planete-lolo : cracks et….. RATs

Après jeux-video.com – j’ai fait un petit tour sur quelques forums de Warez, pas mal de malwares qui sont relativement bien détectés.
Un zoom sur un BlackShades Rat qui est pas super détecté…

L’auteur a bien bourriné sur les posts avec des progs différents :

Avec une capture……. pas finie du GUI et des annonces avec 4 fautes par mots.
Pour le générateur Windows, on se demande où on choisit la version de Windows.

et le top, c’est ce generateur de site porno avec le « Button1 » :

D’autres sites comme fluket.com et dupemonkey.com ont aussi été touchés.
A priori, c’est toujours le même manège avec toujours les mêmes forums de Warez qui sont visés.

Le dropper se connecte à un site pour télécharger et dropper le fichier Gen.exe qui est le RAT.
http://amicalonline.power-heberg.com/mortel/complement.exe (80.248.211.37)

puis Gen.exe ajoute les clefs au démarrage sous le nom Rundll.exe

et le super programme dont le projet Form1 est pas fini :

Le dropper initial : http://www.virustotal.com/file-scan/report.html?id=1aa0bfe6b6442df3e6126cb42459e6e6f8be8d76d223f78a77d760db5824efa4-1320653011

File name: GeneratorPorn.exe
Submission date: 2011-11-07 08:03:31 (UTC)
Current status: finished
Result: 10/ 43 (23.3%)	VT Community

Print results  Antivirus	Version	Last Update	Result
BitDefender	7.2	2011.11.07	Gen:Heur.Bodegun.10
DrWeb	5.0.2.03300	2011.11.07	Trojan.DownLoader1.64320
Emsisoft	5.1.0.11	2011.11.07	Trojan.SuspectCRC!IK
F-Secure	9.0.16440.0	2011.11.07	Gen:Heur.Bodegun.10
GData	22	2011.11.07	Gen:Heur.Bodegun.10
Ikarus	T3.1.1.107.0	2011.11.07	Trojan.SuspectCRC
Jiangmin	13.0.900	2011.11.06	Trojan/Generic.nyrg
Panda	10.0.3.5	2011.11.06	Suspicious file
SUPERAntiSpyware	4.40.0.1006	2011.11.05	Trojan.Agent/Gen-MSFake

MD5   : 05f4e7b3c42b4517799a092f240fa9db
SHA1  : 7085e9e117b37903c3fe1c5cceabccb9b434bfda
SHA256: 1aa0bfe6b6442df3e6126cb42459e6e6f8be8d76d223f78a77d760db5824efa4
Le RAT : http://www.virustotal.com/file-scan/report.html?id=9376c63d0742e21bc635d5f4ef522500e021958721cd52a4b1d97dd25dc952fd-1320652913
File name: complement.exe
Submission date: 2011-11-07 08:01:53 (UTC)
Current status: finished
Result: 5 /43 (11.6%)

Print results  Antivirus	Version	Last Update	Result
Kaspersky	9.0.0.837	2011.11.07	Trojan.Win32.Jorik.Shakblades.cxd
Panda	10.0.3.5	2011.11.06	Trj/CI.A
TrendMicro	9.500.0.1008	2011.11.07	Cryp_Kolab-4
TrendMicro-HouseCall	9.500.0.1008	2011.11.07	Cryp_Kolab-4

MD5   : c217f0d11c3ad6ee8ca7891821ced485
SHA1  : 94fc9e2ddf3eacadc77ccb8b5f7c904a1685bae5
SHA256: 9376c63d0742e21bc635d5f4ef522500e021958721cd52a4b1d97dd25dc952fd

Côté connexion, le malware résoud l’adresse gchpro.no-ip.biz (193.107.17.138)


qui se connecte sur le port 1606 :

Les détections sont assez pauvres, notamment les antivirus gratuits (Avast, Antivir et AVG) ne devraient pas le bloquer cette infection (sauf si la Sandbox d’Avast! se déclenche).

Comme expliqué sur la page RAT, Bifrose, Cybergate, Spynet : Botnet pour les nuls  – la limite est plutôt la méthode de propagation qui va toucher qu’un nombre limité de personnes, contrairement aux campagnes des rogues qui eux via des exploits sur site WEB, campagnes de mails peuvent toucher bien plus de personnes.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 109 times, 1 visits today)

6 thoughts on “planete-lolo : cracks et….. RATs

  1. Salut Malekal,

    Quel est le programme que tu utilise pour surveiller le registre et les programmes qui essayent de s’installer? (avec ‘expired licence’ sur les screenshots)

    Merci

  2. @Malekal: bah c’est juste illégal de faire la pub pour un site de crack… m’enfin 😀
    Bon ok c’est pas super dur à trouver, mais moi je dis ça pour toi hein…

  3. J’éspere qu’ils font moins d’abominations dans la syntaxe de leurs éxécutables que dans la formidable description ô combien lyrique et poillante qu’ils essayent d’en donner.

    J’ai néanmoins une question (peut-être con?) à ce sujet: C’est qui ces types qui postent leurs binaires au Dl ?
    Ils ne peuvent être les auteurs des dits .exe, cela requiert une rigueur qu’ils sont loin d’avoir , Une ligne de commande ne tolère pas l’approximation…Donc qui sont ces posteurs, et quel y est leur interêt ? (oui la tune CQFD, mais via quel biais ?)

    NB1: Merci pour le site qui est …top, je suis devenu passionné et pratiquant (coté clair de la force) de sécurité informatique grâce à malekal.Merci, bravo, et à bientôt

    NB2: C’est clair que Button1 c’est grattiné :p

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *