Trojan:Win32/Dugenpal.A / Win32/TrojanProxy.Wintu.B

Trojan:Win32/Dugenpal.A / Win32/TrojanProxy.Wintu.B est une Backdoor IRC qui a des fonctionnalités de Spambot.

 

La ligne HijackThis ajoutée :
O4 – HKCU\..\Run: [engel] C:\Documents and Settings\Mak\Application Data\updates\updates.exe

Le malware est donc un simple processus qui se lance par une clef Run.
La capture ci-dessous montre les connexions au C&C sur le port 6667 ainsique des échanges de données TCP sur le port 65500, très certainement pour alimenter le template des SPAM (adresse email, corps du message etc).

Les données échangées avec le C&C sont cryptées :

Exemple de campagnes de SPAM effectuées par Trojan:Win32/Dugenpal.A / Win32/TrojanProxy.Wintu.B

Bref une Backdoor IRC plutôt classique.

 

Exemple de détection VirusTotal du malware :

File name: AA2A446700796237665C000839413C006A82480A.exe
Submission date: 2011-03-19 04:44:10 (UTC)
Current status: finished
Result: 17 /42 (40.5%)

Print results
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.03.19.00     2011.03.18     –
AntiVir     7.11.5.1     2011.03.18     BDS/Backdoor.Gen
Antiy-AVL     2.0.3.7     2011.03.19     –
Avast     4.8.1351.0     2011.03.18     –
Avast5     5.0.677.0     2011.03.18     –
AVG     10.0.0.1190     2011.03.18     –
BitDefender     7.2     2011.03.19     Gen:Trojan.Heur.RP.bmGfa808Elb
CAT-QuickHeal     11.00     2011.03.18     –
ClamAV     0.96.4.0     2011.03.19     –
Commtouch     5.2.11.5     2011.03.18     –
Comodo     8031     2011.03.19     TrojWare.Win32.Wintu.C
DrWeb     5.0.2.03300     2011.03.19     Trojan.DownLoader2.22459
eSafe     7.0.17.0     2011.03.17     –
eTrust-Vet     36.1.8223     2011.03.18     –
F-Prot     4.6.2.117     2011.03.18     –
F-Secure     9.0.16440.0     2011.03.18     –
Fortinet     4.2.254.0     2011.03.19     W32/Wintu.B!tr
GData     21     2011.03.19     Gen:Trojan.Heur.RP.bmGfa808Elb
Ikarus     T3.1.1.97.0     2011.03.18     –
Jiangmin     13.0.900     2011.03.18     –
K7AntiVirus     9.94.4145     2011.03.18     Riskware
Kaspersky     7.0.0.125     2011.03.19     Heur.Trojan.Generic
McAfee     5.400.0.1158     2011.03.19     –
McAfee-GW-Edition     2010.1C     2011.03.18     –
Microsoft     1.6603     2011.03.18     Trojan:Win32/Dugenpal.A
NOD32     5967     2011.03.18     a variant of Win32/TrojanProxy.Wintu.B
Norman     6.07.03     2011.03.18     W32/Malware.LWLN
nProtect     2011-02-10.01     2011.02.15     –
Panda     10.0.3.5     2011.03.18     Suspicious file
PCTools     7.0.3.5     2011.03.19     HeurEngine.MaliciousPacker
Prevx     3.0     2011.03.19     –
Rising     23.49.04.05     2011.03.18     –
Sophos     4.63.0     2011.03.19     Mal/EncPk-OJ
SUPERAntiSpyware     4.40.0.1006     2011.03.19     –
Symantec     20101.3.0.103     2011.03.19     Suspicious.Cloud.5
TheHacker     6.7.0.1.151     2011.03.18     –
TrendMicro     9.200.0.1012     2011.03.19     PAK_Generic.001
TrendMicro-HouseCall     9.200.0.1012     2011.03.19     PAK_Generic.001
VBA32     3.12.14.3     2011.03.18     –
VIPRE     8750     2011.03.19     –
ViRobot     2011.3.18.4364     2011.03.18     –
VirusBuster     13.6.256.1     2011.03.18     –
Additional information
MD5   : 5279c15538e8db306bec37bd7feb2c0f
SHA1  : f398fc70ff6b1e1b3d0a5a6e8f87ff2af00dfbff
SHA256: fd2916425aa389a91cb6cd84cf65b03448336f75e56c29cb52b70d12b7388d4b

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 13 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *