Spam Malicieux : Facebook Account Verification => Scarewares

Reçu par un mail, un faux mail se faisant passer pour Facebook disant que le compte est bloqué.
On peux pas dire qu’ils se sont foulés, vu qu’il y a même pas les couleurs et logo habituels des mails Facebook.

Spam_Account_Verification_Scareware
En cliquant sur le lien, on obtient la popup suivante – disant que Microsoft Antivirus a trouvé une actvitié anormale sur le PC.

Spam_Account_Verification_Scareware2
puis on obtient une fausse page Microsoft Security Essentians Alert qui balance un exe malicieux : https://www.virustotal.com/file/2d55f31e0623ba8c068f88bbb9ae7e169cd9456414c2205eb0616408fc346cab/analysis/
SHA256: 2d55f31e0623ba8c068f88bbb9ae7e169cd9456414c2205eb0616408fc346cab
File name: 97e10b1733da7d4d1b1379acbe4f0ecb
Detection ratio: 7 / 45
Analysis date: 2012-12-19 08:49:01 UTC ( 1 heure, 52 minutes ago )

AntiVir TR/Crypt.ZPACK.Gen2 20121219
BitDefender Gen:Variant.Strictor.18747 20121219
F-Secure Gen:Variant.Strictor.18747 20121219
GData Gen:Variant.Strictor.18747 20121219
Kaspersky UDS:DangerousObject.Multi.Generic 20121219
MicroWorld-eScan Gen:Variant.Strictor.18747 20121219
Rising Trojan.FakeAV!4D83 20121219

Spam_Account_Verification_Scareware3
Ce dernier droppe un Scareware/Rogue Spam_Account_Verification_Scareware4
Ce dernier est de type FakeRean : https://forum.malekal.com/win32-fakerean-t23860.html (Ancienne famille Braviax)
Le nom est aléatoire, dans mon cas, je suis tombé sur XP Total Security

Spam_Account_Verification_Scareware5

Le malware bloque aussi la consultation des pages WEB avec un message de type : Visiting this site may pose a security threat to your system ! Spam_Account_Verification_Scareware6

Cette infection est aussi propagée par des Exploit Kit.
On peux avoir la fausse page  Microsoft Security Essentians Alert + un Exploit Kit.Spam_Account_Verification_Scareware7Celui-ci conduit à un jar qui embarque le dropper.

Spam_Account_Verification_Scareware8

Celui-ci donne XP Anti-Spyware 2011. Oui 2011, pas vraiment à jour.
Poutant la version 2013 existe bien => https://forum.malekal.com/antivirus-2013-t41370.htmlSpam_Account_Verification_Scareware9

et surtout la version Exploit Kit embarque Trojan.Necurs (Necurses.A – Janvier 2012).
D’ailleurs Microsoft a d’ailleurs alerté sur la propagation massive de ce malware – ce dernier toucherai environ 80 000 machines : http://blogs.technet.com/b/mmpc/archive/2012/12/07/unexpected-reboot-necurs.aspx
Spam_Account_Verification_Scareware10

Trojan.Necurs est téléchargé par le scareware a des adresses de type : host/data.exe
La détection est du type : https://www.virustotal.com/file/ebbfe2287237837a32e1482edea2c644e879be9b19c0cea9da92b06f3b8cee9c/analysis/

SHA256: ebbfe2287237837a32e1482edea2c644e879be9b19c0cea9da92b06f3b8cee9c
File name: data.exe
Detection ratio: 9 / 44
Analysis date: 2012-12-19 10:58:52 UTC ( 3 minutes ago )

BitDefender Gen:Trojan.Relhis.4 20121219
ESET-NOD32 a variant of Win32/Kryptik.AQUN 20121219
F-Secure Gen:Trojan.Relhis.4 20121219
GData Trojan.Generic.KDZ.2230 20121219
Microsoft Trojan:Win32/Necurs.gen!A 20121219
MicroWorld-eScan Trojan.Generic.KDZ.2230 20121219
SUPERAntiSpyware Trojan.Agent/Gen-RogueRel 20121219
VIPRE RiskTool.Win32.ProcessPatcher.Nor!cobra (v) (not malicious) 20121219

Spam_Account_Verification_Scareware11

Encore hier, d’autres détections avec la version Microsoft Security Essentians Alert + un Exploit Kit.
Spam_Account_Verification_Scareware12

A noter que par le passé ce kit renvoyait du Security Shield.

EDIT 21 Février

Et aussi par malvertising, merci Clicksor :
http://mytrafficexport01.info/?abd5a32e33fcb35015a8e02464e44c6a (91.232.29.78)
http://cdn.mytrafficexport01.info/?089d85e824a444b9a35eff9966f524f6
http://cpafixadvertiser.info/ (5.9.172.73)
http://mxvrqop.wikaba.com/vd/145;b34671c6d1aefd2caafdd02c621cc46c (46.166.169.238)
http://ret.anygadget.info/ (redirecton par iframe vers klmcmgrig.it.cx/)
http://klmcmgrig.it.cx/index.php?c=RaENOjEayDF925cOxP3ACC60zajgAjCTlcK0liAaKtrMheVQzm+YhzfWz1MPnw1S6zBdyf5Hf5ejna4gUAHw4KuCyoM= (95.141.28.91)

Microsoft_Security_Essentials_Alert2

La fausse page propose un fichier security_alert.exe : http://malwaredb.malekal.com/index.php?hash=c27302746c28852eabff012640ae728c

https://www.virustotal.com/fr/file/52e32609bdb1518b3e49c603edfbe14c4a9c4cb10492117cbdf8add6f15abc42/analysis/1361481905/

SHA256: 52e32609bdb1518b3e49c603edfbe14c4a9c4cb10492117cbdf8add6f15abc42

Nom du fichier : rekeywiz.exe
Ratio de détection : 4 / 46
Date d’analyse : 2013-02-21 21:25:05 UTC (il y a 0 minute)Fortinet W32/Zbot.ANQ!tr 20130221
Kaspersky UDS:DangerousObject.Multi.Generic 20130221
Panda Suspicious file 20130221
Rising Suspicious 20130205

Microsoft_Security_Essentials_Alert

Print Friendly, PDF & Email
(Visité 131 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet