Worm:Win32/Cridex/Trojan.Win32.Jorik.Totem : Campagne par mail

Une campagne par mail a lieu qui conduit au malware Worm:Win32/Cridex.
Ce dernier commence à se répandre depuis quelques mois : http://www3.malekal.com/malwares/index.php?malware=Cridex
Kaspersky le détecte en Trojan.Win32.Jorik.Totem

Un des mails malicieux utilisés, se faisant passer pour BBB (Better Busniess Bureaus)

qui conduit à un site avec un exploit sur site WEB, classique.

Installation dans le système

Le dropper ajoute une clef Run pour le fichier : C:/Documents and Settings/Mak/Application Data/KB00276621.exe

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run « KB00276621.exe »
Type: REG_SZ
Data: « C:/Documents and Settings/Mak/Application Data/KB00276621.exe »
c:/Documents and Settings/Mak/Application Data/KB00276621.exe
Date: 1/20/2012 2:49 PM
Size: 79 872 bytes

puis injecte le processus système explorer.exe.

un fichier %TEMP%/POS21.tmp.BAT est ensuite executé :

@echo off
:R
del /F /Q /A "C:/Documents and Settings/Mak/Local Settings/Temp/0.7026635403340263.exe"
if exist "C:/Documents and Settings/Mak/Local Settings/Temp/0.7026635403340263.exe" goto R
del /F /Q /A "C:/DOCUME~1/Mak/LOCALS~1/Temp/POS21.tmp.BAT"

puis se met à jour en téléchargeant et executant un fichier %TEMP%/POSTxx.tmp :
http://www3.malekal.com/malwares/index.php?hash=8b0db52fb8933fd6856cc72ad606226c
http://www3.malekal.com/malwares/index.php?hash=6f07f6ff9982dd4be79572818def4665


Les connexions établies par le site WEB durant l’exploit :

Activité Systeme Worm:Win32/Cridex / Trojan.Win32.Jorik.Totem

Le malware résoud l’adresse jahramainso.com pour s’y connecter en HTTPS :

Cela fait plusieurs fois que le malware se droppe sous le nom %APPDATA%/KB00276621.exe – bien entendu cela peux changer dans le temps.
Par contre les noms %TEMP%/POSXX.tmp (X = chiffre/Lettre) est caractéristique de ce malware.

Les détections des malwares récupérés relatives à cette campagne :

 

SHA256: bb25e6a4973e4d15837ea66d8e6a1876a19cce82b541d1a5c16f4a0849e89d6d
Detection ratio: 22 / 42
Analysis date: 2012-01-19 16:14:33 UTC ( 21 hours, 54 minutes ago )
AntiVir Worm/Cridex.B.44 20120119
AVG SHeur4.NWM 20120119
BitDefender Trojan.Agent.ATXF 20120119
Comodo TrojWare.Win32.Trojan.Agent.Gen 20120119
DrWeb Trojan.Necurs.2 20120119
Emsisoft Worm.Win32.Cridex!IK 20120119
F-Secure Trojan.Agent.ATXF 20120119
Fortinet W32/Yakes.B!tr 20120119
GData Trojan.Agent.ATXF 20120119
Ikarus Worm.Win32.Cridex 20120119
Kaspersky Trojan.Win32.Jorik.Totem.o 20120119
McAfee Artemis!6F07F6FF9982 20120119
McAfee-GW-Edition Artemis!6F07F6FF9982 20120119
Microsoft Worm:Win32/Cridex.B 20120119
Norman W32/Suspicious_Gen4.BVJF 20120119
Panda Bck/Qbot.AO 20120119
PCTools Malware.SillyDC!rem 20120119
Rising – 20120118
Sophos Troj/Agent-UOR 20120119
Symantec W32.SillyDC 20120119
TheHacker Posible_Worm32 20120119
TrendMicro-HouseCall TROJ_SPNR.11AI12 20120119
VIPRE Trojan.Win32.Generic!BT 20120119

 

Le second :

https://www.virustotal.com/file/753d242bc4b3a8ae4e569251cb8370313f07adc742b93e6834e4ea93ac6e7764/analysis/
SHA256: 753d242bc4b3a8ae4e569251cb8370313f07adc742b93e6834e4ea93ac6e7764

Detection ratio: 6 / 31
Analysis date: 2012-01-20 12:22:03 UTC ( 3 hours, 58 minutes ago )
AntiVir TR/Crypt.ULPM.Gen 20120120
Fortinet W32/Yakes.B!tr 20120120
Microsoft Worm:Win32/Cridex.B 20120120
NOD32 a variant of Win32/Kryptik.ZFB 20120120
Norman – 20120120
Panda Bck/Qbot.AO 20120119
PCTools HeurEngine.MaliciousPacker
 

Désinfection Worm:Win32/Cridex / Trojan.Win32.Jorik.Totem

Le fichier ainsi que la clef ne sont pas monitorés (contrairement par exemple à Worm:Win32/Gamarue).
Cela signifie que vous pouvez supprimer le fichier ou enlever la clef.
Au démarrage suivant, le malware ne sera plus actif.

 

EDIT 16 Février :

Aujourd’hui, je checkais mes SPAMS… avec du phihsing Paypal

Rien de nouveau.
Ce mail a atiré mon attention avec une pièce jointe en HTML qui est lu par le client Mail – on voit le Loading. Please wait…
(Le client mail est Icedove qui est un fork de Thunderbird)

Ce dernier contient un JavaScript malicieux :

Qui donne ceci – on voit bien un lien vers un exploit via des iframes :

La question que je me posais était de savoir, si via un Thunderbird sous Windows, l’exploit pouvait être joué depuis le client mail étant donné que le fichier HTML est lu par le client.
La réponse est non. Très certainement car le client mail est seulement capable de lire du HTML basique, et pas le JavaScript, ce qui est pour des raisons de sécurité une bonne chance.
Au final donc, pour que l’exploit soit joué, il faut ouvrir le page HTML sur le navigateur WEB (d’où la demande dans le mail).

 

Comme l’avais compris, le pack droppe Cridex (sinon je n’aurai pas édité ce billet ;)).

La détection de la pièce jointe est de 6 mais était que de 3 dans la journée : https://www.virustotal.com/file/9f6f95b146c3771beaf490d1170e19edd45c72bd1bcc976dc91e610a757fe1ef/analysis/1329419859/

SHA256: 9f6f95b146c3771beaf490d1170e19edd45c72bd1bcc976dc91e610a757fe1ef
File name: Suspended_Bank_AccN8839869.htm
Detection ratio: 6 / 43
Analysis date: 2012-02-16 19:17:39 UTC ( 0 minute ago )

Avast - 20120216
AVG HTML/Framer 20120216
Emsisoft Virus.HTML.Framer!IK 20120216
Ikarus Virus.HTML.Framer 20120216
Microsoft Exploit:JS/Blacole.BV 20120216
Sophos Mal/Iframe-W 20120216
Symantec Trojan.Malscript

Le fichier droppé (O4 – HKCU\..\Run: [KB00276621.exe] « C:\Documents and Settings\Mak\Application Data\KB00276621.exe » ) est de 3/43 : https://www.virustotal.com/file/09f2c1613d2905acc37978f493db524b1224bf26d31d5f6cd52039075411ea94/analysis/

SHA256: 09f2c1613d2905acc37978f493db524b1224bf26d31d5f6cd52039075411ea94
File name: gsxohsapcpklkti.exe
Detection ratio: 3 / 43
Analysis date: 2012-02-14 13:01:43 UTC ( 2 jours, 6 heures ago )

Avast Win32:WrongInf-C [Susp] 20120214
Fortinet W32/Yakes.B!tr 20120214
TheHacker Posible_Worm32 20120213

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 36 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *