Trojan.Carberp : Stealer et rootkit

Trojan.Carberp est dans la direct lignée des malwares Trojan.Zbot/Zeus et  Spyeye/Trojan.Pincav
Un Stealer avec des fonctionnalités de rootkit.

Le démarrage de la session se traduit par le lancement furtif d’un processus (ici igfxtray.exe). Ce dernier lance une instance de svchost.exe qui permet la connexion à des URLs (une mauvaise configuration d’un pare-feu peut autoriser ce processus systèmes à se connecter).

Trojan.Carberp : Stealer et rootkit

Les connexions établies :

1309083451.748    137 192.168.1.27 TCP_HIT/200 800586 GET http://traffogon.net/cfg/stopav.psd – NONE/- application/octet-stream
1309083451.829    175 192.168.1.27 TCP_HIT/200 882359 GET http://traffogon.net/cfg/miniav.psd – NONE/- application/octet-stream
1309083470.901    102 192.168.1.27 TCP_HIT/200 800586 GET http://traffogon.net/cfg/stopav.psd – NONE/- application/octet-stream
1309083471.305    500 192.168.1.27 TCP_HIT/200 882359 GET http://traffogon.net/cfg/miniav.psd – NONE/- application/octet-stream

et les POSTS pour envoyer les informations volées :

1309086757.038     88 192.168.1.27 TCP_MISS/404 672 POST http://traffogon.net/kqy.phtm – DIRECT/109.230.251.32 text/html
1309086757.212     99 192.168.1.27 TCP_MISS/404 672 POST http://traffogon.net/wbydffpkhmrfdcbrxnelicbxrpja.phtml – DIRECT/109.230.251.32 text/html

La fonction rootkit permet aux malwares de se cacher et de ne pas être visible comme le montre la vidéo suivante.
Windows, HijackThis et OTL ne montre pas la présence du fichier igfxtray.exe dans le Menu Programme / Démarrage.
(Le rapport OTL est disponible à cette adresse : http://pjjoint.malekal.com/files.php?read=x14k15q10d13c6o10y7d713&html=on ).

http://www.youtube.com/watch?v=E-H1Un48_7Q

 

EDIT fin  Novembre 2011 : Le stealer Trojan.carberp descend en bootkit

Print Friendly, PDF & Email
(Visité 114 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet