Stealer/Spambot : le combo gagnant !

Ajourd’hui une des VM pourries est allé chercher un fichier sur hxxp://91.212.135.158/svhost.exe
91.212.135.158 étant……………. en Russie !
Ce fichier fait partie d’une infection avec deux autres malwares.


Dont voici les lignes HijackThis :
F2 – REG:system.ini: Shell=Explorer.exe C:\Documents and Settings\Mak\Bureau\13008752283940.exe
F3 – REG:win.ini: load=C:\Documents and Settings\Mak\Bureau\13008752283940.exe
F2 – REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Mak\Bureau\13008752283940.exe
O4 – HKLM\..\Run: [svhosts] C:\Documents and Settings\Mak\Bureau\13008752283940.exe
O4 – HKCU\..\Run: [Microsoft Security Essentials] C:\WINDOWS\winlogon_37.exe

Le premier fichier winlogon_37.exe se lance par une clef Run, il prend ensuite le contrôle d’explorer.exe (dans le cas d’un firewall mal configuré, explorer.exe peut effectuer des connexions sortantes) :

On voit que le malware est capable d’effectuer des POSTS sur une url /gateway/report

ce qui donne les connexions suivantes :
1300876202.566    359 192.168.1.27 TCP_MISS/200 520 GET http://www.virustotal.com/get_updates.json?_=1300875966903 – DIRECT/74.53.201.162 application/json
1300876741.830    729 192.168.1.27 TCP_MISS/200 1018 POST http://91.212.135.158/gateway/index – DIRECT/91.212.135.158 text/html
1300876836.244    705 192.168.1.27 TCP_MISS/200 1018 POST http://91.212.135.158/gateway/index – DIRECT/91.212.135.158 text/html
1300877124.296  58764 192.168.1.27 TCP_MISS/000 0 POST http://bops.home.kg/xz5.php – DIRECT/91.220.35.149 –
1300877176.367    677 192.168.1.27 TCP_MISS/200 1026 POST http://91.212.135.158/gateway/index – DIRECT/91.212.135.158 text/html

avec des paramètres envoyées à l’url (version du bot, CLSID de la machine etc) : botver=3.0.2&build=twotwo&profile={8d1b1740-d108-11de-b9df-806d6172696f}MakMAKKK

On voit que les IP du C&C et des malwares téléchargés sont les mêmes.

La détection est relativement mauvaise :
http://www.virustotal.com/file-scan/report.html?id=39db13d54b0efa42713d5cffd81285cb0056451739fbf6075385898eca976040-1300876620

File name: svhost.exe
Submission date: 2011-03-23 10:37:00 (UTC)
Current status: finished
Result: 2/ 41 (4.9%)

Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2011.03.23.01    2011.03.23    –
AntiVir    7.11.5.35    2011.03.23    –
Antiy-AVL    2.0.3.7    2011.03.22    –
Avast    4.8.1351.0    2011.03.22    –
Avast5    5.0.677.0    2011.03.22    –
AVG    10.0.0.1190    2011.03.23    –
BitDefender    7.2    2011.03.23    –
CAT-QuickHeal    11.00    2011.03.23    –
ClamAV    0.96.4.0    2011.03.23    –
Commtouch    5.2.11.5    2011.03.22    –
Comodo    8073    2011.03.23    –
DrWeb    5.0.2.03300    2011.03.23    –
eSafe    7.0.17.0    2011.03.22    –
eTrust-Vet    36.1.8231    2011.03.23    –
F-Prot    4.6.2.117    2011.03.22    –
F-Secure    9.0.16440.0    2011.03.23    –
Fortinet    4.2.254.0    2011.03.23    –
GData    21    2011.03.23    –
Ikarus    T3.1.1.97.0    2011.03.23    –
Jiangmin    13.0.900    2011.03.23    –
K7AntiVirus    9.94.4188    2011.03.23    –
McAfee    5.400.0.1158    2011.03.23    –
McAfee-GW-Edition    2010.1C    2011.03.23    –
Microsoft    1.6603    2011.03.23    –
NOD32    5976    2011.03.22    –
Norman    6.07.03    2011.03.22    –
nProtect    2011-02-10.01    2011.02.15    –
Panda    10.0.3.5    2011.03.22    –
PCTools    7.0.3.5    2011.03.21    –
Prevx    3.0    2011.03.23    High Risk Cloaked Malware
Rising    23.50.01.06    2011.03.22    Suspicious
Sophos    4.63.0    2011.03.23    –
SUPERAntiSpyware    4.40.0.1006    2011.03.23    –
Symantec    20101.3.0.103    2011.03.23    –
TheHacker    6.7.0.1.155    2011.03.23    –
TrendMicro    9.200.0.1012    2011.03.23    –
TrendMicro-HouseCall    9.200.0.1012    2011.03.23    –
VBA32    3.12.14.3    2011.03.23    –
VIPRE    8790    2011.03.23    –
ViRobot    2011.3.23.4372    2011.03.23    –
VirusBuster    13.6.264.0    2011.03.22    –
Additional information
MD5   : 85fbdde8cab1efcced70658cf30eee5f
SHA1  : d34b36ca26e7059ad17c59866e0c503b31b07d73
SHA256: 39db13d54b0efa42713d5cffd81285cb0056451739fbf6075385898eca976040

A69DDE~1.EXE lui est un Stealer – il s’attaque au mot de passe des navigateurs et client FTP. D’où la recrudescence des Hack WEB site par vol FTP

La détection est relativement bonne – Microsoft a créé une famille : PWS:Win32/Codtree

http://www.virustotal.com/file-scan/report.html?id=fe92f68c0b0506a1a75c9e1e33614bb481e984234d9367a27e2d286cf9e22599-1300877313

File name: A69DDE~1.EXE
Submission date: 2011-03-23 10:48:33 (UTC)
Current status:
finished
Result: 13/ 41 (31.7%)

VT Community

not reviewed
Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2011.03.23.01    2011.03.23    Worm/Win32.Agent
AntiVir    7.11.5.35    2011.03.23    Worm/Agent.YA.1
Antiy-AVL    2.0.3.7    2011.03.22    –
Avast    4.8.1351.0    2011.03.22    Win32:Zbot-MZV
Avast5    5.0.677.0    2011.03.22    Win32:Zbot-MZV
AVG    10.0.0.1190    2011.03.23    Generic21.BAZT
BitDefender    7.2    2011.03.23    Trojan.Generic.KDV.162683
CAT-QuickHeal    11.00    2011.03.23    –
ClamAV    0.96.4.0    2011.03.23    –
Commtouch    5.2.11.5    2011.03.22    –
Comodo    8073    2011.03.23    –
DrWeb    5.0.2.03300    2011.03.23    –
eSafe    7.0.17.0    2011.03.22    –
eTrust-Vet    36.1.8231    2011.03.23    –
F-Prot    4.6.2.117    2011.03.22    –
F-Secure    9.0.16440.0    2011.03.23    Trojan.Generic.KDV.162683
Fortinet    4.2.254.0    2011.03.23    –
GData    21    2011.03.23    Trojan.Generic.KDV.162683
Ikarus    T3.1.1.97.0    2011.03.23    IM-Worm.Win32.Agent
Jiangmin    13.0.900    2011.03.23    –
K7AntiVirus    9.94.4188    2011.03.23    –
McAfee    5.400.0.1158    2011.03.23    –
McAfee-GW-Edition    2010.1C    2011.03.23    –
Microsoft    1.6603    2011.03.23    PWS:Win32/Codtree.gen!A
NOD32    5977    2011.03.23    a variant of Win32/Injector.FIC
Norman    6.07.03    2011.03.22    –
nProtect    2011-02-10.01    2011.02.15    –
Panda    10.0.3.5    2011.03.22    –
PCTools    7.0.3.5    2011.03.21    –
Prevx    3.0    2011.03.23    High Risk Fraudulent Security Program
Rising    23.50.01.06    2011.03.22    –
Sophos    4.63.0    2011.03.23    –
SUPERAntiSpyware    4.40.0.1006    2011.03.23    –
Symantec    20101.3.0.103    2011.03.23    –
TheHacker    6.7.0.1.155    2011.03.23    –
TrendMicro    9.200.0.1012    2011.03.23    –
TrendMicro-HouseCall    9.200.0.1012    2011.03.23    –
VBA32    3.12.14.3    2011.03.23    –
VIPRE    8790    2011.03.23    Trojan.Win32.Generic.pak!cobra
ViRobot    2011.3.23.4372    2011.03.23    –
VirusBuster    13.6.264.0    2011.03.22    –
Additional information
MD5   : 09c78bee1c1c8ec6db09d22fad311a6f
SHA1  : 4ea2eb1ad125f6e64d494b520c889b909ae208e9
SHA256: fe92f68c0b0506a1a75c9e1e33614bb481e984234d9367a27e2d286cf9e22599

Le 3e est un Spambot – On peux voir les échanges de connexions avec toujours la même IP 91.212.135.158 (port 5678) et la récupération des adresses Email, templates, messages qui seront envoyés.

Voici l’intégralité : Template de SPAM

On peux voir les connexions SMTP effectuées par le malware :

La campagne de SPAM se portant sur le Viagra… :

La détection de ce dernier est excellente :

File name: svchost.exe
Submission date: 2011-03-21 13:04:21 (UTC)
Current status: finished
Result: 26 /41 (63.4%)
VT Community

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.03.21.01 2011.03.21 Downloader/Win32.Agent
AntiVir 7.11.5.5 2011.03.21 TR/Malagent.A.569
Antiy-AVL 2.0.3.7 2011.03.20 Trojan/Win32.Agent.gen
Avast 4.8.1351.0 2011.03.21 Win32:Malware-gen
Avast5 5.0.677.0 2011.03.21 Win32:Malware-gen
BitDefender 7.2 2011.03.21 Trojan.Generic.KD.159952
CAT-QuickHeal 11.00 2011.03.21 –
ClamAV 0.96.4.0 2011.03.20 –
Commtouch 5.2.11.5 2011.03.21 –
Comodo 8057 2011.03.21 Heur.Suspicious
Emsisoft 5.1.0.4 2011.03.21 Trojan-Dropper.Agent!IK
eSafe 7.0.17.0 2011.03.17 –
eTrust-Vet 36.1.8226 2011.03.21 –
F-Prot 4.6.2.117 2011.03.21 –
F-Secure 9.0.16440.0 2011.03.21 Trojan.Generic.KD.159952
Fortinet 4.2.254.0 2011.03.21 –
GData 21 2011.03.21 Trojan.Generic.KD.159952
Ikarus T3.1.1.97.0 2011.03.21 Trojan-Dropper.Agent
Jiangmin 13.0.900 2011.03.21 –
K7AntiVirus 9.94.4164 2011.03.21 –
Kaspersky 7.0.0.125 2011.03.21 Trojan-Downloader.Win32.Agent.gabi
McAfee 5.400.0.1158 2011.03.21 Generic Downloader.x!erp
McAfee-GW-Edition 2010.1C 2011.03.21 Generic Downloader.x!erp
Microsoft 1.6603 2011.03.21 Trojan:Win32/Malagent
NOD32 5970 2011.03.21 Win32/TrojanProxy.Agent.NEL
Norman 6.07.03 2011.03.20 W32/Suspicious_Gen2.JJBSL
nProtect 2011-02-10.01 2011.02.15 –
Panda 10.0.3.5 2011.03.20 Trj/CI.A
PCTools 7.0.3.5 2011.03.21 Trojan.FakeAV!rem
Prevx 3.0 2011.03.21 Medium Risk Malware Dropper
Rising 23.50.00.05 2011.03.21 Trojan.Win32.Generic.12817389
Sophos 4.63.0 2011.03.21 Mal/Generic-L
SUPERAntiSpyware 4.40.0.1006 2011.03.20 Trojan.Agent/Gen-FakeAlert[Steam]
Symantec 20101.3.0.103 2011.03.21 Trojan.FakeAV
TheHacker 6.7.0.1.154 2011.03.21 –
TrendMicro 9.200.0.1012 2011.03.21 –
TrendMicro-HouseCall 9.200.0.1012 2011.03.21 TROJ_DLOADR.ASM
VBA32 3.12.14.3 2011.03.21 –
VIPRE 8771 2011.03.21 Trojan-Downloader.Win32.Agent
ViRobot 2011.3.21.4368 2011.03.21 –
VirusBuster 13.6.260.1 2011.03.21 –
Additional informationShow all
MD5   : 7cdfb89e86b105c4098182bb54b51536
SHA1  : c00f6e6c0f1a5ee9534792cd392635fe8c0a7c9a
SHA256: cc12bc32fdf0b86e49fab17c603144a2c2c16534eaf383d43bd792b0f725c7ca

Bref aux pays des bots, rien de vraiment nouveau, le combo qui marche bien pour monétiser son botnet… un Spambot et un Stealer (revente d’identifiants ou pour modifier des sites existants etc).

 

EDIT :

Le spambot est aussi connue sous le nom TrojanProxy:Win32/Verind.A
Déjà rencontré par le passé : http://forum.malekal.com/http-svurrzgv-index4-php-src-241-gpr-tkr-06261410882291006-tkri-1e196b5760ba680c22e88de8e29981d6-t26774.html
La caractéristique étant le nom aléatoire du fichier dans le dossier system32.
Beaucoup de drops ces derniers temps pour ce malware mais les détections sont relativement bonnes.

File name: mduxw4ef.exe
Submission date: 2011-03-27 00:26:58 (UTC)
Current status: finished
Result: 37 /42 (88.1%)
VT Community

malware
Safety score: 0.0%

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.03.26.00 2011.03.25 Win-Trojan/Fakeav.22528.H
AntiVir 7.11.5.79 2011.03.25 TR/Verind.24576
Antiy-AVL 2.0.3.7 2011.03.26 Trojan/Win32.Agent.gen
Avast 4.8.1351.0 2011.03.26 Win32:Malware-gen
Avast5 5.0.677.0 2011.03.26 Win32:Malware-gen
AVG 10.0.0.1190 2011.03.26 Generic19.MGP
BitDefender 7.2 2011.03.26 Gen:Variant.TDss.24
CAT-QuickHeal 11.00 2011.03.26 TrojanProxy.Verind.a
ClamAV 0.96.4.0 2011.03.26 –
Commtouch 5.2.11.5 2011.03.24 –
DrWeb 5.0.2.03300 2011.03.26 Trojan.Proxy.18252
Emsisoft 5.1.0.4 2011.03.26 Trojan-Proxy.Win32.Agent!IK
eSafe 7.0.17.0 2011.03.24 Win32.GenVariant.Tds
eTrust-Vet None None.. –
F-Prot 4.6.2.117 2011.03.25 –
F-Secure 9.0.16440.0 2011.03.23 Gen:Variant.TDss.24
Fortinet 4.2.254.0 2011.03.26 W32/PackTDssfilter.I!tr
GData 21 2011.03.26 Gen:Variant.TDss.24
Ikarus T3.1.1.97.0 2011.03.26 Trojan-Proxy.Win32.Agent
Jiangmin 13.0.900 2011.03.26 TrojanProxy.Agent.cmy
K7AntiVirus 9.94.4219 2011.03.26 Proxy-Program
Kaspersky 7.0.0.125 2011.03.26 Trojan-Proxy.Win32.Agent.dab
McAfee 5.400.0.1158 2011.03.26 FakeAlert-MalDoctor.c
McAfee-GW-Edition 2010.1C 2011.03.26 FakeAlert-MalDoctor.c
Microsoft 1.6702 None.. TrojanProxy:Win32/Verind.A
NOD32 5987 2011.03.26 Win32/Small.BB
Norman 6.07.03 2011.03.26 W32/Suspicious_Gen2.CHICQ
nProtect 2011-02-10.01 2011.02.15 Gen:Variant.Tdss.24
Panda 10.0.3.5 2011.03.26 Generic Trojan
PCTools 7.0.3.5 2011.03.26 Trojan.Gen
Prevx 3.0 2011.03.27 Medium Risk Malware
Rising 23.50.05.05 2011.03.26 Trojan.Win32.Generic.1242772E
Sophos 4.64.0 2011.03.26 Mal/FakeAV-CS
SUPERAntiSpyware 4.40.0.1006 2011.03.26 Trojan.Agent/Gen
Symantec 20101.3.0.103 2011.03.26 Trojan.Gen
TheHacker 6.7.0.1.156 2011.03.25 Trojan/Kryptik.bua
TrendMicro 9.200.0.1012 2011.03.26 TROJ_PROXY.AIO
TrendMicro-HouseCall 9.200.0.1012 2011.03.26 TROJ_PROXY.AIO
VBA32 3.12.14.3 2011.03.25 –
VIPRE 8824 2011.03.26 VirTool.Win32.Obfuscator.da!a (v)
ViRobot 2011.3.26.4378 2011.03.26 Trojan.Win32.Proxy.22528.R
VirusBuster 13.6.270.0 2011.03.25 Trojan.Small!BfLXoWgc3gQ
Additional informationShow all
MD5   : b7e06dc9f0c028f55f94a4ca44943f5a
SHA1  : 3e4b8456996da261c138acb69120f83a8be53809
SHA256: f0d33b4a20c5e1d4be2c2feb0acb34f6e245c3c2dcfdcab1fe33f106bec69ae3

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 24 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *