Win32:RLoader-B : 247.sys / c_7265211.nls

Depuis une semaine ou deux, les URLs qui droppaient auparavant des rogues de la famille suivante http://forum.malekal.com/est-que-les-rogues-scareware-t589.html#p161617 droppe maintenant un nouveau malware.
Cette famille allait beaucoup par du Black SEO Google.

315139760.877    407 192.168.1.27 TCP_MISS/302 1000 GET http://www3.strongsentinelt.in/?nq5u7mnlm3=kuae2XSfoqOTo9zYr6KU0%2BaipZrd4tGpqZ%2BoatdpoKCfnpSX&5a95e0a=%03%02%03%02%02%03%05%08%00%03 - DIRECT/75.102.21.120 text/html
1315139761.363    290 192.168.1.27 TCP_MISS/200 4807 GET http://www2.topahscanner.rr.nu/d17g1r7yca?uud5p5dc=mdnaouShocfk6eXC0tWJ1tfSoqSprIql2ZmhlprQ0sPasLW1uZTR5bKsiqTjctvZzL%2BWw9HXoMPNt6qom%2B3ar9eXocfZ5uDIyZnGxKu0t5je5aFmqWeSlKqnnpKWpZqH4eLG5urooWaWrM3HsaekkY7n182ro5apqteWaKJolcSa4%2BOemaaUlp%2BhnamorYqZ36LFzOKs59jfppHU4uDU4NzoyaPkntLI4OOeytaZy9PV2Nav6uDIn9tZ - DIRECT/79.133.196.110 text/html
1315139762.708    455 192.168.1.27 TCP_MISS/200 41974 GET http://www2.topahscanner.rr.nu/591d3d11.js - DIRECT/79.133.196.110 text/javascript
1315139765.509   3269 192.168.1.27 TCP_MISS/200 7145 GET http://www2.topahscanner.rr.nu/pictures/load.gif - DIRECT/79.133.196.110 image/gif
1315139765.639     95 192.168.1.27 TCP_MISS/200 2901 GET http://www2.topahscanner.rr.nu/cl/7/fill_sprite.gif - DIRECT/79.133.196.110 image/gif
1315139765.823    270 192.168.1.27 TCP_MISS/200 8554 GET http://www2.topahscanner.rr.nu/cl/7/icon_sprite.jpg - DIRECT/79.133.196.110 image/jpeg

Installation et modifications du système

La détection du dropper ne sont que des détections Heuristics, packers etc. : http://www3.malekal.com/malwares/index.php?&hash=76b0188adbbd45c8e08fbfb526d6abc0

 

File name: 76b0188adbbd45c8e08fbfb526d6abc0
Submission date: 2011-09-04 12:25:10 (UTC)
Current status: finished
Result: 8 /44 (18.2%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.09.03.00	2011.09.03	-
AntiVir	7.11.14.90	2011.09.02	TR/Dropper.Gen
Antiy-AVL	2.0.3.7	2011.09.04	-
Avast	4.8.1351.0	2011.09.04	-
Avast5	5.0.677.0	2011.09.04	-
AVG	10.0.0.1190	2011.09.04	-
BitDefender	7.2	2011.09.04	-
ByteHero	1.0.0.1	2011.08.22	-
CAT-QuickHeal	11.00	2011.09.04	-
ClamAV	0.97.0.0	2011.09.04	-
Commtouch	5.3.2.6	2011.09.03	-
Comodo	9990	2011.09.04	-
DrWeb	5.0.2.03300	2011.09.04	-
Emsisoft	5.1.0.11	2011.09.04	Trojan-Downloader.Delphi!IK
eSafe	7.0.17.0	2011.09.01	-
eTrust-Vet	36.1.8537	2011.09.02	-
F-Prot	4.6.2.117	2011.09.03	-
F-Secure	9.0.16440.0	2011.09.04	-
Fortinet	4.3.370.0	2011.09.04	W32/Kryptik.SEW!tr
GData	22	2011.09.04	-
Ikarus	T3.1.1.107.0	2011.09.04	Trojan-Downloader.Delphi
Jiangmin	13.0.900	2011.09.03	Rootkit.Agent.nqe
K7AntiVirus	9.111.5083	2011.09.02	-
Kaspersky	9.0.0.837	2011.09.04	-
McAfee	5.400.0.1158	2011.09.04	Suspect-BA!76B0188ADBBD
McAfee-GW-Edition	2010.1D	2011.09.03	-
Microsoft	1.7604	2011.09.04	-
NOD32	6434	2011.09.04	a variant of Win32/Kryptik.SHO
Norman	6.07.11	2011.09.04	W32/Delf.FHXY
nProtect	2011-09-04.01	2011.09.04	-
Panda	10.0.3.5	2011.09.03	-
PCTools	8.0.0.5	2011.09.04	-
Prevx	3.0	2011.09.04	-
Rising	23.73.01.03	2011.08.30	-
Sophos	4.69.0	2011.09.04	-
SUPERAntiSpyware	4.40.0.1006	2011.09.03	-
Symantec	20111.2.0.82	2011.09.04	-
TheHacker	6.7.0.1.290	2011.09.03	-
TrendMicro	9.500.0.1008	2011.09.03	-
TrendMicro-HouseCall	9.500.0.1008	2011.09.04	-
VBA32	3.12.16.4	2011.09.02	-
VIPRE	10366	2011.09.04	-
ViRobot	2011.9.3.4655	2011.09.04	-
VirusBuster	14.0.200.0	2011.09.03	-
Additional information
Show all
MD5   : 76b0188adbbd45c8e08fbfb526d6abc0
SHA1  : 96717de8a3a84b3f34ba8f13221f71130ff0e4cb
SHA256: 32b2a87e2b7dba239d0a3e1b04ab0c21c26c05c454a3d15595e82e6c0c1adb17

Le malware installe un service 247 avec un driver %TEMP%\247.sys

La détection du driver : http://www.virustotal.com/file-scan/report.html?id=18059a1eb00a12c8ad548aa495e96a9a773ffa46bb6656f82b8b44149b247c9a-1315139146

File name: 5bcf04ae8d36cb77dd19a67d323765f2
Submission date: 2011-09-04 12:25:46 (UTC)
Current status: finished
Result: 3 /42 (7.1%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.09.03.00	2011.09.03	-
AntiVir	7.11.14.90	2011.09.02	TR/Crypt.XPACK.Gen2
Antiy-AVL	2.0.3.7	2011.09.04	-
Avast	4.8.1351.0	2011.09.04	-
Avast5	5.0.677.0	2011.09.04	-
AVG	10.0.0.1190	2011.09.04	-
BitDefender	7.2	2011.09.04	-
ByteHero	1.0.0.1	2011.08.22	-
CAT-QuickHeal	11.00	2011.09.04	-
ClamAV	0.97.0.0	2011.09.04	BC.Heuristics.Rootkit.B-11.MV
Commtouch	5.3.2.6	2011.09.03	-
Comodo	9990	2011.09.04	-
Emsisoft	5.1.0.11	2011.09.04	-
eSafe	7.0.17.0	2011.09.01	-
eTrust-Vet	36.1.8537	2011.09.02	-
F-Prot	4.6.2.117	2011.09.03	-
F-Secure	9.0.16440.0	2011.09.04	-
Fortinet	4.3.370.0	2011.09.04	-
GData	22	2011.09.04	-
Ikarus	T3.1.1.107.0	2011.09.04	-
Jiangmin	13.0.900	2011.09.03	-
K7AntiVirus	9.111.5083	2011.09.02	-
Kaspersky	9.0.0.837	2011.09.04	-
McAfee	5.400.0.1158	2011.09.04	-
McAfee-GW-Edition	2010.1D	2011.09.03	-
Microsoft	1.7604	2011.09.04	-
NOD32	6434	2011.09.04	a variant of Win32/Rootkit.Kryptik.DO
Norman	6.07.11	2011.09.04	-
nProtect	2011-09-04.01	2011.09.04	-
Panda	10.0.3.5	2011.09.03	-
PCTools	8.0.0.5	2011.09.04	-
Prevx	3.0	2011.09.04	-
Rising	23.73.01.03	2011.08.30	-
Sophos	4.69.0	2011.09.04	-
SUPERAntiSpyware	4.40.0.1006	2011.09.03	-
Symantec	20111.2.0.82	2011.09.04	-
TheHacker	6.7.0.1.290	2011.09.03	-
TrendMicro	9.500.0.1008	2011.09.03	-
TrendMicro-HouseCall	9.500.0.1008	2011.09.04	-
VIPRE	10367	2011.09.04	-
ViRobot	2011.9.3.4655	2011.09.04	-
VirusBuster	14.0.200.0	2011.09.03	-
Additional information
Show all
MD5   : 5bcf04ae8d36cb77dd19a67d323765f2
SHA1  : 4847425587b39e49cf4de2c0ed9ef4d633f8c528
SHA256: 18059a1eb00a12c8ad548aa495e96a9a773ffa46bb6656f82b8b44149b247c9a

Le malware se recopie en %TEMP%\1.tmp ou %TEMP%\2.tmp

GMER liste le module, le service est ensuite supprimé et le module disparaît au redémarrage.

Le malware fait aussi un reset du fichiers HOSTS et le verrouille, ce qui est assez rare.
il ajoute la ligne suivante au fichier HOSTS :

::1             localhost

Les fichiers ajoutés :

	c:\Documents and Settings\Mak\Local Settings\Temp\2.tmp
		Date: 9/4/2011 2:19 PM
		Size: 344 581 bytes
	c:\Documents and Settings\Mak\Local Settings\Temp\247.sys
		Date: 9/4/2011 8:32 PM
		Size: 125 952 bytes
	c:\WINDOWS\system32\c_7265211.nls
		Date: 9/4/2011 8:32 PM
		Size: 143 876 bytes
	c:\WINDOWS\system32\CatRoot2\tmp.edb
		Date: 9/4/2011 8:31 PM
		Size: 1 056 768 bytes

Le fichier c_7265211.nls est verrouillé donc on ne peux pas le supprimer manuellement via Windows.
VirusTotal donne la détection suivante : http://www.virustotal.com/file-scan/report.html?id=37c285e384ccd092edf7f2a1e6f0c173bef62769bc92346e8a28d1f5d5a9e4a0-1315143157

 

File name: c_7265211.nls
Submission date: 2011-09-04 13:32:37 (UTC)
Current status: queued queued (#4) analysing finished
Result: 4/ 44 (9.1%)

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.09.03.00 2011.09.03 -
AntiVir 7.11.14.90 2011.09.02 -
Antiy-AVL 2.0.3.7 2011.09.04 -
Avast 4.8.1351.0 2011.09.04 Win32:RLoader-B
Avast5 5.0.677.0 2011.09.04 Win32:RLoader-B
AVG 10.0.0.1190 2011.09.04 -
BitDefender 7.2 2011.09.04 -
ByteHero None 2011.09.04 -
CAT-QuickHeal 11.00 2011.09.04 -
ClamAV 0.97.0.0 2011.09.04 -
Commtouch 5.3.2.6 2011.09.03 -
Comodo 9990 2011.09.04 -
DrWeb 5.0.2.03300 2011.09.04 -
Emsisoft 5.1.0.11 2011.09.04 -
eSafe 7.0.17.0 2011.09.01 -
eTrust-Vet 36.1.8537 2011.09.02 -
F-Prot 4.6.2.117 2011.09.03 -
F-Secure 9.0.16440.0 2011.09.04 -
Fortinet 4.3.370.0 2011.09.04 -
GData 22 2011.09.04 Win32:RLoader-B
Ikarus T3.1.1.107.0 2011.09.04 -
Jiangmin 13.0.900 2011.09.03 -
K7AntiVirus 9.111.5083 2011.09.02 -
Kaspersky 9.0.0.837 2011.09.04 -
McAfee 5.400.0.1158 2011.09.04 -
McAfee-GW-Edition 2010.1D 2011.09.03 Heuristic.BehavesLike.Exploit.CodeExec.FFCN
Microsoft 1.7604 2011.09.04 -
NOD32 6435 2011.09.04 -
Norman 6.07.11 2011.09.04 -
nProtect 2011-09-04.01 2011.09.04 -
Panda 10.0.3.5 2011.09.04 -
PCTools 8.0.0.5 2011.09.04 -
Prevx 3.0 2011.09.04 -
Rising 23.73.01.03 2011.08.30 -
Sophos 4.69.0 2011.09.04 -
SUPERAntiSpyware 4.40.0.1006 2011.09.03 -
Symantec 20111.2.0.82 2011.09.04 -
TheHacker 6.7.0.1.290 2011.09.03 -
TrendMicro 9.500.0.1008 2011.09.03 -
TrendMicro-HouseCall 9.500.0.1008 2011.09.04 -
VBA32 3.12.16.4 2011.09.02 -
VIPRE 10367 2011.09.04 -
ViRobot 2011.9.3.4655 2011.09.04 -
VirusBuster 14.0.200.0 2011.09.03 -
Additional informationShow all
MD5   : a2679e48d97853474be3a55f0b37ea92
SHA1  : aeccb78b5b43a5b2be3073ddf63e3e72f4b5a9f8
SHA256: 37c285e384ccd092edf7f2a1e6f0c173bef62769bc92346e8a28d1f5d5a9e4a0
ssdeep: 3072:cH6pDInDCQmFVrSufIoK8W7duEzpHhWEDhz31Wk:HpDOmFhfKhWYB

Vous avez un exemple de rapport OTL avec les modifications : http://pjjoint.malekal.com/files.php?read=OTL_f10o8g12r12b12b11m1011p9k6g13k8m9z7y12l5n6e13f9b15&html=onDRV – File not found [Kernel | Unknown | Running] — — (247) [2011/09/04 14:20:16 | 000,143,876 | —- | M] () — C:\WINDOWS\System32\c_7265211.nls Au niveau des connexions on obtient des requêtes du type :

1315142425.314    198 192.168.1.27 TCP_MISS/301 487 GET http://178.17.165.5/chrome/report.html?1mY31=U%AE%AEk%A8%AD%86%81%5C%AA%97%99n%9F%8DjW%9D%A5%9Fk%97%A9%5Bw%88%5B%9B%9E%95%AA%9Dierl%7Dfhnosnmeyi%B0%8Ctdt%7BpfulqsfmplW%DF%BE%A6nagh%5Eaj_afe%5Efa%9D%89caaghT%A7t%5Eafe%5Efa%A1%7D - DIRECT/178.17.165.5 text/html
1315142425.361    243 192.168.1.27 TCP_MISS/301 487 GET http://98.142.243.60/chrome/report.html?3cE93=%5D%AF%A4n%AB%A8%86%82Z%A8%97%9Ame%97%7C_%9F%A7%9Fk%97%A6_t%84Z%A0%97%9Amw%99yzh%7Epehutfjkwfyct%96%88%7Dkq%7CctvbftkY%A0%9B%A3p%93uicij%5Eadb%5Ecdc%5Ef%60c%93u_%A9vh%5Eadb_bhW - DIRECT/98.142.243.60 text/html
1315142426.615    145 192.168.1.27 TCP_MISS/504 1819 GET http://update1.q68v0aa9h7x.com/?id=kdjf0tXm1J2a1qh13pHUyV%2FVoNxrxtCkrqKaw9iZlWaka3CvlsSWn59t3V%2FIpqGqppvC2slV - DIRECT/update1.q68v0aa9h7x.com text/html

Le sous domaine d’update1 est aléatoire.

Une recherche Google montre bien le lien entre le malware et la famille de rogue précédente, on trouve quelques liens relatifs :

http://about-threats.trendmicro.com/ArchiveMalware.aspx?language=us&name=TROJ_FAKEAL.SMDP
http://ddanchev.blogspot.com/2010/04/godaddys-mass-wordpress-blogs.html

But du malware

Aller je vous le donne en mille…
Le malware effectue des redirections Google.

Exemple de requêtes redirigées vers meta.7search.com et www.monstermarketplace.com :

http://www.google.fr/aff?p=JZBfj6IwFMWf-SC-Ymkp0E02G3FAHJ1x1RFcXzalVErk37Q4hfn0W9fk5ubm_u49yTliGPof83nDB2r7ilPJhM26Zs7qit2e3aaqH3-NPye-y7v75vV0OB96dwbzav1e0hm86hkqTP3NK6Evn-o7qcvElfj6jr5j3DJz8aGiCS2iTS_g54V4GQDLWmQZ-x0TL9_Eq5e1MnpaOzEMv4Yxdc-vwAtS2dUpKlYG1emf_QAaM6nVm2Zvk0hOqmV87MPALDO0WuglntRG8OO-RmXffez9TOGyiG6y5kfSj9R8X7c4KHZk2NGmO6B1GtHJUzqMFnfP79ubMTvK3TLUsYiSsD1HnnQKuBXboTniMjjuQZDk9droXIqXoYGn_BQhPkXGvIUsBznYQcRxfQvYAHqWeGartTaRtmqQ90pyRRtaqa79n7L1YM2DcdlQeeNDX1PGH8wKkA0BtB1sQ4wsgCEIGPEJdhgvwJUEFLmFRyhxCuxybj1V_wE~&r=70431
http://bigentertainmentfinder.com/aff?aff=http%3A%2F%2Fmeta.7search.com%2Fclick%2Fclick.aspx%3Fx%3DyeObouKJURXRp4%252biINga%252fw%253d%253d_bihwZqszHlgH4r5fN3zF5nc%252fTsEy3AEKph2qZ96W00ClhWWcPF96bKFGDIs%252bww1F2BvtxV4XJ068VrolV3dG%252blVYQt0m%252bsGMwcMyhHUsncexpB8%252bW3GAwC5ysKheSQl3gpoTQ7Ws5gdEkrleS9pxam%252fL58dO9tOamoR3IVEay6swBEAu67pnkickxrOCBwFhEHBnXE6r1d2LhLtmS5g8SQ08HblI%252fZdDtm2UbUE3eyE%253d&i=BcE5CsAwDATAej8jVpJlW88xPiBFkiL_h8x0F6OJhlg4HBRahZUGBcPYZ7YMnXvxZB9eVs2RuqLsjUPc4_re5wc~
http://77.79.4.98/piwik/piwik.php?idsite=2&rec=1
http://meta.7search.com/click/click.aspx?x=yeObouKJURXRp4%2biINga%2fw%3d%3d_bihwZqszHlgH4r5fN3zF5nc%2fTsEy3AEKph2qZ96W00ClhWWcPF96bKFGDIs%2bww1F2BvtxV4XJ068VrolV3dG%2blVYQt0m%2bsGMwcMyhHUsncexpB8%2bW3GAwC5ysKheSQl3gpoTQ7Ws5gdEkrleS9pxam%2fL58dO9tOamoR3IVEay6swBEAu67pnkickxrOCBwFhEHBnXE6r1d2LhLtmS5g8SQ08HblI%2fZdDtm2UbUE3eyE%3d
http://www.monstermarketplace.com/a/in?q=maison&t=H484368&rt=ron2&aff=73776-01247_04f0&gc=w5
http://www.monstermarketplace.com/search/?q=maison&t=H484368&gc=w5&sid=CM446wZ355D-1JFuqOjXfg

On peux aussi attérir sur fr.clickcompare.info

Si l’on regarde les strings du fichier c_7265211.nls, on peux voir :

[redirect_timeouts]
-response_timeout=40000;
-redirect_deactivating_interval=40020;
[reports]
-Version=260;
-host=98.142.243.60/chrome/report.html;
-host_first=178.17.165.5/chrome/report.html;
-check_timeout=10000;
-disable_reports=0;
[AntiRB]
-server=212.117.175.34;
[GUI]
[UAC]
-DelayBeforeRun=10;
[redirected_ips]
-ip=74.55.76.230;
-ip=178.250.45.15;
[redirected_domains]
-www.google.com.=87.125.87.99;
-google.com.=87.125.87.103;
-google.com.au.=87.125.87.104;
-www.google.com.au.=87.125.87.147;
-google.be.=77.125.87.148;
-www.google.be.=77.125.87.149;
-google.com.br.=77.125.87.109;
-www.google.com.br.=77.125.87.150;
-google.ca.=77.125.87.152;
-www.google.ca.=77.125.87.153;
-google.ch.=77.125.87.155;
-www.google.ch.=77.125.87.158;
-google.de.=77.125.87.160;
-www.google.de.=77.125.87.161;
-google.dk.=92.125.87.123;
-www.google.dk.=92.125.87.160;
-google.fr.=92.125.87.154;
-www.google.fr.=92.125.87.134;
-google.ie.=92.125.87.170;
-www.google.ie.=92.125.87.177;
-google.it.=92.125.87.173;
-www.google.it.=92.125.87.147;
-google.co.jp.=92.125.87.103;
-www.google.co.jp.=84.125.87.147;
-google.nl.=84.125.87.103;
-www.google.nl.=84.125.87.147;
-google.no.=84.125.87.103;
-www.google.no.=84.125.87.147;
-google.co.nz.=84.125.87.103;
-www.google.co.nz.=84.125.87.147;
-google.pl.=84.125.87.103;
-www.google.pl.=64.125.87.147;
-google.se.=64.125.87.103;
-www.google.se.=64.125.87.147;
-google.co.uk.=64.125.87.103;
-www.google.co.uk.=64.125.87.147;
-google.co.za.=64.125.87.103;
-www.google.co.za.=64.125.87.147;
-www.google-analytics.com.=64.125.87.101;
-www.bing.com.=92.123.68.97;
-search.yahoo.com.=72.30.186.249;
-www.search.yahoo.com.=72.30.186.249;
-uk.search.yahoo.com.=87.248.112.8;
-ca.search.yahoo.com.=100.6.239.84;
-de.search.yahoo.com.=87.248.112.8;
-fr.search.yahoo.com.=87.248.112.8;
-au.search.yahoo.com.=87.248.112.8;
-ad-emea.doubleclick.net.=64.125.87.101;
-www.statcounter.com.=64.125.87.101;
[redirected_domains_hosts]
-www.google-analytics.com.=64.125.87.101;
-ad-emea.doubleclick.net.=64.125.87.101;
-www.statcounter.com.=64.125.87.101;

Un ping sur google.fr montre bien qu’on arrive pas sur le bon serveur, ici l’IP 92.125.87.134 qui se trouve en russie

Le malware hook les requêtes DNS pour rediriger vers un autre serveur, d’où le verrouillage du fichier HOSTS de Windows.
On voit aussi que Google-analytics, doubleclick.net ou statcounter.com sont concernées.
Dans le cas de Google, potentiellement, les cookies peuvent être volées ou dans le cas d’une authentification, le serveur n’étant pas le bon, ce dernier peux utiliser des certificats falsifiées afin de voler les identifiants.

Au niveau des détections/suppressions

Malwarebyte ne voit rien pour le moment :

Le fichier semble particulièrement difficile à supprimer – Combofix ne semble pas arriver à supprimer le malware :

Trojan_Rootkit_247_Combofix

Trojan_Rootkit_247_Combofix

Avast détecte le malware mais ne parvient pas à le déplacer en quarantaine :

Même Gmer bute dessus :

ACPI.sys patché

ACPI.sys semble patché, remettre le fichier permet la suppression de c_7265211.nls

Virus.Win32.Rloader.a

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 111 times, 1 visits today)

One thought on “Win32:RLoader-B : 247.sys / c_7265211.nls

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *