Trojan.Chepvil et Trojan.Sasfis / Trojan.Cridex : les campagnes de Spam malicieux continuent

Les campagnes des mails malicieux continuent alors que m86security avait noté un pic.

Les campagnes sont toujours du type UPS Tracking Number ou NACHA security nitification (il y a pas bien la faute de frappe à notification).

Spam Malicieux : NACHA_security_nitificationUn effort sur la campagne UPS  qui reprend la charte graphique des vrais mails UPS et non pas de simple mail en texte.

Spam malicieux : UPS_Tracking_NumberSpam malicieux : UPS_Tracking_Number

Les détections sont relativement bonnes : http://www3.malekal.com/malwares/index.php?&hash=749f9ce271c764added7ecf07e69a393

File name: fil01_.exe
Submission date: 2011-09-12 14:23:30 (UTC)
Current status: finished
Result: 31 /44 (70.5%)

Compact Print results 
Antivirus Version Last Update Result 
AhnLab-V3 2011.09.12.00 2011.09.12 Trojan/Win32.Tdss 
AntiVir 7.11.14.176 2011.09.12 TR/Dldr.Zbot.JC 
Antiy-AVL 2.0.3.7 2011.09.12 - 
Avast 4.8.1351.0 2011.09.12 Win32:Kryptik-ESJ [Trj] 
Avast5 5.0.677.0 2011.09.12 Win32:Kryptik-ESJ [Trj] 
AVG 10.0.0.1190 2011.09.12 Agent_r.AOO 
BitDefender 7.2 2011.09.12 Gen:Variant.Kazy.37184 
ByteHero 1.0.0.1 2011.09.01 - 
CAT-QuickHeal None 2011.09.12 - 
ClamAV 0.97.0.0 2011.09.12 Trojan.Sasfis-26 
Commtouch 5.3.2.6 2011.09.12 W32/Trojan3.CWJ 
Comodo 10085 2011.09.12 TrojWare.Win32.Trojan.Agent.Gen 
DrWeb 5.0.2.03300 2011.09.12 Trojan.Hottrend 
Emsisoft 5.1.0.11 2011.09.12 Win32.Outbreak!IK 
eSafe 7.0.17.0 2011.09.11 - 
eTrust-Vet 36.1.8550 2011.09.10 - 
F-Prot 4.6.2.117 2011.09.12 W32/Trojan3.CWJ 
F-Secure 9.0.16440.0 2011.09.12 Trojan:W32/Yakes.AT 
Fortinet 4.3.370.0 2011.09.11 W32/Rorpian.C!tr 
GData 22 2011.09.12 Gen:Variant.Kazy.37184 
Ikarus T3.1.1.107.0 2011.09.12 Win32.Outbreak 
Jiangmin 13.0.900 2011.09.11 - 
K7AntiVirus 9.112.5114 2011.09.09 - 
Kaspersky 9.0.0.837 2011.09.12 Trojan.Win32.Sasfis.cdgx 
McAfee 5.400.0.1158 2011.09.12 Generic BackDoor.rz 
McAfee-GW-Edition 2010.1D 2011.09.11 Generic BackDoor.rz 
Microsoft 1.7604 2011.09.12 TrojanDownloader:Win32/Cridex.A 
NOD32 6456 2011.09.12 a variant of Win32/Kryptik.SRW 
Norman 6.07.11 2011.09.11 W32/Kryptik.AIG 
nProtect 2011-09-12.01 2011.09.12 Gen:Variant.Kazy.37184 
Panda 10.0.3.5 2011.09.11 Trj/Sinowal.WXO 
PCTools 8.0.0.5 2011.09.12 Backdoor.Tidserv!rem 
Prevx 3.0 2011.09.12 - 
Rising 23.74.03.03 2011.09.09 - 
Sophos 4.69.0 2011.09.12 Troj/DwnLdr-JIE 
SUPERAntiSpyware 4.40.0.1006 2011.09.10 - 
Symantec 20111.2.0.82 2011.09.12 Backdoor.Tidserv 
TheHacker 6.7.0.1.293 2011.09.10 - 
TrendMicro 9.500.0.1008 2011.09.09 - 
TrendMicro-HouseCall 9.500.0.1008 2011.09.12 TROJ_SAFSIS.DE 
VBA32 3.12.16.4 2011.09.12 SScope.Trojan.Scar.6921 
VIPRE 10452 2011.09.12 Trojan.Win32.Generic!BT 
ViRobot 2011.9.10.4666 2011.09.12 - 
VirusBuster 14.0.208.4 2011.09.12 Trojan.Sasfis!VpbBW6zEyyU 
Additional informationShow all  
MD5   : 1d243a71e2adc76c8fa9c9ff75d72dba 
SHA1  : 6e3f03d31502b544671698850e44c09ad55f00f4 
SHA256: 410f1f92feb5e1f937756c96e5d5d63bc0fb5559902c52294d6fb649f073dbe6 

ou http://www3.malekal.com/malwares/index.php?&hash=a38de55d50fef52d9a83f9b355393e5a
File name: 231e42b6c307909219145a2526d0ab0cba7fc07d.bin
Submission date: 2011-09-12 20:11:09 (UTC)
Current status: finishedResult: 33 /44 (75.0%)	VT Community

Compact 
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.09.12.00	2011.09.12	-
AntiVir	7.11.14.180	2011.09.12	TR/Crypt.XPACK.Gen
Antiy-AVL	2.0.3.7	2011.09.12	Trojan/Win32.Agent.gen
Avast	4.8.1351.0	2011.09.12	Win32:Malware-gen
Avast5	5.0.677.0	2011.09.12	Win32:Malware-gen
AVG	10.0.0.1190	2011.09.12	Crypt.AKQV
BitDefender	7.2	2011.09.12	Gen:Trojan.Heur.FU.bqW@amtJU@oi
ByteHero	1.0.0.1	2011.09.03	-
CAT-QuickHeal	11.00	2011.09.12	(Suspicious) - DNAScan
ClamAV	0.97.0.0	2011.09.12	-
Commtouch	5.3.2.6	2011.09.12	W32/Bredolab.AM.gen!Eldorado
Comodo	10088	2011.09.12	-
DrWeb	5.0.2.03300	2011.09.12	Trojan.DownLoad2.24758
Emsisoft	5.1.0.11	2011.09.12	Gen:Trojan!IK
eSafe	7.0.17.0	2011.09.11	Win32.TRCrypt.XPACK
eTrust-Vet	36.1.8550	2011.09.10	Win32/Chepvil.DG
F-Prot	4.6.2.117	2011.09.12	W32/Bredolab.AM.gen!Eldorado
F-Secure	9.0.16440.0	2011.09.12	Gen:Trojan.Heur.FU.bqW@amtJU@oi
Fortinet	4.3.370.0	2011.09.11	W32/FraudLoad.OR!tr.dldr
GData	22	2011.09.12	Gen:Trojan.Heur.FU.bqW@amtJU@oi
Ikarus	T3.1.1.107.0	2011.09.12	Gen:Trojan
Jiangmin	13.0.900	2011.09.12	TrojanDownloader.Agent.dvsw
K7AntiVirus	9.112.5122	2011.09.12	Trojan-Downloader
Kaspersky	9.0.0.837	2011.09.12	Trojan-Downloader.Win32.Agent.gxtn
McAfee	5.400.0.1158	2011.09.12	Generic Downloader.z
McAfee-GW-Edition	2010.1D	2011.09.12	Generic Downloader.z
Microsoft	1.7604	2011.09.12	TrojanDownloader:Win32/Chepvil.N
NOD32	6458	2011.09.12	Win32/TrojanDownloader.Chepvil.A
Norman	6.07.11	2011.09.12	W32/Kryptik.WV
nProtect	2011-09-12.01	2011.09.12	-
Panda	10.0.3.5	2011.09.12	Trj/Sinowal.WXO
PCTools	8.0.0.5	2011.09.12	-
Prevx	3.0	2011.09.12	-
Rising	23.74.03.03	2011.09.09	-
Sophos	4.69.0	2011.09.12	Mal/ChepVil-A
SUPERAntiSpyware	4.40.0.1006	2011.09.12	Rogue.Agent/Gen--o[BIN]
Symantec	20111.2.0.82	2011.09.12	Trojan.Zbot
TheHacker	6.7.0.1.293	2011.09.10	-
TrendMicro	9.500.0.1008	2011.09.09	-
TrendMicro-HouseCall	9.500.0.1008	2011.09.12	TROJ_DLDR.ZBOT
VBA32	3.12.16.4	2011.09.12	BScope.Dropper.Pij.gen
VIPRE	10455	2011.09.12	Trojan.Win32.Generic.pak!cobra
ViRobot	2011.9.10.4666	2011.09.12	-
VirusBuster	14.0.209.0	2011.09.12	Trojan.Chepvil.Gen.2
Additional information
Show all 
MD5   : a38de55d50fef52d9a83f9b355393e5a
SHA1  : 231e42b6c307909219145a2526d0ab0cba7fc07d
SHA256: e3b75c158716b636b1c5907abc3fdac03946a6fc1f5042330fc4eb5eb5936a10

On retrouve donc toujours le même type de malware Trojan.Chepvil et Sasfis. Trojan.Sasfis avait connu son heure de gloire mi-2010 : http://forum.malekal.com/sasfis-botnet-t24938.html Du côté des fichiers droppés, c’est toujours les mêmes infections Zbot/Zeus : http://www3.malekal.com/malwares/index.php?&hash=e7a89f9830b8558a0820756e952897b7 Le tout toujours via une injection sur le processus système svchost.exe

File name: ewqi.exe
Submission date: 2011-09-13 10:23:33 (UTC)
Current status: queued queued analysing finished
Result: 13/ 44 (29.5%)

Compact Print results 
Antivirus Version Last Update Result 
AhnLab-V3 2011.09.12.01 2011.09.13 - 
AntiVir 7.11.14.181 2011.09.13 TR/Crypt.XPACK.Gen 
Antiy-AVL 2.0.3.7 2011.09.13 - 
Avast 4.8.1351.0 2011.09.13 - 
Avast5 5.0.677.0 2011.09.13 - 
AVG 10.0.0.1190 2011.09.13 - 
BitDefender 7.2 2011.09.13 Gen:Variant.Kazy.37297 
ByteHero 1.0.0.1 2011.09.13 - 
CAT-QuickHeal 11.00 2011.09.13 (Suspicious) - DNAScan 
ClamAV 0.97.0.0 2011.09.12 - 
Commtouch 5.3.2.6 2011.09.13 - 
Comodo 10092 2011.09.13 Heur.Packed.Unknown 
DrWeb 5.0.2.03300 2011.09.13 Trojan.PWS.Siggen.27103 
Emsisoft 5.1.0.11 2011.09.13 - 
eSafe 7.0.17.0 2011.09.11 - 
eTrust-Vet 36.1.8556 2011.09.13 - 
F-Prot 4.6.2.117 2011.09.12 - 
F-Secure 9.0.16440.0 2011.09.13 Gen:Variant.Kazy.37297 
Fortinet 4.3.370.0 2011.09.11 - 
GData 22 2011.09.13 Gen:Variant.Kazy.37297 
Ikarus T3.1.1.107.0 2011.09.13 - 
Jiangmin 13.0.900 2011.09.12 - 
K7AntiVirus 9.112.5122 2011.09.12 - 
Kaspersky 9.0.0.837 2011.09.13 HEUR:Trojan.Win32.Generic 
McAfee 5.400.0.1158 2011.09.13 PWS-Zbot.gen.jn 
McAfee-GW-Edition 2010.1D 2011.09.12 - 
Microsoft 1.7604 2011.09.13 PWS:Win32/Zbot.gen!AF 
NOD32 6458 2011.09.13 - 
Norman 6.07.11 2011.09.13 - 
nProtect 2011-09-13.01 2011.09.13 Gen:Variant.Kazy.37297 
Panda 10.0.3.5 2011.09.12 - 
PCTools 8.0.0.5 2011.09.13 - 
Prevx 3.0 2011.09.13 - 
Rising 23.74.03.03 2011.09.09 - 
Sophos 4.69.0 2011.09.13 Mal/FakeAV-NS 
SUPERAntiSpyware 4.40.0.1006 2011.09.13 Trojan.Agent/Gen-Same[PRX] 
Symantec 20111.2.0.82 2011.09.13 - 
TheHacker 6.7.0.1.293 2011.09.10 - 
TrendMicro 9.500.0.1008 2011.09.13 - 
TrendMicro-HouseCall 9.500.0.1008 2011.09.13 - 
VBA32 3.12.16.4 2011.09.12 - 
VIPRE 10461 2011.09.13 - 
ViRobot 2011.9.10.4666 2011.09.12 - 
VirusBuster 14.0.209.0 2011.09.12 - 
Additional informationShow all  
MD5   : 3aed24fbf20afd1c4d472ed6cd83cf0c 
SHA1  : 03e2d1850a7cbd3e54910a9c4587add2c7d78f7d 
SHA256: 6263c47daa8a8f2da70a3c683a84549b2970e0960bd45944f64921cc692abc16 

Zbot/Zeus est ensuite supprime pour installer du Rootkit.Win32.Tent.cts/ Trojan.Harnig / Trojan.Festi: http://www3.malekal.com/malwares/index.php?&hash=e2e7aae44e646a224f057d120715d48d (la clef qui lance Zbot/Zeus au démarrage de Windows est supprimée) 
 
File name: e2e7aae44e646a224f057d120715d48d
Submission date: 2011-09-13 10:37:41 (UTC)
Current status: finished
Result: 38 /44 (86.4%)	VT Community

Compact 
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.09.12.01	2011.09.13	Win-Trojan/Malware.71680.EO
AntiVir	7.11.14.181	2011.09.13	TR/Crypt.ZPACK.Gen
Antiy-AVL	2.0.3.7	2011.09.13	Trojan/Win32.Tent.gen
Avast	4.8.1351.0	2011.09.13	Win32:Rootkit-gen [Rtk]
Avast5	5.0.677.0	2011.09.13	Win32:Rootkit-gen [Rtk]
AVG	10.0.0.1190	2011.09.13	Cryptic.BB
BitDefender	7.2	2011.09.13	Dropped:Trojan.Agent.AOKM
ByteHero	1.0.0.1	2011.09.13	Trojan.Malware.Obscu.Gen.006
CAT-QuickHeal	11.00	2011.09.13	TrojanDropper.Festi.c
ClamAV	0.97.0.0	2011.09.12	-
Commtouch	5.3.2.6	2011.09.13	W32/Filav.A.gen!Eldorado
Comodo	10092	2011.09.13	TrojWare.Win32.Agent.~kwaar
DrWeb	5.0.2.03300	2011.09.13	Trojan.MulDrop2.59410
Emsisoft	5.1.0.11	2011.09.13	Trojan-Downloader.Win32.Harnig!IK
eSafe	7.0.17.0	2011.09.11	Win32.TRCrypt.ZPACK
eTrust-Vet	36.1.8556	2011.09.13	-
F-Prot	4.6.2.117	2011.09.12	W32/Filav.A.gen!Eldorado
F-Secure	9.0.16440.0	2011.09.13	Dropped:Trojan.Agent.AOKM
Fortinet	4.3.370.0	2011.09.11	W32/Dropper.DXX!tr
GData	22	2011.09.13	Dropped:Trojan.Agent.AOKM
Ikarus	T3.1.1.107.0	2011.09.13	Trojan-Downloader.Win32.Harnig
Jiangmin	13.0.900	2011.09.12	Trojan/Generic.kbyo
K7AntiVirus	9.112.5122	2011.09.12	Trojan
Kaspersky	9.0.0.837	2011.09.13	Rootkit.Win32.Tent.cts
McAfee	5.400.0.1158	2011.09.13	Generic Dropper!dxx
McAfee-GW-Edition	2010.1D	2011.09.12	Generic Dropper!dxx
Microsoft	1.7604	2011.09.13	TrojanDropper:Win32/Festi.C
NOD32	6458	2011.09.13	a variant of Win32/Rootkit.Agent.NRD
Norman	6.07.11	2011.09.13	W32/Suspicious_Gen2.OXFTR
nProtect	2011-09-13.01	2011.09.13	Gen:Variant.Renos.2
Panda	10.0.3.5	2011.09.12	Trj/CI.A
PCTools	8.0.0.5	2011.09.13	Trojan.Gen
Prevx	3.0	2011.09.13	-
Rising	23.74.03.03	2011.09.09	-
Sophos	4.69.0	2011.09.13	Mal/EncPk-QN
SUPERAntiSpyware	4.40.0.1006	2011.09.13	-
Symantec	20111.2.0.82	2011.09.13	Trojan.Gen
TheHacker	6.7.0.1.293	2011.09.10	Trojan/Tent.cts
TrendMicro	9.500.0.1008	2011.09.13	TROJ_GEN.R21C1HT
TrendMicro-HouseCall	9.500.0.1008	2011.09.13	TROJ_GEN.F9BEZI6
VBA32	3.12.16.4	2011.09.12	Rootkit.Win32.Tent.bwc
VIPRE	10461	2011.09.13	Backdoor.WinNT.Festi.c (v)
ViRobot	2011.9.10.4666	2011.09.12	-
VirusBuster	14.0.209.0	2011.09.12	Rootkit.Agent!C6GWxVh7viY
Additional information
Show all 
MD5   : e2e7aae44e646a224f057d120715d48d
SHA1  : 979972293a984bef47a13db22c5443416b387e5d
SHA256: b719d718422e2f3ba414b0f34c7dd36c1cc24c577f09b8f620ebfb381b9ca8e6
Dans le cas des campagnes par mails, les détections sont en général relativement bonnes. On voit que la bataille des mails est gagné par les antivirus, d'où le recours aux infections par WEB ou Amovibles qui sont des vecteurs plus difficiles à monitorer.

 

EDIT – Aout 2012

Quelques autres exemples de campagnes de mails malicieuses – certaines sont soignées d’autres moins :

Ici on a un user et mot de passe pour ouvrir le lien malicieux :

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 18 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *