Trojan.Boaxxe / Trojan.Win32.Smardf : Toujours vivant

En checkant les fichiers receuillis par mes VM, je suis tombé sur deux trois fichiers dmX.exe ou X est un chiffre.
Du coup je me suis demandé ce que c’était.

http://www.virustotal.com/file-scan/report.html?id=57225a2773c0dcd379a771a847785d103e9107aff6c2ccf95fa941b1983276fb-1315077493

File name: dm8.exe
Submission date: 2011-09-03 19:18:13 (UTC)
Current status: finished
Result: 21 /44 (47.7%) VT Community
AhnLab-V3 2011.09.03.00 2011.09.03 Trojan/Win32.Smardf
AntiVir 7.11.14.90 2011.09.02 DR/Delphi.Gen
Antiy-AVL 2.0.3.7 2011.09.03 –
Avast 4.8.1351.0 2011.09.02 Win32:Muldrop-EB [Trj]
Avast5 5.0.677.0 2011.09.02 Win32:Muldrop-EB [Trj]
AVG 10.0.0.1190 2011.09.03 BackDoor.Generic13.BMAU
BitDefender 7.2 2011.09.03 Gen:Variant.Dropper.43
ByteHero 1.0.0.1 2011.08.22 –
CAT-QuickHeal 11.00 2011.09.03 Trojan.Boaxxe.R
ClamAV 0.97.0.0 2011.09.03 –
Commtouch 5.3.2.6 2011.09.03 –
Comodo 9979 2011.09.03 TrojWare.Win32.Smardf.D
DrWeb 5.0.2.03300 2011.09.03 Trojan.MulDrop.origin
Emsisoft 5.1.0.11 2011.09.03 Trojan-Dropper.Win32.Boaxxe!IK
eSafe 7.0.17.0 2011.09.01 –
eTrust-Vet 36.1.8537 2011.09.02 –
F-Prot 4.6.2.117 2011.09.03 –
F-Secure 9.0.16440.0 2011.09.03 Gen:Variant.Dropper.43
Fortinet 4.3.370.0 2011.09.03 –
GData 22 2011.09.03 Gen:Variant.Dropper.43
Ikarus T3.1.1.107.0 2011.09.03 Trojan-Dropper.Win32.Boaxxe
Jiangmin 13.0.900 2011.09.03 –
K7AntiVirus 9.111.5083 2011.09.02 –
Kaspersky 9.0.0.837 2011.09.03 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.09.03 –
McAfee-GW-Edition 2010.1D 2011.09.02 Heuristic.LooksLike.Heuristic.BehavesLike.Win32.Trojan.B
Microsoft 1.7604 2011.09.03 TrojanDropper:Win32/Boaxxe.G
NOD32 6434 2011.09.03 a variant of Win32/Rootkit.Podnuha.NCE
Norman 6.07.11 2011.09.03 –
nProtect 2011-09-03.01 2011.09.03 Gen:Variant.Dropper.43
Panda 10.0.3.5 2011.09.03 Generic Trojan
PCTools 8.0.0.5 2011.09.03 –
Prevx 3.0 2011.09.03 –
Rising 23.73.01.03 2011.08.30 –
Sophos 4.69.0 2011.09.03 Mal/Delf-AR
SUPERAntiSpyware 4.40.0.1006 2011.09.03 –
Symantec 20111.2.0.82 2011.09.03 Suspicious.Cloud.5
TheHacker 6.7.0.1.290 2011.09.03 –
TrendMicro 9.500.0.1008 2011.09.03 –
TrendMicro-HouseCall 9.500.0.1008 2011.09.03 –
VBA32 3.12.16.4 2011.09.02 –
VIPRE 10359 2011.09.03 –
ViRobot 2011.9.3.4655 2011.09.03 –
VirusBuster 14.0.200.0 2011.09.03 –
Additional informationMD5 : 5c7c594bf5c46fc1bbf563c7838e5d96
SHA1 : e0b0b03eb1a156d624f853a443c8151a0939c198
SHA256: 57225a2773c0dcd379a771a847785d103e9107aff6c2ccf95fa941b1983276fb
On notera le timestamp erronée retourné par PEinfo : timedatestamp….: 0x2A425E19 (Fri Jun 19 22:22:17 1992)

Le fichier est majoritairement détecté par Boaxxe qui m’était connu… un vague souvenir à vrai dire, ce dernier avait été actif il y a quelques années.
De mémoire, je me souvenais d’une histoire de DLL.

Un tour sur le forum sur une recherche sur le mot Boaxxe et on tombe sur des sujets qui remontent à 2008 :

Il doit y avoir d’autres sujets sans le mot Boaxxe (car pour ça faut que l’antivirus le détecte et que l’internaute mette le mot dans son message), car il y a eu une période de pointe d’activité, je dirai vers 2009 mais c’est un peu au pif.

A noter que la première détection Microsoft remonte à Novembre 2007



Un recherche sur l’historique des malwares receuillies par les VM montre un fichier au 25 Aout et quelques un en septembre : http://www3.malekal.com/malwares/index.php?malware=Boaxxe
Vu la détection, on peux penser que la VM boucle sur un site qui droppe encore le malware.

Un petit tour sur VirusWatch de Kaspersky  montre que ces derniers mettent encore à jour les détections ce qui tend à dire que le malware est encore actif !
Donc un malware de 2007 toujours actif, certes l’activité n’est pas fulgurante d’où d’ailleurs la bonne détection !

Le dropper droppe une DLL et ajoute le CSLID (ça sent la BHO) :

Process:
   Path: C:\Documents and Settings\Mak\Bureau\dm8.exe
   PID: 536
Registry Group: Malware
Object:
   Registry key: HKCR\CLSID\{20C4DA90-EE1D-4C40-9325-7C3350D57023}\InprocServer32
   Registry value: (Default)
      Type: REG_SZ
      Value: C:\WINDOWS\system32\dmscrip.dll

Bingo HijackThis confirme :

O2 - BHO: (no name) - {20C4DA90-EE1D-4C40-9325-7C3350D57023} - C:\WINDOWS\system32\dmscrip.dll

Qui dit BHO dit Internet Explorer…. Aller un petit tour et quelques recherches Google histoire de voir… Bingo, lorsque l’on clic sur les résultats de recherche Google, une nouvelle fenêtre s’ouvre vers un moteur tiers (Powered by Google) qui dans l’adresse affiche le lien Google normal.


http://67.214.120.131/go18.php?u=1013&m=110903-143539-483651&c=699A3CE67357D13957A5D57C8135BCFC&n=1
http://109.206.161.72:8180/feed/go.php?id=92466451-ea5d-4e3a-8d48-a61fde8216b0&sid=f56781433ab1f31ea21272f4dc3ea8c4&n=n-3
http://secure.bidvertiser.com/performance/bdv_rd.dbm?enparms2=8312,828653,1179351,8213,8218,8218,8281,0,0,8217,0,827175,8137,201971,9062,8217,746095245,%3B863%3A%3E387637%3D,92%25V0.4GVM.%2BY3%25X0.4GVM.%2BY3%2572705.0.2%2BIOX%2BGVM.%2BY3%251EH%2BY3%251.5%2BGM%2BhdlwmrD%2BY3%250.6%2BVRHN%2BY3%25voyrgzknlx82%25%2B0.4U2%25zooralN,ngs.xrhfnu2%25ghrou2%25til.hdvm-ozfgxzu2%25u2%25%3Akggs&ioa=0&ncm=1&bd_ref_v=www.bidvertiser.com&TREF=1&WIN_NAME=&Category=7&ownid=2813&u_agnt=&skter=xrhfn&frdto=oh%3Df%2667191%3Dp%26f%3Diz%26z%3Dhg%26x%3Dgz%263182_144028%3Dwrg%26xrhfn%3Dnivg%2692332%3Dwrwz%3FpxroXwz%2FveivHwz%2Fnlx.hwzpox%2F%2F%3Akggs
http://www.bidvertiser.com/cookie_func.js
http://secure.bidvertiser.com/performance/bdvclkv2_4.dbx?djsrl=331923&djsli=820441&bdvenref=http%3A%2F%2Factual%2Dnews%2Eorg%2Flist%2Fmusic%2Ehtm&h=1&l=NO&enparms2=8312,828653,1179351,8213,8218,8218,8281,0,0,8217,0,827175,8137,201971,9062,8217,746095245,%3B863%3A%3E387637%3D,92%25V0.4GVM.%2BY3%25X0.4GVM.%2BY3%2572705.0.2%2BIOX%2BGVM.%2BY3%251EH%2BY3%251.5%2BGM%2BhdlwmrD%2BY3%250.6%2BVRHN%2BY3%25voyrgzknlx82%25%2B0.4U2%25zooralN,ngs.xrhfnu2%25ghrou2%25til.hdvm-ozfgxzu2%25u2%25%3Akggs&ioa=0&ncm=1&bd_ref_v=www.bidvertiser.com&TREF=1&WIN_NAME=&Category=7&ownid=2813&u_agnt=&skter=xrhfn&frdto=oh%3Df%2667191%3Dp%26f%3Diz%26z%3Dhg%26x%3Dgz%263182_144028%3Dwrg%26xrhfn%3Dnivg%2692332%3Dwrwz%3FpxroXwz%2FveivHwz%2Fnlx.hwzpox%2F%2F%3Akggs&bvextparmq=17.1
http://secure.bidvertiser.com/performance/bdv_rd.dbm
http://secure.bidvertiser.com/performance/bdv_rd_reload.dbm?&ioa=0&ncm=1&bd_ref_v=www.bidvertiser.com&TREF=1&WIN_NAME=&Category=7&ownid=2813&skter=xrhfn&frdto=oh%3Df%2667191%3Dp%26f%3Diz%26z%3Dhg%26x%3Dgz%263182_144028%3Dwrg%26xrhfn%3Dnivg%2692332%3Dwrwz%3FpxroXwz%2FveivHwz%2Fnlx.hwzpox%2F%2F%3Akggs&enparms2=8312%2C828653%2C1179351%2C8213%2C8218%2C8218%2C8281%2C0%2C0%2C8217%2C0%2C827175%2C8137%2C201971%2C9062%2C8217%2C746095245%2C%3B863%3A%3E387637%3D%2C92%25V0.4GVM.%2BY3%25X0.4GVM.%2BY3%2572705.0.2%2BIOX%2BGVM.%2BY3%251EH%2BY3%251.5%2BGM%2BhdlwmrD%2BY3%250.6%2BVRHN%2BY3%25voyrgzknlx82%25%2B0.4U2%25zooralN%2Cngs.xrhfnu2%25ghrou2%25til.hdvm-ozfgxzu2%25u2%25%3Akggs&djsrl=331923&djsli=820441&bdvenref=http%3A%2F%2Factual-news.org%2Flist%2Fmusic.htm
http://secure.bidvertiser.com/performance/bdv_rd.dbm?enparms2=8312,828653,1179351,8213,8218,8218,8281,0,0,8217,0,827175,8137,201971,9062,8217,746095245,%3B863%3A%3E387637%3D,92%25V0.4GVM.%2BY3%25X0.4GVM.%2BY3%2572705.0.2%2BIOX%2BGVM.%2BY3%251EH%2BY3%251.5%2BGM%2BhdlwmrD%2BY3%250.6%2BVRHN%2BY3%25voyrgzknlx82%25%2B0.4U2%25zooralN,ngs.xrhfnu2%25ghrou2%25til.hdvm-ozfgxzu2%25u2%25%3Akggs&ioa=0&ncm=1&bd_ref_v=www.bidvertiser.com&TREF=1&WIN_NAME=&Category=7&ownid=2813&u_agnt=&skter=xrhfn&frdto=oh%3Df%2667191%3Dp%26f%3Diz%26z%3Dhg%26x%3Dgz%263182_144028%3Dwrg%26xrhfn%3Dnivg%2692332%3Dwrwz%3FpxroXwz%2FveivHwz%2Fnlx.hwzpox%2F%2F%3Akggs
http://search.bpath.com/toolbar/search.dbm?q=music&trg=oh%3Df%2667191%3Dp%26f%3Diz%26z%3Dhg%26x%3Dgz%263182%5F144028%3Dwrg%26xrhfn%3Dnivg%2692332%3Dwrwz%3FpxroXwz%2FveivHwz%2Fnlx%2Ehwzpox%2F%2F%3Akggs
http://search.bpath.com/toolbar/googlestyle.css
http://search.bpath.com/toolbar/style.css

search.bpath.com est bien notre moteur de recherche tiers.

http://www.virustotal.com/file-scan/report.html?id=082bf5425071f7b835cec8c2133c7b6903a3c634f1910ccebf8a579788da315d-1315078434

File name: dmscrip.dll
Submission date: 2011-09-03 19:32:04 (UTC)
Current status: finished
Result: 29/ 44 (65.9%)	VT Community

Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.09.03.00	2011.09.03	Backdoor/Win32.CSon
AntiVir	7.11.14.90	2011.09.02	DR/Delphi.Gen
Antiy-AVL	2.0.3.7	2011.09.03	-
Avast	4.8.1351.0	2011.09.02	Win32:Boaxxe-R [Drp]
Avast5	5.0.677.0	2011.09.02	Win32:Boaxxe-R [Drp]
AVG	10.0.0.1190	2011.09.03	Delf.XXI
BitDefender	7.2	2011.09.03	Gen:Variant.Beax.2
ByteHero	1.0.0.1	2011.09.03	-
CAT-QuickHeal	11.00	2011.09.03	Trojan.Boaxxe.R
ClamAV	0.97.0.0	2011.09.03	-
Commtouch	5.3.2.6	2011.09.03	W32/Delf.V.gen!Eldorado
Comodo	9979	2011.09.03	TrojWare.Win32.TrojanDownloader.Banload.a
DrWeb	5.0.2.03300	2011.09.03	-
Emsisoft	5.1.0.11	2011.09.03	Trojan-Dropper.Win32.Boaxxe!IK
eSafe	7.0.17.0	2011.09.01	-
eTrust-Vet	36.1.8537	2011.09.02	Win32/ASuspect.HHPSE
F-Prot	4.6.2.117	2011.09.03	W32/Delf.V.gen!Eldorado
F-Secure	9.0.16440.0	2011.09.03	Gen:Variant.Beax.2
Fortinet	4.3.370.0	2011.09.03	W32/Dropper.FZ!tr
GData	22	2011.09.03	Gen:Variant.Beax.2
Ikarus	T3.1.1.107.0	2011.09.03	Trojan-Dropper.Win32.Boaxxe
Jiangmin	13.0.900	2011.09.03	-
K7AntiVirus	9.111.5083	2011.09.02	Riskware
Kaspersky	9.0.0.837	2011.09.03	HEUR:Trojan.Win32.Generic
McAfee	5.400.0.1158	2011.09.03	Generic Dropper.fz
McAfee-GW-Edition	2010.1D	2011.09.02	Heuristic.BehavesLike.Win32.Packed.A
Microsoft	1.7604	2011.09.03	TrojanDropper:Win32/Boaxxe.G
NOD32	6434	2011.09.03	probably a variant of Win32/Delf.OAX
Norman	6.07.11	2011.09.03	W32/Delfdrp.R
nProtect	2011-09-03.01	2011.09.03	Gen:Variant.Beax.2
Panda	10.0.3.5	2011.09.03	Trj/Genetic.gen
PCTools	8.0.0.5	2011.09.03	-
Prevx	3.0	2011.09.03	-
Rising	23.73.01.03	2011.08.30	-
Sophos	4.69.0	2011.09.03	Troj/Boaxxe-R
SUPERAntiSpyware	4.40.0.1006	2011.09.03	Trojan.Agent/Gen-FakeAlert[Delf]
Symantec	20111.2.0.82	2011.09.03	-
TheHacker	6.7.0.1.290	2011.09.03	-
TrendMicro	9.500.0.1008	2011.09.03	-
TrendMicro-HouseCall	9.500.0.1008	2011.09.03	-
VBA32	3.12.16.4	2011.09.02	-
VIPRE	10359	2011.09.03	Trojan.Win32.Boaxxe.k (v)
ViRobot	2011.9.3.4655	2011.09.03	Dropper.Agent.121856.F
VirusBuster	14.0.200.0	2011.09.03	-

Show all 
MD5   : b2feb5268df1c1eede64203060e0b62a
SHA1  : 186e13e44388edd95ea974385b6a6d013a9a7511
SHA256: 082bf5425071f7b835cec8c2133c7b6903a3c634f1910ccebf8a579788da315d

D’ailleurs, aujourd’hui je suis tombé sur un site qui droppait du Trojan-PSW.Win32.Kates / Daonol qui d’après ce lien date de 2010 :  http://www3.malekal.com/malwares/index.php?hash=b36065f15bb33ad53a5e3a1ca02f9d08 dont voici la détection :

http://www.virustotal.com/file-scan/report.html?id=772b216878720a44971f7c5fda07ad7e07fc75ad104ca2878d5cfa532afae98f-1314550218

Date first seen: 2010-11-10 05:50:26 (UTC)
Date last seen: 2011-08-28 16:50:18 (UTC)

File name: B36065F15BB33AD53A5E3A1CA02F9D08
 Submission date: 2011-08-28 16:50:18 (UTC)
 Current status: finished
 Result: 34 /43 (79.1%) VT Community
Compact
 Print results Antivirus Version Last Update Result
 AhnLab-V3 2011.08.27.01 2011.08.28 -
 AntiVir 7.11.14.0 2011.08.26 TR/Drop.Ag.aoq
 Antiy-AVL 2.0.3.7 2011.08.28 Trojan/Win32.Kates.gen
 Avast 4.8.1351.0 2011.08.28 Win32:Spyware-gen [Spy]
 Avast5 5.0.677.0 2011.08.28 Win32:Spyware-gen [Spy]
 AVG 10.0.0.1190 2011.08.28 PSW.Generic8.AIDB
 BitDefender 7.2 2011.08.28 Trojan.Generic.5080561
 ByteHero 1.0.0.1 2011.08.22 -
 CAT-QuickHeal 11.00 2011.08.28 TrojanPSW.Kates.pj
 ClamAV 0.97.0.0 2011.08.28 -
 Commtouch 5.3.2.6 2011.08.27 W32/MalwareF.SBIC
 Comodo 9901 2011.08.28 UnclassifiedMalware
 DrWeb 5.0.2.03300 2011.08.28 Trojan.AuxSpy.352
 Emsisoft 5.1.0.10 2011.08.28 Trojan-PWS.Win32.Kates!IK
 eSafe 7.0.17.0 2011.08.28 -
 eTrust-Vet 36.1.8525 2011.08.26 -
 F-Prot 4.6.2.117 2011.08.27 W32/MalwareF.SBIC
 F-Secure 9.0.16440.0 2011.08.28 Trojan.Generic.5080561
 Fortinet 4.2.257.0 2011.08.27 -
 GData 22 2011.08.28 Trojan.Generic.5080561
 Ikarus T3.1.1.107.0 2011.08.28 Trojan-PWS.Win32.Kates
 Jiangmin 13.0.900 2011.08.28 -
 K7AntiVirus 9.111.5060 2011.08.26 Riskware
 Kaspersky 9.0.0.837 2011.08.28 Trojan-PSW.Win32.Kates.pj
 McAfee 5.400.0.1158 2011.08.28 Artemis!B36065F15BB3
 McAfee-GW-Edition 2010.1D 2011.08.28 Artemis!B36065F15BB3
 Microsoft 1.7604 2011.08.28 Trojan:Win32/Daonol.L
 NOD32 6418 2011.08.28 Win32/Daonol.DR
 Norman 6.07.10 2011.08.27 W32/Kates.LP
 nProtect 2011-08-28.01 2011.08.28 Trojan-PWS/W32.Daonol.35328.B
 Panda 10.0.3.5 2011.08.28 Generic Trojan
 PCTools 8.0.0.5 2011.08.28 Trojan.Gen
 Prevx 3.0 2011.08.28 -
 Rising 23.72.04.03 2011.08.26 Trojan.Win32.Generic.127057AB
 Sophos 4.68.0 2011.08.28 Mal/Generic-L
 SUPERAntiSpyware 4.40.0.1006 2011.08.27 -
 Symantec 20111.2.0.82 2011.08.28 Trojan.Gen
 TheHacker 6.7.0.1.286 2011.08.28 Trojan/PSW.Kates.pj
 TrendMicro 9.500.0.1008 2011.08.25 PAK_Generic.001
 TrendMicro-HouseCall 9.500.0.1008 2011.08.28 PAK_Generic.001
 VBA32 3.12.16.4 2011.08.26 Trojan.Diple.voq
 VIPRE 10297 2011.08.28 Trojan.Win32.Generic!BT
 ViRobot 2011.8.27.4643 2011.08.28 Trojan.Win32.PSWKates.35328.A
 Additional information
 Show all
 MD5 : b36065f15bb33ad53a5e3a1ca02f9d08
 SHA1 : 3271e39ab2990c556a3fd0e017bf5d314782379a
 SHA256: 772b216878720a44971f7c5fda07ad7e07fc75ad104ca2878d5cfa532afae98f

Marrant de voir que certains malwares rencontraient il y a quelques années sont encore un peu présent.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 18 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *