Campagne SPAM : Faux Facebook => Zeus/Zbot

Une campagne de SPAM par email a actuellement lieu qui droppe le malware Zeus/Zbot

Les mails sont du type xxxxx wants to be friends on Facebook.
qui reprend les mails type Facebook (sans le F majuscule à Facebook).

Le lien conduit vers une page avec une adresse non Facebook : http://session04087523806793.pmstdl.com/confirm/req/


Sur la dite page, on nous explique que notre version de Flash est ancienne et qu’il faut la mettre à jour.
Le lien proposé n’a rien à voir avec Adobe : http://session04087523806793.pmstdl.com/confirm/req/updateflash.exe

La page contient aussi un exploit sur site WEB pour automatiser l’installation de l’infection.

Ce qui droppe Zeus/Zbot dans un sous-répertoire de %APPDATA%

La détection du dropper  : http://www.virustotal.com/file-scan/report.html?id=e31b119e4f1bee734efb259fce8974c8b63cc0bbe6588bf1d1655847cd0cfc33-1314007802

File name: 6f86e5939e7bca1d0a57689e6d4e3e57
Submission date: 2011-08-22 10:10:02 (UTC)
Current status: finished
Result: 22 /44 (50.0%)Compact
Print results Antivirus Version Last Update Result
AhnLab-V3 2011.08.22.01 2011.08.22 Backdoor/Win32.ZAccess
AntiVir 7.11.13.174 2011.08.22 TR/PSW.Zbot.ZT.17
Antiy-AVL 2.0.3.7 2011.08.22 –
Avast 4.8.1351.0 2011.08.21 –
Avast5 5.0.677.0 2011.08.21 –
AVG 10.0.0.1190 2011.08.22 PSW.Generic9.JGZ
BitDefender 7.2 2011.08.22 Trojan.Generic.6453348
ByteHero 1.0.0.1 2011.08.22 –
CAT-QuickHeal 11.00 2011.08.22 –
ClamAV 0.97.0.0 2011.08.22 –
Commtouch 5.3.2.6 2011.08.22 –
Comodo 9831 2011.08.22 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2011.08.22 Trojan.PWS.Panda.830
Emsisoft 5.1.0.10 2011.08.22 Trojan-Spy.Win32.Zbot!IK
eSafe 7.0.17.0 2011.08.21 –
eTrust-Vet 36.1.8514 2011.08.22 –
F-Prot 4.6.2.117 2011.08.22 –
F-Secure 9.0.16440.0 2011.08.22 Trojan.Generic.6453348
Fortinet 4.2.257.0 2011.08.22 W32/Zbot.CX!tr.pws
GData 22 2011.08.22 Trojan.Generic.6453348
Ikarus T3.1.1.107.0 2011.08.22 Trojan-Spy.Win32.Zbot
Jiangmin 13.0.900 2011.08.21 –
K7AntiVirus 9.110.5037 2011.08.20 –
Kaspersky 9.0.0.837 2011.08.22 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.08.22 Artemis!6F86E5939E7B
McAfee-GW-Edition 2010.1D 2011.08.21 Artemis!6F86E5939E7B
Microsoft 1.7604 2011.08.22 PWS:Win32/Zbot.ZT
NOD32 6399 2011.08.22 a variant of Win32/Kryptik.RWD
Norman 6.07.10 2011.08.20 –
nProtect 2011-08-22.01 2011.08.22 Gen:Variant.Kazy.34803
Panda 10.0.3.5 2011.08.21 Trj/CI.A
PCTools 8.0.0.5 2011.08.22 Trojan.Gen
Prevx 3.0 2011.08.22 –
Rising 23.71.03.03 2011.08.18 –
Sophos 4.68.0 2011.08.22 Mal/Zbot-CX
SUPERAntiSpyware 4.40.0.1006 2011.08.20 –
Symantec 20111.2.0.82 2011.08.22 Trojan.Gen
TheHacker 6.7.0.1.282 2011.08.22 –
TrendMicro 9.500.0.1008 2011.08.17 –
TrendMicro-HouseCall 9.500.0.1008 2011.08.22 –
VBA32 3.12.16.4 2011.08.21 –
VIPRE 10240 2011.08.22 FraudTool.Win32.AVSoft (v)
ViRobot 2011.8.22.4633 2011.08.22 –
VirusBuster 14.0.180.0 2011.08.22 –
Additional information
Show all
MD5 : 6f86e5939e7bca1d0a57689e6d4e3e57
SHA1 : 9b1ee6e1a87ff49c5648aa0ba418a42538aa3d14
SHA256: e31b119e4f1bee734efb259fce8974c8b63cc0bbe6588bf1d1655847cd0cfc33
File name: gaet.exe
Submission date: 2011-08-22 09:34:28 (UTC)
Current status: queued queued analysing finished
Result: 16/ 44 (36.4%)
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.08.22.01 2011.08.22 –
AntiVir 7.11.13.174 2011.08.22 TR/PSW.Zbot.ZT.17
Antiy-AVL 2.0.3.7 2011.08.22 –
Avast 4.8.1351.0 2011.08.21 –
Avast5 5.0.677.0 2011.08.21 –
AVG 10.0.0.1190 2011.08.21 PSW.Generic9.JGZ
BitDefender 7.2 2011.08.22 Trojan.Generic.6453348
ByteHero 1.0.0.1 2011.08.22 –
CAT-QuickHeal 11.00 2011.08.22 –
ClamAV 0.97.0.0 2011.08.22 –
Commtouch 5.3.2.6 2011.08.22 –
Comodo 9831 2011.08.22 –
DrWeb 5.0.2.03300 2011.08.22 –
Emsisoft 5.1.0.10 2011.08.22 Trojan-Spy.Win32.Zbot!IK
eSafe 7.0.17.0 2011.08.21 –
eTrust-Vet 36.1.8514 2011.08.22 –
F-Prot 4.6.2.117 2011.08.22 –
F-Secure 9.0.16440.0 2011.08.22 Trojan.Generic.6453348
Fortinet 4.2.257.0 2011.08.22 –
GData 22 2011.08.22 Trojan.Generic.6453348
Ikarus T3.1.1.107.0 2011.08.22 Trojan-Spy.Win32.Zbot
Jiangmin 13.0.900 2011.08.21 –
K7AntiVirus 9.110.5037 2011.08.20 –
Kaspersky 9.0.0.837 2011.08.22 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.08.22 PWS-Zbot.gen.cc
McAfee-GW-Edition 2010.1D 2011.08.21 –
Microsoft 1.7604 2011.08.22 PWS:Win32/Zbot.ZT
NOD32 6398 2011.08.22 a variant of Win32/Kryptik.RWD
Norman 6.07.10 2011.08.20 –
nProtect 2011-08-22.01 2011.08.22 Gen:Variant.Kazy.34803
Panda 10.0.3.5 2011.08.21 –
PCTools 8.0.0.5 2011.08.22 Trojan.Gen
Prevx 3.0 2011.08.22 –
Rising 23.71.03.03 2011.08.18 –
Sophos 4.68.0 2011.08.22 Mal/Zbot-CX
SUPERAntiSpyware 4.40.0.1006 2011.08.20 –
Symantec 20111.2.0.82 2011.08.22 Trojan.Gen
TheHacker 6.7.0.1.282 2011.08.22 –
TrendMicro 9.500.0.1008 2011.08.17 –
TrendMicro-HouseCall 9.500.0.1008 2011.08.22 –
VBA32 3.12.16.4 2011.08.21 –
VIPRE 10240 2011.08.22 FraudTool.Win32.AVSoft (v)
ViRobot 2011.8.22.4633 2011.08.22 –
VirusBuster 14.0.180.0 2011.08.22 –
Additional informationShow all
MD5 : 50350a4a2a84b4493c96f677341457bc
SHA1 : 7d86f9d3156b77e1e68a67d91494d58cb428a3a8
SHA256: 71971fdcd6151a81354c47e965833afbae344acb532d383cc827cf64e8b6784d
La reprise des templates des mails de Facebook n’est pas nouvelle, mais commence à devenir très utilisé puisqu’il y a aussi une autre campagne de mail de Spam pour du viagra cette fois.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 11 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *