MSN propage exploit (portalcapanema.info) => Personal Shield

En checkant une VM à zoo, un des botmaster propage l’URL suivant sur IM

Un petit coup d’oeil sur la page et on voit une connexion furtive vers ergw5het6e54t3rfe.cz.cc

Bien entendu c’est un exploit qui va chercher et execute le fichier msnupdate.exe

qui à son tour execute un dropper pour le rogue Personal Shield Pro  (très à la mode par exploit, puisque dernièrement on a eu droit à un exploit sur le site Netcourrier)

La présence aussi d’un exploit Java qui va chercher un fichier 0.chiffre.exe (qui est identique à msnupdate.exe)

La détection de l’exploit Java est à 0 : http://www3.malekal.com/malwares/index.php?&hash=b78a5bfeb813a6cc2e609d14a262ac85
=> http://www.virustotal.com/file-scan/report.html?id=2a3b9acbcae9e04f7fe6895261570dc3ca8d9d1dce57ccef5520cc9952d4b302-1310286183

 

Le dropper lui est à 1 sur Virustotal : http://www3.malekal.com/malwares/index.php?&hash=9e28f5939b959cc623b42ef4e5d80440
=> http://www.virustotal.com/latest-report.html?resource=f059369b1845ca16f9e35dee3e30507427c7c387 

Le dropper finale du rogue se trouve à l’adresse : htxp://46.166.143.138:81/logo.jpg
La détection est un peu meilleur : http://www.virustotal.com/file-scan/report.html?id=4c4a1d4a80935beeadcaedb00ce68547ef2bd63034534d9d8ace4e6b77d595b4-1314117965

 

File name: logo.jpg
Submission date: 2011-08-23 16:46:05 (UTC)
Current status: finished
Result: 8/ 44 (18.2%)
VT Community

not reviewed
 Safety score: - 
Compact
Print results 
Antivirus	Version	Last Update	Result
AhnLab-V3	2011.08.23.01	2011.08.23	Trojan/Win32.FakeAlert
AntiVir	7.11.13.192	2011.08.23	-
Antiy-AVL	2.0.3.7	2011.08.23	-
Avast	4.8.1351.0	2011.08.23	-
Avast5	5.0.677.0	2011.08.23	-
AVG	10.0.0.1190	2011.08.23	SHeur4.FD
BitDefender	7.2	2011.08.23	-
ByteHero	1.0.0.1	2011.08.22	-
CAT-QuickHeal	11.00	2011.08.23	-
ClamAV	0.97.0.0	2011.08.23	-
Commtouch	5.3.2.6	2011.08.23	-
Comodo	9847	2011.08.23	-
DrWeb	5.0.2.03300	2011.08.23	-
Emsisoft	5.1.0.10	2011.08.23	-
eSafe	7.0.17.0	2011.08.22	-
eTrust-Vet	36.1.8516	2011.08.23	-
F-Prot	4.6.2.117	2011.08.23	-
F-Secure	9.0.16440.0	2011.08.23	-
Fortinet	4.2.257.0	2011.08.23	-
GData	22	2011.08.23	-
Ikarus	T3.1.1.107.0	2011.08.23	-
Jiangmin	13.0.900	2011.08.23	Trojan/Jorik.kuw
K7AntiVirus	9.111.5047	2011.08.23	-
Kaspersky	9.0.0.837	2011.08.23	-
McAfee	5.400.0.1158	2011.08.23	FakeAlert-SecurityTool.bt
McAfee-GW-Edition	2010.1D	2011.08.23	-
Microsoft	1.7604	2011.08.23	Rogue:Win32/Winwebsec
NOD32	6404	2011.08.23	a variant of Win32/Kryptik.RZL
Norman	6.07.10	2011.08.23	W32/FakeAV.AENG
nProtect	2011-08-23.01	2011.08.23	-
Panda	10.0.3.5	2011.08.23	-
PCTools	8.0.0.5	2011.08.23	-
Prevx	3.0	2011.08.23	-
Rising	23.72.01.03	2011.08.23	-
Sophos	4.68.0	2011.08.23	-
SUPERAntiSpyware	4.40.0.1006	2011.08.23	Trojan.Agent/Gen-ImageDocFake
Symantec	20111.2.0.82	2011.08.23	-
TheHacker	6.7.0.1.282	2011.08.22	-
TrendMicro	9.500.0.1008	2011.08.23	-
TrendMicro-HouseCall	9.500.0.1008	2011.08.23	-
VBA32	3.12.16.4	2011.08.23	-
VIPRE	10248	2011.08.23	-
ViRobot	2011.8.23.4635	2011.08.23	-
VirusBuster	14.0.181.1	2011.08.22	-
Additional informationShow all
MD5   : d38a55ad94102f01ceb2e49d9140b9ac
SHA1  : e5c271ce191579170aa90bde696be955dfca1367
SHA256: 4c4a1d4a80935beeadcaedb00ce68547ef2bd63034534d9d8ace4e6b77d595b4

 

A noter que sur Internet Explorer, le code est visible sur la page :

Mais ne l’est pas exemple pas sur mon Google Chrome sous Linux.
Un filtre sur l’Agent est présent.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 12 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *