Trojan via mail Chronopost et malware utilisant Teamviewer

Vu sur le site commentcamarche.net – un utilisateur qui a reçu un mail malicieus se faisant passer pour Chronopost.
Le lien mène à http://accord-global.eu/inputLTNumbers90041N90041oJahia.do
avec un exécutable au bout…

SHA256: 37d251842125cdc4c02f54db02ec95c1bfff43630a14ce0ed26cb711d7e7e70a
File name: Tracking+paket+-+Suivi+Votre+colis.exe
Detection ratio: 4 / 56
Analysis date: 2016-06-07 06:41:59 UTC ( 3 hours, 10 minutes ago )
Antivirus Result Update
Avira (no cloud) TR/Dropper.yfzs 20160607
Kaspersky UDS:DangerousObject.Multi.Generic 20160607
McAfee-GW-Edition BehavesLike.Win32.Downloader.cc 20160607
Qihoo-360 HEUR/QVM42.1.Malware.Gen 20160607

Le faux Mail Chronopost provenant de l’adresse ne-pas-repondre@chronopost.fr intitulé « Chronopost International ».

faux_mail_chronopost_malware

Ce malware en vidéo :

Ce dernier créé des fichiers dans %PROGRAMDATA% et se lance via une clef Run.
Le trojan ouvre des fenêtres incessantes du contrôle utilisateur (UAC) afin d’obtenir les droits administrateurs puis injecte le processus système %systemroot%\system32\msiexec.exe
En outre, ce dernier utilise Teamviewer afin de permettre aux pirates de contrôler l’ordinateur à distance.

Trojan_Teamviewer_3

Trojan_Teamviewer_2 Trojan_Teamviewer

Les connexions Teamviewer :

TCP_MISS/200 238 GET http://master.dyngate.com/din.aspx?s=00000000&client=DynGate&rnd=376332944&p=10000001 - DIRECT/178.77.120.100 application/octet-stream
TCP_MISS/200 187 POST http://master.dyngate.com/dout.aspx?s=62107899&p=10000001&client=DynGate - DIRECT/178.77.120.100 -
TCP_MISS/200 236 GET http://master.dyngate.com/din.aspx?s=62107899&client=DynGate&p=10000002 - DIRECT/178.77.120.100 application/octet-stream

Trojan_Teamviewer_3

et pour le contrôle du Trojan :

TCP_MISS/200 288 POST http://busn4man.com/me/gate.php - DIRECT/193.169.194.168

Le malware créé aussi les fichiers suivants :

%APPDATA%\Roaming\LollBourgeon.rPB
%APPDATA%\Roaming\SFhelper.dll  (1/57)
%APPDATA%\Roaming\SkidPiragua.T

et génère d’ailleurs des erreurs dessus avec un titre « aplogetics Setup »

Trojan_Teamviewer_2

L’utilisation de Teamviewer n’est pas vraiment nouveau puisqu’il y a eu des précédents mais cela reste quand même relativement rare.

 

(Visité 523 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Tutoriel NoScriptTutoriel Antivir

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com