chickenkiller.com : vbe qui charge du BitCoin

Vu sur ce sujet, il y a quelques jours, sur Commentcamarche.net => http://www.commentcamarche.net/forum/affich-26783466-svchost-exe-infecte

Un .vbe crypté :

VBE_BitCoin

Le .vbe se décrypté pour donner ceci => http://pjjoint.malekal.com/files.php?read=20130104_7s14h14n7t8

Ce dernier charge des fichiers, désactive le pare-feu de Windows et charge le .vbe via une clef Run dans ProgramData\Adobe\random.vbe
Le but du vbe est de charger un client BitCoin pour générer des revenus à l’auteur.

L’adresse chickenkiller.com est down – à noter qu’une recherche Google montre que ce DNS est connu pour hoster des malwares (phishing etc).
VBE_BitCoin2

Ce dernier est relativement répandu ces derniers temps – une recherche Google montre les différents cas :

VBE_BitCoin3
VBE_BitCoin4

La détection du vbe crypté : https://www.virustotal.com/file/db7d516f2640ec9171fda8d26f2d35f137853346c3cf7fa3cc0ff39718a10a07/analysis/

SHA256: db7d516f2640ec9171fda8d26f2d35f137853346c3cf7fa3cc0ff39718a10a07
File name: 2A87C5.vbe
Detection ratio: 4 / 46
Analysis date: 2013-01-04 11:03:34 UTC ( 1 minute ago )

Agnitum HTML.Psyme.Gen 20130104
ESET-NOD32 VBS/CoinMiner.C 20130104
Rising Trojan.DL.Script.VBS.Agent.xjb 20130104
TrendMicro-HouseCall TROJ_GEN.F47V1129 20130104

 

La version décrypté donne la même détection : https://www.virustotal.com/file/6261dd813ab549c2e34c0c16d280af7c9b28387052aae2bcd72c44e154747d12/analysis/1357300067/

SHA256: 6261dd813ab549c2e34c0c16d280af7c9b28387052aae2bcd72c44e154747d12
File name: ecr.txt
Detection ratio: 4 / 46
Analysis date: 2013-01-04 11:47:47 UTC ( 0 minute ago )

 

Comme quoi les choses simples peuvent être les plus efficaces.
Vais envoyer le .vbe aux antivirus pour qu’ils ajoutent des détections

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 23 times, 1 visits today)

2 thoughts on “chickenkiller.com : vbe qui charge du BitCoin

  1. Tient, ce DNS me dit quelque chose 🙂

    On trouve des soit disant hacks pour le jeu « Realm of the mad god » qui sont en fait des Spynet planquées dans des scripts Auto-it.

    Les liens des RAT sont diffusés liens en utilisant un bot spammeur dans le jeu.

    Au départ, le piratin utilisait no-ip puis comme je l’ai report de nombreuses fois, il est passé à FreeDNS

    http://oi46.tinypic.com/2r3xegn.jpg

    Une fois, il a même utilisé un Java-Drive-by-download pour faire telecharger son RAT héberge sur Uptobox..

    Depuis, il ne recommence plus, mais peut être est t’il passé aux VBE ? 😉

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *