Spam TrojanDownloader.Chepvil / TrojanDownloader.Stohil.Q : rogues

Et encore une nouvelle campagne de SPAM accompagnée d’une pièce jointe zippée :

Sujet : Reqest rejected

Corps du message :
Dear Sirs,
Thank you for your letter!
Unfortunately we can not confirm your request!
More information attached in document below.
Thank you
Best regards.

Notez la faute sur le sujet du message .

Spam TrojanDownloader.Chepvil / TrojanDownloader.Stohil.Q : rogues

Le nom du zip : EX-38463.pdf.zip

La vieille feinte de cowboy avec la double-extension (voir la pageLes extensions de fichiers et la sécurité), Windows n’affiche pas les extensions par défaut, l’utilisateur croit avoir donc un .PDF avec l’icône PDF qui en réalité est un exécutable.

Spam TrojanDownloader.Chepvil / TrojanDownloader.Stohil.Q : rogues

 

Le processus fait une injection mémoire dans svchost.exe pour en prendre le contrôle :

Parent process:
Path: C:\Documents and Settings\Mak\Bureau\EX-38463.pdf.exe
PID: 1788
Child process:
Path: C:\WINDOWS\system32\svchost.exe
Information: Generic Host Process for Win32 Services (Microsoft Corporation)
Command line:svchost.exe C:\Documents and Settings\Mak\Bureau\EX-38463.pdf.exe 

Ce qui permet de lancer un fichier pusk.exe :

Parent process:
Path: C:\WINDOWS\system32\svchost.exe
PID: 6332
Information: Generic Host Process for Win32 Services (Microsoft Corporation)
Child process:
Path: C:\Documents and Settings\Mak\Local Settings\Temp\pusk.exe
Command line: »C:\DOCUME~1\Mak\LOCALS~1\Temp\pusk.exe »

puis shoot la clef du services Windows relatives aux mises à jour Windows afin d’empêcher les mises à jour Windows.

Process:
Path: C:\WINDOWS\system32\services.exe
PID: 704
Information: Applications Services et Contrôleur (Microsoft Corporation)
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
Registry value: DeleteFlag
Type: REG_DWORD
Value: 00000001

pusk.exe lance ensuite le rogue sous le nom de xul.exe ici (le nom est aléatoire) et se place dans %APPDATA% :

Parent process:
Path: C:\Documents and Settings\Mak\Local Settings\Temp\pusk.exe
PID: 3896
Child process:
Path: C:\Documents and Settings\Mak\Local Settings\Application Data\xul.exe
Command line: »C:\Documents and Settings\Mak\Local Settings\Application Data\xul.exe » -gav C:\DOCUME~1\Mak\LOCALS~1\Temp\pusk.exe

La famille de Rogue : Win32/FakeRean 33 en 1
Voir aussi la page :Rogues Attack : Windows Restore et MS Tool Removal où cette famille est évoquée, en outre, vous avez une procédure pour remettre le service de mise à jour Windows.

Spam TrojanDownloader.Chepvil / TrojanDownloader.Stohil.Q : rogues

L’injection de svchost.exe permet de lancer le téléchargement de pusk.exe à cette adresse :

1302614185.179   5687 192.168.1.27 TCP_MISS/200 340361 GET http://hdjfskh.net/pusk.exe – DIRECT/208.43.90.48 application/x-msdownload
1302614224.817   1252 192.168.1.27 TCP_MISS/200 318 GET http://punajytapaci.com/1017000412 – DIRECT/209.97.213.105 text/html

Une fois n’est pas coutume, le répertoire est open ce qui laisse l’accès à d’autres samples :

Spam TrojanDownloader.Chepvil / TrojanDownloader.Stohil.Q : roguesCe qui nous donne au niveau des détections :

En ce qui concerne le Zip en pièce jointe, une bonne détection :

http://www.virustotal.com/file-scan/report.html?id=3a011c42a1bce51873f2e2229e673dbc90283143fd3f6721936e3cf379b6599e-1302613776 

File name: EX-38463.pdf.zip
Submission date: 2011-04-12 13:09:36 (UTC)
Current status: finished
Result: 12/ 41 (29.3%)

not reviewed
Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2011.04.12.01    2011.04.12    –
AntiVir    7.11.6.62    2011.04.12    HIDDENEXT/Worm.Gen
Antiy-AVL    2.0.3.7    2011.04.12    –
Avast    4.8.1351.0    2011.04.12    –
Avast5    5.0.677.0    2011.04.12    –
AVG    10.0.0.1190    2011.04.12    FakeAlert
BitDefender    7.2    2011.04.12    –
CAT-QuickHeal    11.00    2011.04.12    –
ClamAV    0.97.0.0    2011.04.12    –
Commtouch    5.2.11.5    2011.04.06    W32/Heuristic-300!Eldorado
Comodo    8315    2011.04.12    –
DrWeb    5.0.2.03300    2011.04.12    –
eSafe    7.0.17.0    2011.04.12    –
eTrust-Vet    36.1.8267    2011.04.12    –
F-Prot    4.6.2.117    2011.04.12    W32/Heuristic-300!Eldorado
F-Secure    9.0.16440.0    2011.04.12    –
Fortinet    4.2.254.0    2011.04.12    –
GData    22    2011.04.12    –
Ikarus    T3.1.1.103.0    2011.04.12    Trojan-Downloader.Win32.Chepvil
Jiangmin    13.0.900    2011.04.12    –
K7AntiVirus    9.96.4360    2011.04.11    –
Kaspersky    7.0.0.125    2011.04.12    Heur.Trojan.Generic
McAfee    5.400.0.1158    2011.04.12    –
McAfee-GW-Edition    2010.1C    2011.04.12    –
Microsoft    1.6702    2011.04.11    TrojanDownloader:Win32/Chepvil.J
NOD32    6035    2011.04.12    a variant of Win32/TrojanDownloader.Stohil.Q
Norman    6.07.07    2011.04.12    W32/Malware
Panda    10.0.3.5    2011.04.11    –
PCTools    7.0.3.5    2011.04.12    –
Prevx    3.0    2011.04.12    High Risk Cloaked Malware
Rising    23.53.01.06    2011.04.12    –
Sophos    4.64.0    2011.04.12    Mal/BredoZp-B
SUPERAntiSpyware    4.40.0.1006    2011.04.10    –
Symantec    20101.3.2.89    2011.04.12    –
TheHacker    6.7.0.1.171    2011.04.12    W32/Generic!zip-dobleextension
TrendMicro    9.200.0.1012    2011.04.12    –
TrendMicro-HouseCall    9.200.0.1012    2011.04.12    –
VBA32    3.12.14.3    2011.04.12    –
VIPRE    8996    2011.04.12    –
ViRobot    2011.4.12.4406    2011.04.12    –
VirusBuster    13.6.300.0    2011.04.12    –
Additional information
MD5   : 16e4153e45b197ea2193ee14401673ea
SHA1  : 6a9105a3304c7fe64f2ea5044fd78c53123566bc
SHA256: 3a011c42a1bce51873f2e2229e673dbc90283143fd3f6721936e3cf379b6599e

Et pour les autres fichiers, une détection plutôt classiques :

http://www.virustotal.com/file-scan/report.html?id=e6b2e529e2771005d7ec2f7874936f8213372b8fd2fd10079d0e7b8cfb6ac3f0-1302606544

File name: pusk.exe
Submission date: 2011-04-12 11:09:04 (UTC)
Current status: finished
Result: 6 /42 (14.3%)

VT Community

malware
Safety score: 0.0%
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.04.12.01     2011.04.12     Trojan/Win32.FakeAV
AntiVir     7.11.6.61     2011.04.12     –
Antiy-AVL     2.0.3.7     2011.04.12     –
Avast     4.8.1351.0     2011.04.12     –
Avast5     5.0.677.0     2011.04.12     –
AVG     10.0.0.1190     2011.04.12     –
BitDefender     7.2     2011.04.12     –
CAT-QuickHeal     11.00     2011.04.12     (Suspicious) – DNAScan
ClamAV     0.97.0.0     2011.04.12     –
Commtouch     5.2.11.5     2011.04.06     –
Comodo     8313     2011.04.12     –
DrWeb     5.0.2.03300     2011.04.12     –
Emsisoft     5.1.0.5     2011.04.12     –
eSafe     7.0.17.0     2011.04.12     –
eTrust-Vet     36.1.8267     2011.04.12     –
F-Prot     4.6.2.117     2011.04.12     –
F-Secure     9.0.16440.0     2011.04.12     –
Fortinet     4.2.254.0     2011.04.12     –
GData     22     2011.04.12     –
Ikarus     T3.1.1.103.0     2011.04.12     –
Jiangmin     13.0.900     2011.04.12     –
K7AntiVirus     9.96.4360     2011.04.11     –
Kaspersky     7.0.0.125     2011.04.12     –
McAfee     5.400.0.1158     2011.04.12     FakeAlert-CN.gen.aa
McAfee-GW-Edition     2010.1C     2011.04.12     –
Microsoft     1.6702     2011.04.11     –
NOD32     6035     2011.04.12     a variant of Win32/Kryptik.MMC
Norman     6.07.07     2011.04.12     –
Panda     10.0.3.5     2011.04.11     –
PCTools     7.0.3.5     2011.04.12     –
Prevx     3.0     2011.04.12     –
Rising     23.53.01.05     2011.04.12     –
Sophos     4.64.0     2011.04.12     Mal/FakeAV-JR
SUPERAntiSpyware     4.40.0.1006     2011.04.10     –
Symantec     20101.3.2.89     2011.04.12     –
TheHacker     6.7.0.1.171     2011.04.12     –
TrendMicro     9.200.0.1012     2011.04.12     –
TrendMicro-HouseCall     9.200.0.1012     2011.04.12     –
VBA32     3.12.14.3     2011.04.12     –
VIPRE     8995     2011.04.12     FraudTool.Win32.FakeRean.b (v)
ViRobot     2011.4.12.4406     2011.04.12     –
VirusBuster     13.6.299.0     2011.04.11     –
Additional information
MD5   : d47e9ec3e351802538bbd472f9bcc903
SHA1  : 02229aec656c98cdfe829138a40dd7acbb5d2a79
SHA256: e6b2e529e2771005d7ec2f7874936f8213372b8fd2fd10079d0e7b8cfb6ac3f0

http://www.virustotal.com/file-scan/report.html?id=c912a975e3c2fc911d6550d86e8fd89dbd30e3d1e07d788b45aac0d6cf61e83c-1302609186

File name: pusk2.exe
Submission date: 2011-04-12 11:53:06 (UTC)
Current status: finished
Result: 5 /42 (11.9%)

not reviewed
Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.04.12.01     2011.04.12     –
AntiVir     7.11.6.62     2011.04.12     –
Antiy-AVL     2.0.3.7     2011.04.12     –
Avast     4.8.1351.0     2011.04.12     –
Avast5     5.0.677.0     2011.04.12     –
AVG     10.0.0.1190     2011.04.12     –
BitDefender     7.2     2011.04.12     –
CAT-QuickHeal     11.00     2011.04.12     (Suspicious) – DNAScan
ClamAV     0.97.0.0     2011.04.12     –
Commtouch     5.2.11.5     2011.04.06     –
Comodo     8313     2011.04.12     –
DrWeb     5.0.2.03300     2011.04.12     –
Emsisoft     5.1.0.5     2011.04.12     –
eSafe     7.0.17.0     2011.04.12     –
eTrust-Vet     36.1.8267     2011.04.12     –
F-Prot     4.6.2.117     2011.04.12     –
F-Secure     9.0.16440.0     2011.04.12     –
Fortinet     4.2.254.0     2011.04.12     –
GData     22     2011.04.12     –
Ikarus     T3.1.1.103.0     2011.04.12     –
Jiangmin     13.0.900     2011.04.12     –
K7AntiVirus     9.96.4360     2011.04.11     –
Kaspersky     7.0.0.125     2011.04.12     –
McAfee     5.400.0.1158     2011.04.12     FakeAlert-CN.gen.aa
McAfee-GW-Edition     2010.1C     2011.04.12     –
Microsoft     1.6702     2011.04.11     –
NOD32     6035     2011.04.12     a variant of Win32/Kryptik.MMC
Norman     6.07.07     2011.04.12     –
Panda     10.0.3.5     2011.04.11     –
PCTools     7.0.3.5     2011.04.12     –
Prevx     3.0     2011.04.12     –
Rising     23.53.01.05     2011.04.12     –
Sophos     4.64.0     2011.04.12     Mal/FakeAV-JR
SUPERAntiSpyware     4.40.0.1006     2011.04.10     –
Symantec     20101.3.2.89     2011.04.12     –
TheHacker     6.7.0.1.171     2011.04.12     –
TrendMicro     9.200.0.1012     2011.04.12     –
TrendMicro-HouseCall     9.200.0.1012     2011.04.12     –
VBA32     3.12.14.3     2011.04.12     –
VIPRE     8995     2011.04.12     FraudTool.Win32.FakeRean.b (v)
ViRobot     2011.4.12.4406     2011.04.12     –
VirusBuster     13.6.300.0     2011.04.12     –
Additional information
MD5   : a50a91176b5aeb96b8b77b99d587c485
SHA1  : c56b7ab2123dbd49902446ffcc0cf59d6a865857
SHA256: c912a975e3c2fc911d6550d86e8fd89dbd30e3d1e07d788b45aac0d6cf61e83c

http://www.virustotal.com/file-scan/report.html?id=83efc6432b1a3d35c98ddb56fa6aa2e21394f2ce9ff376f1b7c21f4a69072773-1302609305

File name: pusk3.exe
Submission date: 2011-04-12 11:55:05 (UTC)
Current status: finished
Result: 6 /42 (14.3%)

not reviewed
Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.04.12.01     2011.04.12     Trojan/Win32.FakeAV
AntiVir     7.11.6.62     2011.04.12     –
Antiy-AVL     2.0.3.7     2011.04.12     –
Avast     4.8.1351.0     2011.04.12     –
Avast5     5.0.677.0     2011.04.12     –
AVG     10.0.0.1190     2011.04.12     –
BitDefender     7.2     2011.04.12     –
CAT-QuickHeal     11.00     2011.04.12     (Suspicious) – DNAScan
ClamAV     0.97.0.0     2011.04.12     –
Commtouch     5.2.11.5     2011.04.06     –
Comodo     8313     2011.04.12     –
DrWeb     5.0.2.03300     2011.04.12     –
Emsisoft     5.1.0.5     2011.04.12     –
eSafe     7.0.17.0     2011.04.12     –
eTrust-Vet     36.1.8267     2011.04.12     –
F-Prot     4.6.2.117     2011.04.12     –
F-Secure     9.0.16440.0     2011.04.12     –
Fortinet     4.2.254.0     2011.04.12     –
GData     22     2011.04.12     –
Ikarus     T3.1.1.103.0     2011.04.12     –
Jiangmin     13.0.900     2011.04.12     –
K7AntiVirus     9.96.4360     2011.04.11     –
Kaspersky     7.0.0.125     2011.04.12     –
McAfee     5.400.0.1158     2011.04.12     FakeAlert-CN.gen.aa
McAfee-GW-Edition     2010.1C     2011.04.12     –
Microsoft     1.6702     2011.04.11     –
NOD32     6035     2011.04.12     a variant of Win32/Kryptik.MMC
Norman     6.07.07     2011.04.12     –
Panda     10.0.3.5     2011.04.11     –
PCTools     7.0.3.5     2011.04.12     –
Prevx     3.0     2011.04.12     –
Rising     23.53.01.05     2011.04.12     –
Sophos     4.64.0     2011.04.12     Mal/FakeAV-JR
SUPERAntiSpyware     4.40.0.1006     2011.04.10     –
Symantec     20101.3.2.89     2011.04.12     –
TheHacker     6.7.0.1.171     2011.04.12     –
TrendMicro     9.200.0.1012     2011.04.12     –
TrendMicro-HouseCall     9.200.0.1012     2011.04.12     –
VBA32     3.12.14.3     2011.04.12     –
VIPRE     8995     2011.04.12     FraudTool.Win32.FakeRean.b (v)
ViRobot     2011.4.12.4406     2011.04.12     –
VirusBuster     13.6.300.0     2011.04.12     –
Additional information
MD5   : f4160e977046b80a94d2b6e3cda8a72b
SHA1  : 30fc2b83f450aaceb286c669feeb73a4542687ff
SHA256: 83efc6432b1a3d35c98ddb56fa6aa2e21394f2ce9ff376f1b7c21f4a69072773

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 20 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *