Trojan.Karagany : toujours aussi actif

J’en parlais en Décembre 2010 : Trojan.Karagany et Trojan.Oficla: Les malwares en .co.cc sont de retour !
Les Exploits sur les sites WEB piégés installant ce dernier sont toujours aussi actifs : http://www3.malekal.com/malwares/index.php?&url=showthread.php

Trojan.Karagany

L’icône de l’exe est un bouclier qui permet de reconnaitre le rogue/scareware Personal Shield ProTrojan.Karagany

et un exploit Java

Trojan.Karagany

Les fameux répertoires %APPDATA%\Adobe\ et %APPDATA%\Adobe\plugs  spécifique au Trojan.Karagany

Trojan.Karagany

Trojan.KaraganyLe beau petit monde, le rundll32 montre déjà le chargement de la DLL spécifique au Trojan.Oficla

Trojan.Karagany

Le meilleur pour la fin, la création du service spécifique au Rootkit.TDSS TDL 4

Trojan.Karagany

Ce qui nous donne :

 

Trojan.Karagany

A noter que l’on peux aussi récupérer du Trojan.spyeye / Trojan-pincavOn voit bien la constance du pack :

Les détections des droppers peuvent impressionner mais ces infections par exploits sur les sites WEB piégés sont faciles à éviter, une fois que l’on a compris le mécanisme. Il suffit de garder vos plugins à jour notamment Java et Adobe Reader/Flash. Eventuellement renforcer la sécurité au navigateur, dans le cas de Firefox, se reporter à la page : Sécuriser le navigateur WEB Firefox

Pour la petite histoire, le site d’hier renvoyé aussi sur un autre exploit (double hack ?) : http://www3.malekal.com/malwares/index.php?&hash=904d1b237c16ec9893c658283994c125 – un dropper Pavelo avec un petit message dedans (ce n’est d’ailleurs pas le premier message vers NOD32 que je rencontre) :

Ce qui illustre bien le jeu de chats et de souris (et challenge) entre les détections et les non détections des droppers par les antivirus et auteurs de malwares.

EDIT – Juillet 2012

Se reporter au billet (notamment page 2) où l’on voit une description de Trojan.Karagany : http://www.malekal.com/2012/07/18/psw-win32-tepfer-vol-ftp-et-injectionhack-de-sites/
La différence majeur étant la présence de fichiers de type %TEMP%/~!#3.tmp %TEMP%/~!#5.tmp
On notera que les packs sont assez identiques que précédemment.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 59 times, 1 visits today)

2 thoughts on “Trojan.Karagany : toujours aussi actif

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *