Backdoor:Win32/Votwup / Trojan.Win32.Swisyn : vol identifiants FTP

Backdoor:Win32/Votwup / Trojan.Win32.Swisyn est une backdoor qui vole les informations de connexions FTP afin de modifier les sites existants.
Se reporter à la page : Hack WEB site par vol FTP

 

Cette famille n’est pas nouvelle, déjà rencontré par le PC :

Une nouvelle campagne a actuellement lieu.
Le malware se caractéristique par l’ajout d’un fichier dans le dossier system de Windows (attention pas System32\)
et l’ajout d’un service.

A l’heure où ces écrites les lignes, le fichier ajouté est une suite de chiffre.

Parent process:
Path: C:\Documents and Settings\Mak\Bureau\last\4b47be1f9057a6bb502d373226569780.exe
PID: 7608
Child process:
Path: C:\WINDOWS\system\041054.exe
Command line: »C:\WINDOWS\system\041054.exe » /start
Process:
Path: C:\WINDOWS\System32\\services.exe
PID: 704
Information: Applications Services et Contrôleur (Microsoft Corporation)
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\04105

La capture des strings en mémoire montre bien la recherche d’informations de connexions sur les clients FTP


La connexion au Control Center du sample testé :

1299325797.395    568 192.168.1.27 TCP_MISS/200 11260 GET http://www.blather.org/?uid=041054&ver=8c%2520XP – DIRECT/72.47.196.115 text/html
1299325797.660    260 192.168.1.27 TCP_MISS/200 293 GET http://whozdadx.org/opt/index.php?uid=041054&ver=8c%20XP – DIRECT/91.193.194.158 text/html
1299325797.922    257 192.168.1.27 TCP_MISS/200 293 GET http://maverkz.org/opt/index.php?uid=041054&ver=8c%20XP – DIRECT/91.193.194.158 text/html

La détection :

File name: 4b47be1f9057a6bb502d373226569780
Submission date: 2011-03-02 23:56:55 (UTC)
Current status: finished
Result: 3 /43 (7.0%)
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.03.03.00 2011.03.02 Trojan/Win32.Zbot
AntiVir 7.11.4.45 2011.03.02 –
Antiy-AVL 2.0.3.7 2011.03.02 –
Avast 4.8.1351.0 2011.02.23 –
Avast5 5.0.677.0 2011.02.23 –
AVG 10.0.0.1190 2011.03.02 –
BitDefender 7.2 2011.03.03 –
CAT-QuickHeal 11.00 2011.03.01 –
ClamAV 0.96.4.0 2011.03.02 –
Commtouch 5.2.11.5 2011.03.02 –
Comodo 7856 2011.03.02 –
DrWeb 5.0.2.03300 2011.03.03 –
Emsisoft 5.1.0.2 2011.03.02 –
eSafe 7.0.17.0 2011.03.02 –
eTrust-Vet 36.1.8193 2011.03.02 –
F-Prot 4.6.2.117 2011.03.02 –
F-Secure 9.0.16160.0 2011.03.02 –
Fortinet 4.2.254.0 2011.03.02 –
GData 21 2011.03.02 –
Ikarus T3.1.1.97.0 2011.03.02 –
Jiangmin 13.0.900 2011.03.02 –
K7AntiVirus 9.91.4006 2011.03.02 –
Kaspersky 7.0.0.125 2011.03.02 –
McAfee 5.400.0.1158 2011.03.02 –
McAfee-GW-Edition 2010.1C 2011.03.02 –
Microsoft 1.6603 2011.03.02 –
NOD32 5921 2011.03.02 –
Norman 6.07.03 2011.03.02 –
nProtect 2011-02-10.01 2011.02.15 –
Panda 10.0.3.5 2011.03.02 –
PCTools 7.0.3.5 2011.03.02 –
Prevx 3.0 2011.03.03 –
Rising 23.47.02.06 2011.03.02 –
Sophos 4.61.0 2011.03.02 –
SUPERAntiSpyware 4.40.0.1006 2011.03.03 –
Symantec 20101.3.0.103 2011.03.02 –
TheHacker 6.7.0.1.143 2011.03.02 –
TrendMicro 9.200.0.1012 2011.03.02 PAK_Generic.001
TrendMicro-HouseCall 9.200.0.1012 2011.03.02 PAK_Generic.001
VBA32 3.12.14.3 2011.03.02 –
VIPRE 8588 2011.03.02 –
ViRobot 2011.3.2.4335 2011.03.02 –
VirusBuster 13.6.231.0 2011.03.02 –
Additional informationShow all
MD5 : 4b47be1f9057a6bb502d373226569780
SHA1 : 1a86826e74e5a9e79dd97472d9b30223dd0e66ec
SHA256: 3a496e21edbc2f26f141c796121250e8ea83ba38c2de9b2fdd1a9b3135b160ac

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 5 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *