CyberGate @ Numericable

Il y a quelques temps, j’avais rédigé le billet RAT, Bifrose : Botnet pour les nuls qui survolait le fonctionnement des RATS, Brifrose, Cybergate.. sur le billet, on avait comme exemple d’un botnet sur SFR.

En faisant une désinfection sur CommentCamarche : http://www.commentcamarche.net/forum/affich-23144480-cftmon-exe-lance-le-processus-firefox-exe (un possible second cas http://www.commentcamarche.net/forum/affich-23143917-winboot-exe-et-iexplorer-infectes)

Je suis tombé sur un autre Cybergate : http://www3.malekal.com/malwares/index.php?&hash=e7e0e338f06aa71a00e2d5edb1d8e5a9

File name: e7e0e338f06aa71a00e2d5edb1d8e5a9
Submission date: 2011-09-13 16:53:38 (UTC)
Current status: finished
Result: 7 /44 (15.9%) VT Community
Print results Antivirus Version Last Update Result
AhnLab-V3 2011.09.12.01 2011.09.13 –
AntiVir 7.11.14.186 2011.09.13 –
Antiy-AVL 2.0.3.7 2011.09.13 –
Avast 4.8.1351.0 2011.09.13 –
Avast5 5.0.677.0 2011.09.13 –
AVG 10.0.0.1190 2011.09.13 –
BitDefender 7.2 2011.09.13 Gen:Variant.Kazy.37380
ByteHero None 2011.09.13 –
CAT-QuickHeal 11.00 2011.09.13 –
ClamAV 0.97.0.0 2011.09.13 –
Commtouch 5.3.2.6 2011.09.13 –
Comodo 10098 2011.09.13 –
DrWeb 5.0.2.03300 2011.09.13 –
Emsisoft 5.1.0.11 2011.09.13 –
eSafe 7.0.17.0 2011.09.13 –
eTrust-Vet 36.1.8556 2011.09.13 –
F-Prot 4.6.2.117 2011.09.13 –
F-Secure 9.0.16440.0 2011.09.13 Gen:Variant.Kazy.37380
Fortinet 4.3.370.0 2011.09.11 –
GData 22 2011.09.13 Gen:Variant.Kazy.37380
Ikarus T3.1.1.107.0 2011.09.13 –
Jiangmin 13.0.900 2011.09.13 –
K7AntiVirus 9.112.5128 2011.09.13 –
Kaspersky 9.0.0.837 2011.09.13 –
McAfee 5.400.0.1158 2011.09.13 –
McAfee-GW-Edition 2010.1D 2011.09.12 Heuristic.BehavesLike.Win32.Downloader.D
Microsoft 1.7604 2011.09.13 Worm:Win32/Rebhip.A
NOD32 6460 2011.09.13 –
Norman 6.07.11 2011.09.13 –
nProtect 2011-09-13.01 2011.09.13 Gen:Variant.Kazy.37380
Panda 10.0.3.5 2011.09.13 Suspicious file
PCTools 8.0.0.5 2011.09.13 –
Prevx 3.0 2011.09.13 –
Rising 23.74.03.03 2011.09.09 –
Sophos 4.69.0 2011.09.13 –
SUPERAntiSpyware 4.40.0.1006 2011.09.13 –
Symantec 20111.2.0.82 2011.09.13 –
TheHacker 6.7.0.1.293 2011.09.10 –
TrendMicro 9.500.0.1008 2011.09.13 –
TrendMicro-HouseCall 9.500.0.1008 2011.09.13 –
VBA32 3.12.16.4 2011.09.13 –
VIPRE 10464 2011.09.13 –
ViRobot 2011.9.10.4666 2011.09.13 –
VirusBuster 14.0.210.1 2011.09.13 –
Additional information
Show all
MD5 : e7e0e338f06aa71a00e2d5edb1d8e5a9
SHA1 : 7350704b799f4c255c382b415038f174d61ac7b7
SHA256: 363fadc1781c7f6e920d92b26b416e74e11dda8c9b3a0062ea856fc082d7fd7c
 

Comme le montre la capture ci-dessous, le malware a été compilé sur une machine française, d’après le chemin du projet (.vbp)

Le malware résoud l’adresse aph.no-ip.biz qui conduit vers l’IP numéricable 212.198.102.21

confirmation de la connexion ici par explorer.exe (mais ça peux aussi lancer une instance du navigateur par défaut) vers le port 1604

Le malware post des infos des processus/fenêtres ouvertes. Il a des fonctionnalités de keyloggers

Le malware s’est mis à jour pour aller chercher une autre variante et échapper certainement aux détections des antivirus : http://www.virustotal.com/file-scan/report.html?id=f9851a8fa0e4e345a9ef2fe0b61cfc4684099ecc7da2be7760e27514b276f310-1315995544

File name: svchost.exe
Submission date: 2011-09-14 10:19:04 (UTC)
Current status: finished
Result: 9 /44 (20.5%)
Compact
Print results Antivirus Version Last Update Result
AhnLab-V3 2011.09.13.00 2011.09.13 –
AntiVir 7.11.14.200 2011.09.14 –
Antiy-AVL 2.0.3.7 2011.09.14 –
Avast 4.8.1351.0 2011.09.14 –
Avast5 5.0.677.0 2011.09.14 –
AVG 10.0.0.1190 2011.09.14 –
BitDefender 7.2 2011.09.14 Gen:Variant.Kazy.37380
ByteHero 1.0.0.1 2011.09.13 –
CAT-QuickHeal 11.00 2011.09.14 (Suspicious) – DNAScan
ClamAV 0.97.0.0 2011.09.14 –
Commtouch 5.3.2.6 2011.09.14 –
Comodo 10109 2011.09.14 –
DrWeb 5.0.2.03300 2011.09.14 –
Emsisoft 5.1.0.11 2011.09.14 Win32.SuspectCrc!IK
eSafe 7.0.17.0 2011.09.13 –
eTrust-Vet 36.1.8559 2011.09.14 –
F-Prot 4.6.2.117 2011.09.14 –
F-Secure 9.0.16440.0 2011.09.14 Gen:Variant.Kazy.37380
Fortinet 4.3.370.0 2011.09.14 –
GData 22 2011.09.14 Gen:Variant.Kazy.37380
Ikarus T3.1.1.107.0 2011.09.14 Win32.SuspectCrc
Jiangmin 13.0.900 2011.09.13 –
K7AntiVirus 9.112.5128 2011.09.13 –
Kaspersky 9.0.0.837 2011.09.14 –
McAfee 5.400.0.1158 2011.09.14 –
McAfee-GW-Edition 2010.1D 2011.09.13 Heuristic.BehavesLike.Win32.Downloader.D
Microsoft 1.7604 2011.09.14 –
NOD32 6462 2011.09.14 –
Norman 6.07.11 2011.09.13 –
nProtect 2011-09-14.01 2011.09.14 Gen:Variant.Kazy.37380
Panda 10.0.3.5 2011.09.13 Suspicious file
PCTools 8.0.0.5 2011.09.14 –
Prevx 3.0 2011.09.14 –
Rising 23.74.03.03 2011.09.09 –
Sophos 4.69.0 2011.09.14 –
SUPERAntiSpyware 4.40.0.1006 2011.09.14 –
Symantec 20111.2.0.82 2011.09.14 –
TheHacker 6.7.0.1.296 2011.09.14 –
TrendMicro 9.500.0.1008 2011.09.14 –
TrendMicro-HouseCall 9.500.0.1008 2011.09.14 –
VBA32 3.12.16.4 2011.09.13 –
VIPRE 10471 2011.09.14 –
ViRobot 2011.9.14.4668 2011.09.14 –
VirusBuster 14.0.211.0 2011.09.13 –
Additional information
Show all
MD5 : 83ad21a18f33ea86dbde70c9ef3cf3b2
SHA1 : ac0a9171a250f2ffdacf7ee31933e510c9f62ba7
SHA256: f9851a8fa0e4e345a9ef2fe0b61cfc4684099ecc7da2be7760e27514b276f310
 

Les fichiers créés par la première variante :

	c:\Documents and Settings\robert\Application Data\cglogs.dat
		Date: 4/12/2006 2:31 PM
		Size: 15 bytes
	c:\Documents and Settings\robert\Local Settings\Temp\XxX.xXx
		Date: 9/13/2011 7:58 PM
		Size: 8 bytes
	c:\WINDOWS\system32\1085\ctfmon.exe
		Date: 7/11/2006 1:34 PM
		Size: 410�112 bytes

Le fichier %TEMP%\XxX.xXx étant caractéristique de ces familles de malwares.

Au niveau des points de chargements des clefs RUN assez visibles :

O4 – HKLM\..\Run: [HKLM] C:\WINDOWS\system32\1085\ctfmon.exe
O4 – HKLM\..\Run: [winlogonn] C:\WINDOWS\svchost.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [HKCU] C:\WINDOWS\system32\1085\ctfmon.exe
 

Pour monétiser, l’infection a aussi installé un Trojan.Bitcoin que l’on retrouve souvent avec ces RAT.

Une bonne illustration qui démontre qu’il est assez simple de faire son propre botnet comme cela était expliqué sur le billet RAT, Bifrose : Botnet pour les nuls
En attendant tous les fichiers ont été envoyés aux éditeurs d’antivirus et je vais faire un mail à l’abuse de Numéricable en espérant qu’il fasse suite.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 47 times, 1 visits today)

3 thoughts on “CyberGate @ Numericable

  1. Wonderful Sharat, in such a short time of two months your fan fiowllong is too much in face book and Alexa ranking too is very good.Keep it up, Best of luck for your bright future.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *