RAT @ Free via SPAM Darty

Reçu ce soir – envoyer par une IPette Allemande :

Received: from 78.250.97.59 (IP may be forged by CGI script)
by icpu934.kundenserver.de with HTTP
id 4AScMf-1RwwhG3D5b-00WnSj; Wed, 29 Feb 2012 19:20:05 +0100
X-Sender-Info: <313221657@icpu934.kundenserver.de>
Date: Wed, 29 Feb 2012 19:20:05 +0100
Message-Id: <4AScMf-1RwwhG3D5b-00WnSj@icpu934.kundenserver.de> 

 

Au vu des phrases en conclusion, je pensais que c’était envoyé par des étrangers et que le message était issu d’un traducteur

Le corps du mail :

Chère Cliente, Cher Client,Pour faire suite à notre précédent mail, nous avons le plaisir de vous informer que votre commande est validée.suite à votre commande n° 50522231823V passée sur le site darty.com et expédiée. Nous vous transmettons la facture correspondante.Vous trouverez en pièce jointe de votre facture 79FGZDE95Z5F au télérèglement concernant votre commande 31912016 du lundi 27 février 2012

Ce message confirme que vous avez acheté les articles suivants :

Apple – Macbook – Ordinateur portable 13″ – Intel Core 2 Duo – 250 Go – RAM 2048 Mo – MacOS X 10.6 – Jusqu’à 10h d’utilisation – NVIDIA GeForce GT 320M – Blanc

Montant total de la commande : EUR 995,11
Infos livraison : commande expédiée en 1 colis
Mode de livraison : Prioritaire
Conditions de livraison : Envoyer les articles en un minimum de colis
Total articles (HT) : EUR 823,18
Livraison (HT) : EUR 6,68
Emballage cadeau TTC : EUR 2,17
—————————
Total HT : EUR 832,03
TVA : EUR 163,08
—————————
Montant total pour cette commande : EUR 995,11Le montant à payer vous sera facturé à l’aide du moyen de paiement que vous avez choisis.Nous avons le plaisir de vous informer que votre colis 6920829110901078 est prêt.Il sera donc confié à notre transporteur en charge de sa livraison très prochainement.

Notre prochain mail vous confirmera la bonne prise en charge de votre colis par le transporteur.

Vous pouvez bien entendu suivre votre commande via votre Espace clients.

Nous vous remercions de votre confiance.

Nous vous en souhaitons bonne réception et espérons vous retrouver
très prochainement

Cordialement,

Votre Service Clients darty. Le Contrat de Confiance 

 

La pièce jointe Facture_7QUA985O5F.zip renforme un .VBS, là je me suis dit, ok c’est nul, c’est surement une campagne Zeus/Zbot comme là : http://www.malekal.com/2011/12/05/spam-malicieux-zbot-par-vbs-sur-ovh/

Et bien perdu…
Au final, cela va télécharger un RAT (Remote Access Tool) comme le titre l’indique sur ce serveur : http://www3.malekal.com/malwares/index.php?&url=etnoplant.ro

HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{33EEAE9E-1F0D-3EC7-9D9E-0EDEA2D3AEE7} « StubPath »
Type: REG_SZ
Data: C:\Documents and Settings\Mak\Application Data\IceMsn.exe

et :

O4 – HKLM\..\Run: [windows] C:\Documents and Settings\Mak\Application Data\IceMsn.exe 

 et surtout le malware se connecte à l’adresse suivante ekinox.no-ip.info qui pointe chez Free.

ekinox.no-ip.info has address 78.250.97.59

 

Les détections sont très bonnes :

 

SHA256: 27fd0045e02c9637a29c55fea512f22e17ba06763b85774c37789ab6939ac166
File name: dda87efe332af10dd52fbdc9aa5fa8a6
Detection ratio: 19 / 43
Analysis date: 2012-02-29 19:41:49 UTC ( 1 heure, 7 minutes ago )
AntiVir TR/ATRAPS.Gen 20120229
Avast MSIL:Agent-BJ [Trj] 20120229
AVG PSW.Generic9.BUX 20120229
BitDefender Gen:Variant.Kazy.45524 20120229
DrWeb Trojan.AVKill.12068 20120229
Emsisoft Trojan.SuspectCRC!IK 20120229
F-Secure Gen:Variant.Kazy.45524 20120229
GData Gen:Variant.Kazy.45524 20120229
Ikarus Trojan.SuspectCRC 20120229
Jiangmin Trojan/Generic.inoe 20120229
K7AntiVirus Trojan 20120229
Kaspersky Backdoor.MSIL.Ubot.b 20120229
Microsoft PWS:MSIL/Wealwedst.A 20120229
NOD32 a variant of MSIL/PSW.Agent.NCN 20120229
Panda Generic Malware 20120229
SUPERAntiSpyware Trojan.Agent/Gen-Injector[Fmt] 20120229
TrendMicro TSPY_KEYLOG.SMIC 20120229
TrendMicro-HouseCall TSPY_KEYLOG.SMIC 20120229
VBA32 TrojanSpy.MSIL.Agent.gqs 20120229 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 45 times, 1 visits today)

One thought on “RAT @ Free via SPAM Darty

  1. J’ai reçu ce mail via une adresse gmail et gmail m’a informé que le mail était probablement frauduleux et l’a mis en quarantaine. Vu le contenu je n’avais pas beaucoup de doute mais j’apprécie la réaction de gmail.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *