volmgr / Trojan.Plongo : Rootkit – redirection Google

Un malware du nom de Torjan.Plongo est actuellement proposé sur des sites de faux codec qui propageait auparavant du ZAccess.

Petit zoom sur ce malware.

Ce dernier droppe un fichier volmgr.exe dans %APPDATA%

une DLL volmgr.dll est aussi droppé.

La DLL injecte tous les processus courants.

Le malware a des fonctionnalités de rootkit – Le processus n’est pas visible

Les fichiers ne sont pas visibles depuis l’explorateur Windows

La clef du registre Run n’est pas visible non plus par regedit ou HijackThis.

Le fonctionnement fait donc un peu penser à Spyeye / Pincav – mais ça ne semble pas être du Spyeye car aucune connexion à un C&C n’est établie ou aucun téléchargement de fichier de configuration n’est effectué.
En réalité, aucune connexion n’est faite après installation – seule la connexion suivante est faite juste après le drop du malware sur le système :

1317731407.418    152 192.168.1.27 TCP_MISS/404 279 GET http://versalsearch.net/agreement.php?rnd=787740 - DIRECT/95.64.61.122 text/html

Le malware modifie les adresses Google/Bing du  fichier HOSTS de Windows vers les adresses suivantes :

O1 - Hosts: 95.64.61.155 www.google.com
O1 - Hosts: 95.64.61.156 www.bing.com

Ceci peux donc provoquer des redirections lors des recherches Google, encore qu’il ne faut pas que l’internaute utilise google.fr

Les connexions lors des redirections :

#	Result	Protocol	Host	URL	Body	Caching	Content-Type	Process	Comments	Custom
7	302	HTTP	www.google.com	/go?2100694	5		text/html	firefox:396
8	200	HTTP	www.risksearch.net	/cc.php?id=2100694	538		text/html	firefox:396
9	302	HTTP	109.206.161.73:8180	/feed/go.php?id=fa33cf31-fe21-47c2-b505-21ca22d2f5d5&sid=2f0018e3b007d42898f944d845334c30&n=n-4	0			firefox:396
10	200	HTTP	secure.bidvertiser.com	/performance/bdv_rd.dbm?enparms[PARAM]	firefox:396
11	200	HTTP	secure.bidvertiser.com	/performance/bdv_captcha.dbm?djsrl=[PARAM]	firefox:396

L’utilisation de risksearch.net/cc.php (95.64.61.121) est systématique au moment où ces lignes sont écrites.

Les redirections peuvent se faire vers l’adresse search.fr.meilleures-offres.fr par exemple :

Exemple de détection : http://www.virustotal.com/file-scan/report.html?id=2e738942f2372b28b45e2ae81c025f85532c735cd0e15e1a32b37da78010e74e-1317728222

File name: volmgr.exe
Submission date: 2011-10-04 11:37:02 (UTC)
Current status: finished
Result: 10/ 43 (23.3%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.10.03.00	2011.10.03	Trojan/Win32.FraudPack
AntiVir	7.11.15.91	2011.10.04	-
Antiy-AVL	2.0.3.7	2011.10.04	-
Avast	6.0.1289.0	2011.10.04	-
AVG	10.0.0.1190	2011.10.03	-
BitDefender	7.2	2011.10.04	Gen:Variant.Plongo.1
ByteHero	1.0.0.1	2011.09.23	Trojan.Win32.Heur.Gen
CAT-QuickHeal	11.00	2011.10.04	-
ClamAV	0.97.0.0	2011.10.04	-
Commtouch	5.3.2.6	2011.10.04	-
Comodo	10340	2011.10.04	-
DrWeb	5.0.2.03300	2011.10.04	-
Emsisoft	5.1.0.11	2011.10.04	-
eSafe	7.0.17.0	2011.10.03	-
eTrust-Vet	36.1.8596	2011.10.04	-
F-Prot	4.6.2.117	2011.10.03	-
F-Secure	9.0.16440.0	2011.10.04	Gen:Variant.Plongo.1
Fortinet	4.3.370.0	2011.10.04	W32/PackedJkXtoobr.B!tr
GData	22	2011.10.04	Gen:Variant.Plongo.1
Ikarus	T3.1.1.107.0	2011.10.04	-
Jiangmin	13.0.900	2011.10.03	-
K7AntiVirus	9.113.5236	2011.10.03	-
Kaspersky	9.0.0.837	2011.10.04	HEUR:Trojan.Win32.Generic
McAfee	5.400.0.1158	2011.10.04	-
McAfee-GW-Edition	2010.1D	2011.10.03	-
Microsoft	1.7702	2011.10.04	-
NOD32	6515	2011.10.04	a variant of Win32/Kryptik.TNF
Norman	6.07.11	2011.10.03	-
nProtect	2011-10-04.01	2011.10.04	Gen:Variant.Plongo.1
Panda	10.0.3.5	2011.10.03	-
PCTools	8.0.0.5	2011.10.04	-
Prevx	3.0	2011.10.04	-
Rising	23.77.04.01	2011.09.30	-
Sophos	4.69.0	2011.10.04	Troj/Agent-TPO
SUPERAntiSpyware	4.40.0.1006	2011.10.04	-
Symantec	20111.2.0.82	2011.10.04	-
TheHacker	6.7.0.1.316	2011.10.03	-
TrendMicro	9.500.0.1008	2011.10.04	-
TrendMicro-HouseCall	9.500.0.1008	2011.10.04	-
VBA32	3.12.16.4	2011.10.03	-
VIPRE	10656	2011.10.04	-
ViRobot	2011.10.4.4701	2011.10.04	-
VirusBuster	14.0.246.0	2011.10.03	-
Additional information
Show all
MD5   : fce344b86758a8a1547140f7e09f8499
SHA1  : 00484499024a3dc05712427eba1e746d61e76082
SHA256: 2e738942f2372b28b45e2ae81c025f85532c735cd0e15e1a32b37da78010e74e

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 27 times, 1 visits today)

2 thoughts on “volmgr / Trojan.Plongo : Rootkit – redirection Google

  1. Quelques détails techniques qui pourront faire gagner un peu de temps aux intéressés.
    Schéma: http://internetpol.fr/wup/analysis/images/4427354742b0a5c72c5ff880739add9e.gif
    Explications: Ce malware est recouvert d’une couche (zone jaune) qui lui est propre.
    Le principe des poupées russes permet d’embarquer des fichiers encodés et compressés.
    « PIC » contient des données qui, une fois décodés, sont de simples fichiers au format ZIP.
    La ressource 154 (l) est un portable exécutable packé (jaune) nommé en interne CLEANDDM.
    La ressource 155 (d) est une bibliothèque logicielle packée (jaune) nommée VOLMGR.DLL
    Les noms de fonctions:
    0x01 0x00001080 « getActiveDesktop »
    0x02 0x00001010 « getSpecials »
    0x03 0x00001000 « getSplit »
    0x04 0x000010A0 « getWnd »
    La ressource 156 (f) est le fichier host qui écrasera l’existant.

    Il vérifie s’il est bien dans firefox.exe avant de procéder à certaines opérations.
    Les redirections transparentes sur les moteurs (Google, Bing et Yahoo) de recherches.
    % Information related to ‘95.64.61.0/24AS29568’
    route: 95.64.61.0/24
    descr: Noreply Mozzart SRL
    origin: AS29568

    A+ Mak.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *