Spam Pixmania.com voucher et voucher.zip

Campagne de SPAM malicieux reporté par un utilisateur : http://forum.malekal.com/voucher-scr-t41743.html
(Merci à la personne qui a rapporté)

Capture du mail : Pixmania.com gift voucher code accompagné d’un voucher.zip

pixmania_voucher_code

voucher.zip contient voucher.scr qui est un trojan.downloader :

1357756592.154 274 192.168.1.27 TCP_MISS/200 184679 GET http://agiosrl.com/logs/socks.exe – DIRECT/46.252.158.16 application/x-msdownload
1357756597.412 376 192.168.1.27 TCP_MISS/200 307559 GET http://agiosrl.com/logs/hermes.exe – DIRECT/46.252.158.16 application/x-msdownload
1357756605.826 373 192.168.1.27 TCP_MISS/200 184732 GET http://www.centripalagym.it/pdf/socks.exe – DIRECT/82.215.135.184 application/octet-stream
1357756606.789 958 192.168.1.27 TCP_MISS/200 307612 GET http://www.centripalagym.it/pdf/hermes.exe – DIRECT/82.215.135.184 application/octet-stream

Une DLL au nom aléatoire est crée et un .exe :

O4 – HKCU/../Run: [Validator] C:/Documents and Settings/Kevin/Application Data/Skype/{8827FE89-A01D-44F8-9408-EA70C1406A87}/Validator.exe

pixmania_voucher_code2 pixmania_voucher_code3

Les détections :

https://www.virustotal.com/file/c008ab91612393a4f813084fb4c7a9ef0c3fe8081d3b1a4948b6c38f680505fb/analysis/1357757991/

 

SHA256: c008ab91612393a4f813084fb4c7a9ef0c3fe8081d3b1a4948b6c38f680505fb
File name: voucher.scr
Detection ratio: 4 / 46
Analysis date: 2013-01-09 18:59:51 UTC ( 0 minute ago )

BitDefender Trojan.Generic.KD.824964 20130109
GData Trojan.Generic.KD.824964 20130109
MicroWorld-eScan Trojan.Generic.KD.824964 20130109
VIPRE Backdoor.Win32.Tofsee.fa (v) 20130109

https://www.virustotal.com/file/97136b5f249db04ae31f115254ea5ce3f234d7041521aca360821fc35f317238/analysis/1357757988/

 

SHA256: 97136b5f249db04ae31f115254ea5ce3f234d7041521aca360821fc35f317238
File name: hermes.exe
Detection ratio: 9 / 45
Analysis date: 2013-01-09 18:59:48 UTC ( 0 minute ago )

BitDefender Trojan.Inject.ALO 20130109
Comodo UnclassifiedMalware 20130109
ESET-NOD32 a variant of Win32/Kryptik.ARTR 20130109
F-Secure Trojan.Inject.ALO 20130109
GData Trojan.Generic.KDZ.3126 20130109
Malwarebytes Trojan.Downloader 20130109
McAfee PWS-Zbot-FAHA!821D0DF9550C 20130109
MicroWorld-eScan Trojan.Generic.KDZ.3126 20130109

https://www.virustotal.com/file/331f61282d84e00314b0a6c3f137e6af27983f9ba2b3cecf5a89a8d1e7ac03cb/analysis/1357757990/

 

SHA256: 331f61282d84e00314b0a6c3f137e6af27983f9ba2b3cecf5a89a8d1e7ac03cb
File name: socks.exe
Detection ratio: 9 / 45
Analysis date: 2013-01-09 18:59:50 UTC ( 0 minute ago )

BitDefender Trojan.Inject.ALO 20130109
Comodo UnclassifiedMalware 20130109
ESET-NOD32 a variant of Win32/Kryptik.ARTR 20130109
F-Secure Trojan.Inject.ALO 20130109
GData Trojan.Generic.KDZ.3126 20130109
Malwarebytes Trojan.Downloader 20130109
McAfee PWS-Zbot-FAHA!D9F93384197E 20130109
MicroWorld-eScan Trojan.Generic.KDZ.3126 20130109
VIPRE Backdoor.Win32.Tofsee.fa (v) 20130109

 

Je ne connais pas le nom du Malware qui est donné par les antivirus et si c’est bien une Backdoor.Tofsee
Par contre, ce qui est certains, c’est que le malware se propage par média amovible – attention donc, et à nettoyer si vous avez été infecté et si vous avez utilisé des médias amovibles.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 17 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *