Stealer pour les nuls : exemple de vol de mot de passe

Un billet concernant les stealers.
Le but de ce billet est de vous montrer comment, il est « facile » de voler des informations sur un PC.
Ceci est pas forcément facile à illustrer, néanmoins sur les billets RAT, Bifrose, Cybergate, Spynet : Botnet pour les nuls ou Spyeye C&C et Business underground, vous aviez quelques autres exemples de vols de données.

Le malware vient du forum jeuxvideo.com (pour changer) avec un lien youtube.com

pour Pirater des mots de passes Facebook (pour changer encore) – la vidéo propose de télécharger et installer un programme pour pirater les comptes avec le lien megaupload en bas.
Du gros classique.


La détection du dropper : http://www.virustotal.com/file-scan/report.html?id=2b87d0a39ee31d7a12e0d9dc065ef5353ce676e61d9850ac47ac0c171a9e5944-1321291319

File name: Hack+Facebook.exe
Submission date: 2011-11-14 17:21:59 (UTC)
Current status: finished
Result: 8/ 42 (19.0%)	VT Community

Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.11.13.00	2011.11.13	-
AntiVir	7.11.17.159	2011.11.14	TR/Dropper.Gen
DrWeb	5.0.2.03300	2011.11.14	Trojan.DownLoader5.3395
Ikarus	T3.1.1.109.0	2011.11.14	Trojan-Dropper
Jiangmin	13.0.900	2011.11.14	TrojanDropper.Injector.cgu
McAfee	5.400.0.1158	2011.11.14	Artemis!068A98898189
McAfee-GW-Edition	2010.1D	2011.11.14	Artemis!068A98898189
Microsoft	1.7801	2011.11.14	HackTool:Win32/Mailpassview

Show all
MD5   : 068a9889818962b0db850f42176d1493
SHA1  : 99c07344d15b2568ec789a18b1a82dbdb01675fe
SHA256: 2b87d0a39ee31d7a12e0d9dc065ef5353ce676e61d9850ac47ac0c171a9e5944

La détection est offusquée par un crypter. Je vous passe outre la musique habituelle avec la clef Run pour lancer le malware à chaque démarrage blabla. Le fichier droppé est %TEMP%\Boudoire.exe Ce dernier lance à chaque démarrage des processus différents :

 

 

 

 

 

 

 

Ces processus sont des programmes de Nircmd – ces derniers permettent de dumper les mots de passes Firefox, Internet Explorer, Opera et Google Chrome. Mais aussi, MSN, mails et les clefs Windows. Ci-dessous les fichiers créés dans le répertoire Temp, on voit les dump avec les clefs ou les logins MSN / Facebook enregistrés dans le navigateur WEB :

 

 

A noter que le malware embarque aussi des possibilités de vols pour des jeux et autres.

 

Le malware se connecte ensuite au SMTP de gmail (smtp.gmail.com) sur son port 587 pour envoyer ce qui a été volé- sisisi je vous jure c’est vrai!

 

 

 

On peux récupérer l’adresse email utilisée elflicor@gmail.com qui est d’ailleurs le pseudo utilisé dans la vidéo – très certainement le même compte utilisé entre youtube et gmail.

 

Conclusion

 

Ce que je voulais montrer ici, c’est la facilité, ici via des outils annexes de récupérer des mots de passe ou clefs. Ce malware permet de le montrer de manière concrète ce qui est plus difficile avec des stealers plus professionnels comme Zbot/Spyeye ou tout est caché.

 

On voit ici que le  malware relève de la bidouille, très certainement récupéré par un internaute lambda, phénomène dont je parle sur la page RAT, Bifrose, Cybergate, Spynet : Botnet pour les nuls Si le dropper est assez mal détecté le fichier droppé l’est : http://www.virustotal.com/file-scan/report.html?id=ccd64aad5db1b4ca4dda20d10e20834a1520f17a75fc2bfe29f3ba652bb6caeb-1321285892

File name: Boudoire.exe
Submission date: 2011-11-14 15:51:32 (UTC)
Current status: finished
Result: 31 /41 (75.6%)	VT Community

Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.11.13.00	2011.11.13	Win-Trojan/Pwstealer.577238
AntiVir	7.11.17.159	2011.11.14	APPL/ChromePassV.1
Antiy-AVL	2.0.3.7	2011.11.14	Trojan/MSIL.Agent.gen
Avast	6.0.1289.0	2011.11.14	Win32:PSWtool-E [PUP]
AVG	10.0.0.1190	2011.11.14	Dropper.Generic2.YLZ
BitDefender	7.2	2011.11.14	Trojan.Generic.6519687
ClamAV	0.97.3.0	2011.11.14	PUA.PwTool.MailPassView-30
Commtouch	5.3.2.6	2011.11.14	W32/MalwareF.GGFZ
DrWeb	5.0.2.03300	2011.11.14	Trojan.PWS.Multi.188
Emsisoft	5.1.0.11	2011.11.14	Riskware.PSWTool.Win32!IK
eTrust-Vet	37.0.9565	2011.11.14	Win32/SillyPWS.CO
F-Prot	4.6.5.141	2011.11.14	W32/MalwareF.GGFZ
F-Secure	9.0.16440.0	2011.11.14	Trojan.Generic.6519687
GData	22	2011.11.14	Trojan.Generic.6519687
Ikarus	T3.1.1.109.0	2011.11.14	not-a-virus:PSWTool.Win32
Jiangmin	13.0.900	2011.11.14	Trojan/PSW.MSIL.vo
K7AntiVirus	9.119.5458	2011.11.14	Riskware
Kaspersky	9.0.0.837	2011.11.14	Trojan-PSW.MSIL.Agent.fk
McAfee	5.400.0.1158	2011.11.14	Generic PWS.dx
McAfee-GW-Edition	2010.1D	2011.11.14	Generic PWS.dx
Microsoft	1.7801	2011.11.14	Trojan:Win32/Dynamer!dtc
NOD32	6628	2011.11.14	MSIL/Spy.Agent.K
Norman	6.07.13	2011.11.14	W32/Suspicious_Gen2.BNHUJ
nProtect	2011-11-14.01	2011.11.14	Trojan/W32.Agent.577238
Panda	10.0.3.5	2011.11.14	Generic Trojan
PCTools	8.0.0.5	2011.11.14	Trojan.Gen
Sophos	4.71.0	2011.11.14	Mal/MSIL-A
TheHacker	6.7.0.1.342	2011.11.14	Trojan/MSIL.Agent.fk
VBA32	3.12.16.4	2011.11.14	TrojanPSW.MSIL.Agent.fk
VIPRE	11044	2011.11.14	Trojan.Win32.Generic!BT
VirusBuster	14.1.62.1	2011.11.14	Trojan.Dynamer!oZCyHgjr68w
Additional information

MD5   : 7d6b728c351dec47a70459eb41d63c19
SHA1  : 4ee702d7ae01b3d5f3d5d5cfc76ea3ab33ffef24
SHA256: ccd64aad5db1b4ca4dda20d10e20834a1520f17a75fc2bfe29f3ba652bb6caeb

A titre de comparaison, je vous mets ci-dessous deux des outils NirCmd utilisés – donc même si le fichier droppé est offusqué pour échapper aux détections, les outils utilisés peuvent potentiellement être détectés par les antivirus bien que certains antivirus comme Avast!  détecte ces outils en PUP – détection qui n’est pas activée par défaut.

http://www.virustotal.com/file-scan/report.html?id=dc64825cf0d635320d4f72e70695084faf548ded12e5daf7ebc335cad64bc1fd-1321292226

File name: mailpv.exe
Submission date: 2011-11-14 17:37:06 (UTC)
Current status: finished
Result: 27/ 42 (64.3%)	VT Community

Print results  Antivirus	Version	Last Update	Result
AntiVir	7.11.17.162	2011.11.14	APPL/PSW.MailPassView.EL.5
Avast	6.0.1289.0	2011.11.14	Win32:PSWtool-K [PUP]
AVG	10.0.0.1190	2011.11.14	HackTool.QUD
BitDefender	7.2	2011.11.14	Gen:Application.Heur.dmKfbiEbC2iO
ClamAV	0.97.3.0	2011.11.14	PUA.PwTool.MailPassView-30
Commtouch	5.3.2.6	2011.11.14	W32/PassWordTool.A
DrWeb	5.0.2.03300	2011.11.14	Tool.MailPassView.154
Emsisoft	5.1.0.11	2011.11.14	Riskware.PSWTool.Win32.MailPassView.el!A2
F-Prot	4.6.5.141	2011.11.14	W32/PassWordTool.A
F-Secure	9.0.16440.0	2011.11.14	Gen:Application.Heur.dmKfbiEbC2iO
Fortinet	4.3.370.0	2011.11.14	W32/Malware_fam.NB
GData	22	2011.11.14	Gen:Application.Heur.dmKfbiEbC2iO
McAfee	5.400.0.1158	2011.11.14	PWCrack-MailPassView
McAfee-GW-Edition	2010.1D	2011.11.14	PWCrack-MailPassView
Microsoft	1.7801	2011.11.14	HackTool:Win32/Mailpassview
NOD32	6629	2011.11.14	Win32/PSWTool.MailPassView.E
Norman	6.07.13	2011.11.14	Suspicious_Gen2.AMKGI
nProtect	2011-11-14.01	2011.11.14	Gen:Application.Heur.dmKfbiEbC2iO
Panda	10.0.3.5	2011.11.14	HackTool/MailPassView.P
PCTools	8.0.0.5	2011.11.14	SecurityRisk.PasswordRevealer
Rising	23.84.00.01	2011.11.14	Trojan.Win32.Generic.11F0FCF5
Sophos	4.71.0	2011.11.14	NirSoft
SUPERAntiSpyware	4.40.0.1006	2011.11.14	Trojan.Agent/Gen-MailPass
Symantec	20111.2.0.82	2011.11.14	PasswordRevealer
VIPRE	11045	2011.11.14	Nirsoft Password Recovery (not malicious)
ViRobot	2011.11.14.4772	2011.11.14	Not_a_virus:PSWTool.MailPassView.50176.D
VirusBuster	14.1.63.0	2011.11.14	HackTool.PSWTool!gTlhEmL7ZNE

MD5   : 29beed02d9e57505cf5f34edf24dba1c
SHA1  : 12f3cb339c182bcc62a369a92db2da45aab64f5e
SHA256: dc64825cf0d635320d4f72e70695084faf548ded12e5daf7ebc335cad64bc1fd

http://www.virustotal.com/file-scan/report.html?id=dbc2216d5f31f5218e940e3d802998dee90eeb69af69cbeb063c69c6a5a3f1e1-1321292234

File name: iepv.exe
Submission date: 2011-11-14 17:37:14 (UTC)
Current status: finished
Result: 26/ 42 (61.9%)	VT Community

Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.11.13.00	2011.11.13	Win-AppCare/HackTool.43520
AntiVir	7.11.17.162	2011.11.14	SPR/IEPassView.T
Avast	6.0.1289.0	2011.11.14	Win32:PSWtool-H [PUP]
AVG	10.0.0.1190	2011.11.14	HackTool.IMA
BitDefender	7.2	2011.11.14	Application.NirSoft.IEPassView.C
ClamAV	0.97.3.0	2011.11.14	PUA.PwTool.IEPassView-4
Commtouch	5.3.2.6	2011.11.14	W32/SniffPass.A
Comodo	10778	2011.11.14	ApplicUnsaf.Win32.PSW.IEPass.~A
DrWeb	5.0.2.03300	2011.11.14	Tool.PassView.13
Emsisoft	5.1.0.11	2011.11.14	Riskware.PSWTool.IEPassV!IK
F-Prot	4.6.5.141	2011.11.14	W32/SniffPass.A
F-Secure	9.0.16440.0	2011.11.14	Riskware:W32/Mailpassview
Fortinet	4.3.370.0	2011.11.14	HackerTool/NetPass
GData	22	2011.11.14	Application.NirSoft.IEPassView.C
Ikarus	T3.1.1.109.0	2011.11.14	not-a-virus.PSWTool.IEPassV
K7AntiVirus	9.119.5458	2011.11.14	Unwanted-Program
McAfee	5.400.0.1158	2011.11.14	PWCrack-IEPV
McAfee-GW-Edition	2010.1D	2011.11.14	PWCrack-IEPV
Microsoft	1.7801	2011.11.14	HackTool:Win32/Passview
NOD32	6629	2011.11.14	Win32/PSWTool.IEPassView.117
nProtect	2011-11-14.01	2011.11.14	Trojan/W32.Agent.43520.FY
Rising	23.84.00.01	2011.11.14	Trojan.Win32.Generic.11F2E147
Sophos	4.71.0	2011.11.14	NirSoft
VBA32	3.12.16.4	2011.11.14	Trojan-Spy.IEPV
VIPRE	11045	2011.11.14	Nirsoft Password Recovery (not malicious)
ViRobot	2011.11.14.4772	2011.11.14	Not_a_virus:PSWTool.NetPass.43520.E

MD5   : 28c110b8d0ad095131c8d06043678086
SHA1  : c684cf321e890e0e766a97609a4cde866156d6c5
SHA256: dbc2216d5f31f5218e940e3d802998dee90eeb69af69cbeb063c69c6a5a3f1e1

 

Autre exemple de stealer maison sur le billet : Stealer par crack (suite)

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 793 times, 1 visits today)

6 thoughts on “Stealer pour les nuls : exemple de vol de mot de passe

  1. Pour info, le stealer employé ressemble à un « ziane stealer »…

    jme pose la question : comment signaler à google un compte gmail qui sert de dépôt ?

  2. Voir là : http://www.google.com/support/a/bin/answer.py?answer=134413

    Celui-ci a l’air d’être un one shot : http://r.virscan.org/report/232fbe1e437bf7614b9b40a1d83af0f6.html
    http://www3.malekal.com/malwares/index.php?&hash=4174e87a532e2571147309c020afefce

    Tu le lances, ça récup les trucs et ça les envoies.
    Ca se met pas au démarrage.

    Nom de fichier : a.exe
    Taille du fichier : 143872 byte
    Type de fichier : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
    MD5 : 4174e87a532e2571147309c020afefce
    SHA1 : c2238033d825a24be3158e099cbeccfc98b15387
    51% (19/37) a trouvé un malware !

    Scanner Vers. moteur Vers. Sig. Date Sig. Résultat du scan Temps
    a-squared 5.1.0.4 20111117190250 2011-11-17 Trojan.SuspectCRC!IK 1.777
    AntiVir 8.2.6.112 7.11.17.206 2011-11-17 TR/Gendal.KD.373149 0.277
    Arcavir 2011 201111161449 2011-11-16 Trojan.Jorik.Fynloski.kz 3.434
    AVAST! 4.7.4 111117-0 2011-11-17 Win32:Malware-gen 0.019
    AVG 10.0.1405 2090/4022 2011-11-17 Generic25.YNT 1.557
    Dr.Web 5.0.2.3300 2011.11.17 2011-11-17 Trojan.Inject.55450 44.716
    F-Secure 7.02.73807 2011.11.17.03 2011-11-17 Trojan.Win32.Inject.bnvw [AVP] 217.488
    GData 22.2813 20111117 2011-11-17 Trojan.Generic.KD.373149 [Engine:A] 7.292
    Ikarus T3.1.32.20.0 2011.11.17.79815 2011-11-17 Trojan.SuspectCRC 10.175
    JiangMin 13.0.900 2011.11.16 2011-11-16 Trojan/Generic.osxh 21.347
    Kaspersky 5.5.10 2011.11.17 2011-11-17 Trojan.Win32.Inject.bnvw 0.069
    McAfee 5400.1158 6532 2011-11-16 Generic.tfr!u 20.370
    Microsoft 1.7801 2011.11.17 2011-11-17 Trojan:Win32/Malagent 13.542
    NOD32 3.0.21 6633 2011-11-15 a variant of MSIL/Injector.MJ trojan 0.539
    The Hacker 6.7.0.1 v00344 2011-11-16 Trojan/Generic.mj 13.119
    VBA32 3.12.16.4 20111115.1112 2011-11-15 Trojan.Llac.bagh 5.116
    VirusBuster 5.4.0.10 14.1.67.1/6821040 2011-11-17 Worm.AutoRun!4iq78pGmvro

  3. Intéressant comme démo mais si une telle chose est possible, c’est clairement une faille des navigateurs! Ne font-ils donc rien? Car il me semble que ça dure depuis un bon bout de temps ces manipulations. Ca m’étonne quand même que cela soit encore possible.

    Comment se fait-il que les infos stockées par les navigateurs (cache, cookies…) ne sont-elles pas plus protégées, comme par exemple avec un chiffrement?

    Encore une raison pour ne pas stocker de mots de passes sensibles dans le navigateur même ou via des cookies.

  4. les mots de passes ont beau êtres stockées chiffrés dans les navigateurs, le navigateur doit les transmettre au site webs en clair… donc les déchiffrer….

    A moins de mettre un mot de passe maitre , ce que par exemple firefox permet..

    La, les stealers se cassent les dents…

    sinon les versions portables des navigateurs ne semblent pas encore ciblées …

  5. Du smtp… y’a mieux avec « ***stealer », connection à une interface web, dépôt de log, cryptage aes 256, et bien plus… donc ce genre de reverse engineering reste futile voir inefficace. Sauf dans un cas de dépôt de fichier dans un server ftp.
    M’enfin, je dirais que la technologie évolue. . .

  6. Cryptage (déjà on dit CHIFFREMENT) de quoi?

    des logs? on s’en fout.
    des identifiants? mouarf.
    Soit tu les transmet en clair /base64 et la ya Wireshark
    Soit c’est transmit en SSL et là encore ya des outils pour ca (c’est un chouia plus complexe)

    Que cela soit du ftp ou du mail, même combat.
    Tu peut chiffrer cque tu veut dans le stub, ca change que dalle mon pote 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *