Trojan.Win32.Antavmu et Trojan-Spy.Win32.Golns

Petit zoom sur ce dropper distribué par exploit sur site WEB : http://www3.malekal.com/malwares/index.php?hash=e7e4bde7f5413d6e47f0b4236a086702

Trojan.Win32.Antavmu semble désigné une famille de malwares qui droppent différents fichiers selon les variantes d’après une recherche Google.
Dans notre cas, ce dernier installe WinpkFilter Driver afin de sniffer les connexions réseaux et telecharge et installe un autre malware : Trojan-Spy.Win32.Golns

Les modifications les plus visibles :

 

Parent process:
 Path: C:\Documents and Settings\Mak\Bureau\files\65528571d8b42d34a6ca5f326eddda71.exe
 PID: 2044
 Information: Microsoft Patch Creation Tool (Microsoft Corporation)
Child process:
 Path: C:\Documents and Settings\Mak\Local Settings\Temp\w1
 Information: ECM MakeCert (Microsoft Corporation)
 Command line:C:\DOCUME~1\Mak\LOCALS~1\Temp\\w1

Process:
 Path: C:\Documents and Settings\Mak\Local Settings\Temp\w1
 PID: 2124
 Information: ECM MakeCert (Microsoft Corporation)
Registry Group: Services
Object:
 Registry key: HKLM\SYSTEM\CurrentControlSet\Services\ndisrd

Parent process:
 Path: C:\Documents and Settings\Mak\Local Settings\Temp\w1
 PID: 2124
 Information: ECM MakeCert (Microsoft Corporation)
Child process:
 Path: C:\Documents and Settings\Mak\Bureau\files\drvsign.exe
 Command line:"drvsign.exe"

Parent process:
 Path: C:\Documents and Settings\Mak\Local Settings\Temp\w1
 PID: 2124
 Information: ECM MakeCert (Microsoft Corporation)
Child process:
 Path: C:\Documents and Settings\Mak\Bureau\files\snetcfg.exe
 Information: network config sample (Windows (R) 2000 DDK provider)
 Command line:"snetcfg.exe" -v -l ndisrd.inf -m ndisrd_m.inf -c s -i nt_ndisrd 

Parent process:
 Path: C:\Documents and Settings\Mak\Local Settings\Temp\w1
 PID: 2124
 Information: ECM MakeCert (Microsoft Corporation)
Child process:
 Path: C:\Documents and Settings\Mak\Bureau\files\snetcfg.exe
 Information: network config sample (Windows (R) 2000 DDK provider)
 Command line:"snetcfg.exe" -v -l ndisrd.inf -m ndisrd_m.inf -c s -i nt_ndisrd 

Process:
 Path: C:\WINDOWS\system32\services.exe
 PID: 708
 Information: Applications Services et Contrôleur (Microsoft Corporation)
Registry Group: Services
Object:
 Registry key: HKLM\SYSTEM\CurrentControlSet\Services\ndisrd
 Registry value: Tag
 New value:
 Type: REG_DWORD
 Value: 00000008
 Previous value:
 Type: REG_DWORD
 Value: 00000009

Process:
 Path: C:\Documents and Settings\Mak\Bureau\files\snetcfg.exe
 PID: 1164
 Information: network config sample (Windows (R) 2000 DDK provider)
Registry Group: Services
Object:
 Registry key: HKLM\SYSTEM\CurrentControlSet\Services\ndisrd\Parameters\Adapters\{FB4F16C9-47D3-43E4-B696-743350A506B0}

Ainsi que l'ajout de fichiers suivant :

c:\WINDOWS\inf\oem19.inf
 Date: 6/27/2011 11:56 AM
 Size: 3 387 bytes
 c:\WINDOWS\inf\oem19.PNF
 Date: 6/27/2011 11:57 AM
 Size: 6 750 bytes
 c:\WINDOWS\inf\oem20.inf
 Date: 6/27/2011 11:56 AM
 Size: 1 400 bytes
 c:\WINDOWS\inf\oem20.PNF
 Date: 6/27/2011 11:57 AM
 Size: 4 850 bytes
 c:\WINDOWS\system32\msrun.exe
 Date: 6/27/2011 11:58 AM
 Size: 4 128 bytes
 c:\WINDOWS\system32\drivers\ndisrd.sys
 Date: 6/27/2011 11:56 AM
 Size: 20 480 bytes
 c:\WINDOWS\system32\drivers\srenum.sys
 Date: 6/27/2011 11:58 AM
 Size: 43 008 bytes
 c:\WINDOWS\system32\wbem\Logs\wbemess.lo_
 Date: 6/27/2011 12:06 PM
 Size: 65 572 bytes
 c:\WINDOWS\Temp\Perflib_Perfdata_1d0.dat
 Date: 6/27/2011 12:08 PM
 Size: 16 384 bytes
 c:\WINDOWS\Temp\Perflib_Perfdata_bc.dat
 Date: 6/27/2011 12:07 PM
 Size: 16 384 bytes

On se retrouve donc avec deux nouveaux drivers :

Au vu du nom (Spy) et l’ajout de WinpFilter pour sniffer les connexions, on comprend que le but du malware est de voler des informations, c’est donc un malware de type Stealer.

Les drivers se suppriment manuellement, cependant si vous supprimez le driver de WinpkFilter, vous pouvez endommager votre couche réseau, vos interfaces réseaux étant liés à WinpkFilter.
Voici une procédure pour récupérer le réseau.
Notez qu’il est possible d’installer WinpFilter et de le désinstaller ensuite afin de supprimer toute traces et rendent le réseau viable (je n’ai pas testé).
Il faut faire du ménage dans le gestionnaire de périphériques :

  • Sur Windows XP : Clic droit puis Propriétés sur le Poste de travail puis onglet Matériel et cliquez sur Gestionnaire de périphériques.
  • Sur Windows Vista/Seven : Clic droit puis Propriétés sur « Mon Ordinateur » puis à dans le menu de gauche, cliquez sur Gestionnaire de périphériques.

Vos interfaces réseaux et celles de WinpkFilter doivent être marquées comme endommagées.
Faites alors un clic droit puis désactiver sur toutes les cartes avec WinpkFilter.
Sur toutes vos cartes réseaux, faites un clic droit et désinstaller afin que celles-ci se réinstallent au démarrage.
Ne redémarrer pas l’ordinateur.

Trojan.Win32.Antavmu et Trojan-Spy.Win32.Golns

Afficher les périphériques cachées (Menu Affichage puis Afficher les périphériques cachées).

Dans les périphériques Plug and Play, chercher le périphérique srenum relatif aux rootkits et clic droit / désinstaller
Redémarrer l’ordinateur

Trojan.Win32.Antavmu et Trojan-Spy.Win32.Golns

Vous devez obtenir ceci au niveau des cartes réseau à l’issu du démarrage et le réseau doit fonctionner.

Trojan.Win32.Antavmu et Trojan-Spy.Win32.Golns

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 90 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *