Trojan-Dropper.Win32.Dapato chez Free via OVH

On continue la saga des RATs via des cracks , après Backdoor:Win32/Fynloski.A sur Orange via no-ip.org, du Trojan.Dapato chez Free.
Comme le précédent, c’est le forum de cracks de planete-lolo qui est bombardé de faux sujets.

On voit ici l’utilisateur Abbicted2bass qui a créé une multitude de sujets, tous ces sujets conduisent à un dropper.

Ces derniers utilisent l’hébergeur de fichiers sendspace.com :

Le dropper embarque bien un crack mais lance un processus Spoolv.exe :

Ce dernier est un Trojan-Download qui va télécharger un malware, au moment où sont écrites ces lignes, le site contacté est : proak.alwaysdata.net (OVH – 178.32.28.117).
En l’occurence, c’est le fichier Rundll32.exe qui est téléchargé : 01aa8c1ab592219fd374259c07185538

Nom de fichier :	  Rundll32.exe
Taille du fichier :	  490496 byte
Type de fichier :	  PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 :	  01aa8c1ab592219fd374259c07185538
SHA1 :	  f170956854ca208777b17bd13a44422be4ea20de
Résultats des moteurs :	  27% (10/37) a trouvé un malware !
Temps :	  2011/11/21 22:46:19 (CET)

Scanner 	Vers. moteur	Vers. Sig.	Date Sig.	Résultat du scan	Temps
a-squared	5.1.0.4	20111122050204	2011-11-22	Trojan-Dropper.Win32.Dapato!IK	0.313
AhnLab V3	2011.11.22.00	2011.11.22	2011-11-22	-	2.648
AntiVir	8.2.6.116	7.11.17.250	2011-11-21	TR/Drop.Dapato.och	0.271
BitDefender	7.90123.9000557	7.39921	2011-11-22	Trojan.Generic.KD.422489	4.458
GData	22.2847	20111122	2011-11-22	Trojan.Generic.KD.422489 [Engine:A]	5.675
Ikarus	T3.1.32.20.0	2011.11.21.79845	2011-11-21	Trojan-Dropper.Win32.Dapato	4.839
JiangMin	13.0.900	2011.11.21	2011-11-21	TrojanDropper.Dapato.bmx	1.956
Kaspersky	5.5.10	2011.11.21	2011-11-21	Trojan-Dropper.Win32.Dapato.och	0.069
NOD32	3.0.21	6648	2011-11-21	a variant of MSIL/Injector.OD trojan	0.050
nProtect	20111121.02	12850232	2011-11-21	Trojan.Generic.KD.422489	1.728

Puis le navigateur par défaut est lancé et se connecte au C&C sur une IP Free : ken66-1-82-242-250-193.fbx.proxad.net / 90.34.110.112

La ligne Run ajoutée visible sur HijackThis :

Les fichiers en question dans %APPDATA% – un fichier texte est créé en plus.

 

Un Rat un peu plus structuré que les autres, il semblerait que les précédents, avec certainement un mécanisme plus rodé pour pisser du dropper.

Pour conclure sur tous ces billets et pour ceux qui tomberaient sur ce billet suite à la recherche sur le malware Trojan-Dropper.Win32.Dapato, encore une fois et comme à chaque fois, le conseil habituel : arreter de télécharger n’importe quoi – notamment quand on est pas capable de faire la différence entre un crack malicieux et non malicieux ==> Le danger des cracks !

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 46 times, 1 visits today)

5 thoughts on “Trojan-Dropper.Win32.Dapato chez Free via OVH

  1. On en a pas fini avec ces Rats, cybergate et autres …
    Même moi qui ne télécharge pas, je me suis choppé un cybergate à un moment, en visitant un site internet. Vraiment, pourquoi les abuses d’Orange, Sfr, ect, ne réagissent pas ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *