Malvertising clicksor conduit à un spambot

Le tout premier virus gendarmerie n’est plus distribué par la malveritsing clicksor.
 Le nouveau virus gendarmerie et virus Sacem l’ont été avec aussi Sinowal (ça devrait continuer pour Sinowal, je pense).

Aujourd’hui un nouveau malware est distribué.


La bannière malicieuse :

L’exploit kit :

Le fichier WMPRWISE.EXE  est droppé, ce dernier se trouve dans %APPDATA% et est caché.

La détection : https://www.virustotal.com/file/a5832167852819df4b09c91cb6cb0ff144d75a6cb01ee6dec92cc92d19fe5359/analysis/

DrWeb    Trojan.Siggen.65039
Kaspersky Packed.Win32.Katusha.o
McAfee PWS-Zbot.gen.hv


Dans les strings en mémoires, on peux voir des pages dont une page smtps.php
Le malware fait notamment des POSTS sur les IP suivantes :

TCP_MISS/504 1529 POST http://217.20.112.58/stat1.php - DIRECT/217.20.112.58 text/html
TCP_MISS/401 704 POST http://217.20.115.50/stat1.php - DIRECT/217.20.115.50 text/html
TCP_MISS/404 1289 POST http://74.125.226.176/stat1.php - DIRECT/74.125.226.176 text/html

 
Les connexions SMTP :
 
Exemple de mails envoyés :
Le lien conduit à une page Canadian Pharmacy :
 

Malwarebyte’s Anti-Malware gère ce malware.
Un malware beaucoup plus simple à éradiquer que les ransomware Fake Police qui bloquent les PC.

(Visité 36 fois, 1 visites ce jour)

Vous pouvez aussi lire...