Trojan.Karagany et Trojan.Oficla: Les malwares en .co.cc sont de retour !

Il y a quelques semaines, nous assistions à une recrudescence d’exploit sur site WEB sur des domaines .co.cc  et notamment sur les adresses en .co.cc/xxx/exe.php?x=mdac sur l’IP 91.204.48.50.

Les urls changent tous les jours, elles étaient assez virulantes courants Octobre/Novembre puis l’infrastructure était tombée.
Elles sont maintenant de retour.

Voir http://forum.malekal.com/204-xxx-exe-php-mdac-t30396.html et anciennes adresses : xxxx.in/x/exe.php?x=mdac

L’infection est détectée en Trojan.Oficla qui droppe Trojan.Karagany avec du rogue.

Quelques DNS et localisation géographique :

Les infections Trojan.Karagany sont hostés en Ukraine :

91.217.162.249 – http://www.malwaregroup.com/ipaddresses/details/91.217.162.249
fyhylaf.co.cc     A     91.217.162.249
nuzinef.co.cc     A     91.217.162.249
bypunef.co.cc     A     91.217.162.249
wyranuf.co.cc     A     91.217.162.249
xaficaj.co.cc     A     91.217.162.249
towuryj.co.cc     A     91.217.162.249
cicemul.co.cc     A     91.217.162.249
leruhyn.co.cc     A     91.217.162.249
komygap.co.cc     A     91.217.162.249
jerihav.co.cc     A     91.217.162.249
 

91.204.48.50 – http://www.malwaregroup.com/ipaddresses/details/91.204.48.50leadingdata.co.cc     A     91.204.48.50
totaldata.co.cc     A     91.204.48.50
nulldata.co.cc     A     91.204.48.50
cpudata.co.cc     A     91.204.48.50
busydata.co.cc     A     91.204.48.50
bulklab.co.cc     A     91.204.48.50
deeplab.co.cc     A     91.204.48.50
browserlab.co.cc     A     91.204.48.50
analyticsweb.co.cc     A     91.204.48.50
softpc.co.cc     A     91.204.48.50
globalfeed.co.cc     A     91.204.48.50
domainsfeed.co.cc     A     91.204.48.50
justfeed.co.cc     A     91.204.48.50
busyfeed.co.cc     A     91.204.48.50
serviceshield.co.cc     A     91.204.48.50
zoneshield.co.cc     A     91.204.48.50
peakshield.co.cc     A     91.204.48.50
smartshield.co.cc     A     91.204.48.50
basichold.co.cc     A     91.204.48.50
tophold.co.cc     A     91.204.48.50
perfecthold.co.cc     A     91.204.48.50
shieldrecord.co.cc     A     91.204.48.50
mobilerecord.co.cc     A     91.204.48.50
effectiverecord.co.cc     A     91.204.48.50
systemrecord.co.cc     A     91.204.48.50
justrecord.co.cc     A     91.204.48.50
dynamicword.co.cc     A     91.204.48.50
solidword.co.cc     A     91.204.48.50
viceword.co.cc     A     91.204.48.50
ergoword.co.cc     A     91.204.48.50
expoword.co.cc     A     91.204.48.50
busyword.co.cc     A     91.204.48.50
magicplace.co.cc     A     91.204.48.50
servicesplace.co.cc     A     91.204.48.50
windowsservice.co.cc     A     91.204.48.50
perfectservice.co.cc     A     91.204.48.50
lightservice.co.cc     A     91.204.48.50
busyservice.co.cc     A     91.204.48.50
basiclicence.co.cc     A     91.204.48.50
toplicence.co.cc     A     91.204.48.50
totalcode.co.cc     A     91.204.48.50
trustedmode.co.cc     A     91.204.48.50
fullmode.co.cc     A     91.204.48.50
systemmode.co.cc     A     91.204.48.50
productmode.co.cc     A     91.204.48.50
internetmode.co.cc     A     91.204.48.50
megapage.co.cc     A     91.204.48.50
shieldpage.co.cc     A     91.204.48.50
mainpage.co.cc     A     91.204.48.50
internetpage.co.cc     A     91.204.48.50
betamobile.co.cc     A     91.204.48.50
softwarefile.co.cc     A     91.204.48.50
truename.co.cc     A     91.204.48.50
dualname.co.cc     A     91.204.48.50
analyticsname.co.cc     A     91.204.48.50
shieldengine.co.cc     A     91.204.48.50
leaderonline.co.cc     A     91.204.48.50
dnsonline.co.cc     A     91.204.48.50
deepline.co.cc     A     91.204.48.50
advancedbone.co.cc     A     91.204.48.50
portalbone.co.cc     A     91.204.48.50
trustedware.co.cc     A     91.204.48.50
shieldware.co.cc     A     91.204.48.50
rapidsoftware.co.cc     A     91.204.48.50
metacore.co.cc     A     91.204.48.50
realcore.co.cc     A     91.204.48.50
megadatabase.co.cc     A     91.204.48.50
rapiddatabase.co.cc     A     91.204.48.50
clickdatabase.co.cc     A     91.204.48.50
nicedate.co.cc     A     91.204.48.50
eachdate.co.cc     A     91.204.48.50
solidgate.co.cc     A     91.204.48.50
effectivegate.co.cc     A     91.204.48.50
megarate.co.cc     A     91.204.48.50
solidrate.co.cc     A     91.204.48.50
managerrate.co.cc     A     91.204.48.50
servicesrate.co.cc     A     91.204.48.50
listrate.co.cc     A     91.204.48.50
mildsite.co.cc     A     91.204.48.50
mainsite.co.cc     A     91.204.48.50
softwarenote.co.cc     A     91.204.48.50
portalnote.co.cc     A     91.204.48.50
binarynote.co.cc     A     91.204.48.50
ultravalue.co.cc     A     91.204.48.50
betavalue.co.cc     A     91.204.48.50
metavalue.co.cc     A     91.204.48.50
advancedvalue.co.cc     A     91.204.48.50
spotvalue.co.cc     A     91.204.48.50
megaresolve.co.cc     A     91.204.48.50
epicresolve.co.cc     A     91.204.48.50
staticresolve.co.cc     A     91.204.48.50
advancedresolve.co.cc     A     91.204.48.50
linkresolve.co.cc     A     91.204.48.50
totalresolve.co.cc     A     91.204.48.50
lightresolve.co.cc     A     91.204.48.50
bestresolve.co.cc     A     91.204.48.50
topmove.co.cc     A     91.204.48.50
busymove.co.cc     A     91.204.48.50
portalflag.co.cc     A     91.204.48.50
fullflag.co.cc     A     91.204.48.50
binaryflag.co.cc     A     91.204.48.50
zoneconsulting.co.cc     A     91.204.48.50
nullconsulting.co.cc     A     91.204.48.50
domainsconsulting.co.cc     A     91.204.48.50
cpuconsulting.co.cc     A     91.204.48.50
epicdebug.co.cc     A     91.204.48.50
expodebug.co.cc     A     91.204.48.50
prodebug.co.cc     A     91.204.48.50
defenderdebug.co.cc     A     91.204.48.50
internetdebug.co.cc     A     91.204.48.50
ultraresearch.co.cc     A     91.204.48.50
niceresearch.co.cc     A     91.204.48.50
zoneresearch.co.cc     A     91.204.48.50
advancedflash.co.cc     A     91.204.48.50
megamini.co.cc     A     91.204.48.50
winmini.co.cc     A     91.204.48.50
betapack.co.cc     A     91.204.48.50
enginepack.co.cc     A     91.204.48.50
debugpack.co.cc     A     91.204.48.50
dnspack.co.cc     A     91.204.48.50
domainspack.co.cc     A     91.204.48.50
internetpack.co.cc     A     91.204.48.50
protectclick.co.cc     A     91.204.48.50
quickrank.co.cc     A     91.204.48.50
productrank.co.cc     A     91.204.48.50
listwork.co.cc     A     91.204.48.50
mildmask.co.cc     A     91.204.48.50
urlmask.co.cc     A     91.204.48.50
internetmask.co.cc     A     91.204.48.50
metadesk.co.cc     A     91.204.48.50
cpudisk.co.cc     A     91.204.48.50
clickgoal.co.cc     A     91.204.48.50
urlgoal.co.cc     A     91.204.48.50
softgoal.co.cc     A     91.204.48.50
softwarecall.co.cc     A     91.204.48.50
allcall.co.cc     A     91.204.48.50
analyticscall.co.cc     A     91.204.48.50
firstbell.co.cc     A     91.204.48.50
nicecell.co.cc     A     91.204.48.50
servicecell.co.cc     A     91.204.48.50
enginecell.co.cc     A     91.204.48.50
clickcell.co.cc     A     91.204.48.50
trustedbill.co.cc     A     91.204.48.50
listbill.co.cc     A     91.204.48.50
serviceprotocol.co.cc     A     91.204.48.50
mobileprotocol.co.cc     A     91.204.48.50
peakprotocol.co.cc     A     91.204.48.50
realprotocol.co.cc     A     91.204.48.50
greatprotocol.co.cc     A     91.204.48.50
nicepool.co.cc     A     91.204.48.50
eachpool.co.cc     A     91.204.48.50
dualpool.co.cc     A     91.204.48.50
busypool.co.cc     A     91.204.48.50
rapidcontrol.co.cc     A     91.204.48.50
effectivecontrol.co.cc     A     91.204.48.50
leadercontrol.co.cc     A     91.204.48.50
listcontrol.co.cc     A     91.204.48.50
rapidbeam.co.cc     A     91.204.48.50
onlinebeam.co.cc     A     91.204.48.50
clickbeam.co.cc     A     91.204.48.50
ergobeam.co.cc     A     91.204.48.50
enginesystem.co.cc     A     91.204.48.50
clicksystem.co.cc     A     91.204.48.50
nullsystem.co.cc     A     91.204.48.50
magiczoom.co.cc     A     91.204.48.50
sitezoom.co.cc     A     91.204.48.50
nullzoom.co.cc     A     91.204.48.50
pluginzoom.co.cc     A     91.204.48.50
ergozoom.co.cc     A     91.204.48.50
expozoom.co.cc     A     91.204.48.50
metascan.co.cc     A     91.204.48.50
urlscan.co.cc     A     91.204.48.50
fastscan.co.cc     A     91.204.48.50
zoneplan.co.cc     A     91.204.48.50
defenderplan.co.cc     A     91.204.48.50
topkeen.co.cc     A     91.204.48.50
managerkeen.co.cc     A     91.204.48.50
ultrasign.co.cc     A     91.204.48.50
magicsign.co.cc     A     91.204.48.50
mobilesign.co.cc     A     91.204.48.50
domainssign.co.cc     A     91.204.48.50
greatsign.co.cc     A     91.204.48.50
rapidgain.co.cc     A     91.204.48.50
safegain.co.cc     A     91.204.48.50
megadomain.co.cc     A     91.204.48.50
pcdomain.co.cc     A     91.204.48.50
rapidplugin.co.cc     A     91.204.48.50
listplugin.co.cc     A     91.204.48.50
basicicon.co.cc     A     91.204.48.50
portalicon.co.cc     A     91.204.48.50
allicon.co.cc     A     91.204.48.50
advancedaddon.co.cc     A     91.204.48.50
quickaddon.co.cc     A     91.204.48.50
dnsaddon.co.cc     A     91.204.48.50
greataddon.co.cc     A     91.204.48.50
solidreaction.co.cc     A     91.204.48.50
safereaction.co.cc     A     91.204.48.50
exporeaction.co.cc     A     91.204.48.50
webprotection.co.cc     A     91.204.48.50
leadingprotection.co.cc     A     91.204.48.50

Autres infections :

A noter que les .co.cc sont utilisés pour propager d’autres malwares – exemple avec 69.50.209.170 – http://www.malwaregroup.com/ipaddresses/details/69.50.209.170
qui droppe un Trojan.Kordeef!infhttp://forum.malekal.com/http-cozemu7-pisko-forum-php-mdac-key-92e93d0553cdb3c89d7d397457811f6d-root-t30303.html#p239642 :

Hosté aux USA :

Toujours aux USA – on a 69.50.202.20 : http://www.malwaregroup.com/Ipaddresses/details/69.50.202.20

A noter aussi en .cz.cc -> 195.3.144.196 (Lettonie) – Installer pour Security Shield :

  • http://forum.malekal.com/http-beerhouse-load-php-sploit-mdac-t30265.html
  • http://forum.malekal.com/http-darkmeat-load-php-sploit-mdac-t30312.html
  • http://forum.malekal.com/http-plutok1-load-php-sploit-mdac-t30238.htm
 
 

Autour de Trojan.Karagany :

Via ces domaines, on retrouve en général une infection du nom de Trojan.Karagany qui droppe un faux Plugin-Adobe Reader via un fichier texte type err.log2485015 (qui est en réalité un binaire)  : c:\Documents and Settings\Mak\Application Data\Adobe\AdobeUpdate .exe

Malware et domaine en .co.cc

Actuellement, une des infections décrite sur cette page : http://forum.malekal.com/http-leadingsavings-news-exe-php-mdac-t30298.html#p239629 installe une tripoté d’autres trojans dont :

Malware, domaine .co.cc

La détection est relativement bonne pour le moment :

0915ccd0480b021b0b9239703247d359
Submission date: 2010-12-11 14:09:18 (UTC)
Current status: queued queued analysing finished
Result: 12/ 43 (27.9%)not reviewed
Safety score: –
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.12.11.00 2010.12.10 Trojan/Win32.Qbot
AntiVir 7.10.14.255 2010.12.10 –
Antiy-AVL 2.0.3.7 2010.12.11 –
Avast! 4.8.1351.0 2010.12.11 Win32:Oficla-BN
Avast5 5.0.677.0 2010.12.11 Win32:Oficla-BN
AVG 9.0.0.851 2010.12.11 –
BitDefender 7.2 2010.12.11 Gen:Variant.Oficla.10
CAT-QuickHeal 11.00 2010.12.11 –
ClamAV 0.96.4.0 2010.12.11 –
Command 5.2.11.5 2010.12.11 –
Comodo 7021 2010.12.11 –
DrWeb 5.0.2.03300 2010.12.11 Trojan.DownLoad2.18034
Emsisoft 5.1.0.1 2010.12.11 Trojan-Downloader.Win32.Karagany!IK
eSafe 7.0.17.0 2010.12.09 –
eTrust-Vet 36.1.8034 2010.12.10 –
F-Prot 4.6.2.117 2010.12.11 –
F-Secure 9.0.16160.0 2010.12.11 Gen:Variant.Oficla.10
Fortinet 4.2.254.0 2010.12.11 –
GData 21 2010.12.11 Gen:Variant.Oficla.10
Ikarus T3.1.1.90.0 2010.12.11 Trojan-Downloader.Win32.Karagany
Jiangmin 13.0.900 2010.12.11 –
K7AntiVirus 9.71.3211 2010.12.10 –
Kaspersky 7.0.0.125 2010.12.11 –
McAfee 5.400.0.1158 2010.12.11 –
McAfee-GW-Edition 2010.1C 2010.12.11 –
Microsoft 1.6402 2010.12.11 –
NOD32 5693 2010.12.10 a variant of Win32/Kryptik.IUJ
Norman 6.06.12 2010.12.11 –
nProtect 2010-12-10.01 2010.12.10 Gen:Variant.Oficla.10
Panda 10.0.2.7 2010.12.11 Suspicious file
PCTools 7.0.3.5 2010.12.11 –
Prevx 3.0 2010.12.11 –
Rising 22.77.04.00 2010.12.11 –
Sophos 4.60.0 2010.12.11 –
SUPERAntiSpyware 4.40.0.1006 2010.12.11 –
Symantec 20101.3.0.103 2010.12.11 –
TheHacker 6.7.0.1.098 2010.12.11 –
TrendMicro 9.120.0.1004 2010.12.11 –
TrendMicro-HouseCall 9.120.0.1004 2010.12.11 –
VBA32 3.12.14.2 2010.12.10 –
VIPRE 7603 2010.12.11 –
ViRobot 2010.12.11.4196 2010.12.11 –
VirusBuster 13.6.87.0 2010.12.11 –
Additional information
Show all
MD5 : 0915ccd0480b021b0b9239703247d359
SHA1 : 5bbe9913cb7852adcdf8e0130105b8d882215e2b
SHA256: d5e6be1a42ae258fcb5a1fc042733df512c7f5846c3a12a08b58b08b660d0734

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 29 times, 1 visits today)

One thought on “Trojan.Karagany et Trojan.Oficla: Les malwares en .co.cc sont de retour !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *