Campagne de SPAM : Virus.Win32.KME

Une nouvelle campagne de SPAM depuis quelques jours faisant la promotion du malware : Virus.Win32.KME

Le lien contenu dans le mail conduit à une fausse qui propose en téléchargement un  faux codec :

Campagne de SPAM : Virus.Win32.KMELa dite page conduit aussi un exploit afin d’installer le malware de manière automatique :

L’exploit se trouve à l’adresse :

1305877719.011   2788 192.168.1.27 TCP_MISS/200 126333 GET http://letbeservice.ru/in.php?a=QQkFBwQEAAADBgAGEkcJBQcEAQEDAgwGBg== – DIRECT/46.108.225.42 text/html

Campagne de SPAM : Virus.Win32.KME

Le malware est hosté sur l’IP 174.133.178.146 – le domaine change de temps en temps :

  • http://e-pingpongshop.com/media/XvidSetup.exe (174.133.178.146)
  • http://tahliller.net/img/XvidSetup.exe (77.92.158.246)

Ce dernier malware la clef Run suivante afin de charger à chaque démarrage de Windows :

O4 – HKLM\..\Run: [AutoStart] C:\Documents and Settings\Mak\Local Settings\Temporary Internet Files\Content.IE5\ZTG6NGWI\setup[1].exe

Le malware tente une connexion smtp.mail.ru afin de vérifier si l’envoie de mail est possible et vers 78.159.121.164 port 8080
Il semblerait aussi qu’il énumère les antivirus installé :

Select * from AntiVirusProduct
ROOT\SecurityCenter2
ROOT\SecurityCenter
!This program cannot be run in DOS mode.

Can’t connect to %s:%u status=%i
version(): %u
AV #%02u : ‘%s’
Found %u antivirus(es)
No antiviruses found
fwdName=’%s’; fnName=’%s’

%s client (%s) stopped
%s client (%s) started: os=%u.%u.%u sp%u; platform=%s; bot=%u.%u.%u.%u; vendor= »%s »; parent= »%s »; IntegrityLevel=%d

Le malware est aussi capable de lancer d’autres fichiers exécutables téléchargés.

 

Exemple de détection : http://www.virustotal.com/file-scan/report.html?id=129c9c5e55b001efa212f3c89edc815f93b7009d59141459c2a92c7f36bb5156-1305878527

File name: 9232a20e5e87eeb00a43cfb5cf1e8f6e
Submission date: 2011-05-20 08:02:07 (UTC)
Current status: finished
Result: 4/ 42 (9.5%) 

Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2011.05.20.01    2011.05.20    –
AntiVir    7.11.8.77    2011.05.20    TR/Dropper.Gen2
Antiy-AVL    2.0.3.7    2011.05.20    –
Avast    4.8.1351.0    2011.05.20    –
Avast5    5.0.677.0    2011.05.20    –
AVG    10.0.0.1190    2011.05.20    –
BitDefender    7.2    2011.05.20    –
CAT-QuickHeal    11.00    2011.05.20    –
ClamAV    0.97.0.0    2011.05.20    –
Commtouch    5.3.2.6    2011.05.20    –
Comodo    8767    2011.05.20    –
DrWeb    5.0.2.03300    2011.05.20    –
Emsisoft    5.1.0.5    2011.05.20    –
eSafe    7.0.17.0    2011.05.19    –
eTrust-Vet    36.1.8338    2011.05.20    –
F-Prot    4.6.2.117    2011.05.20    –
F-Secure    9.0.16440.0    2011.05.20    Rogue:W32/FakeAv.BI
Fortinet    4.2.257.0    2011.05.20    W32/Injector.fam!tr
GData    22    2011.05.20    –
Ikarus    T3.1.1.104.0    2011.05.20    –
Jiangmin    13.0.900    2011.05.19    –
K7AntiVirus    9.103.4684    2011.05.19    –
McAfee    5.400.0.1158    2011.05.20    –
McAfee-GW-Edition    2010.1D    2011.05.20    –
Microsoft    1.6903    2011.05.20    –
NOD32    6136    2011.05.20    –
Norman    6.07.07    2011.05.19    –
nProtect    2011-05-20.01    2011.05.20    –
Panda    10.0.3.5    2011.05.20    Suspicious file
PCTools    7.0.3.5    2011.05.19    –
Prevx    3.0    2011.05.20    –
Rising    23.58.03.03    2011.05.19    –
Sophos    4.65.0    2011.05.20    –
SUPERAntiSpyware    4.40.0.1006    2011.05.20    –
Symantec    20111.1.0.186    2011.05.20    –
TheHacker    6.7.0.1.202    2011.05.20    –
TrendMicro    9.200.0.1012    2011.05.20    –
TrendMicro-HouseCall    9.200.0.1012    2011.05.20    –
VBA32    3.12.16.0    2011.05.19    –
VIPRE    9332    2011.05.20    –
ViRobot    2011.5.20.4469    2011.05.20    –
VirusBuster    13.6.363.1    2011.05.19    –
Additional information
MD5   : 9232a20e5e87eeb00a43cfb5cf1e8f6e
SHA1  : 0e6700c7b8dbca3052a4f9cf6b3239576dd9b3a2
SHA256: 129c9c5e55b001efa212f3c89edc815f93b7009d59141459c2a92c7f36bb5156

En bien détecté on obtient : http://www.virustotal.com/file-scan/report.html?id=129c9c5e55b001efa212f3c89edc815f93b7009d59141459c2a92c7f36bb5156-1305878527

 

File name:XvidSetup.exe
Submission date: 2011-05-20 02:32:54 (UTC)
Current status: finished
Result: 19 /42 (45.2%)
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.05.20.00     2011.05.19     Virus/Win32.KME
AntiVir     7.11.8.74     2011.05.20     TR/Dropper.Gen
Antiy-AVL     2.0.3.7     2011.05.20     –
Avast     4.8.1351.0     2011.05.19     –
Avast5     5.0.677.0     2011.05.19     –
AVG     10.0.0.1190     2011.05.20     unknown virus Win32/DH.CAFF840091
BitDefender     7.2     2011.05.20     Trojan.Generic.KD.225738
CAT-QuickHeal     11.00     2011.05.19     –
ClamAV     0.97.0.0     2011.05.20     –
Commtouch     5.3.2.6     2011.05.20     –
Comodo     8764     2011.05.20     Heur.Suspicious
DrWeb     5.0.2.03300     2011.05.20     Trojan.DownLoader2.54839
eSafe     7.0.17.0     2011.05.19     –
eTrust-Vet     36.1.8337     2011.05.19     –
F-Prot     4.6.2.117     2011.05.20     –
F-Secure     9.0.16440.0     2011.05.20     Trojan.Generic.KD.225738
Fortinet     4.2.257.0     2011.05.20     –
GData     22     2011.05.20     Trojan.Generic.KD.225738
Ikarus     T3.1.1.104.0     2011.05.20     Virus.Win32.KME
Jiangmin     13.0.900     2011.05.19     –
K7AntiVirus     9.103.4684     2011.05.19     Trojan
Kaspersky     9.0.0.837     2011.05.20     Virus.Win32.KME
McAfee     5.400.0.1158     2011.05.20     Artemis!AE8621D33A5D
McAfee-GW-Edition     2010.1D     2011.05.20     Artemis!AE8621D33A5D
Microsoft     1.6903     2011.05.20     –
NOD32     6136     2011.05.20     Win32/TrojanDownloader.FakeAlert.BJI
Norman     6.07.07     2011.05.19     –
nProtect     2011-05-19.01     2011.05.19     Trojan.Generic.KD.225738
Panda     10.0.3.5     2011.05.20     Suspicious file
PCTools     7.0.3.5     2011.05.19     –
Prevx     3.0     2011.05.20     –
Rising     23.58.03.03     2011.05.19     Suspicious
Sophos     4.65.0     2011.05.20     Mal/Generic-L
SUPERAntiSpyware     4.40.0.1006     2011.05.20     Trojan.Agent/Gen-Falint
Symantec     20111.1.0.186     2011.05.20     –
TheHacker     6.7.0.1.201     2011.05.19     –
TrendMicro     9.200.0.1012     2011.05.19     –
TrendMicro-HouseCall     9.200.0.1012     2011.05.20     –
VBA32     3.12.16.0     2011.05.19     –
VIPRE     9331     2011.05.20     –
ViRobot     2011.5.19.4468     2011.05.19     –
VirusBuster     13.6.363.1     2011.05.19     –
Additional information
MD5   : ae8621d33a5d184534bab844a0716d1b
SHA1  : 09b68ac924de5d58657104b2b601239fb822b8c8
SHA256: 60ae8aae1e66345c2c7c7606fcb864775e5b43b68bfd7d1a1fb76f8bc61320a9

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 5 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *