Hier et quelques jours auparavant, des sujets similaires pour une campagne du RAT (Remote Access Tool) NanoCore NanoCore est donc un malware de type Backdoor qui permet le contrôle à distance de l’ordinateur et faire à peu près tout : contrôler la souris, effectuer des captures d’écran, activer la Webcam et […]

Found some IRCBots thoses last days, well detected (arond 27 on VirusTotal). https://www.virustotal.com/fr/file/ba66dde2ea247acc8dd85fb6e5bea5929db70f7288e26ff4afcfa69b4426fa00/analysis/ https://www.virustotal.com/fr/file/c72c0c6ca9657edee9e730027eafc6c9a041b0ddc68820983e00d5c3389dde9a/analysis/ https://www.virustotal.com/fr/file/80ffe2bbe9e6185f42c4144246b21b7af953d025f21d65a5d10607cbb594bb8b/analysis/ Theses IRCBackdoor connect to irc.overthetopseo.com (167.114.77.30 – OVH CA) Notice the « Guy » name in the domain registration informations : Registrant Name: Guy Shitrit Registrant Organization: Guy Shitrit Registrant Street: Henriyeta Sold Registrant City: Qiryat Bialik […]

Je regardais les logs modsec de quelques serveurs, celui-ci a attiré mon attention : Une machine OVH 91.121.87.116 qui tente une attaque PHP-CGI (CVE-2012-1823 ), le script complet est disponible là : http://pjjoint.malekal.com/files.php?read=20140331_g13q9u5i11j6 Ce dernier test les connexions SSH, le script a pour but de dropper un shell sur la machine victime. Un […]

Voici un petit billet concernant une infection trouvée sur des serveurs que j’administre depuis peu. Tout commence par une alerte par mail de Munin fraîchement mis en place. Munin est un grapher rddtools qui envoie des alertes lorsque des seuils sont dépassés, en l’occurrence ici, c’était la CPU. Ce qui est […]

Il y a quelques jours, j’ai eu un sujet virus gendarmerie où la personne clamait avoir choppé cela après un téléchargement depuis un site WEB : https://forum.malekal.com/virus-interpol-agence-nationale-secu-t45704.html#p359076 Lors de la visite sur le site web, on se trouve avec une message « Flash Player required for this website, click Download NOW » – […]

Aujourd’hui, la seconde attaque venant d’une IP OVH a attiré mon attention : https://www.malekal.com/modsec/index.php?ip=37.187.77.137   L’exploit se situe là : POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1 Décodé on obtient : cgi-bin/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions= » » -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -d auto_prepend_file=php://input -n C’est un exploit qui tire […]

Trouvés par S!Ri, il ya quelques jours : http://botnets-urz.blogspot.co.uk/2013/01/srv5050co-ngrbot.html http://botnets-urz.blogspot.co.uk/2013/01/46166177124.html Une Backdoor IRC (Je ne pense pas que ce soit un nrgbot / Dorkbot) qui sévit sur Skype. Mais plutôt une Backdoor IRC qui ressemble assez à celle qui sévissiant sur MSN en 2006/2007 : https://forum.malekal.com/vers-virus-msn-et-arnaques-sur-msn.html Le lien envoyé se trouve […]

Une page concernant le Malware Backdoor.Proxybox. Ce malware transforme le PC en proxy, le faisant joindre un botnet, qui permet ensuite d’être vendu dans le milieu underground. J’ai rencontré deux fois ce dernier dans des packs via l’exploit Kit Redkit avec notamment le scareware Live Security Platinum, ZeroAccess/Sirefef et quelques […]

Je survolais la maillinglist d’OVH – quand le message suivant m’a interpelé : suivi du message suivant :   Ceci m’a fait penser au topic suivant : https://forum.malekal.com/sites-web-hackes-via-iframe-vpn-sniffage-t38819.html Du coup j’ai loadé l’infection, ce qui nous donne : TCP_MISS/302 431 GET http://luditla.ru/count20.php – DIRECT/50.88.174.84 – TCP_MISS/200 12715 GET http://79.96.76.203/99960006.html – […]

Un billet en mode revue de presse concernant l’infection Flashback qui a fait couler pas mal d’encre ces dernières semaines. Le malware a vu le jour courant septembre 2011, ce dernier se présentait sous forme de mise à jour Flash ou de pluggin Flash (Potentiellement sous forme de faux Codec. […]

Suite à l’édition du sujet sur ZeroAcess version 32bits où l’infection voit un retour d’un module qui repatch un driver système dans le cas où celui est nettoyé, rendant TDSSKiller inefficace (tant que le module n’est pas détecté). Je voulais voir ce que donnait les ZeroAccess Remover proposait par les […]

J’en avais déjà parlé sur un post de fin de 2010 : https://www.malekal.com/2010/12/07/slenfbot-still-an-other-irc-bot/ Cet IRC Backdoor de 2007/2008 est encore actif puisque croisé tout récemment sur un post de Commentcamarche.   Ci-dessous un exemple de lien malicieux envoyé par Skype : Comme expliqué dans le billet initial, le malware va se […]

Vu sur le site de tracking : La détection : http://www.virustotal.com/file-scan/report.html?id=2c25ce96d0ff48e04f78feba934e1827fd1ef390119958b010042ec73ca5bddd-1324409285 File name: bda4825f2cdd1ce0690ee0ba3d081266 Submission date: 2011-12-20 19:28:05 (UTC) Current status: finished Result: 3 /43 (7.0%) AhnLab-V3 2011.12.19.03 2011.12.19 Spyware/Win32.Zbot Fortinet 4.3.388.0 2011.12.20 W32/CRYPT.SMO!tr Microsoft 1.7903 2011.12.20 Backdoor:Win32/Gspy.A MD5 : bda4825f2cdd1ce0690ee0ba3d081266 SHA1 : 460c1d178dada1d447aa85960cc10a03941c88e8 SHA256: 2c25ce96d0ff48e04f78feba934e1827fd1ef390119958b010042ec73ca5bddd Le malware se charge par […]

Hier j’ai pas mal bourriné sur le site de tracking en soumissions de malwares présents sur des BlackHole Deux malwares au noms inconnus ont attiré mon attention : Ransom.Win32.Birele et Backdoor.Win32.Papras Ransom.Win32.Birele Se lance par une simple Clef Run – Ce dernier crypte les documents et réclame 50 $ pour débloquer […]

Suite en quelque sorte du billet planete-lolo : cracks et….. RATs – où je suis depuis quelques jours les cracks qui y sont postés sur ce boad Warez. La majorité sont des malwares et notamment, il y a une campagne de malware détecté en Backdoor:Win32/Fynloski.A par Microsoft qui sont postés par le même […]

Bagle est un vers qui se propageaint par P2P qui a fait fureur entre 2007 et 2008 (voir sa fiche sur le forum https://forum.malekal.com/bagle-beagle-trojan-tooso-t4442.html?hilit=bagle#p29938 ). Ce dernier créés des droppers zippés avec des noms de cracks et les plaçait dans le dossier de partages du client P2P. L’internaute qui téléchargeait des […]

Il y a quelques temps, j’avais rédigé le billet RAT, Bifrose : Botnet pour les nuls qui survolait le fonctionnement des RATS, Brifrose, Cybergate.. sur le billet, on avait comme exemple d’un botnet sur SFR. En faisant une désinfection sur CommentCamarche : http://www.commentcamarche.net/forum/affich-23144480-cftmon-exe-lance-le-processus-firefox-exe (un possible second cas http://www.commentcamarche.net/forum/affich-23143917-winboot-exe-et-iexplorer-infectes) Je suis tombé sur un autre Cybergate […]

Après les Zbot et Spyeye, les deux stealers plus répandus, je vous présente un nouveau stealer : Backdoor.Win32.Shiz La détection Backdoor.Win32.Shiz.A est de 2009 chez Kaspersky : http://www.securelist.com/en/descriptions/5178490/Backdoor.Win32.Shiz.a La détection PWS:Win32/Simda.gen!A  de Microsoft est de Mai 2011 : http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=PWS%3AWin32%2FSimda.gen!A Ce dernier semble relativement actif chez VirusWatch : Injection Winlogon.exe Le malware joue avec les […]

Un nouveau fichier a été uploadé winlogon.exe.Trojan.Esfury.exe : http://upload.malekal.com/xxxxxxx/winlogon.exe.Trojan.Esfury.exe La taille du fichier est : 77824 Le hash est: c91b9aaebb40fec1c21b926a2eca8806 dont voici la détection : http://www.virustotal.com/file-scan/report.html?id=863c526d186f35bb07d73d5460115d514b9c0e6e52ddca1c2faf33b4c9ec403d-1313473172   File name: uIaU3k3kzmh4Otjy73o.exe Submission date: 2011-08-16 05:39:32 (UTC) Current status: finished Result: 19 /43 (44.2%) Compact Print results Antivirus Version Last Update Result […]

Trojan.Win32.Jorik.Skor est une famille de malware très active qui se propage par faux codecs etcracks/keygens (peut-être installé par d’autres botnets comme par exemple les Backdoor.IRC). Voici un exemple d’un dropper de cette famile ramassé sur un blog Warez à l’heure où sont écrites ces lignes : http://droolenway.org/ et bien sûr […]

Backdoor.Win32.Buterat est une backdoor de type stealer qui vise en autre les mots de passe des navigateurs WEB. Détection de Backdoor.Win32.Buterat : netprotocole.exe Ajoute la ligne suivante sur HijackThis : O4 – HKLM\..\Run: [Netprotocol] C:\Documents and Settings\Mak\Application Data\netprotocol.exe ainsi que le fichier : C:\Documents and Settings\Mak\Application Data\netprotdrvss effectue des connexions […]

Une page concernant ce stealer, ce dernier possède des fonctionnalités de rootkits qui fait penser à Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer et SpyEye – Trojan.Pincav Ramasser par  un exploit sur site WEB :http://yimg.co.in/k.php?f=16&e=4   Backdoor.Qbot / Backdoor.Qakbot dans le système Le processus set rootkité, le gestionnaire de tâches et Process Explorer ne […]

Les Backdoor.IRC sont des malwares dont le Control&Center se fait via un IRCd. Ces bots sont très anciens mais toujours autant actifs, plusieurs groupes en utilisent pour se constituer des botnet. C’est la génération après Blaster, qui a vu naitre les bot type Sdbot / Rbot, afin de pouvoir contrôler […]

Petite récupération d’une Backdoor via un sujet sur un forum : http://www.virustotal.com/file-scan/report.html?id=e86220cb5aea573766da85b0c43b220bb7abc8a7d42b9033c8169d2e0558677c-1302351941 La détection est relativement bonne : File name: dbgdev40.exe Submission date: 2011-04-09 12:25:41 (UTC) Current status: finished Result: 17/ 41 (41.5%)  Print results Antivirus     Version     Last Update     Result AhnLab-V3    2011.04.09.00    2011.04.08    Malware/Win32.Generic AntiVir    7.11.6.19    2011.04.08    […]

Trojan:Win32/Dugenpal.A / Win32/TrojanProxy.Wintu.B est une Backdoor IRC qui a des fonctionnalités de Spambot.   La ligne HijackThis ajoutée : O4 – HKCU\..\Run: [engel] C:\Documents and Settings\Mak\Application Data\updates\updates.exe Le malware est donc un simple processus qui se lance par une clef Run. La capture ci-dessous montre les connexions au C&C sur […]

Backdoor:Win32/Votwup / Trojan.Win32.Swisyn est une backdoor qui vole les informations de connexions FTP afin de modifier les sites existants. Se reporter à la page : Hack WEB site par vol FTP   Cette famille n’est pas nouvelle, déjà rencontré par le PC : https://forum.malekal.com/casinonext-backdoor-win32-votwup-trojan-win32-swisyn-t23661.html https://forum.malekal.com/montaz-exe-t27258.html?hilit=Votwup https://forum.malekal.com/pack-pws-win32-chyup-trojan-psw-win32-ftpasso-t23656.html?hilit=Votwup#p197546 Une nouvelle campagne a […]

Nouvelle version possible du botnet Storm/Waldeac Actuellement seul Microsoft a créé une nouvella famille, les détections peuvent donner ceci : Trojan.ADH [PCTools] Trojan.ADH.2 [Symantec] Trojan-Downloader.Win32.FraudLoad.ybnn [Kaspersky Lab] Backdoor:Win32/Kelihos.A [Microsoft] Le malware peut se propager par des emails en proposant par exemple de fausses cartes de voeux, ce qui fut le […]

Backdoor.Win32.HareBot  est un malware qui est en général présent avec d’autres malwares via l’installation d’un « pack » infectieux. Exemple de pack : https://forum.malekal.com/http-rxhqspymx-net-index4a-php-src-219-gpr-tkr-1210180622476080-tkri-53ca09ce72c585303dced459bfe4cec8-t30275.html#p239556 Vous trouverez une présentation de l’infection sur cette page : restorer64_a.exe / restorer32_a.exe : Backdoor.Win32.HareBot Détection de Backdoor.Win32.HareBot Le malware se copie dans le System32\, le nom peut […]

Slenfbot est une des premières familles de bot que j’avais commencé à suivre. Les posts avec les fichiers PhotosXXX.ZIP de 2007/2008 est cette famille : https://forum.malekal.com/backdoor-irc-suicide-t5743.html Les fichiers MyPhotoXXX.zip et noname en sont pour la pluspart : https://forum.malekal.com/vers-virus-msn-et-arnaques-sur-msn-850.html A l’époque le nom Slenfbot n’existait pas, Dr.Web le nommait BackDoor.IRC.Suicide. puis  […]