TDSS/Alureon nouvelle variante?

Malwarebot a posté à plusieurs reprises des variantes de TDSS/Alureon qui m’étaient inconnues.

Exemple sur celui-ci : http://forum.malekal.com/http-forminteld-com-exo-php-t29695.html

Dropper : http://www.virustotal.com/file-scan/report.html?id=d21362c7e6d21fef87562cb9000b745e34a160c0aa2696422541ef1dad13c5dd-1289678409
File name:
d233588bc92a9aee0dde0dcd79794aaa
Submission date:
2010-11-13 20:00:09 (UTC)
Current status:
queued queued analysing finished
Result:
9/ 43 (20.9%)

Les fichiers ajoutés :
c:\WINDOWS\System32\\ernel32.dll
Date: 10/11/2005 1:00 AM
Size: 73 728 bytes
c:\WINDOWS\System32\\spool\prtprocs\w32x86\317wSKU9.dll
Date: 11/14/2006 1:00 AM
Size: 73 728 bytes
c:\WINDOWS\System32\\spool\prtprocs\w32x86\x1793uO.dll
Date: 4/3/2004 1:00 AM
Size: 24 064 bytes
c:\WINDOWS\Tasks\55bcc286.job
Date: 11/13/2010 8:43 PM
Size: 276 bytes
c:\WINDOWS\Temp\5wSKU.exe
Date: 11/13/2010 8:43 PM
Size: 73 728 bytes

Le mécanisme pour dropper l’infection est le même que d’habitude avec l’utilisation de spoolsv.exe à la différence qu’au lieu de copier un driver dans %windir%\temp
On se retrouve ici avec un fichier .exe

Ce dernier est ensuite copié dans %APPDATA% et un job (tâche planifiée) lance l’executable.

Les DNS sont aussi hijackés 93.188 et le fichier droppé sert à remettre ces DNS.

Quelques détections :

http://www.virustotal.com/file-scan/report.html?id=ae6f11ec1cefd202a0f1aae26c6c9bdf02a4374ce10c8901663fa9af1b6f2d3c-1289677500

File name: x1793uO.dll
Submission date: 2010-11-13 19:45:00 (UTC)
Current status: queued (#13) queued (#5) analysing finished
Result: 6/ 43 (14.0%)
VT Community
not reviewed
Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2010.11.14.00    2010.11.13    –
AntiVir    7.10.13.237    2010.11.13    TR/Crypt.ZPACK.Gen
Antiy-AVL    2.0.3.7    2010.11.13    –
Authentium    5.2.0.5    2010.11.13    –
Avast    4.8.1351.0    2010.11.13    –
Avast5    5.0.594.0    2010.11.13    –
AVG    9.0.0.851    2010.11.13    –
BitDefender    7.2    2010.11.13    –
CAT-QuickHeal    11.00    2010.11.09    –
ClamAV    0.96.4.0    2010.11.13    –
Comodo    6707    2010.11.13    –
DrWeb    5.0.2.03300    2010.11.13    Trojan.DownLoader1.36384
Emsisoft    5.0.0.50    2010.11.13    –
eSafe    7.0.17.0    2010.11.11    –
eTrust-Vet    36.1.7973    2010.11.13    –
F-Prot    4.6.2.117    2010.11.13    –
F-Secure    9.0.16160.0    2010.11.13    –
Fortinet    4.2.249.0    2010.11.13    –
GData    21    2010.11.13    –
Ikarus    T3.1.1.90.0    2010.11.13    –
Jiangmin    13.0.900    2010.11.13    –
K7AntiVirus    9.67.2973    2010.11.12    –
Kaspersky    7.0.0.125    2010.11.13    –
McAfee    5.400.0.1158    2010.11.13    –
McAfee-GW-Edition    2010.1C    2010.11.13    –
Microsoft    1.6301    2010.11.13    Trojan:Win32/Alureon.EC
NOD32    5617    2010.11.13    a variant of Win32/Kryptik.IDL
Norman    6.06.10    2010.11.13    –
nProtect    2010-11-13.01    2010.11.13    –
Panda    10.0.2.7    2010.11.13    Suspicious file
PCTools    7.0.3.5    2010.11.13    –
Prevx    3.0    2010.11.13    –
Rising    22.73.04.00    2010.11.13    –
Sophos    4.59.0    2010.11.13    –
Sunbelt    7300    2010.11.13    Trojan.Win32.Generic!SB.0
SUPERAntiSpyware    4.40.0.1006    2010.11.13    –
Symantec    20101.2.0.161    2010.11.13    –
TheHacker    6.7.0.1.083    2010.11.13    –
TrendMicro    9.120.0.1004    2010.11.13    –
TrendMicro-HouseCall    9.120.0.1004    2010.11.13    –
VBA32    3.12.14.2    2010.11.12    –
ViRobot    2010.11.13.4145    2010.11.13    –
VirusBuster    12.75.2.1    2010.11.13    –
Additional information
Show all
MD5   : e23edbbf5593138ae23fde6a9173a112
SHA1  : ec28b85bb8003a2ba1baafd38c265d22ef72e1af
SHA256: ae6f11ec1cefd202a0f1aae26c6c9bdf02a4374ce10c8901663fa9af1b6f2d3c

http://www.virustotal.com/file-scan/report.html?id=e21aa765173a01410336857f7a49d062fb0e02221431ece75a80adfaab420814-1289677506

File name: 317wSKU9.dll
Submission date: 2010-11-13 19:45:06 (UTC)
Current status: queued queued (#8) analysing finished
Result: 39/ 43 (90.7%)
VT Community
not reviewed
Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2010.11.14.00    2010.11.13    Win-Trojan/Tdss.73728.K
AntiVir    7.10.13.237    2010.11.13    TR/Crypt.ZPACK.Gen
Antiy-AVL    2.0.3.7    2010.11.13    Backdoor/Win32.TDSS.gen
Authentium    5.2.0.5    2010.11.13    W32/Alureon.JIQ
Avast    4.8.1351.0    2010.11.13    Win32:Trojan-gen
Avast5    5.0.594.0    2010.11.13    Win32:Trojan-gen
AVG    9.0.0.851    2010.11.13    Generic18.BVPY
BitDefender    7.2    2010.11.13    Gen:Variant.Kazy.2133
CAT-QuickHeal    11.00    2010.11.09    –
ClamAV    0.96.4.0    2010.11.13    –
Comodo    6707    2010.11.13    TrojWare.Win32.Tdss.~d5
DrWeb    5.0.2.03300    2010.11.13    Trojan.Packed.20685
Emsisoft    5.0.0.50    2010.11.13    Backdoor.Win32.TDSS!IK
eSafe    7.0.17.0    2010.11.11    –
eTrust-Vet    36.1.7973    2010.11.13    Win32/Alureon.BZJ
F-Prot    4.6.2.117    2010.11.13    W32/Alureon.JIQ
F-Secure    9.0.16160.0    2010.11.13    Gen:Variant.Kazy.2133
Fortinet    4.2.249.0    2010.11.13    W32/PackTDss.K!tr
GData    21    2010.11.13    Gen:Variant.Kazy.2133
Ikarus    T3.1.1.90.0    2010.11.13    Backdoor.Win32.TDSS
Jiangmin    13.0.900    2010.11.13    Backdoor/TDSS.jf
K7AntiVirus    9.67.2973    2010.11.12    Trojan
Kaspersky    7.0.0.125    2010.11.13    Backdoor.Win32.TDSS.atr
McAfee    5.400.0.1158    2010.11.13    FakeAlert-MalDoctor
McAfee-GW-Edition    2010.1C    2010.11.13    FakeAlert-MalDoctor
Microsoft    1.6301    2010.11.13    Trojan:Win32/Alureon.EC
NOD32    5617    2010.11.13    Win32/Olmarik.YR
Norman    6.06.10    2010.11.13    W32/Suspicious_Gen2.BWEOI
nProtect    2010-11-13.01    2010.11.13    Backdoor/W32.TDSS.73728
Panda    10.0.2.7    2010.11.13    Suspicious file
PCTools    7.0.3.5    2010.11.13    Trojan.FakeAV
Prevx    3.0    2010.11.13    Medium Risk Malware
Rising    22.73.04.00    2010.11.13    –
Sophos    4.59.0    2010.11.13    Mal/TDSSPack-Q
Sunbelt    7300    2010.11.13    Trojan.Win32.Generic!BT
SUPERAntiSpyware    4.40.0.1006    2010.11.13    Trojan.Agent/Gen-FakePak
Symantec    20101.2.0.161    2010.11.13    Trojan.FakeAV!gen30
TheHacker    6.7.0.1.083    2010.11.13    Trojan/Olmarik.yr
TrendMicro    9.120.0.1004    2010.11.13    BKDR_ZLOB.SMGS
TrendMicro-HouseCall    9.120.0.1004    2010.11.13    BKDR_ZLOB.SMGS
VBA32    3.12.14.2    2010.11.12    Backdoor.TDSS.atr
ViRobot    2010.11.13.4145    2010.11.13    Trojan.Win32.Agent.73728.DT
VirusBuster    12.75.2.1    2010.11.13    Trojan.Olmarik.AVK
Additional information
Show all
MD5   : d2b772e49af81fff65de3be14ea383c5
SHA1  : dc3fb27268a28b5241c8742360fb9b5c4d8e3f80
SHA256: e21aa765173a01410336857f7a49d062fb0e02221431ece75a80adfaab420814

http://www.virustotal.com/file-scan/report.html?id=01107d129158e51ff6ec78878a0c4c67c00b5c1482e5564a4fb0b8915d8e73ea-1289678261

File name: 55bcc286.exe
Submission date: 2010-11-13 19:57:41 (UTC)
Current status: queued (#3) queued (#3) analysing finished
Result: 39/ 43 (90.7%)
VT Community
not reviewed
Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2010.11.14.00    2010.11.13    Win-Trojan/Tdss.73728.K
AntiVir    7.10.13.237    2010.11.13    TR/Crypt.ZPACK.Gen
Antiy-AVL    2.0.3.7    2010.11.13    Backdoor/Win32.TDSS.gen
Authentium    5.2.0.5    2010.11.13    W32/Alureon.JIQ
Avast    4.8.1351.0    2010.11.13    Win32:Malware-gen
Avast5    5.0.594.0    2010.11.13    Win32:Malware-gen
AVG    9.0.0.851    2010.11.13    Generic18.BVPY
BitDefender    7.2    2010.11.13    Gen:Variant.TDss.24
CAT-QuickHeal    11.00    2010.11.09    –
ClamAV    0.96.4.0    2010.11.13    –
Comodo    6707    2010.11.13    TrojWare.Win32.Tdss.~d5
DrWeb    5.0.2.03300    2010.11.13    Trojan.Packed.20685
Emsisoft    5.0.0.50    2010.11.13    Backdoor.Win32.TDSS!IK
eSafe    7.0.17.0    2010.11.11    –
eTrust-Vet    36.1.7973    2010.11.13    Win32/Alureon.BZJ
F-Prot    4.6.2.117    2010.11.13    W32/Alureon.JIQ
F-Secure    9.0.16160.0    2010.11.13    Gen:Variant.TDss.24
Fortinet    4.2.249.0    2010.11.13    W32/PackTDss.K!tr
GData    21    2010.11.13    Gen:Variant.TDss.24
Ikarus    T3.1.1.90.0    2010.11.13    Backdoor.Win32.TDSS
Jiangmin    13.0.900    2010.11.13    Backdoor/TDSS.jf
K7AntiVirus    9.67.2973    2010.11.12    Trojan
Kaspersky    7.0.0.125    2010.11.13    Backdoor.Win32.TDSS.atr
McAfee    5.400.0.1158    2010.11.13    FakeAlert-MalDoctor
McAfee-GW-Edition    2010.1C    2010.11.13    FakeAlert-MalDoctor
Microsoft    1.6301    2010.11.13    Trojan:Win32/Alureon.EC
NOD32    5617    2010.11.13    Win32/Olmarik.YR
Norman    6.06.10    2010.11.13    W32/Suspicious_Gen2.BWHDJ
nProtect    2010-11-13.01    2010.11.13    Backdoor/W32.TDSS.73728
Panda    10.0.2.7    2010.11.13    Suspicious file
PCTools    7.0.3.5    2010.11.13    Trojan.FakeAV
Prevx    3.0    2010.11.13    High Risk Cloaked Malware
Rising    22.73.04.00    2010.11.13    –
Sophos    4.59.0    2010.11.13    Mal/TDSSPack-Q
Sunbelt    7301    2010.11.13    Trojan.Win32.Generic!BT
SUPERAntiSpyware    4.40.0.1006    2010.11.13    Trojan.Agent/Gen-TPack
Symantec    20101.2.0.161    2010.11.13    Trojan.FakeAV!gen30
TheHacker    6.7.0.1.083    2010.11.13    Trojan/Olmarik.yr
TrendMicro    9.120.0.1004    2010.11.13    BKDR_ZLOB.SMGS
TrendMicro-HouseCall    9.120.0.1004    2010.11.13    BKDR_ZLOB.SMGS
VBA32    3.12.14.2    2010.11.12    Backdoor.TDSS.atr
ViRobot    2010.11.13.4145    2010.11.13    Trojan.Win32.Agent.73728.DT
VirusBuster    12.75.2.1    2010.11.13    Trojan.Olmarik.AVK
Additional information
Show all
MD5   : 1cfb302de9416eed4ddaf191a973f265
SHA1  : 7f664051c5a30bf9ae9df50d5d5c91b1c3eccdfa
SHA256: 01107d129158e51ff6ec78878a0c4c67c00b5c1482e5564a4fb0b8915d8e73ea

Encore une autre variante apparemment :

http://forum.malekal.com/http-new-sec-updts-flg1-php-t29750.html

Point de chargement :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon « Taskman »
Type: REG_SZ
Data: C:\Documents and Settings\Mak\Application Data\fhrkmk.exe

Malware chargé dans le processus explorer.exe
Malware chargé dans le processus explorer.exe
File name: dfeaf45c367881f9e46dfb84ce376eb4
Submission date: 2010-11-15 11:14:15 (UTC)
Current status: finished
Result: 3 /43 (7.0%)
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.15.05 2010.11.15 –
AntiVir 7.10.13.240 2010.11.15 –
Antiy-AVL 2.0.3.7 2010.11.15 –
Authentium 5.2.0.5 2010.11.15 –
Avast 4.8.1351.0 2010.11.15 –
Avast5 5.0.594.0 2010.11.15 –
AVG 9.0.0.851 2010.11.15 –
BitDefender 7.2 2010.11.15 –
CAT-QuickHeal 11.00 2010.11.09 –
ClamAV 0.96.4.0 2010.11.15 –
Comodo 6725 2010.11.15 –
DrWeb 5.0.2.03300 2010.11.15 –
Emsisoft 5.0.0.50 2010.11.15 –
eSafe 7.0.17.0 2010.11.14 –
eTrust-Vet 36.1.7976 2010.11.15 –
F-Prot 4.6.2.117 2010.11.15 –
F-Secure 9.0.16160.0 2010.11.15 –
Fortinet 4.2.249.0 2010.11.15 W32/PackTDss.SK!tr
GData 21 2010.11.15 –
Ikarus T3.1.1.90.0 2010.11.15 –
Jiangmin 13.0.900 2010.11.15 –
K7AntiVirus 9.67.2973 2010.11.12 –
Kaspersky 7.0.0.125 2010.11.15 –
McAfee 5.400.0.1158 2010.11.15 –
McAfee-GW-Edition 2010.1C 2010.11.15 –
Microsoft 1.6301 2010.11.15 –
NOD32 5620 2010.11.15 a variant of Win32/Kryptik.IEL
Norman 6.06.10 2010.11.14 –
nProtect 2010-11-15.01 2010.11.15 –
Panda 10.0.2.7 2010.11.14 –
PCTools 7.0.3.5 2010.11.15 –
Prevx 3.0 2010.11.15 –
Rising 22.73.06.03 2010.11.15 –
Sophos 4.59.0 2010.11.15 –
Sunbelt 7314 2010.11.15 –
SUPERAntiSpyware 4.40.0.1006 2010.11.15 –
Symantec 20101.2.0.161 2010.11.15 –
TheHacker 6.7.0.1.083 2010.11.15 –
TrendMicro 9.120.0.1004 2010.11.14 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.11.15 –
VBA32 3.12.14.2 2010.11.15 –
ViRobot 2010.11.15.4148 2010.11.15 –
VirusBuster 12.75.3.0 2010.11.14 –
Additional informationShow all
MD5   : dfeaf45c367881f9e46dfb84ce376eb4
SHA1  : 6f604878c5810768c07a688135225535efb37aff
SHA256: f3d7841bfb1c5f98f80fa11f03c32ca0724c72e5278eb372eaf111e9ef06b410
PrintFriendly and PDFImprimer l'article en PDF

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 39 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *