Java Exploit en augmentation : TDSS / Hiloti

Mi-2008, un topic d’alerte avait été fait sur l’augmentation des exploits par PDF permettant l’infection d’ordinateur leur de la simple visite d’un site WEB hacké : Exploitation SWF/PDF et Java – système non à jour = danger
Le topic alertait de manière générale sur les plugins non à jour et très fortement sur ceux d’Adobe : Adobe Reader et Flash.
Si les exploits visent toujours autant les produits Adobe où l’on voit régulièrement des vulnérabilités publiées, depuis fin 2010, ce sont surtout des exploits JAVA qui sont visés.

Comme le montre le graph ci-dessous issu du blog de Microsoft : Have you checked the Java?

Java Exploit en augmentation : TDSS / HilotiLors de la visite d’un site WEB hacké, ce dernier redirige vers des adresses qui testent les versions des plugins du navigateur WEB. Si la version du plugin n’est pas à jour et est connue pour contenir des vulnérabilités, l’exploit est alors exécute sur l’ordinateur afin de pouvoir lancer de manière automatique le dropper de l’infection.

Dans le cas de cette page, on parle d’un exploit visant les produits Java qui sont en général pas à jour.
Ci-dessous, deux captures qui montre Firefox qui lance le programme Java qui va chercher et executer un fichier JAR (du code qui sera executé par Java) – c’est l’exploit.

Java Exploit en augmentation : TDSS / Hiloti

L’exploit réussi, il est alors possible de télécharger et exécuter un fichier tiers, c’est le dropper de l’infection (fichier 0.26010779378156135.exe) est exécute qui va à son tour lancé d’autres exécutable pour installer l’infection sur le système.

Java Exploit en augmentation : TDSS / Hiloti

Java Exploit en augmentation : TDSS / Hiloti

On voit ici que le processus système spoolsv.exe créé un service avec un nom aléatoire (lettre et chiffre).
Les executables injectent en mémoire le processus spoolsv.exe (Trojan.Inject) afin d’en prendre le contrôle et lui faire créer ce service, ceci permet de bypasser certaines fonctionnalités HIPS des logiciels de protection (qui souvent autorisent les processus systèmes à modifier le système : création de service etc).
Ce mécanisme est caractéristique des infections : Trojan.TDSS / Trojan.Alureon

Enfin un fichier DLL est droppé dans le dossier Windows et sera lancé au démarrage par une clef Run via rundll32.exe, ceci est caractéristique de la famille Trojan.Hiloti

Java Exploit en augmentation : TDSS / Hiloti

On se retrouve donc avec ces deux malwares qui provoquent des redirections lors des recherches Google

Java Exploit en augmentation : TDSS / Hiloti

Exemple de redirections avec des connexions à des urls tiers après avoir cliqué sur la recherche Google (hotsprings.com, 4hgbteer.com etc) :http://www.google.fr/url?q=http://www.france5.fr/la-maison-france5/&sa=U&ei=R-z6TYLlBYqWhQf1m62MAw&ved=0CCcQFjAJOAo&usg=AFQjCNHWKzcPoogNNzUgMH1KXjfNRx4O8g
http://www.france5.fr/la-maison-france5/
http://hotsprings.com/search.php
http://l0rtebhn-4hgbteer.com/qZl1lF0P6I3XA5u9a188cf71c8869b968176f048f1cbbf3eTfrsR7woO80AABRaeT0AAAAT1308290121.5117x
http://www.maisonsdenfrance.com/?q=css/get/1
http://www.maisonsdenfrance.com/misc/drupal.css
http://78.140.143.83/go.php?uid=33371&suid=4022742&data=[xxxx]
http://6212-33371_4022742.pub.findology.com/redirect/redirect.nocache.js
http://6212-33371_4022742.pub.findology.com/redirect/clear.cache.gif
http://6212-33371_4022742.pub.findology.com/redirect/FC4C5889B42BFE5526705618C9023CAD.cache.html
http://6212-33371_4022742.pub.findology.com/redirect/rpc/loggingService
http://www.music-depot.co.uk/127.html
hxxp://www.youtube.com/watch?v=2R18YWvjOzU
 

Par le passé (via notamment une campagne Bamital), on se retrouvait avec des résultats de recherche vers des adresses Gomeo, celle-ci est remplacée par fr.clickcompare.info

Java Exploit en augmentation : TDSS / Hiloti

Difficulté à protéger le système

Comme expliqué dans le second paragraphe de la page Comparatif Antivirus gratuits 2010 qui explique les difficultés pour protéger un système vulnérable aux des exploits sur site WEB pour les logiciels de protection.
En effet la source du problème étant de surfer avec un système vulnérable, les antivirus ne peuvent qu’empêcher partiellement l’infection de s’installer et ne règle pas le problème de fond. Or, si l’on survol le cas présenter par cette campagne TDSS/Hiloti.

On a des adresses aléatoires et qui changent plusieurs fois par jour, donc difficulté à blacklister sur le domaine : http://www3.malekal.com/malwares/index.php?&url=showthread.php
Le dropper initial est plus ou moins aléatoires afin d’échapper aux détections des antivirus.

1308289716.031    773 192.168.1.27 TCP_MISS/200 18872 GET http://appstore411.ce.ms/showthread.php?t=403086527 - DIRECT/95.163.73.152 application/java-archive <= fichier JAR executé par Java - c'est l'exploit
1308289719.092   1445 192.168.1.27 TCP_MISS/200 345076 GET http://appstore411.ce.ms/showthread.php?t=581280 - DIRECT/95.163.73.152 application/octet-stream <= le dropper initial de l'infection - 0.26010779378156135.exe

Les deux autres fichiers executables de la capture ci-dessus sont des droppers intermédiaires.

Java Exploit : TDSS / Hiloti

 

L’exploit JAVA – fichier JAR : http://www.virustotal.com/file-scan/report.html?id=9481c1c01dbb8b8f472666a005278f05ade1609978253fa1a54bb1e4ab307cb9-1308291138

 

File name: showthread.php?t=403086527
Submission date: 2011-06-17 06:12:18 (UTC)
Current status: finished
Result: 1 /42 (2.4%)

Print results
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.06.17.00     2011.06.16     –
AntiVir     7.11.10.0     2011.06.17     –
Antiy-AVL     2.0.3.7     2011.06.17     –
Avast     4.8.1351.0     2011.06.16     –
Avast5     5.0.677.0     2011.06.16     –
AVG     10.0.0.1190     2011.06.16     –
BitDefender     7.2     2011.06.17     –
CAT-QuickHeal     11.00     2011.06.17     –
ClamAV     0.97.0.0     2011.06.17     –
Commtouch     5.3.2.6     2011.06.17     –
Comodo     9093     2011.06.17     –
DrWeb     5.0.2.03300     2011.06.17     Java.Downloader.369
eSafe     7.0.17.0     2011.06.15     –
eTrust-Vet     36.1.8391     2011.06.16     –
F-Prot     4.6.2.117     2011.06.16     –
F-Secure     9.0.16440.0     2011.06.17     –
Fortinet     4.2.257.0     2011.06.16     –
GData     22     2011.06.17     –
Ikarus     T3.1.1.104.0     2011.06.17     –
Jiangmin     13.0.900     2011.06.16     –
K7AntiVirus     9.106.4819     2011.06.16     –
Kaspersky     9.0.0.837     2011.06.17     –
McAfee     5.400.0.1158     2011.06.17     –
McAfee-GW-Edition     2010.1D     2011.06.17     –
Microsoft     1.6903     2011.06.13     –
NOD32     6215     2011.06.17     –
Norman     6.07.10     2011.06.16     –
nProtect     2011-06-16.01     2011.06.16     –
Panda     10.0.3.5     2011.06.16     –
PCTools     7.0.3.5     2011.06.17     –
Prevx     3.0     2011.06.17     –
Rising     23.62.02.05     2011.06.15     –
Sophos     4.66.0     2011.06.17     –
SUPERAntiSpyware     4.40.0.1006     2011.06.17     –
Symantec     20111.1.0.186     2011.06.17     –
TheHacker     6.7.0.1.230     2011.06.14     –
TrendMicro     9.200.0.1012     2011.06.17     –
TrendMicro-HouseCall     9.200.0.1012     2011.06.17     –
VBA32     3.12.16.1     2011.06.16     –
VIPRE     9605     2011.06.17     –
ViRobot     2011.6.17.4518     2011.06.17     –
VirusBuster     14.0.83.0     2011.06.16     –
Additional information
MD5   : 6158bc325a63f26c24c762c6db1e0cd9
SHA1  : f1fb52446767820a4935cf88682779cd251a761d
SHA256: 9481c1c01dbb8b8f472666a005278f05ade1609978253fa1a54bb1e4ab307cb9

 

Le dropper initial : http://www.virustotal.com/file-scan/report.html?id=9481c1c01dbb8b8f472666a005278f05ade1609978253fa1a54bb1e4ab307cb9-1308291138

 

File name: showthread.php?t=403086527
Submission date: 2011-06-17 06:12:18 (UTC)
Current status: finished
Result: 1/ 42 (2.4%)

Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2011.06.17.00    2011.06.16    -
AntiVir    7.11.10.0    2011.06.17    -
Antiy-AVL    2.0.3.7    2011.06.17    -
Avast    4.8.1351.0    2011.06.16    -
Avast5    5.0.677.0    2011.06.16    -
AVG    10.0.0.1190    2011.06.16    -
BitDefender    7.2    2011.06.17    -
CAT-QuickHeal    11.00    2011.06.17    -
ClamAV    0.97.0.0    2011.06.17    -
Commtouch    5.3.2.6    2011.06.17    -
Comodo    9093    2011.06.17    -
DrWeb    5.0.2.03300    2011.06.17    Java.Downloader.369
eSafe    7.0.17.0    2011.06.15    -
eTrust-Vet    36.1.8391    2011.06.16    -
F-Prot    4.6.2.117    2011.06.16    -
F-Secure    9.0.16440.0    2011.06.17    -
Fortinet    4.2.257.0    2011.06.16    -
GData    22    2011.06.17    -
Ikarus    T3.1.1.104.0    2011.06.17    -
Jiangmin    13.0.900    2011.06.16    -
K7AntiVirus    9.106.4819    2011.06.16    -
Kaspersky    9.0.0.837    2011.06.17    -
McAfee    5.400.0.1158    2011.06.17    -
McAfee-GW-Edition    2010.1D    2011.06.17    -
Microsoft    1.6903    2011.06.13    -
NOD32    6215    2011.06.17    -
Norman    6.07.10    2011.06.16    -
nProtect    2011-06-16.01    2011.06.16    -
Panda    10.0.3.5    2011.06.16    -
PCTools    7.0.3.5    2011.06.17    -
Prevx    3.0    2011.06.17    -
Rising    23.62.02.05    2011.06.15    -
Sophos    4.66.0    2011.06.17    -
SUPERAntiSpyware    4.40.0.1006    2011.06.17    -
Symantec    20111.1.0.186    2011.06.17    -
TheHacker    6.7.0.1.230    2011.06.14    -
TrendMicro    9.200.0.1012    2011.06.17    -
TrendMicro-HouseCall    9.200.0.1012    2011.06.17    -
VBA32    3.12.16.1    2011.06.16    -
VIPRE    9605    2011.06.17    -
ViRobot    2011.6.17.4518    2011.06.17    -
VirusBuster    14.0.83.0    2011.06.16    -
Additional information
MD5   : 6158bc325a63f26c24c762c6db1e0cd9
SHA1  : f1fb52446767820a4935cf88682779cd251a761d
SHA256: 9481c1c01dbb8b8f472666a005278f05ade1609978253fa1a54bb1e4ab307cb9
Les droppers intermédiaires : http://www.virustotal.com/file-scan/report.html?id=3bcb03ffb936f5f61192caece06e3ef8634d70a24b67e68829f00276c8d4e70a-1308290862

File name: 71457458.exe
Submission date: 2011-06-17 06:07:42 (UTC)
Current status: queued (#35) queued (#36) analysing finished
Result: 2/ 42 (4.8%)

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.06.17.00 2011.06.16 -
AntiVir 7.11.10.0 2011.06.17 -
Antiy-AVL 2.0.3.7 2011.06.17 -
Avast 4.8.1351.0 2011.06.16 -
Avast5 5.0.677.0 2011.06.16 -
AVG 10.0.0.1190 2011.06.16 -
BitDefender 7.2 2011.06.17 -
CAT-QuickHeal 11.00 2011.06.17 -
ClamAV 0.97.0.0 2011.06.17 -
Commtouch 5.3.2.6 2011.06.17 -
Comodo 9093 2011.06.17 -
DrWeb 5.0.2.03300 2011.06.17 -
Emsisoft 5.1.0.8 2011.06.17 Trojan-Downloader.Win32.Karagany!IK
eSafe 7.0.17.0 2011.06.15 -
eTrust-Vet 36.1.8391 2011.06.16 -
F-Prot 4.6.2.117 2011.06.16 -
Fortinet 4.2.257.0 2011.06.16 - exploit sur site web
GData 22 2011.06.17 -
Ikarus T3.1.1.104.0 2011.06.17 Trojan-Downloader.Win32.Karagany
Jiangmin 13.0.900 2011.06.16 -
K7AntiVirus 9.106.4819 2011.06.16 -
Kaspersky 9.0.0.837 2011.06.17 -
McAfee 5.400.0.1158 2011.06.17 -
McAfee-GW-Edition 2010.1D 2011.06.17 -
Microsoft 1.6903 2011.06.13 -
NOD32 6215 2011.06.17 -
Norman 6.07.10 2011.06.16 -
nProtect 2011-06-16.01 2011.06.16 -
Panda 10.0.3.5 2011.06.16 -
PCTools 7.0.3.5 2011.06.17 -
Prevx 3.0 2011.06.17 -
Rising 23.62.02.05 2011.06.15 -
Sophos 4.66.0 2011.06.17 -
SUPERAntiSpyware 4.40.0.1006 2011.06.17 -
Symantec 20111.1.0.186 2011.06.17 -
TheHacker 6.7.0.1.230 2011.06.14 -
TrendMicro 9.200.0.1012 2011.06.17 -
TrendMicro-HouseCall 9.200.0.1012 2011.06.17 -
VBA32 3.12.16.1 2011.06.16 -
VIPRE 9605 2011.06.17 -
ViRobot 2011.6.17.4518 2011.06.17 -
VirusBuster 14.0.83.0 2011.06.16 -
Additional informationShow all 
MD5   : 9ef2138d93253e224bfe1b56efd51d86
SHA1  : 4fa4223c93075885cc478e24d5e61f69eb642062
SHA256: 3bcb03ffb936f5f61192caece06e3ef8634d70a24b67e68829f00276c8d4e70a 

et Hiloti qui lui est mieux détecté : http://www.virustotal.com/file-scan/report.html?id=df5d27108de2d490650f857f5fbe293bd53a39950d291914518befd1b35a8563-1308290576

File name: c78d85d9.exe
Submission date: 2011-06-17 06:02:56 (UTC)
Current status: queued (#33) queued (#33) analysing finished
Result: 11/ 42 (26.2%)

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.06.17.00 2011.06.16 Trojan/Win32.Hiloti
AntiVir 7.11.10.0 2011.06.17 -
Antiy-AVL 2.0.3.7 2011.06.17 -
Avast 4.8.1351.0 2011.06.16 -
Avast5 5.0.677.0 2011.06.16 -
AVG 10.0.0.1190 2011.06.16 -
BitDefender 7.2 2011.06.17 Gen:Variant.Hiloti.2
CAT-QuickHeal 11.00 2011.06.17 -
ClamAV 0.97.0.0 2011.06.17 -
Commtouch 5.3.2.6 2011.06.17 -
Comodo 9093 2011.06.17 -
DrWeb 5.0.2.03300 2011.06.17 -
eSafe 7.0.17.0 2011.06.15 -
eTrust-Vet 36.1.8391 2011.06.16 -
F-Prot 4.6.2.117 2011.06.16 -
F-Secure 9.0.16440.0 2011.06.17 Gen:Variant.Hiloti.2
Fortinet 4.2.257.0 2011.06.16 -
GData 22 2011.06.17 Gen:Variant.Hiloti.2
Ikarus T3.1.1.104.0 2011.06.17 -
Jiangmin 13.0.900 2011.06.16 -
K7AntiVirus 9.106.4819 2011.06.16 -
Kaspersky 9.0.0.837 2011.06.17 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.06.17 Hiloti.gen.z
McAfee-GW-Edition 2010.1D 2011.06.17 Hiloti.gen.z
Microsoft 1.6903 2011.06.13 -
NOD32 6215 2011.06.17 a variant of Win32/Kryptik.PCG
Norman 6.07.10 2011.06.16 -
nProtect 2011-06-16.01 2011.06.16 Gen:Variant.Hiloti.2
Panda 10.0.3.5 2011.06.16 -
PCTools 7.0.3.5 2011.06.17 -
Prevx 3.0 2011.06.17 -
Rising 23.62.02.05 2011.06.15 -
Sophos 4.66.0 2011.06.17 Mal/Hiloti-D
SUPERAntiSpyware 4.40.0.1006 2011.06.17 -
Symantec 20111.1.0.186 2011.06.17 Suspicious.Cloud.5
TheHacker 6.7.0.1.230 2011.06.14 -
TrendMicro 9.200.0.1012 2011.06.17 -
TrendMicro-HouseCall 9.200.0.1012 2011.06.17 -
VBA32 3.12.16.1 2011.06.16 -
VIPRE 9605 2011.06.17 -
ViRobot 2011.6.17.4518 2011.06.17 -
VirusBuster 14.0.83.0 2011.06.16 -
Additional informationShow all 
MD5   : 2cbfcf96c30e53745e15e6eaddc3b62e
SHA1  : 7aa7f1140ebfcac558d5cd5655e152d6fa3a7a12
SHA256: df5d27108de2d490650f857f5fbe293bd53a39950d291914518befd1b35a8563

En vidéo :

Conclusion

Au final, la possibilité d’infection dépend des probabilités, sur un PC avec des logiciels non tenu à jour, dépend des probabilités de tomber sur un site hacké et donc les sites WEB que vous consultez. Une personne qui se borne à surfer sur des sites WEB grands publics (lemonde, ebay) a moins de chances de tomber sur un exploit qu’une personne qui surf un peu partout et sur des sites WEB tenu par un webmaster « monsieur tout le monde » qui a des chances de se faire hacker son site ou des sites WEB de cracks ou pornographiques qui peuvent être des fakes.

Encore une fois, pensez à maintenir votre système, logiciels à jour et plus particulièrement les plugins des navigateurs WEB – pour vous y aider, consulter la page : Logiciels pour maintenir ses programmes à jour

 

En bonus, une vidéo qui montre un Exploit sur site WEB qui installe le rogue Security Shield

http://www.youtube.com/watch?v=U0uAm68vDf8

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 127 times, 1 visits today)

One thought on “Java Exploit en augmentation : TDSS / Hiloti

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *