Win32:Corkow / TrojanDropper:Win32/Meteit.D / Trojan.Tracur s’accouple avec ZeroAccess via des exploits

Depuis quelques jours, un nouveau type de Trojan-Downloader est utilisé dans les exploits sur site web pour installer des infections :

Voici la détection du Trojan – Comme vous pouvez le voir Microsoft le détecte en Trojan.Karaganymais le mécanisme n’est pas le même :

DrWeb	5.0.2.03300	2011.10.29	Trojan.DownLoader5.9079
McAfee	5.400.0.1158	2011.10.29	Generic Downloader.jb
Microsoft	1.7801	2011.10.29	TrojanDownloader:Win32/Karagany.F
NOD32	6586	2011.10.29	a variant of Win32/Kryptik.UQP

MD5   : 9e0c0d75f41e097f1845d311ec4266a2
SHA1  : 291f72f28da77124020bed2af7f5fcf59632562c
SHA256: eff8df523b967e17e42c2d4f9b997dea187c5d1b3067a9383696383fbdc9d7f4
Le mécanisme de Trojan.Karagany a changé, ce dernier injecte maintenant explorer.Exe

puis des fichiers temporaires sont créés ~!#A.tmp – ce sont des exécutables.
Les noms des ficheirs aléatoires étant du type ~!#{chiffre/lettre}.tmp

ici Trojan.Tracur qui est droppé :

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temp\~!#A.tmp
   PID: 2240
Registry Group: Malware
Object:
   Registry key: HKCR\CLSID\{477B5255-3E06-4960-8D4F-8320490B3243}\InprocServer32
   Registry value: (Default)
      Type: REG_SZ
      Value: C:\WINDOWS\system32\fastsrch.dll

DrWeb	5.0.2.03300	2011.10.29	Trojan.DownLoader5.9079
McAfee	5.400.0.1158	2011.10.29	Generic Downloader.jb
Microsoft	1.7801	2011.10.29	TrojanDownloader:Win32/Karagany.F
NOD32	6586	2011.10.29	a variant of Win32/Kryptik.UQP

MD5   : 9e0c0d75f41e097f1845d311ec4266a2
SHA1  : 291f72f28da77124020bed2af7f5fcf59632562c
SHA256: eff8df523b967e17e42c2d4f9b997dea187c5d1b3067a9383696383fbdc9d7f4

Ce dernier lance ensuite un fichier tmp type C2.tmp qui droppe le malware suivante :  Win32:Corkow / TrojanDropper:Win32/Meteit.D

File name: ipnapi32.ori
Submission date: 2011-10-29 18:54:05 (UTC)
Current status: finished
Result: 9/ 37 (24.3%)	VT Community

Print results  Antivirus	Version	Last Update	Result
Avast	6.0.1289.0	2011.10.29	Win32:Corkow [Wrm]
AVG	10.0.0.1190	2011.10.29	Cryptic.DSF
DrWeb	5.0.2.03300	2011.10.29	Trojan.PWS.Turist.4
Emsisoft	5.1.0.11	2011.10.29	Trojan.Crypt!IK
GData	22	2011.10.29	Win32:Corkow
Ikarus	T3.1.1.107.0	2011.10.29	Trojan.Crypt
Microsoft	1.7801	2011.10.29	TrojanDropper:Win32/Meteit.D
Symantec	20111.2.0.82	2011.10.29	Trojan Horse

MD5   : 45dbcb218a05a99158b22b34aafb03cd
SHA1  : 8a6feb05b829fdeaec3cb0825df4346525f6c804
SHA256: e9b5de534f13c5394a4a3c7214c26cc00d8608168fa269e35278afa39381c763
Ce dernier se charge par le service lanmanserever :
Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temp\32.tmp.exe
   PID: 2212
   Information: Loyal Aloud Lace Honk (V Communications, Inc.)
Registry Group: Services
Object:
   Registry key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   Registry value: ServiceDll
   New value:
      Type: REG_EXPAND_SZ
      Value: %CommonProgramFiles%\microsoft shared\ipnapi32.ori
   Previous value:
      Type: REG_EXPAND_SZ
      Value: %CommonProgramFiles%\microsoft shared\dussockx.odb

Le nom du fichier est bien sûr aléatoire.

 

Et enfin, la cerise sur le gateau, le fichier explorer.exe droppe le malware Zaccess  / Sireref

Un pack assez pénible à désinfecter notamment à cause de Zaccess  / Sireref.
Encore une fois, prenez l’habitude à maintenir vos logiciels à jour et notamment Java / Adobe Flash et Adobe Reader pour éviter les ennuies et les infections type exploits sur site web

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 14 times, 1 visits today)

One thought on “Win32:Corkow / TrojanDropper:Win32/Meteit.D / Trojan.Tracur s’accouple avec ZeroAccess via des exploits

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *