Trojan.Win32.Powp : La pompe à fric!

Rencontre sur quelques sujets dernièrement, Trojan.Win32.Powp (Kaspersky) est un malware qui se charge à partir de job.

Trojan.Win32.Powp : La pompe à fric!Le principe n’est pas nouveau, il y a quelques années, le malware Trojan.Furi / Trojan:Win32/Bohmin de même.
Les tâches planifiées se lance toutes les heures.

Le malware lance ensuite des instances d’Internet Explorer qui se connecte à différentes URL. Bref du Trojan.Clicker.

Trojan.Win32.Powp : La pompe à fric!

On peux se retrouver avec plusieurs processus du malware qui lancent plusieurs instances d’Internet Explorer qui font effectuer des connexions.
Du coup, le réseau du PC se retrouve assez vite blindé et il devient assez difficile de surfer.

A noter que dans mon cas, le malware lance rundll qui génère une erreur :
RUNDLL– Error in InetCpl.cpl  Missing Entry :ClearMyTracksBY Process
RUNDLL – Erreur dans InetCpl.cpl Entrée Manquante:
ClearMyTracksBY Process

Trojan.Win32.Powp : La pompe à fric!Au niveau des URLS visitées, ce sont surtout des erreurs avec des publicités afin de gagner de l’argent :

Trojan.Win32.Powp : La pompe à fric!

http://www.virustotal.com/file-scan/report.html?id=0015b21327363492522587bc79a00ec6902127cfc76b9c911265b4edfb06f620-1304005819
Dans le sample obtenu, la détection est relativement bonne, on notera que la détection est surtout générique/heuristique, pas de famille définie pour ce malware :

File name:

hki371.exe

Submission date:

2011-04-28 15:50:19 (UTC)

Current status:

finished

Result:

20 /41 (48.8%)

VT Community


not reviewed
Safety score: –

Antivirus Version Last Update Result
AhnLab-V3 2011.04.28.01 2011.04.28 Malware/Win32.Suspicious
AntiVir 7.11.7.76 2011.04.28 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2011.04.28
Avast 4.8.1351.0 2011.04.28 Win32:Trojan-gen
Avast5 5.0.677.0 2011.04.28 Win32:Trojan-gen
AVG 10.0.0.1190 2011.04.28 Dropper.Generic3.BJBT
BitDefender 7.2 2011.04.28 Gen:Variant.Kazy.20927
CAT-QuickHeal 11.00 2011.04.28
ClamAV 0.97.0.0 2011.04.28
Commtouch 5.3.2.6 2011.04.28
Comodo 8506 2011.04.28
DrWeb 5.0.2.03300 2011.04.28
eSafe 7.0.17.0 2011.04.28
eTrust-Vet 36.1.8296 2011.04.28
F-Prot 4.6.2.117 2011.04.28
F-Secure 9.0.16440.0 2011.04.28 Gen:Variant.Kazy.20927
Fortinet 4.2.257.0 2011.04.28
GData 22 2011.04.28 Gen:Variant.Kazy.20927
Ikarus T3.1.1.103.0 2011.04.28
Jiangmin 13.0.900 2011.04.28
K7AntiVirus 9.98.4497 2011.04.27
Kaspersky 9.0.0.837 2011.04.28
McAfee 5.400.0.1158 2011.04.28 Artemis!C147C20B3FB4
McAfee-GW-Edition 2010.1D 2011.04.28 Artemis!C147C20B3FB4
Microsoft 1.6802 2011.04.28 Trojan:Win32/Dynamer!dtc
NOD32 6078 2011.04.28
Norman 6.07.07 2011.04.28 W32/Suspicious_Gen2.LHAHX
Panda 10.0.3.5 2011.04.28 Trj/CI.A
PCTools 7.0.3.5 2011.04.28 HeurEngine.ZeroDayThreat
Prevx 3.0 2011.04.28
Rising 23.55.03.06 2011.04.28
Sophos 4.64.0 2011.04.28 Sus/UnkPack-C
SUPERAntiSpyware 4.40.0.1006 2011.04.28
Symantec 20101.3.2.89 2011.04.28 Suspicious.DLoader
TheHacker 6.7.0.1.184 2011.04.27
TrendMicro 9.200.0.1012 2011.04.28 Mal_Xed-24
TrendMicro-HouseCall 9.200.0.1012 2011.04.28 Mal_Xed-24
VBA32 3.12.16.0 2011.04.27 SScope.Injector.MY
VIPRE 9145 2011.04.28 Trojan.Win32.Generic!BT
ViRobot 2011.4.28.4435 2011.04.28
VirusBuster 13.6.325.0 2011.04.28
Additional information
MD5   : c147c20b3fb424102c11e20f620c978c
SHA1  : f649ee9bf8d50c71366486f2c491d19820568ec9
SHA256: 0015b21327363492522587bc79a00ec6902127cfc76b9c911265b4edfb06f620

Un  malware, pompe à frics, qui devrait rapporter des sous à son auteur

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 34 times, 1 visits today)

One thought on “Trojan.Win32.Powp : La pompe à fric!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *