Trojan:Win32/Dugenpal.A / Win32/TrojanProxy.Wintu.B

Trojan:Win32/Dugenpal.A / Win32/TrojanProxy.Wintu.B est une Backdoor IRC qui a des fonctionnalités de Spambot.

 

La ligne HijackThis ajoutée :
O4 – HKCU\..\Run: [engel] C:\Documents and Settings\Mak\Application Data\updates\updates.exe

Le malware est donc un simple processus qui se lance par une clef Run.
La capture ci-dessous montre les connexions au C&C sur le port 6667 ainsique des échanges de données TCP sur le port 65500, très certainement pour alimenter le template des SPAM (adresse email, corps du message etc).

Les données échangées avec le C&C sont cryptées :

Exemple de campagnes de SPAM effectuées par Trojan:Win32/Dugenpal.A / Win32/TrojanProxy.Wintu.B

Bref une Backdoor IRC plutôt classique.

 

Exemple de détection VirusTotal du malware :

File name: AA2A446700796237665C000839413C006A82480A.exe
Submission date: 2011-03-19 04:44:10 (UTC)
Current status: finished
Result: 17 /42 (40.5%)

Print results
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.03.19.00     2011.03.18     –
AntiVir     7.11.5.1     2011.03.18     BDS/Backdoor.Gen
Antiy-AVL     2.0.3.7     2011.03.19     –
Avast     4.8.1351.0     2011.03.18     –
Avast5     5.0.677.0     2011.03.18     –
AVG     10.0.0.1190     2011.03.18     –
BitDefender     7.2     2011.03.19     Gen:Trojan.Heur.RP.bmGfa808Elb
CAT-QuickHeal     11.00     2011.03.18     –
ClamAV     0.96.4.0     2011.03.19     –
Commtouch     5.2.11.5     2011.03.18     –
Comodo     8031     2011.03.19     TrojWare.Win32.Wintu.C
DrWeb     5.0.2.03300     2011.03.19     Trojan.DownLoader2.22459
eSafe     7.0.17.0     2011.03.17     –
eTrust-Vet     36.1.8223     2011.03.18     –
F-Prot     4.6.2.117     2011.03.18     –
F-Secure     9.0.16440.0     2011.03.18     –
Fortinet     4.2.254.0     2011.03.19     W32/Wintu.B!tr
GData     21     2011.03.19     Gen:Trojan.Heur.RP.bmGfa808Elb
Ikarus     T3.1.1.97.0     2011.03.18     –
Jiangmin     13.0.900     2011.03.18     –
K7AntiVirus     9.94.4145     2011.03.18     Riskware
Kaspersky     7.0.0.125     2011.03.19     Heur.Trojan.Generic
McAfee     5.400.0.1158     2011.03.19     –
McAfee-GW-Edition     2010.1C     2011.03.18     –
Microsoft     1.6603     2011.03.18     Trojan:Win32/Dugenpal.A
NOD32     5967     2011.03.18     a variant of Win32/TrojanProxy.Wintu.B
Norman     6.07.03     2011.03.18     W32/Malware.LWLN
nProtect     2011-02-10.01     2011.02.15     –
Panda     10.0.3.5     2011.03.18     Suspicious file
PCTools     7.0.3.5     2011.03.19     HeurEngine.MaliciousPacker
Prevx     3.0     2011.03.19     –
Rising     23.49.04.05     2011.03.18     –
Sophos     4.63.0     2011.03.19     Mal/EncPk-OJ
SUPERAntiSpyware     4.40.0.1006     2011.03.19     –
Symantec     20101.3.0.103     2011.03.19     Suspicious.Cloud.5
TheHacker     6.7.0.1.151     2011.03.18     –
TrendMicro     9.200.0.1012     2011.03.19     PAK_Generic.001
TrendMicro-HouseCall     9.200.0.1012     2011.03.19     PAK_Generic.001
VBA32     3.12.14.3     2011.03.18     –
VIPRE     8750     2011.03.19     –
ViRobot     2011.3.18.4364     2011.03.18     –
VirusBuster     13.6.256.1     2011.03.18     –
Additional information
MD5   : 5279c15538e8db306bec37bd7feb2c0f
SHA1  : f398fc70ff6b1e1b3d0a5a6e8f87ff2af00dfbff
SHA256: fd2916425aa389a91cb6cd84cf65b03448336f75e56c29cb52b70d12b7388d4b

(Visité 45 fois, 1 visites ce jour)

Vous pouvez aussi lire...