Trojan.Esfury : Couteau Suisse – directorio-w.com/www.qseach.com

Un nouveau fichier a été uploadé winlogon.exe.Trojan.Esfury.exe :
http://upload.malekal.com/xxxxxxx/winlogon.exe.Trojan.Esfury.exe
La taille du fichier est : 77824
Le hash est: c91b9aaebb40fec1c21b926a2eca8806

dont voici la détection :

http://www.virustotal.com/file-scan/report.html?id=863c526d186f35bb07d73d5460115d514b9c0e6e52ddca1c2faf33b4c9ec403d-1313473172

 

File name: uIaU3k3kzmh4Otjy73o.exe
Submission date: 2011-08-16 05:39:32 (UTC)
Current status: finished
Result: 19 /43 (44.2%)
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.08.15.00 2011.08.15 –
AntiVir 7.11.13.48 2011.08.15 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2011.08.15 –
Avast 4.8.1351.0 2011.08.15 Win32:Esfury-G [Trj]
Avast5 5.0.677.0 2011.08.15 Win32:Esfury-G [Trj]
AVG 10.0.0.1190 2011.08.16 –
BitDefender 7.2 2011.08.16 Gen:Variant.Kazy.30758
CAT-QuickHeal 11.00 2011.08.16 (Suspicious) – DNAScan
ClamAV 0.97.0.0 2011.08.16 –
Commtouch 5.3.2.6 2011.08.16 W32/Alureon.D!Generic
Comodo 9761 2011.08.16 –
DrWeb 5.0.2.03300 2011.08.16 –
Emsisoft 5.1.0.8 2011.08.16 –
eSafe 7.0.17.0 2011.08.15 –
eTrust-Vet 36.1.8503 2011.08.15 –
F-Prot 4.6.2.117 2011.08.15 W32/Alureon.D!Generic
F-Secure 9.0.16440.0 2011.08.16 Gen:Variant.Kazy.30758
Fortinet 4.2.257.0 2011.08.16 W32/VB.WL!tr
GData 22 2011.08.16 Gen:Variant.Kazy.30758
Ikarus T3.1.1.107.0 2011.08.16 –
Jiangmin 13.0.900 2011.08.15 –
K7AntiVirus 9.109.5017 2011.08.15 Virus
Kaspersky 9.0.0.837 2011.08.16 Worm.Win32.VBNA.b
McAfee 5.400.0.1158 2011.08.16 –
McAfee-GW-Edition 2010.1D 2011.08.15 Heuristic.BehavesLike.Win32.Downloader.A
Microsoft 1.7104 2011.08.16 VirTool:Win32/VBInject.gen!FA
NOD32 6380 2011.08.16 –
Norman 6.07.10 2011.08.15 –
nProtect 2011-08-15.01 2011.08.15 Gen:Variant.Kazy.30758
Panda 10.0.3.5 2011.08.15 Trj/CI.A
PCTools 8.0.0.5 2011.08.16 –
Prevx 3.0 2011.08.16 –
Rising 23.71.00.03 2011.08.15 –
Sophos 4.68.0 2011.08.16 Mal/SillyFDC-G
SUPERAntiSpyware 4.40.0.1006 2011.08.16 –
Symantec 20111.2.0.82 2011.08.16 –
TheHacker 6.7.0.1.277 2011.08.16 –
TrendMicro 9.500.0.1008 2011.08.16 PAK_Generic.001
TrendMicro-HouseCall 9.500.0.1008 2011.08.16 PAK_Generic.001
VBA32 3.12.16.4 2011.08.15 –
VIPRE 10178 2011.08.16 –
ViRobot 2011.8.16.4622 2011.08.16 –
VirusBuster 14.0.170.0 2011.08.15 –
Additional informationShow all
MD5 : c91b9aaebb40fec1c21b926a2eca8806
SHA1 : 207cdb4fb84395dbb141d54c77a05e48b1b7ee45
SHA256: 863c526d186f35bb07d73d5460115d514b9c0e6e52ddca1c2faf33b4c9ec403d

(Merci à l’uploader)

La détection d’Avast! : EsFury est peut-être la concaténation de Trojan.Fury  et es pour espagnol puisque beaucoup de messages sont en espagnols et visent donc les internautes latinos :

 

Il y a quelques temps j’avais fait un article Backdoor.IRC : le couteau suisse qui montrait les fonctionnalités standards des backdoors.
Vous allez voir que celui-ci est pas mal.

Trojan Esfury : Le Processus

Les fonctions de défense

Le malware ajoute des clefs Debugger sur les processus des antivirus ou des applications de sécurité.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe « Debugger »
Old type: REG_SZ
New type: REG_SZ
Old data: « C:\DOCUMENTS AND SETTINGS\MAK\BUREAU\PROCEXP.EXE »
New data: « C:\Documents and Settings\Mak\B616D4\winlogon.exe »

Cela permet de lancer le fichier Exe avant l’executable sur lequel on a double cliqué.
(Dans le cas où le processus présent dans la clef Debugger n’est pas disponible, le fichier sur lequel on a double cliqué ne s’ouvre pas – donc si l’antivirus supprime le malware sans remettre les clefs système, c’est génant).

Le malware ajoute des policies pour désactiver l’ouverture du gestionnaire de tâches, regedit etc .. :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations « LowRiskFileTypes »
Type: REG_SZ
Data: .exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer « NoFile »
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer « NoFolderOptions »
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer « NoRun »
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System « DisableRegistryTools »
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System « DisableTaskMgr »
Type: REG_DWORD

Ceci permet à l’infection d’afficher la popup suivante : « Ce fichier est utilisé par une autre application »

Le malware est aussi capable de tuer une application selon le contenu des fenêtres, ici le mot HijackThis :


L’infection modifie aussi le fichier HOSTS pour rediriger certaines adresses mais aussi pour bloquer les connexions vers des sites antivirus ou les mises à jour des antivirus.

Le malware ajoute des exceptions dans le pare-feu de Windows et désactive les notifications de ce dernier et le centre de sécurité :

Les méthodes de propagation

Le malware utilise divers méthodes de propagation…. autorun/medias amovibles :

Empêche d’aller dans les options de dossiers et force le non affichage des fichiers cachés (pour ne pas voir les fichiers autorun.inf) – supprime le bouton « Exécuter » :

Mais aussi par Messagerie Instannée :


Par P2P via des noms de fichiers cracks :

Monétisation

Le malware a des fonctionnalités de Stealer et est capable de voler les identifiants Firefox et certains programmes de FTP.

Le malware Hijack les pages de démarrages des navigateurs WEB :

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main « Default_Page_URL »
Type: REG_SZ
Data: http://ly2awp02h4z1e31.directorio-w.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main « Default_Search_URL »
Type: REG_SZ
Data: http://wf5p29b4nbr11ex.directorio-w.com
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice « Progid »
Type: REG_SZ
Data: IE.AssocFile.HTM

Les adresses directorio-w.com conduisent au final sur une page moteur de recherche : www.qsearch.com (184.82.228.2)

Le malware est aussi de type Trojan.Clicker puisqu’il surf en fond… notamment pour contacter des bannières de publicités :


Ce qui parfois peux faire afficher ce type de popup : « Félicitations! Vous avez choisi de gagner un Appel Iphone4 avec iPad! »

Le surf se faisant par une instance d’Internet Explorer en embedding lancé par svchost.exe

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 17 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *