Slenfbot : still an other IRC Bot

Slenfbot est une des premières familles de bot que j’avais commencé à suivre.

Les posts avec les fichiers PhotosXXX.ZIP de 2007/2008 est cette famille : http://forum.malekal.com/backdoor-irc-suicide-t5743.html
Les fichiers MyPhotoXXX.zip et noname en sont pour la pluspart : http://forum.malekal.com/vers-virus-msn-et-arnaques-sur-msn-850.html
A l’époque le nom Slenfbot n’existait pas, Dr.Web le nommait BackDoor.IRC.Suicide.
puis  ce topic pour centraliser quelques détections : http://forum.malekal.com/slenfbot-t16743.html?hilit=tofsee

L’infection se propageait par :

Le bot est commandé par IRC (d’où le nom IRCBot).
Le malware se connecte à une URL qui contient les phrases qui seront envoyées sur MSN et l’url du fichier (Photo|Image|Facebook)XXX.zip à faire télécharger aux contacts MSN.

Le problème des bot de ce type est qu’ils doivent être constamment mis à jour par les pirates qui les commandent afin que les antivirus ne les rattrapent pas.
Sinon ce dernier est détecté et éradiqué, le pirate perd alors des machines dans son botnet qui se voit réduit.

Par la suite le malware fut modifié et des protections furent ajoutées au fur et à mesure comme :

  • Le processus est rootkité, le gestionnaire de tâches ou Process Explorer ne le voit pas (GMER le voit)
  • Le fichier est caché et impossible d’afficher les fichiers cachés (le menu option des dossiers est supprimé et la clef hidden est monitoré pour la positionner sur le non affichage des fichiers cachés).
  • Hijack du fichier HOSTS pour ajouter les adresses de mise à jour des Antivirus et des forums de désinfection.
  • Tue les processus des AV et certains fix.
  • Restrictions comme l’impossibilité d’ouvrir le gestionnaire de tâches, éditeur du registre, invite de commandes (donc impossible de lancer des fix en batch).
  • Impossibilité de booter en MSE, la clef Safeboot était shootée et monitoré, on remet les clefs SafeBoot, il les supprimé à nouveau
  • AntiVM : Impossibilité de faire fonctionner le bot en VM (Vmware), ça marche sur du VirtualBox et peut-être Qemu.

Manifestement les auteurs du malwares suivaient les désinfections sur les forums et notamment SDFix, car à chaque nouvelle mise à jour, des protections pour empecher l’utilisation de fix étaient àjoutées.

Voici une description assez complète de cette famille chez Microsoft et CA :

Par la suite, Microsoft ajouta la famille dans le MSRT :Win32/Slenfbot – Just Another IRC bot?

Chose que les auteurs n’ont pas trop apprécié puisque ce message fut ajouté dans une des variantes : http://forum.malekal.com/divers-variantes-worm-autorun-t14124.html#p108264

Come afer us and we come afer you.
We control the Axis of power, shut 1 down,
we replace it with two. You were warned.
O and this release is @ W32.NyteMare,
its not just another ircbot.
-Yours TruelyEvil Hack0rz

La fréquence des mises à jour fut réduite, on passa de 1 mise à jour par jour à 1 par semaine voire plus.
C’est à partir de ce moment là que je commença à les perdre de vue, quelques variantes par-ci par là
Et aujourd’hui…. ou je croisa à nouveau une nouvelle variante.

http://forum.malekal.com/http-www-24x7filehosting-com-shared-3206879-newpicture004-jpg-zip-t30194.html#p239150
http://forum.malekal.com/http-164-rp29-nd01-exe-t30193.html

O4 – HKCU\..\Run: [Intel Display Service] : C:\Windows\System32\igfxdfk64.exe

Le fonctionnement reste le même :

slenfbot : still an other IRC Bot

Les ordres envoyés depuis le C&C semble maintenant cryptés, ce qui n’était pas le cas au départ.

slenfbot : still an other IRC Bot

Sur cette variante, l’Hijack du fichier HOSTS ainsi que les restrictions ne sont plus présentes. Le reste est toujours présent.

Cette famille va donc rentrer dans sa 3e année d’activité !

08/12/2010 – Edition : Slenfbot est devenu un SpamBot ?

En regardant aujourd’hui, une activité d’envoie de Spam a démarré, or aucun autre malware (spambot) n’a été téléchargé.

Slenfbot est devenu un Spambot

Les mails envoyés font la promotion de Viagra : « Pills from Canadian Pharmacy! »

Slenfbot est devenu un Spambot

On  voit que c’est explorer.exe qui effectue les connexions SMTP et qui donc est le processus à l’origine des envoies de SPAM.

Slenfbot est devenu un Spambot

il semblerait que SlenfBot (ici le processus igfxdfk64.exe) fasse des injections dans explorer.exe pour certainement en prendre le contrôle et effectuer les connexions SMTP.
Conclusion et ça c’est vraiment nouveau, par rapport à avant où le botmaster s’appuyait sur des malwares tiers (comme Tofsee), c’est maintenant Slenfbot qui s’occupe d’envoyer les mails de SPAM.

Slenfbot est devenu un Spambot

A noter que SlenfBot délivre aussi un Trojan.Win32.Pavelo (clef Taskman) : C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1451\games.exe
qui doit aussi avoir son utilité dans les injections. Si on supprime la clef et le malware, SlenfBot le remet.

Slenfbot est devenu un Spambot

Ce qui donne ça :

Slenfbot est devenu un Spambot

Slenfbot est devenu un Spambot

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 37 times, 1 visits today)

One thought on “Slenfbot : still an other IRC Bot

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *