Malvertising clicksor : Pack Ramnit / Multi-Rogue 2012 (FakeRean) et Bredolab

La malvertising sur clicksor est toujours active, cette fois-ci ce n’est plus le ransomware Virus Gendarmerie mais deux packs différents à base de Ramnit.
Je rappelle que la malvertising charge un exploit qui conduit à l’infection tirant partie du fait que le PC contient des programmes non à jour et ayant des vulnérabilités.

Les liens du premier pack :

Le chargement de Ramnit.

Pour ce premier pack, la détection est vraiment bonne. Dommage pour les utilisateurs d’Antivir qui ne le détecte pas (mais le problème de fond étant d’avoir des programmes non à jour).
https://www.virustotal.com/file/77ef9c435d7e25da4a37366b65b4bf758cc076ed83d7bf3323dd0e87cbf1815f/analysis/

 

SHA256: 77ef9c435d7e25da4a37366b65b4bf758cc076ed83d7bf3323dd0e87cbf1815f
 Detection ratio: 20 / 40
 Analysis date: 2012-01-15 13:59:24 UTC ( 1 hour, 36 minutes ago )
Antivirus Result Version Update
 AhnLab-V3 Trojan/Win32.Jorik 2012.01.14.00 20120114
 Avast Win32:SmokeLoader-AI [Trj] 6.0.1289.0 20120115
 AVG SHeur4.NNR 10.0.0.1190 20120115
 BitDefender Trojan.Qbot.B 7.2 20120115
 Comodo Heur.Suspicious 11274 20120115
 Emsisoft Virus.Win32.Ramnit!IK 5.1.0.11 20120115
 F-Secure Trojan.Qbot.B 9.0.16440.0 20120115
 Fortinet W32/Yakes.B!tr 4.3.388.0 20120115
 GData Trojan.Qbot.B 22 20120115
 Ikarus Virus.Win32.Ramnit T3.1.1.113.0 20120115
 Kaspersky Trojan.Win32.Jorik.Fraud.kyr 9.0.0.837 20120115
 McAfee Artemis!BEFDE6C2E883 5.400.0.1158 20120115
 McAfee-GW-Edition Artemis!BEFDE6C2E883 2010.1E 20120115
 Microsoft Trojan:Win32/Ramnit.A 1.7903 20120115
 NOD32 Win32/Ramnit.A 6796 20120115
 PCTools HeurEngine.MaliciousPacker 8.0.0.5 20120115
 Symantec Packed.Generic.349 20111.2.0.82 20120115
 TheHacker Posible_Worm32 6.7.0.1.379 20120115
 TrendMicro - 9.500.0.1008 20120115
 TrendMicro-HouseCall TROJ_GEN.R07C7AE 9.500.0.1008 20120115
 VIPRE Trojan.Win32.Generic!BT 11401 20120115

 

Le second pack est plus génant – toujours chargé par la malvertising de clicksor :

  • http://bestsale.landrockeg.com/direct.php?page=28c07f5160be582d
  • http://mwmetcalfe.osa.pl/showthread.php?t=53592335 (79.137.226.87)

L’exploit Java qui charge le dropper – la détection est aussi très bonne : https://www.virustotal.com/file/77ef9c435d7e25da4a37366b65b4bf758cc076ed83d7bf3323dd0e87cbf1815f/analysis/

 

SHA256: 77ef9c435d7e25da4a37366b65b4bf758cc076ed83d7bf3323dd0e87cbf1815f
 Detection ratio: 20 / 40
 Analysis date: 2012-01-15 13:59:24 UTC ( 1 hour, 13 minutes ago )
Antivirus Result Version Update
 AhnLab-V3 Trojan/Win32.Jorik 2012.01.14.00 20120114
 Avast Win32:SmokeLoader-AI [Trj] 6.0.1289.0 20120115
 AVG SHeur4.NNR 10.0.0.1190 20120115
 Comodo Heur.Suspicious 11274 20120115
 Emsisoft Virus.Win32.Ramnit!IK 5.1.0.11 20120115
 F-Secure Trojan.Qbot.B 9.0.16440.0 20120115
 Fortinet W32/Yakes.B!tr 4.3.388.0 20120115
 GData Trojan.Qbot.B 22 20120115
 Ikarus Virus.Win32.Ramnit T3.1.1.113.0 20120115
 Kaspersky Trojan.Win32.Jorik.Fraud.kyr 9.0.0.837 20120115
 McAfee-GW-Edition Artemis!BEFDE6C2E883 2010.1E 20120115
 Microsoft Trojan:Win32/Ramnit.A 1.7903 20120115
 NOD32 Win32/Ramnit.A 6796 20120115
 PCTools HeurEngine.MaliciousPacker 8.0.0.5 20120115
 Symantec Packed.Generic.349 20111.2.0.82 20120115
 TheHacker Posible_Worm32 6.7.0.1.379 20120115
 TrendMicro-HouseCall TROJ_GEN.R07C7AE 9.500.0.1008 20120115
 VIPRE Trojan.Win32.Generic!BT 11401 20120115

 

Les liens WEB :

1326640522.581 1502 192.168.1.27 TCP_MISS/200 1013 GET http://mwmetcalfe.osa.pl/showthread.php?t=53592335 - DIRECT/79.137.226.87 text/html
1326640532.116 613 192.168.1.27 TCP_MISS/200 12048 GET http://mwmetcalfe.osa.pl/showthread.php?t=49281 - DIRECT/79.137.226.87 application/java-archive
1326640532.321 812 192.168.1.27 TCP_MISS/200 13832 GET http://mwmetcalfe.osa.pl/showthread.php?t=83475 - DIRECT/79.137.226.87 application/java-archive
1326640532.533 410 192.168.1.27 TCP_MISS/200 12048 GET http://mwmetcalfe.osa.pl/showthread.php?t=49281 - DIRECT/79.137.226.87 application/java-archive
1326640532.741 414 192.168.1.27 TCP_MISS/200 13832 GET http://mwmetcalfe.osa.pl/showthread.php?t=83475 - DIRECT/79.137.226.87 application/java-archive
1326640533.063 408 192.168.1.27 TCP_MISS/200 12048 GET http://mwmetcalfe.osa.pl/showthread.php?t=49281 - DIRECT/79.137.226.87 application/java-archive
1326640533.169 412 192.168.1.27 TCP_MISS/200 13832 GET http://mwmetcalfe.osa.pl/showthread.php?t=83475 - DIRECT/79.137.226.87 application/java-archive
1326640533.779 203 192.168.1.27 TCP_MISS/404 299 GET http://mwmetcalfe.osa.pl/com.class - DIRECT/79.137.226.87 text/html
1326640533.984 201 192.168.1.27 TCP_MISS/404 299 GET http://mwmetcalfe.osa.pl/edu.class - DIRECT/79.137.226.87 text/html
1326640534.383 395 192.168.1.27 TCP_MISS/404 299 GET http://mwmetcalfe.osa.pl/net.class - DIRECT/79.137.226.87 text/html
1326640534.794 400 192.168.1.27 TCP_MISS/404 299 GET http://mwmetcalfe.osa.pl/org.class - DIRECT/79.137.226.87 text/html
1326640535.397 1017 192.168.1.27 TCP_MISS/200 44531 GET http://mwmetcalfe.osa.pl/showthread.php?t=2 - DIRECT/79.137.226.87 application/octet-stream
1326640535.854 979 192.168.1.27 TCP_MISS/200 44531 GET http://mwmetcalfe.osa.pl/showthread.php?t=3 - DIRECT/79.137.226.87 application/octet-stream
1326640548.462 1186 192.168.1.27 TCP_MISS/200 134666 GET http://mwmetcalfe.osa.pl/showthread.php?t=692826 - DIRECT/79.137.226.87 application/octet-stream
1326640550.224 1758 192.168.1.27 TCP_MISS/200 184842 GET http://mwmetcalfe.osa.pl/showthread.php?t=692826 - DIRECT/79.137.226.87 application/octet-stream
1326640550.880 607 192.168.1.27 TCP_MISS/200 63497 GET http://mwmetcalfe.osa.pl/showthread.php?t=692826 - DIRECT/79.137.226.87 application/octet-stream
1326640551.084 201 192.168.1.27 TCP_MISS/200 267 GET http://mwmetcalfe.osa.pl/showthread.php?t=692826 - DIRECT/79.137.226.87 text/html
1326640552.762 1675 192.168.1.27 TCP_MISS/200 338992 GET http://mwmetcalfe.osa.pl/showthread.php?t=692826 - DIRECT/79.137.226.87 application/octet-stream
1326640553.627 214 192.168.1.27 TCP_MISS/200 933 GET http://mwmetcalfe.osa.pl/showthread.php?t=692826 - DIRECT/79.137.226.87 text/html
1326640605.665 323 192.168.1.27 TCP_MISS/200 770 GET http://promos.fling.com/geo/txt/city.php - DIRECT/208.91.207.10 text/html
1326640675.393 271 192.168.1.27 TCP_MISS/200 770 GET http://promos.fling.com/geo/txt/city.php - DIRECT/208.91.207.10 text/html
1326640675.426 303 192.168.1.27 TCP_MISS/200 886 GET http://j.maxmind.com/app/geoip.js - DIRECT/74.86.64.162 text/javascript
1326640687.531 2411 192.168.1.27 TCP_MISS/200 272394 GET http://mwmetcalfe.osa.pl/showthread.php?t=692826 - DIRECT/79.137.226.87 application/octet-stream
1326640687.743 208 192.168.1.27 TCP_MISS/200 933 GET http://mwmetcalfe.osa.pl/showthread.php?t=692826 - DIRECT/79.137.226.87 text/html

qui charge un fichier .tmp intermédiaire (Trojan.Karagany) pour dropper  Ramnit :

On se trouve avec les processus svchost.exe spécifiques à Ramnit et un fichier arr.exe qui est le multi Rogue 2012

Dans mon cas XP Home Security 2012, le nom change selon la version de Windows (voir liste).

https://www.virustotal.com/file/43df50bd0f9bd1fcc629cf71a517285e0d5927aa0c27dd8933f2a1c0ce458896/analysis/

 

SHA256: 43df50bd0f9bd1fcc629cf71a517285e0d5927aa0c27dd8933f2a1c0ce458896
 Detection ratio: 20 / 43
 Analysis date: 2012-01-13 17:11:19 UTC ( 1 day, 22 hours ago )
Antivirus Result Version Update
 AhnLab-V3 Trojan/Win32.FakeAV 2012.01.13.00 20120113
 Avast Win32:MalOb-HY [Cryp] 6.0.1289.0 20120113
 BitDefender Gen:Variant.Zusy.592 7.2 20120113
 Comodo TrojWare.Win32.Trojan.Agent.Gen 11259 20120113
 DrWeb Trojan.Fakealert.20509 5.0.2.03300 20120113
 Emsisoft Trojan.Win32.FakeAV!IK 5.1.0.11 20120113
 F-Secure Rogue:W32/FakeAv.IL 9.0.16440.0 20120113
 GData Gen:Variant.Zusy.592 22 20120113
 Ikarus Trojan.Win32.FakeAV T3.1.1.113.0 20120113
 Kaspersky HEUR:Trojan.Win32.Generic 9.0.0.837 20120113
 McAfee-GW-Edition FakeAlert-Rena.p 2010.1E 20120113
 Microsoft Rogue:Win32/FakeRean 1.7903 20120113
 NOD32 Win32/Adware.XPAntiSpyware.AC 6793 20120113
 Panda Trj/CI.A 10.0.3.5 20120113
 PCTools FakeCloudAV2012 8.0.0.5 20120113
 Sophos Mal/FakeAV-MQ 4.73.0 20120113
 Symantec FakeCloudAV2012 20111.2.0.82 20120113
 TrendMicro-HouseCall TROJ_GEN.RC1CDAD 9.500.0.1008 20120113
 VIPRE Trojan.Win32.Generic.pak!cobra 11392 20120113

 

Et comme ce n’est pas assez, on a droit à du Bredolab :

 

1326641272.678 5817 192.168.1.27 TCP_MISS/200 880995 GET http://uvoaflzwxu.dns2.us/ivanp34.exe - DIRECT/91.217.153.130 application/octet-stream
 1326641277.308 4148 192.168.1.27 TCP_MISS/200 483171 GET http://ahczbhl.ddns.me.uk/csrss.exe - DIRECT/91.217.153.130 application/octet-stream
 1326641281.995 1185 192.168.1.27 TCP_MISS/200 106075 GET http://znvcrzegn.ocry.com/winlogon.exe - DIRECT/91.217.153.130 application/octet-stream

 

https://www.virustotal.com/file/e4d35f994a3cd735d12c6df5c4d36698db36a62e707e1b1d560793ad2aa70109/analysis/

SHA256: e4d35f994a3cd735d12c6df5c4d36698db36a62e707e1b1d560793ad2aa70109
 Detection ratio: 8 / 43
 Analysis date: 2012-01-15 15:24:07 UTC ( 23 minutes ago )
Antivirus Result Version Update
AntiVir TR/Crypt.XPACK.Gen5 7.11.21.29 20120115
BitDefender Gen:Variant.Kazy.52571 7.2 20120115
F-Secure Gen:Variant.Kazy.52571 9.0.16440.0 20120115
Fortinet W32/Kryptik.XUW!tr 4.3.388.0 20120115
GData Gen:Variant.Kazy.52571 22 20120115
McAfee Generic BackDoor.wl 5.400.0.1158 20120115
McAfee-GW-Edition Generic BackDoor.wl 2010.1E 20120115
nProtect Gen:Variant.Kazy.52571 2012-01-15.01 20120115

 

~~

https://www.virustotal.com/file/cfdf95a90d81d52012f9dab7488abf049b8c0e76b7aa680820767f9c080ae32b/analysis/

SHA256: cfdf95a90d81d52012f9dab7488abf049b8c0e76b7aa680820767f9c080ae32b
Detection ratio: 13 / 41
Analysis date: 2012-01-15 15:25:51 UTC ( 21 minutes ago )
DrWeb Trojan.DownLoad2.52338 5.0.2.03300 20120115
Emsisoft Trojan.Win32.FakeAV!IK 5.1.0.11 20120115
Ikarus Trojan.Win32.FakeAV T3.1.1.113.0 20120115
Kaspersky Trojan-Downloader.Win32.FraudLoad.zpka 9.0.0.837 20120115
McAfee-GW-Edition Artemis!DA1C7313CF15 2010.1E 20120115
Microsoft Rogue:Win32/Defmid 1.7903 20120115
NOD32 Win32/TrojanDownloader.FakeAlert.BNE 6796 20120115
Symantec Packed.Generic.349 20111.2.0.82 20120115
TrendMicro-HouseCall TROJ_GEN.RB4CDAE 9.500.0.1008 20120115
VIPRE Trojan.Win32.Generic!BT 11401 20120115

~~

https://www.virustotal.com/file/e6fe2703ffbd3582b9bfd8a825f6b88017523493b59c4409000e7a9e0fcac373/analysis/1326642446/

SHA256: e6fe2703ffbd3582b9bfd8a825f6b88017523493b59c4409000e7a9e0fcac373
 Detection ratio: 5 / 40
 Analysis date: 2012-01-15 15:47:26 UTC ( 2 minutes ago )
eTrust-Vet Win32/Simda.B!generic 37.0.9680 20120113
 NOD32 a variant of Win32/Injector.NBX 6796 20120115
 Norman W32/Kryptik.AZQ 6.07.13 20120115
 Panda Suspicious file 10.0.3.5 20120115
 VIPRE Backdoor.Win32.Hupigon (v) 11401 20120115

 

Trojan.Clicker le PC infecté se met à surfer en fond :

On peux remercier encore une fois clicksor qui n’a toujours pas, depuis fin novembre, nettoyé son réseau de ces bannières malicieuses qui continuent de conduire vers des exploits sur site WEB.
Dans le cas ici, un pack assez pénible à désinfecter à cause de Ramnit.

Sur les forums de désinfections, on peux constater un gros pic des infections des rogues/scarewares FakeRean confirmées par les statistiques de RogueKillerhttp://www.sur-la-toile.com/RogueKiller/stats.php

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 14 times, 1 visits today)

One thought on “Malvertising clicksor : Pack Ramnit / Multi-Rogue 2012 (FakeRean) et Bredolab

  1. Le fichier identifié comme Bredolab n’en ait pas un, il s’agit d’un fichier packé avec Mystic Compressor et plusieurs antivirus détecte ce packer comme Bredolab.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *