Spambot : Cutwail le retour

Cutwail (aka Trojan.Srizbi / Trojan.Kobcka / Trojan.Pandex) est un spambot sophistiqués qui avait fait fureur entre 2007/2009.
Un des premiers malwares utilisant la technologique rootkit.

Plus discret dernièrement, une campagne parExploits sur les sites WEB a lieu depuis quelques jours qui droppe ce malware.

Cela commence par l’ajout d’une clef Run avec un fichier aléatoire :

Process:
 Path: C:\\\\Documents and Settings\\\\Mak\\\\Bureau\\\\files\\\\4542b638a531b84eefdbb6a2ec91d593.exe
 PID: 2040
 Information: Braniff Koch (Neptune)
Registry Group: User AutoRun
Object:
 Registry key: HKCU\\\\Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
 Registry value: 879r07mh9g
 Type: REG_SZ
 Value: C:\\\\Documents and Settings\\\\Mak\\\\879r07mh9g.exe
puis la connexion par HTTPs à l'une des adresses suivantes :
174.37.197.156:443
174.37.249.208:443
174.37.249.209:443
jpeg1452.com:443
12god3.net:443
95dass.org:443
03med.in:443
2sos5.ru:443
0five1.com:443
16tonn.in:443

 

Droppe d’un fichier temporaire qui installe la partie rootkit – deux services sont ajoutés qui charge le même fichier :

 

Parent process:
 Path: C:\\\\Documents and Settings\\\\Mak\\\\Bureau\\\\files\\\\4542b638a531b84eefdbb6a2ec91d593.exe
 PID: 2040
 Information: Braniff Koch (Neptune)
Child process:
 Path: C:\\\\Documents and Settings\\\\Mak\\\\Local Settings\\\\Temp\\\\sdn542B.tmp
 Command line:C:\\\\DOCUME~1\\\\Mak\\\\LOCALS~1\\\\Temp\\\\sdn542B.tmp

Process:
 Path: C:\\\\Documents and Settings\\\\Mak\\\\Local Settings\\\\Temp\\\\sdn542B.tmp
 PID: 3912
Registry Group: Services
Object:
 Registry key: HKLM\\\\SYSTEM\\\\CurrentControlSet\\\\Services\\\\wcscd
[HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Services\\\\wcscd]
"Type"=dword:00000001
"Start"=dword:00000001
"ImagePath"=str(2):"system32\\\\drivers\\\\wcscd.sys"

Le second fichier :

Process:
 Path: C:\\\\Documents and Settings\\\\Mak\\\\Local Settings\\\\Temp\\\\sdn542B.tmp
 PID: 3912
Driver:
 Path: C:\\\\Documents and Settings\\\\Mak\\\\Local Settings\\\\Temp\\\\cdfss

[HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Services\\\\cdfss]
 "Type"=dword:00000001
 "Start"=dword:00000001
 "ImagePath"=str(2):"\\\\??\\\\C:\\\\DOCUME~1\\\\Mak\\\\LOCALS~1\\\\Temp\\\\cdfss"
 "ProcessId"=dword:000008f8


File name: cdfss
Submission date: 2011-06-23 09:31:34 (UTC)
Current status: queued (#37) queued analysing finished
Result: 35/ 42 (83.3%)
 
Compact Print results 
Antivirus Version Last Update Result 
AhnLab-V3 2011.06.23.01 2011.06.23 Trojan/Win32.Rootkit 
AntiVir 7.11.10.79 2011.06.23 TR/Dropper.Gen 
Antiy-AVL 2.0.3.7 2011.06.22 - 
Avast 4.8.1351.0 2011.06.23 Win32:Cutwail-AP 
Avast5 5.0.677.0 2011.06.23 Win32:Cutwail-AP 
AVG 10.0.0.1190 2011.06.23 Win32/Cryptor 
BitDefender 7.2 2011.06.23 Rootkit.Kobcka.H 
CAT-QuickHeal 11.00 2011.06.23 W32.Protector.F 
ClamAV 0.97.0.0 2011.06.23 Trojan.Dropper-28752 
Commtouch 5.3.2.6 2011.06.23 W32/Agent.IF.gen!Eldorado 
Comodo 9162 2011.06.23 Virus.Win32.Protector.A 
DrWeb 5.0.2.03300 2011.06.23 Trojan.NtRootKit.9912 
eSafe 7.0.17.0 2011.06.22 - 
eTrust-Vet 36.1.8402 2011.06.23 Win32/Agent.UL 
F-Prot 4.6.2.117 2011.06.22 W32/Agent.IF.gen!Eldorado 
F-Secure 9.0.16440.0 2011.06.23 Rootkit.Kobcka.H 
Fortinet 4.2.257.0 2011.06.23 W32/Agent.BKWM!tr.rkit 
GData 22 2011.06.23 Rootkit.Kobcka.H 
Ikarus T3.1.1.104.0 2011.06.23 Trojan.Rootkit 
Jiangmin 13.0.900 2011.06.22 Heur:Rootkit/Agent 
K7AntiVirus 9.106.4834 2011.06.22 RootKit 
Kaspersky 9.0.0.837 2011.06.23 Rootkit.Win32.Agent.bkwm 
McAfee 5.400.0.1158 2011.06.23 Generic Rootkit.et 
McAfee-GW-Edition 2010.1D 2011.06.22 Generic Rootkit.et 
Microsoft 1.7000 2011.06.23 TrojanDownloader:Win32/Cutwail.BE 
NOD32 6231 2011.06.23 a variant of Win32/Protector.O 
Norman 6.07.10 2011.06.22 W32/rootkit.CERP 
nProtect 2011-06-23.01 2011.06.23 Trojan/W32.Rootkit.30560.B 
Panda 10.0.3.5 2011.06.22 - 
PCTools 8.0.0.5 2011.06.23 - 
Prevx 3.0 2011.06.23 - 
Rising 23.63.03.03 2011.06.23 RootKit.Win32.Agent.GEN 
Sophos 4.66.0 2011.06.23 Troj/Rootkit-JJ 
SUPERAntiSpyware 4.40.0.1006 2011.06.23 Trojan.Agent/Gen-FraudKit 
Symantec 20111.1.0.186 2011.06.23 - 
TheHacker 6.7.0.1.239 2011.06.23 Trojan/Agent.bkwm 
TrendMicro 9.200.0.1012 2011.06.23 TROJ_AGENT.SMC1 
TrendMicro-HouseCall 9.200.0.1012 2011.06.23 TROJ_AGENT.SMC1 
VBA32 3.12.16.2 2011.06.23 Rootkit.Agent.bkwm 
VIPRE 9665 2011.06.23 Rootkit.Win32.Agent.bkwm (v) 
ViRobot 2011.6.23.4529 2011.06.23 - 
VirusBuster 14.0.91.1 2011.06.22 Rootkit.Wigon.Gen.7 
Additional informationShow all  
MD5   : 75e2daa244107754c4e25c4aa2e86c2e 
SHA1  : 5008e9cb9b268755b1a6667cec90adcc5ec65132 
SHA256: 9d95b9d24992b73391eaa1224334606bd315a1918e035cbfba3ecbc3cef073fd 

et enfin l’ajout d’une autre clef Run :

Process:
Path: C:\\\\WINDOWS\\\\system32\\\\svchost.exe
PID: 2676
Information: Generic Host Process for Win32 Services (Microsoft Corporation)
Registry Group: Machine AutoRun
Object:
Registry key: HKLM\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\Run
Registry value: Regedit32
Type: REG_SZ
Value: C:\\\\WINDOWS\\\\system32\\\\regedit.exe

Le fichier aléatoire lance une instance de svchost.exe qui se connecte aux sites en SSL.

Cutwail le retour

 

Désinfection de Cutwail

Contrairement aux variantes précédentes qui étaient des rootkits assez sophistiqués et où la suppression pouvait poser problème.
Ici la partie rootkit est réinstallé à chaque démarrage par le processus aléatoires qui se lance en clef Run.
Dès lors la simple suppression (par exemple HijackThis) du lancement de ce processus fait que la partie rootkit n’est pas réinstallé.
Il suffit ensuite de supprimer le malware.

Un antivirus devrait, si le processus est détecté, ne pas avoir de difficultés à le supprimer.

 

Partie Spambot de Cutwail

Les connexions SMTP sont assez nombreuses, ce qui peut ralentir la connexion.

Cutwail le retour
Cutwail le retour


Cutwail le retour
Cutwail le retour


Date: Thu, 23 Jun 2011 11:02:46 +0100
From: Damian House <Johnathon@ctrip.com>
To: luannepacholec@dotstandards.com
Subject:    News
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en; rv:1.9.2.12) Gecko/20101027 Thunderbird/3.1.6
Get a diploma based on your real professional experience.
Dial this number:

Inside U.S.A.: 1-845-709-8044  Outside U.S.A.: +1-845-709-8044

Call them leaving your first and last name along with your telephone number on their voicemail and they will contact you very soon.

Cutwail le retour

Date: Thu, 23 Jun 2011 11:03:50 +0100
From: Erik Manning <Jim@ctrip.com>
To: blyuma.serebrinskaya@gmail.com
Subject: RE:  RE:On-Line -  canadianpharmacy -
X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net)

http://miturl.com/dzgf

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 34 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *