=5049044411B3C75505594A9A9C32F3EF

    A bientôt.

  4. @julien
    Ce genre de saleté est souvent blindé d’anti-VM, anti-antivirus, anti-sandbox et anti debuggers.

    C’est pour cela que le seul moyen de les étudier parfois est de connaitre leurs trucs , de passer sous un debugger… et de mieux dissimuler les outils que l’on utilise…
    Exemple : j’ai un Wireshark bidouillé 🙂

    @9,80665
    Vous êtes de ThreatExpert?
    Bon travail si c’est le cas !
    « Protéger le PE embarqué » J’aime bien cette formulation qui à l’art de dérouter le néophyte.
    Faudrat que je la ressorte, merci.

    pour info :
    Dclog… RAT de type DarkComet visiblement…

  5. Tu as trouvé ce type de « virus » via les Warez: planète lolo… ou via un exploit qui se trouve sur le site pornographique que tu as sur firefox dans la barre des tâches ?? (voir image)

    Ou le site n’a tout simplement rien à voir avec le sujet.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *