SPAM Malicieux Français : Zbot/Zeus

Après le billet VBS.Flesh / Worm.VBS.Slogod : Autorun par VBS (le billet peux générer une alerte de votre antivirus dû au code VBS contenu dans la page) et pour changer sur les campagnes de SPAM habituelles.

Un mail pourri remonté par yadlafumé sur le forum : https://forum.malekal.com/mail-bizarre-t34995.html#p270904

Notez que le mail est en français :
Bonjour,

Nous vous informons que votre carte bancaire a été acceptée.

Le paiement concerne la société objetmania sarl (Identifiant commerçant : 6950120).

Référence de la transaction : 96021
Montant de la transaction : 40,06 EUR
Date de la transaction : Le 03 Decembre 2011 à 18h53 (GMT)
Numéro de la carte : 4972 XXXX XXXX XXXX
Numéro d'autorisation : 965002
Numéro de terminal : 6954001

Merci de contacter directement la société Dell pour toute question relative à votre commande.

Nous vous remercions pour votre confiance,

L'Equipe CIC.

Le mail contient un fichier facture.VBS qui ressemble à ça :

http://www.virustotal.com/file-scan/report.html?id=8a8763f1ec306106ab6ad1ad348bd7f84232c69a383b847bed4a081ae4965f59-1323098694
File name: facture.vbs
Submission date: 2011-12-05 15:24:54 (UTC)
Current status: finished
Result: 5/ 43 (11.6%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
Avast	6.0.1289.0	2011.12.05	VBS:Agent-MK [Trj]
DrWeb	5.0.2.03300	2011.12.05	VBS.Siggen.7425
Sophos	4.71.0	2011.12.05	VBS/Agent-RTH
SUPERAntiSpyware	4.40.0.1006	2011.12.03	-

MD5   : 187af96c2be8f08050a2dfb697d82e3a
SHA1  : 6386494ba50c30c3bfee41a964c661ba5ca657d7
SHA256: 8a8763f1ec306106ab6ad1ad348bd7f84232c69a383b847bed4a081ae4965f59

En remplaçant le Execute par un WScript.Echo, on obtient le code ci-dessous.
Ce dernier créer un fichier temporaire avec un nom aléatoire, fichier créé à travers un flux (stream) HTTP puis exécute ce dernier.
La source HTTP : http://www.domain123456789.biz/202.exe (62.149.142.21 – ARUBA-NET – Pays : IT)

File name: file-3223077_exe
Submission date: 2011-12-05 16:01:53 (UTC)
Current status: finished
Result: 9 /43 (20.9%)

AhnLab-V3	2011.12.05.00	2011.12.05	Dropper/Win32.Aspxor
Avast	6.0.1289.0	2011.12.05	Win32:Kryptik-FYH [Trj]
AVG	10.0.0.1190	2011.12.05	Dropper.Generic4.CNSO
Comodo	10849	2011.12.05	TrojWare.Win32.Trojan.Agent.Gen
DrWeb	5.0.2.03300	2011.12.05	BackDoor.Butirat.47
Emsisoft	5.1.0.11	2011.12.05	Trojan-PWS.Win32.Zbot!IK
GData	22	2011.12.05	Win32:Kryptik-FYH
Ikarus	T3.1.1.109.0	2011.12.05	Trojan-PWS.Win32.Zbot
Kaspersky	9.0.0.837	2011.12.05	Trojan-Dropper.Win32.Aspxor.jf

MD5   : 382df2a286d35693fa4b1da2d3e943a4
SHA1  : b18b3d08db3e934c33771ac8b7c61a88ab01e1bf
SHA256: 8f128de2abd98fbf747ead1f2f97d696cd819b13241ac01b0799d84e8b2f886c

Ce qui donne :

Ce dernier droppe un autre fichier et ajoute la clef Run correspondate : O4 – HKCU\..\Run: [{0F638720-1C67-7C77-4AED-F493C789E346}] « C:\Documents and Settings\Mak\Application Data\Tey\byzuurc.exe »
(Le Application Data\[A-Z][a-Z]+\[a-z]+.exe est typique des Zbot/Spyeye)

Le fichier prend le contrôle d’explorer.exe par injection qui se connecte à un kimsufi (OVH) :

Côté URL :
1323099409.617    788 192.168.1.27 TCP_MISS/200 200587 GET http://www.domain123456789.biz/202.exe - DIRECT/62.149.142.21 application/octet-stream
1323099444.673  14448 192.168.1.27 TCP_MISS/200 635244 POST http://www.france-facebook.com/1/config.php - DIRECT/94.23.39.5 text/plain
1323099460.516    217 192.168.1.27 TCP_MISS/200 16494 GET http://www.google.com/webhp - DIRECT/74.125.39.104 text/html
1323099497.333  36811 192.168.1.27 TCP_MISS/200 404 POST http://www.france-facebook.com/config.php - DIRECT/94.23.39.5 text/html

94.23.39.5 est le kimsufi.
On peux voit qu’un POST est fait, typique des  Zbot.
La détection du fichier droppé : http://www.virustotal.com/file-scan/report.html?id=cd597b57f6ef319ab5c6786dd64b570d2579744917d2e8837351ea52248d8589-1323104756

File name: byzuurc.exe
Submission date: 2011-12-05 17:05:56 (UTC)
Current status: queued queued analysing finished
Result: 7/ 43 (16.3%)

Compact Print results
Antivirus Version Last Update Result
Avast 6.0.1289.0 2011.12.05 Win32:Kryptik-FYH [Trj]
AVG 10.0.0.1190 2011.12.05 Dropper.Generic4.CNSO
DrWeb 5.0.2.03300 2011.12.05 BackDoor.Butirat.47
Emsisoft 5.1.0.11 2011.12.05 Trojan-PWS.Win32.Zbot!IK
GData 22 2011.12.05 Win32:Kryptik-FYH
Ikarus T3.1.1.109.0 2011.12.05 Trojan-PWS.Win32.Zbot
Kaspersky 9.0.0.837 2011.12.05 Trojan-Dropper.Win32.Aspxor.jf 

Additional informationShow all
MD5   : 46865bdf0337d4ed0e734d029914ceff
SHA1  : c0c82f0ec1b07d9c61ffac08839928a963bc6e32
SHA256: cd597b57f6ef319ab5c6786dd64b570d2579744917d2e8837351ea52248d8589

Désinfection

Il est conseillé de faire un scan avec Malwarebyte Anti-Malware

Si Zbot a été détecté, vous devez changer les mots de passe de vos sites (Facebook, Mail etc) et jeux en lignes, ils ont été volés par le malware.

Vous pouvez garder Malwarebyte Anti-Malware pour des scans réguliers, il est très efficace.

EDIT 29 Juin 2012

 

Quelques posts pour signaler qu’apparemment il y a une nouvelle campagne assez active.
Le mail est assez similaire, mais de DELL cette fois-ci :

Bonjour,
 
Nous vous informons que votre carte bancaire a été acceptée.
Le paiement concerne la société objetmania sarl (Identifiant commerçant : 950025).
cliquez ici pour télécharger votre facture
 
Référence de la transaction : 159480
Montant de la transaction : 40,06 EUR
Date de la transaction : Le 29 juin 2012 à 06h53 (GMT)
Numéro de la carte : 4972 04XX XXXX XXXX
Numéro d’autorisation : 363200
Numéro de terminal : 950025
Email : xxxx@orange.fr
Merci de contacter directement la société objetmania sarl pour toute question relative à votre commande.
Nous vous remercions pour votre confiance,
L’Equipe CIC.

 

Cette fois, ce n’est plus un VBS mais un fichier ZIP : hxtp://www.asem.it/libraries/joomla/user/PayboxFacture.zip
=> http://www3.malekal.com/malwares/index.php?hash=9036681695cf2b9b68989ed0cf2fd911

 

La détection est mauvaise : https://www.virustotal.com/file/5c662a4f57af4453d4309f7ef3db1bf6b99e334f60987e29e159f995593d3aca/analysis/1340955137/

SHA256: 5c662a4f57af4453d4309f7ef3db1bf6b99e334f60987e29e159f995593d3aca
File name: PayboxFacture.exe
Detection ratio: 2 / 42
Analysis date: 2012-06-29 07:32:17 UTC ( 16 minutes ago )

AhnLab-V3 Trojan/Win32.Zbot 20120628
Microsoft PWS:Win32/Zbot.gen!Y 20120629

Les connexions effectués par le BOT :

1340955721.008 423 192.168.1.27 TCP_MISS/200 13817 POST http://www.lisgo.it/cheats/fr/index.php – DIRECT/62.149.140.171 text/plain
1340955721.564 406 192.168.1.27 TCP_MISS/404 982 POST http://www.asem.com/config/bot.php – DIRECT/206.188.192.109 text/html
1340955721.949 483 192.168.1.27 TCP_MISS/404 982 POST http://www.asem.com/config/bot.php – DIRECT/206.188.192.109 text/html
1340955721.984 158 192.168.1.27 TCP_MISS/200 512 POST http://www.mode-sport.fr/config.php – DIRECT/213.186.33.19 text/html
1340955722.324 336 192.168.1.27 TCP_MISS/200 18308 GET http://www.lisgo.it/price.exe – DIRECT/62.149.140.171 application/octet-stream
1340955722.541 118 192.168.1.27 TCP_MISS/200 512 POST http://www.mode-sport.fr/config.php – DIRECT/213.186.33.19 text/html

price.exe : http://www3.malekal.com/malwares/index.php?hash=0343b3301daf03b351d22c8c8b624d15 qui droppe dans C:/ProgramData/system32/explorer.exe
https://www.virustotal.com/file/d4eac49566c766715ea4ed6cd057b0d337efba1ac96722762bf0b240577849e6/analysis/

/Users/BIG/Desktop/VBProject/Hcinou/Hcinou/obj/x86/Release/Hcinou.pdb

 

SHA256: d4eac49566c766715ea4ed6cd057b0d337efba1ac96722762bf0b240577849e6
File name: 0343b3301daf03b351d22c8c8b624d15
Detection ratio: 5 / 42
Analysis date: 2012-06-29 07:57:11 UTC ( 8 minutes ago )

AhnLab-V3    Trojan/Win32.Keylogger    20120628
Jiangmin Trojan/MSIL.cak 20120629
Kaspersky UDS:DangerousObject.Multi.Generic 20120629
nProtect Trojan/W32.Small.17920.MG 20120629

EDIT 23 Août

Nouvelle campagne avec rue du commerce : service.client@rueducommerce.com

Contenu du mail :

Veuillez Cliquez ici pour télécharger votre facture 9854500054 concernant votre commande 65800025450 du 23 Août 2012Nous vous en souhaitons bonne réception et espérons vous retrouver
très prochainement sur notre site http://www.rueducommerce.frNous vous remercions de votre confiance.
Vous pouvez nous contacter :- en vous connectant sur notre site dans la rubrique « suivez votre commande » – http://client.rueducommerce.fr – où après vous être identifié, vous pourrez nous adresser une demande en ligne en sélectionnant le sujet souhaité dans la rubrique « une question, un problème ? » disponible sur la fiche de chaque commande.
– par téléphone, du lundi au vendredi de 8h à 20h et le samedi de 9h à 18h sans interruption (hors jours fériés) : il est nécessaire avant de nous contacter, de vous munir de votre numéro de commande ou de retour. Vous pouvez contacter notre service clientèle au 0891 56 20 20 (0,22 EUR/min). Pour suivre votre commande, connaître une procédure de retour ou bénéficier de votre droit de rétractation, veuillez composer le 0811 74 26 50 (coût d’un appel local depuis une ligne fixe). Pour toute question concernant votre abonnement téléphonique, veuillez appeler le 0811 74 27 50 (du lundi au vendredi de 9H à 18H).Découvrez la Carte de paiement RueDuCommerce :Connectez-vous notre site dans la rubrique La Carte RueDuCommerce : http://www.rueducommerce.fr/carte – Bénéficiez de facilités et de report de paiement, profitez de remises exclusives et cumulez les avantages. (Emmenez la partout avec vous, elle est acceptée dans les 25 000 points de vente du réseau Cofinoga)RueDuCommerce
44-50 Avenue du Capitaine Glarner
93585 Saint-Ouen CedexContribuez à la protection de l’environnement, n’imprimez ce mail qu’en cas de réelle nécessité.PS : vous pouvez télécharger gratuitement le logiciel Acrobat Reader qui vous permet d’imprimer votre facture ici :
http://www.adobe.fr/products/acrobat/readstep2.html

 

 

Le lien conduit toujours à un fichier zip qui contient un executable qui droppe l’infection : hxxp://www.namiporte.it/downloads/facture.zip

On retombe sur : O4 – HKCU\..\Run: [{74481B58-F9AE-0ADF-3352-94EDB4E76B5B}] « C:\Documents and Settings\Mak\Application Data\Wynomi\ossoax.exe »

et surtout le même serveur asem.it

1345724880.706 210 192.168.1.27 TCP_MISS/200 8318 POST http://www.asem.it/typo3_src/typo3/gfx/faner/config.php – DIRECT/195.223.241.230 text/plain
1345724880.953 263 192.168.1.27 TCP_MISS/200 406 POST http://www.asem.it/typo3_src/typo3/gfx/c_wiz/config.php – DIRECT/195.223.241.230 text/html

 

https://www.virustotal.com/file/cd41d5ae48c4a083f54fd3b47523c1c22318fc1e3ae253079d46dd9c507c3628/analysis/1345724292/

 SHA256: cd41d5ae48c4a083f54fd3b47523c1c22318fc1e3ae253079d46dd9c507c3628
File name: facture.zip
Detection ratio: 6 / 42
Analysis date: 2012-08-23 12:18:12 UTC ( 1 minute ago )
AhnLab-V3 Spyware/Win32.Zbot 20120823
Avast Win32:Susn-AU [Trj] 20120823
GData Win32:Susn-AU 20120823
Norman W32/Cridex.M 20120823
Panda Suspicious file 20120823
Sophos Mal/BredoZp-B 20120823
 

EDIT 13 Octobre

De retour avec toujours la même adresse avec un mail DELL: http://www.asem.it/typo3_src/typo3/sysext/belog/doc/facture.php?facture_Amandine_6686587

 

Bonjour XXXX,
 
Nous vous informons que votre carte bancaire a été acceptée.
 
Le paiement concerne la société Dell (Identifiant commerçant : 6686587).
 
Référence de la transaction : 6686587
Montant de la transaction : 84.00 EUR
Date de la transaction : Le 12 October 2012 à 04h53 (GMT)
Nom sur la carte : XXXX XXX
Email : xxxx@hotmail.fr
 
cliquez ici pour télécharger votre facture
 
Merci de contacter directement la société Dell pour toute question relative à votre commande.
 
Nous vous remercions pour votre confiance,
 
L’Equipe CIC.

 

 

La détection est moyenne :

 https://www.virustotal.com/file/3a4421dc79a641cb52da7cb723f24da0bf9a5be29f0a335acf4271be671ef507/analysis/1350121611/

SHA256: 3a4421dc79a641cb52da7cb723f24da0bf9a5be29f0a335acf4271be671ef507
File name: facture.exe
Detection ratio: 6 / 44
Analysis date: 2012-10-13 09:46:51 UTC ( 0 minute ago )

AntiVir TR/Dropper.Gen8 20121012
DrWeb BackDoor.IRC.NgrBot.42 20121013
Emsisoft Trojan.Win32.Yakes!IK 20120919
ESET-NOD32 a variant of Win32/Injector.XQJ 20121013
Ikarus Trojan.Win32.Yakes 20121013
Panda Suspicious file 20121013

EDIT 3 Décembre 2012

Nouvelle campagne, toujours en se faisant passer pour CIC :

Bonjour xxxxxxx,

Nous vous informons que votre carte bancaire a été acceptée.

Le paiement concerne la société objetmania sarl (Identifiant commerçant : 690287).

Référence de la transaction : 6302120
Montant de la transaction : 985,06 EUR
Date de la transaction : Le 03 Décembre 2012
Numéro de la carte : 4972 04XX XXXX XXXX
Numéro d’autorisation : 98950251
Numéro de terminal : 690287

Merci de contacter directement la société objetmania sarl pour toute question relative à votre commande.

Nous vous remercions pour votre confiance,

L’Equipe CIC.

 

On revient aux fondamanteaux avec un facture.zip qui renforme un VBS : https://www.virustotal.com/file/76c8a5431e89a341e7739b3467a1ebe2813eee06d23da7d35b8ed76eed68d635/analysis/1354525102/

SHA256: 76c8a5431e89a341e7739b3467a1ebe2813eee06d23da7d35b8ed76eed68d635
File name: facture.vbs
Detection ratio: 4 / 46
Analysis date: 2012-12-03 08:58:22 UTC ( 2 minutes ago )

AVG JS/Heur 20121203
Kaspersky HEUR:Trojan-Downloader.Script.Generic 20121203
karus Virus.JS.Heur 20121203
TrendMicro-HouseCall TROJ_GEN.F47V1203 20121203

 

 

qui va chercher le dropper à l’adresse : http://www.stadiomobile.it/tmp/soft4.exe
(Pas de VirusTotal – j’arrive pas à le scanner dessus).

Si vous n’avez pas ouvert le fichier, vous ne craignez rien.
Si vous avez ouvert le fichier zip et son contenu et que votre antivirus n’as pas réagi, vous êtes infectés.
Faites un scan Malwarebyte’s Anti-Malware : Malwarebyte Anti-Malware
puis changez tous vos mots de passe WEB (Facebook, mail etc).

EDIT Janvier 20

Reçu un autre toujours à destination des entreprises, ce dernier se fait passer pour LaPoste, adresse de l’expéditeur : reponse-automatique@laposte.net

 

Scan de 0814066
Format de fichier: PDF MMR(G4)
Resolution: 200dpi x 200dpi
Le fichier joint est une image numerisee au format PDF. Utilisez Acrobat(R)Reader(R) ou Adobe(R)Reader(R) d’Adobe
Systems Incorporated pour visualiser le document. Il est possible de telecharger Adobe(R)Reader(R) de l’adresse suivante:
Adobe, le logo Adobe, Acrobat, le logo Adobe PDF et Reader sont des marques deposees ou des marques commerciales
d’Adobe Systems Incorporated aux Etas-Unis et dans les autres pays. http://www.adobe.com/

 

zbot_mail

header du mail :

Received: from 188.230.122.186 by web-host1 (envelope-from <fraud@aexp.com>, uid 888) with qmail-scanner-1.25-st-qms 
 (spamassassin: 3.3.2. perlscan: 1.25-st-qms.  
 Clear:RC:0(188.230.122.186):SA:0(-87.6/5.0):. 
 Processed in 2.188281 secs); 30 Jan 2014 11:27:43 -0000
X-Antivirus-xxxx-Mail-From: fraud@aexp.com via web-host1
X-Antivirus-xxxxx: 1.25-st-qms (Clear:RC:0(188.230.122.186):SA:0(-87.6/5.0):. Processed in 2.188281 secs Process 25957)
Received: from etas.vl.net.ua (188.230.122.186)
  by xxxx.com with SMTP; 30 Jan 2014 12:27:41 +0100
Received: from INT.ironport.tc8.navaho.fr ([192.168.160.156]) by mailrelay132-out.ornis.com (8.14.4/8.14.4) with ESMTP id 12GS163UKG7U for <xxxxx>; Thu, 30 Jan 2014 13:27:39 +0200

Sample : https://www.virustotal.com/fr/file/ea1f481ca5e66f909beaf3de64b1ed61eda98e3f80575b59e8501d5c93626d80/analysis/1391086576/
SHA256: ea1f481ca5e66f909beaf3de64b1ed61eda98e3f80575b59e8501d5c93626d80
Nom du fichier : Scan_301_30012014_001.exe
Ratio de détection : 8 / 49
Date d’analyse : 2014-01-30 12:56:16 UTC (il y a 0 minute)

A noter qu’il existe des campagnes « classiques » anglophones qui touchent tout le monde :

zbot_mail2

EDIT 18 Février

Reçu un mail à l’instant d’Apple Store – sujet : Nous avons bien reçu votre commande.

Envoyé de :

Received: from [37.187.67.100] (100.ip-37-187-67.eu [37.187.67.100]) (authenticated)
by smtp04.msg.oleane.net (MSA) with ESMTP id s18EY3XO022373
for <mailling@malekal.com>; Sat, 8 Feb 2014 15:34:04 +0100
X-Oleane-Rep: REPA
Reply-To: <commande@apple.fr>

Zbot_apple_store
Le fichier zip contient un script VBS, ce dernier va afficher un message d’erreur The Application failed to initialize properly blalba » sur AcroRd32.exe (Acrobat Reader).
puis executer du code.
Zbot_apple_store2

Le code va chercher un binaire à l’adresse http://www.clctf.com/calc.exe
Le site en question semble avoir été piraté.

Zbot_apple_store3

On reconnaît la patte d’un Zbot :

Zbot_apple_store4

 

La détection est plutôt mauvaise : https://www.virustotal.com/fr/file/033c4f2c5d376c055d4dc2b22e98b5f833b98ff3577589a8e5a0d000a41234ca/analysis/1391871118/

SHA256: 033c4f2c5d376c055d4dc2b22e98b5f833b98ff3577589a8e5a0d000a41234ca
Nom du fichier : calc.exe
Ratio de détection : 1 / 49
Date d’analyse : 2014-02-08 14:51:58 UTC (il y a 0 minute)
Print Friendly, PDF & Email
(Visité 405 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet