Retour de Bredolab et Kelihos

Gros retour de Bredolab en version _ex-68.exe depuis quelques semaines et une accélération ces derniers jours : http://forum.malekal.com/bredolab-195-234-124-t32038.html
Bredolab est un malware qui peut avoir plusieurs visages :

Trojan.Agent.AWDE / TrojanDownloader:Win32/Bredolab
http://forum.malekal.com/bubnix-winesm32-exe-ihaupd32-rootkit-agent-t23617.html

Le Botnet était officiellement tombé fin de l’année 2010 :
http://forum.malekal.com/bredolab-takedown-t29358.html
http://www.securelist.com/en/analysis/204792152/End_of_the_Line_for_the_Bredolab_Botnet
Le retour se fait avec la version %windir%\Temp\_ex-68.exe qui est connu pour installer d’autres malwares pour monétiser.
En l’occurence par exemple dans le passé le rogue Security Tool.
ex : http://forum.malekal.com/pas-aller-sur-security-frame-pourri-t22676.html#p189362

Le malware droppé porte souvent le nom : _ex-08.exe et se charge par une simple clef Run – exemple actuellement :
O4 – HKLM..\Run: [smartindex] C:\WINDOWS\Temp\_ex-08.exe

Actuellement le malware téléchargé est : hxxp://tamarer.com/client1.exe (68.191.98.156)

Le malware téléchargé effectue des connexions WEB au Command & Center

Retour de Bredolab et Kelihos

dans une plage d’adresses et une page WEB aléatoire.

Retour de Bredolab et Kelihos

puis des connexions SMTP sont effectuées :

Retour de Bredolab et Kelihospour Spammer bien entendu

Retour de Bredolab et Kelihos
Retour de Bredolab et KelihosRetour de Bredolab et Kelihos

On reconnait alors le malware Backdoor:Win32/Kelihos.A : Possible nouveau Storm/Waledac confirmé par les détections VirusTotal.

http://www.virustotal.com/file-scan/report.html?id=520afa2624cfc9b499857f42914aead1b116bfd0c455b8ac43791b815a04650d-1300986071

File name:
f47c58f671e7bb68d61bfdedd9c5a10b.exe
Submission date: 2011-03-24 17:01:11 (UTC)
Current status: finished
Result: 9 /43 (20.9%) 

VT Community

not reviewed
Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.03.24.01     2011.03.24     –
AntiVir     7.11.5.63     2011.03.24     –
Antiy-AVL     2.0.3.7     2011.03.24     –
Avast     4.8.1351.0     2011.03.24     –
Avast5     5.0.677.0     2011.03.24     –
AVG     10.0.0.1190     2011.03.24     –
BitDefender     7.2     2011.03.24     Gen:Variant.Kazy.16684
CAT-QuickHeal     11.00     2011.03.24     –
ClamAV     0.96.4.0     2011.03.24     –
Commtouch     5.2.11.5     2011.03.24     –
Comodo     8089     2011.03.24     –
DrWeb     5.0.2.03300     2011.03.24     –
Emsisoft     5.1.0.4     2011.03.24     –
eSafe     7.0.17.0     2011.03.24     –
eTrust-Vet     36.1.8233     2011.03.24     Win32/Kelihos.CI
F-Prot     4.6.2.117     2011.03.23     –
F-Secure     9.0.16440.0     2011.03.23     –
Fortinet     4.2.254.0     2011.03.24     W32/SLM91.A@mm
GData     21     2011.03.24     Gen:Variant.Kazy.16684
Ikarus     T3.1.1.97.0     2011.03.24     –
Jiangmin     13.0.900     2011.03.24     –
K7AntiVirus     9.94.4201     2011.03.24     –
Kaspersky     7.0.0.125     2011.03.24     –
McAfee     5.400.0.1158     2011.03.24     Generic FakeAlert.ama
McAfee-GW-Edition     2010.1C     2011.03.24     Heuristic.BehavesLike.Win32.Trojan.D
Microsoft     1.6702     2011.03.24     –
NOD32     5983     2011.03.24     –
Norman     6.07.03     2011.03.24     –
nProtect     2011-02-10.01     2011.02.15     –
Panda     10.0.3.5     2011.03.24     –
PCTools     7.0.3.5     2011.03.24     HeurEngine.ZeroDayThreat
Prevx     3.0     2011.03.24     –
Rising     23.50.03.06     2011.03.24     –
Sophos     4.64.0     2011.03.24     –
SUPERAntiSpyware     4.40.0.1006     2011.03.24     –
Symantec     20101.3.0.103     2011.03.24     Suspicious.MLApp
TheHacker     6.7.0.1.156     2011.03.24     –
TrendMicro     9.200.0.1012     2011.03.24     –
TrendMicro-HouseCall     9.200.0.1012     2011.03.24     –
VBA32     3.12.14.3     2011.03.24     –
VIPRE     8805     2011.03.24     FraudTool.Win32.SecurityShield.ek!e (v)
ViRobot     2011.3.24.4374     2011.03.24     –
VirusBuster     13.6.268.0     2011.03.24     –
Additional information
MD5   : f47c58f671e7bb68d61bfdedd9c5a10b
SHA1  : ac766f37db2556c5392b631fcc43bdc337d8102c
SHA256: 520afa2624cfc9b499857f42914aead1b116bfd0c455b8ac43791b815a04650d

Bredolab revient donc de manière virulente comme à son habitude.
On peux s’attendre à ce qu’il soit un tremplin pour d’autres familles de malwares habituels comme Zbot, Trojan.spyeye / Trojan-pincav, rogues etc.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 23 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *