Rogue sur OVH : Kaspersky Internet Security 2010

Posté sur le forum partie Rogue/Scarewarehttp://forum.malekal.com/kaspersky-internet-security-2010-t35092.html

Un rogue qui reprend le nom de la suite Kaspersky : Kaspersky Internet Security
Comme vous pouvez le voir, l’imitation est assez dégue, puisqu’on a une belle barre de scroll à droite.
De plus, si on descend, on a une superposition de la fenêtre de détection sur la page principale.

Le dropper télécharge les images et compagnies sur un serveur distant, en l’occurence ici sur l’adresse 94.23.39.156 qui est chez OVH.
Ce qui est assez original.

A noter aussi qu’une adresse afffili.com (188.165.244.159 – toujours chez OVH) est contacté pour télécharger un Trojan.Win32.Scar :

Côté fichiers créés :

c:\Documents and Settings\Mak\Application Data\daemon.exe
		Date: 12/12/2011 3:22 PM
		Size: 287 744 bytes
	c:\Documents and Settings\Mak\Application Data\rundx.dll
		Date: 12/12/2011 3:22 PM
		Size: 199 680 bytes
	c:\Documents and Settings\Mak\Application Data\update.exe
		Date: 12/12/2011 3:22 PM
		Size: 287 744 bytes

	HKEY_CURRENT_USER\Control Panel\Desktop "SCRNSAVE.EXE"
		Type: REG_SZ
		Data: C:\Documents and Settings\Mak\Application Data\Microsoft\Windows\3dtext.scr


La clef Run pour lancer le rogue au démarrage : O4 – HKCU\..\Run: [daemon] C:\Documents and Settings\Mak\Application Data\daemon.exe 

et pour le Trojan.Scar : O4 – HKLM\..\Run: [sysrunc] C:\WINDOWS\System32\sysrunc.exe


Le malware change aussi la mise en veille pour charger un binaire :
	HKEY_CURRENT_USER\Control Panel\Desktop "SCRNSAVE.EXE"
		Type: REG_SZ
		Data: C:\Documents and Settings\Mak\Application Data\Microsoft\Windows\3dtext.scr
qui retélécharge le pack et réinstalle tout à chaque lancement :

A noter enfin que le rogue lance aussi attrib, un peu comme le font les faux défragmenteurs/réparateurs pour cacher les icônes du bureau, documents etc mais cela ne fonctionne pas.

A noter pas mal de malwares sur OVH, notamment les domaines où OVH est le registrar aelita.fr et jesais.fr qui propage du Trojan.Scar par des exploits sur site WEB.

domain:      aelita.fr
status:      ACTIVE
hold:        NO
holder-c:    ANO00-FRNIC
admin-c:     ANO00-FRNIC
tech-c:      OVH5-FRNIC
zone-c:      NFC1-FRNIC
nsl-id:      NSL22808-FRNIC
registrar:   OVH
anniversary: 29/10
created:     29/10/2007
last-update: 30/10/2009
source:      FRNIC
domain:      jesais.fr
status:      ACTIVE
hold:        NO
holder-c:    ANO00-FRNIC
admin-c:     ANO00-FRNIC
tech-c:      OVH5-FRNIC
zone-c:      NFC1-FRNIC
nsl-id:      NSL22808-FRNIC
registrar:   OVH
anniversary: 30/10
created:     30/10/2007
last-update: 04/05/2008
source:      FRNIC

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 35 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *