Trojan via mail Chronopost et malware utilisant Teamviewer

Vu sur le site commentcamarche.net – un utilisateur qui a reçu un mail malicieus se faisant passer pour Chronopost.
Le lien mène à http://accord-global.eu/inputLTNumbers90041N90041oJahia.do
avec un exécutable au bout…

SHA256:37d251842125cdc4c02f54db02ec95c1bfff43630a14ce0ed26cb711d7e7e70a
File name:Tracking+paket+-+Suivi+Votre+colis.exe
Detection ratio:4 / 56
Analysis date:2016-06-07 06:41:59 UTC ( 3 hours, 10 minutes ago )
AntivirusResultUpdate
Avira (no cloud)TR/Dropper.yfzs20160607
KasperskyUDS:DangerousObject.Multi.Generic20160607
McAfee-GW-EditionBehavesLike.Win32.Downloader.cc20160607
Qihoo-360HEUR/QVM42.1.Malware.Gen20160607

Le faux Mail Chronopost provenant de l’adresse ne-pas-repondre@chronopost.fr intitulé « Chronopost International ».

faux_mail_chronopost_malware

Ce malware en vidéo :

Ce dernier créé des fichiers dans %PROGRAMDATA% et se lance via une clef Run.
Le trojan ouvre des fenêtres incessantes du contrôle utilisateur (UAC) afin d’obtenir les droits administrateurs puis injecte le processus système %systemroot%\system32\msiexec.exe
En outre, ce dernier utilise Teamviewer afin de permettre aux pirates de contrôler l’ordinateur à distance.

Trojan_Teamviewer_3

Trojan_Teamviewer_2 Trojan_Teamviewer

Les connexions Teamviewer :

TCP_MISS/200 238 GET http://master.dyngate.com/din.aspx?s=00000000&client=DynGate&rnd=376332944&p=10000001 - DIRECT/178.77.120.100 application/octet-stream
TCP_MISS/200 187 POST http://master.dyngate.com/dout.aspx?s=62107899&p=10000001&client=DynGate - DIRECT/178.77.120.100 -
TCP_MISS/200 236 GET http://master.dyngate.com/din.aspx?s=62107899&client=DynGate&p=10000002 - DIRECT/178.77.120.100 application/octet-stream

Trojan_Teamviewer_3

et pour le contrôle du Trojan :

TCP_MISS/200 288 POST http://busn4man.com/me/gate.php - DIRECT/193.169.194.168

Le malware créé aussi les fichiers suivants :

%APPDATA%\Roaming\LollBourgeon.rPB
%APPDATA%\Roaming\SFhelper.dll  (1/57)
%APPDATA%\Roaming\SkidPiragua.T

et génère d’ailleurs des erreurs dessus avec un titre « aplogetics Setup »

Trojan_Teamviewer_2

L’utilisation de Teamviewer n’est pas vraiment nouveau puisqu’il y a eu des précédents mais cela reste quand même relativement rare.

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 448 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *