Hijack HOSTS File par Unicode

Ajourd’hui je suis tombé sur un BlackHole assez originale puisce que ce dernier charge un dropper qui lance un script VBS :

Le dropper lance aussi des instances de svchost.exe pour se connecter :

TCP_MISS/200 298 POST http://ktfai.dopitter.info/js/q.php? – DIRECT/95.156.222.5 text/html
TCP_HIT/200 882356 GET http://varejkoltd.in/0jwPFZp.psd – NONE/- application/octet-stream
TCP_HIT/200 800584 GET http://varejkoltd.in/Z8fXcwmD7M24.tiff – NONE/- application/octet-stream
TCP_HIT/200 1857269 GET http://varejkoltd.in/yWp17YxBSsXmcr0TdDGtaJfh6v.bmp – NONE/- application/octet-stream
TCP_MISS/200 1597 POST http://varejkoltd.in/ghrltecttdzunhcpjqnyvjkwsfsjumrjhvddixdi.cgi – DIRECT/188.138.82.247 text/html
TCP_MISS/404 670 POST http://varejkoltd.in/v.phtm – DIRECT/188.138.82.247 text/html
TCP_MISS/403 345 POST http://varejkoltd.in/shfymb.cgi – DIRECT/188.138.82.247 text/html
TCP_HIT/200 800584 GET http://varejkoltd.in/Z8fXcwmD7M24.tiff – NONE/- application/octet-stream
TCP_HIT/200 1857269 GET http://varejkoltd.in/yWp17YxBSsXmcr0TdDGtaJfh6v.bmp – NONE/- application/octet-stream
TCP_MISS/404 670 POST http://varejkoltd.in/waaaaaaldiykkpgsqs.php3 – DIRECT/188.138.82.247 text/html
TCP_MISS/403 345 POST http://varejkoltd.in/mtzgocmyplnxviclsrsjikmglksjze.doc – DIRECT/188.138.82.247 text/html
TCP_MISS/404 670 POST http://varejkoltd.in/vvadfpdsd.phtml – DIRECT/188.138.82.247 text/html
TCP_MISS/504 1546 POST http://varejkoltd.in/jfhwcravhtbv.php3 – DIRECT/188.138.82.247 text/html 

 

Revenons au VBScript, on peux voir que ce dernier créé un raccourci AdLoader avec en autre des instructions de copy vers le fichier HOSTS et l’ajout de l’attribut caché.
Le VBSCript télécharge aussi une DLL.

Les raccourcis, le fichier .exe lançant les instances de svchost.
La détection est mauvaise : https://www.virustotal.com/file/ede03877282885c5eae9516bdfbf31ddbe9bc9a4bd16693016ce123183944b54/analysis/

 

SHA256: ede03877282885c5eae9516bdfbf31ddbe9bc9a4bd16693016ce123183944b54
File name: 92cc147d79cecd39ce44da38e46e12ef
Detection ratio: 1 / 43
Analysis date: 2012-03-06 15:53:47 UTC ( 26 minutes ago )McAfee-GW-Edition Heuristic.BehavesLike.Win32.ModifiedUPX.C!84 20120304

 

Le raccourci lance aussi un fichier BATCH dont voici le contenu.
Comme vous pouvez le voir, une copy vers un fichier hîsts est effecté.
On force aussi le non affichage des fichiers cachés et on supprime les droppers dans %TEMP%

L’utilisation de fichier batch est relativement courrant mais ici accouplé à un script VBS au démarrage, c’est assez peu commun.

Côté HijackThis, on obtient ceci, un HijackThis des adresses Facebook, twitter etc et les raccourcis créés dans Démarrage.

Un ping sur l’adresse Facebook confirme la redirection vers 95.56.222.27 – de quoi voler des comptes Facebook et Twitter.

Un tour dans le dossier /Windows/system32/drivers/etc avec l’affichage des fichiers cachés, on peux voir deux fichiers HOSTS.

Bien entendu, les noms sont différents puisqu’il est impossible d’avoir deux fichiers avec un nom identique dans un répertoire.
C’est la même feinte unicode que pour le virus Gendarmerie version Windows Vista/Seven.

Le script VBS remplace le fichier HOSTS par le contenu Hijacké et le cache, puis le batch lancé ensuite, se charge de crér un fichier HOSTS unicode et ajoute l’attribut caché au « vrai » fichier HOSTS le rendant invisible. Ceci bien entendu pour tromper les utilisateurs, lorsque ce dernier se rendra dans le fichier etc, il verra un fichier HOSTS (le unicode) « sain ».

On peux d’ailleurs sur la capture ci-dessous voir la différence de taille de fichier  entre le fichier HOSTS hijacké et le fichier HOSTS réel.

Assez inégnieux, Microsoft avait bloggué sur ce cas, il y a quelque temps déjà : http://blogs.technet.com/b/mmpc/archive/2011/08/10/can-we-believe-our-eyes.aspx

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 41 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *