Trojan Gootkit

Gootkit est un Trojan Banker très actif depuis 2010.
Initialement il s’agit d’un Bootkit reprenant des fonctionnalités du Trojan Zeus depuis il a pas mal évolué pour passer en mode ‘malware FileLess‘.
Vers Février 2016, Gootkit vise les banques françaises (source ProofPoint) et effectivement depuis Mars 2016, les campagnes visant la France ont débuté.
Beaucoup de campagnes de malvertising visent à pousser Gootkit en France.

Aperçu du Trojan Gootkit

En Avril : https://twitter.com/malekal_morte/status/724909737230389248

WebExploit poussant le Trojan Gootkit

Cette semaine https://twitter.com/malekal_morte/status/748843170390212608
Twitter_malvertising_webexploit_trojan_gootkit_2

Les régies publicitaires touchées sont plutôt actives sur les sites de streaming illégaux, Torrent etc.

Dans le cas observé, il ne s’agit pas d’un ‘malware FileLess‘, mais d’une DLL qui se charge par un service Windows permettant ensuite d’effectuer une injection de svchost.exe.

Le service Windows malicieux visible sur un rapport FRST :

trojan_gootkit

et sur la console MMC :

trojan_gootkit_services_malicieux

L’injection du processus svchost.exe :

trojan_gootkit_injection_svchost

Le Trojan Gootkit contacte ensuite les serveurs suivants :

pramball.com
kratique.com
klardiro.com
trastres.com
cheresto.com
manistor.com
bardabol.com
reballer.com
labarnor.com
pallituk.com

trojan_gootkit_DNS_malicieux

trojan_gootkit_DNS_malicieux_2

La détection de la DLL au moment du chargement de celle-ci dans le système, plutôt mal détecté :

SHA256:32ae393fd0818f64cce046d3ec7439d20d1952e4c6506d91c684d15325462593
Nom du fichier :ecnjtwjb.dll
Ratio de détection :5 / 52
Date d’analyse :2016-07-01 11:46:47 UTC (il y a 51 minutes)
AntivirusRésultatMise à jour
Ad-AwareGen:Variant.Razy.7442420160701
AegisLabTroj.Downloader.W32.Agent.l2pS20160701
BaiduWin32.Trojan.WisdomEyes.151026.9950.999220160701
K7GWHacktool ( 655367771 )20160701
Qihoo-360QVM40.1.Malware.Gen20160701

Sécuriser son ordinateur contre Trojan Gootkit

Pour ne pas être vulnérable aux WebExploits, vous devez maintenir vos logiciels à jour afin que ces derniers ne possèdent pas de vulnérabilités connues. Pour vous y aider, suivez cette page : Logiciels pour maintenir ses programmes à jour
De manière plus précise, si vous souhaitez aller plus loin dans la sécurisation de votre ordinateur, rendez-vous sur la page : Comment sécuriser mon Windows

Conclusion et liens connexes

Gootkit est un Trojan Banker relativement classique avec une injection de svchost.exe
La distribution est relativement massive et donc de nombreux internautes risquent d’être touchés par Gootkit.
Nous vous recommandons de bien sécuriser votre ordinateur.

Quelques liens relatifs à ces infections :

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 375 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *