Pack : Vobfus, Gbot/Cybot et ZeroAccess par P2P

Ceux qui lisent régulièrement le site, on doit déjà voir passer le mot Vobfus, notamment à la fin du survol de McAfee Antivirus Plus 2012.
Vobfus est un vers qui se propage par disques amovibles et qui actuellement installe :

Par le passé, Vobfus installait TDSS – bref le pack est assez moche.
Ci-dessous une capture des divers processus en cours d’exécution – lvvm.exe étant spécifique à Cycbot / Gbot

Ci-dessous l’installation de ZeroAccess / Sireref :

Côté détection : http://www.virustotal.com/file-scan/report.html?id=e14a61283e000e6a63c1b958e8bc2ba1ff74e97eaa9ad9952e28d1d17d4dad4d-1320753334

 

File name: caihua.exe
Submission date: 2011-11-08 11:55:34 (UTC)
Current status: finished
Result: 12/ 40 (30.0%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
Avast	6.0.1289.0	2011.11.08	Win32:Regrun-JH [Trj]
AVG	10.0.0.1190	2011.11.08	Worm/Generic2.BCHC
DrWeb	5.0.2.03300	2011.11.08	Trojan.VbCrypt.60
Emsisoft	5.1.0.11	2011.11.08	Worm.Win32.Vobfus!IK
GData	22	2011.11.08	Win32:Regrun-JH
Ikarus	T3.1.1.107.0	2011.11.08	Worm.Win32.Vobfus
Kaspersky	9.0.0.837	2011.11.08	Trojan.Win32.Diple.cpdt
McAfee	5.400.0.1158	2011.11.08	Generic.dx!bbnt
McAfee-GW-Edition	2010.1D	2011.11.07	Artemis!59C6062E50F6
NOD32	6610	2011.11.08	Win32/AutoRun.VB.AOY
SUPERAntiSpyware	4.40.0.1006	2011.11.08	Trojan.Agent/Gen-MixFraud
VBA32	3.12.16.4	2011.11.08	BScope.Trojan.FakePict.1021

MD5   : 59c6062e50f660501f3aad00d225d4fa
SHA1  : 472e5e4a09c0fdee4060ee449c6ccf40565cbb2e
SHA256: e14a61283e000e6a63c1b958e8bc2ba1ff74e97eaa9ad9952e28d1d17d4dad4d

Le malware propose le programme GinoPlayer (qui embarque SweetIM) en se connectant aux adresses : http://gino-mp3.oo.fi/

1320746801.440    284 192.168.1.27 TCP_MISS/200 2672 GET http://www.ginomp3.com/16720/download - DIRECT/207.226.174.234 text/html
1320746812.749    569 192.168.1.27 TCP_MISS/200 21688 GET http://www.ginomp3.com/download/16720 - DIRECT/207.226.174.234 application/octet-stream

Possible fonctionnalités de clickers en se connectant à divers URLs avec des publicités :

Mais ce qui est interressant est cette partie.
Le malware lance un fichier calc.exe, chose que je n’avais pas vu au dans les précédentes variantes.

Ce dernier va créer un dossier %APPDATA%\spkpod

Un petit tour dans le dossier, on reconnait l’icône d’Emule – les autres programmes sont des clients Torrent.

Du côté Incoming, on peux voir ces fichiers de même taille :

En laissant tourner, le dossier se remplit d’environ 15000 fichiers, comme vous pouvez le voir tous de la même taille, on a aussi des fichiers avi ou wma

Côté détections : http://www.virustotal.com/file-scan/report.html?id=c5ee57b45f89368072d66754914b13690fc7053731eb8493b7c91b6a4f62da3e-1320754641

File name: [DVD-R] Bellydance Core Conditioning with Veena N..exe
Submission date: 2011-11-08 08:36:39 (UTC)
Result: 15/ 41 (36.6%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.11.07.00	2011.11.07	Dropper/Win32.Clons
Avast	6.0.1289.0	2011.11.08	Win32:Buzus-ATK [Trj]
AVG	10.0.0.1190	2011.11.07	SHeur4.HAD
BitDefender	7.2	2011.11.08	Gen:Variant.Graftor.3243
ClamAV	0.97.3.0	2011.11.08	BC.Heuristic.Trojan.SusPacked.TMS
DrWeb	5.0.2.03300	2011.11.08	Win32.HLLW.Autoruner1.1630
Emsisoft	5.1.0.11	2011.11.08	Trojan.Win32.Inject!IK
F-Secure	9.0.16440.0	2011.11.08	Gen:Variant.Graftor.3243
Fortinet	4.3.370.0	2011.11.08	W32/Yoddos.GG!tr
GData	22	2011.11.08	Gen:Variant.Graftor.3243
Ikarus	T3.1.1.107.0	2011.11.08	Trojan.Win32.Inject
Jiangmin	13.0.900	2011.11.07	Trojan/Buzus.ahsu
NOD32	6609	2011.11.08	a variant of Win32/Injector.KRE
Norman	6.07.13	2011.11.07	W32/Buzus.AFVL
nProtect	2011-11-08.01	2011.11.08	Gen:Variant.Graftor.3243

MD5   : 33c9642eb25bc3017cb687c15938e3e8
SHA1  : 29af5b7ecf6054f33c2f610c66a1128956e61408
SHA256: e63a26b5c37beeddf6655dd196ddc4b43ee7f90bc8c143b56bfa86ef28a4824a
~~
Le fichier Multimédia : http://www.virustotal.com/file-scan/report.html?id=f86fd0229873adcdb5c5b9d08769057bbc2b5ee1f37e5e55a9494e6baf89e7c8-1320750881
File name: [720p] Teens Like It Big - Jennifer White - Fuck You Emo.avi
Submission date: 2011-11-08 11:14:41 (UTC)
Current status: finished
Result: 7/ 42 (16.7%)	VT Community

Print results  Antivirus	Version	Last Update	Result
Antiy-AVL	2.0.3.7	2011.11.08	Trojan/WMA.FakeDRM
Avast	6.0.1289.0	2011.11.08	WMA:Wimad [Susp]
DrWeb	5.0.2.03300	2011.11.08	Trojan.WMALoader
eTrust-Vet	36.1.8662	2011.11.08	ASF/Wimad!generic
Kaspersky	9.0.0.837	2011.11.08	Trojan-Downloader.WMA.FakeDRM.bf
VirusBuster	14.1.51.0	2011.11.07	Trojan.WMA.Wimad.M

MD5   : 231b70a64a5f8eac1b625c5fc7be6661
SHA1  : 30eb1fdb73365a148d2cd9c630b3932ad33c881f
SHA256: f86fd0229873adcdb5c5b9d08769057bbc2b5ee1f37e5e55a9494e6baf89e7c8

Bref les cracks sont des droppers et les fichiers multimédias sont des Trojan.WMA.
Le principe est donc de les partager sur P2P afin que des internautes les téléchargent et infectent à leur tour leurs PC.
Le principe est pas vraiment nouveau puisque Bagle ou ce Trojan.Agent. La différence ici est que le malware installe carrément les clients P2P.

Les clients P2P sont ensuite lancés par cracks une fois que le dossier Incoming est rempli.
A noter qu’à chaque démarrage, rebelote, le dossier avec les clients et Incoming est recréé, étant donné que l’infection se met à jour, cela permet de recréer aussi les droppers en P2P.
Ceci peux causer pas mal de ralentissement lors du démarrage du PC et bouffer un peu de place disque.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 10 times, 1 visits today)

4 thoughts on “Pack : Vobfus, Gbot/Cybot et ZeroAccess par P2P

  1. Bonjour Malekal,

    J’aimerais simplement savoir comment ils arrivent a rendre un .avi ou .mp3 infecté, un .exe je comprend mais un .avi non, car je pensais qu’il ne pouvait pas en avoir d’infecté.

    Merci d’avance

  2. Bonjour.
    Comme Flo j’étais persuadé que les fichiers mp3 avi ne pouvaient pas etre infectés.
    Double extension? .exe maquillé en avi? avi compilé avec .exe?
    Quelqu’un à une explication?

  3. @Flo38: Excellente question. Dans le cas présent, il ne s’agit pas d’un fichier au format MP3 mais d’un exécutable.
    Il existe néanmoins des codes malveillants en mesure d’exploiter des particularités sur les formats audio.
    C’est le cas, par exemple, de la famille Wimad. Il existe d’autres menaces et risques, souvent méconnus, exemple:
    – L’exploitation de vulnérabilités sur les logiciels installés : ici, les lecteurs multimédia. D’où l’importance de bien
    veiller à mettre à jour vos logiciels. En effet, si votre lecteur est vulnérable alors un fichier MP3, AVI, … dit
    « spécialement forgé » pourra exécuter du code arbitraire (shellcode) et parfois sans même avoir à « ouvrir » ou « lire » celui-ci.
    Certains logiciels sont connus pour être régulièrement exploités : RealPlayer, QuickTime, VLC, WMP, Winamp, …
    Gardez en tête qu’une fois le contrôle de la machine obtenu, beaucoup de choses deviennent alors possibles.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *