Worm:Win32/Gamarue et Andromeda / SmokeBot: stealer

Voici une nouvelle famille de stealer :  https://www.virustotal.com/file/99f9f223162d30fa8db522ba9d2faac5acbab7fe951ee1f8be8ec1f00db08d4f/confirmation/

Kaspersky HEUR:Trojan.Win32.Generic 9.0.0.837 20120103
McAfee Artemis!03374DD54E61 5.400.0.1158 20120103
McAfee-GW-Edition Artemis!03374DD54E61 2010.1E 20120103
Panda Suspicious file 10.0.3.5 20120103
Sophos Mal/Zbot-EZ 4.72.0 20120103
TheHacker Posible_Worm32 6.7.0.1.371 20120103

Ce dernier injecte le processus système wuauclt.exe qui gère les mises à jour Windows.

le processus injecté créé une clef Run qui permet au malware de se lancer à chaque démarrage.

Le fichier est copié dans le dossier TEMP de All Users – à chaque démarrage le malware va relancer wuauctl.exe, voici la détection :https://www.virustotal.com/file/99f9f223162d30fa8db522ba9d2faac5acbab7fe951ee1f8be8ec1f00db08d4f/analysis/

SHA256: 99f9f223162d30fa8db522ba9d2faac5acbab7fe951ee1f8be8ec1f00db08d4f
Detection ratio: 8 / 43
Analysis date: 2012-01-12 19:02:56 UTC ( 2 minutes ago )

Antivirus Result Version Update
Fortinet W32/Yakes.B!tr 4.3.388.0 20120112
Kaspersky UDS:DangerousObject.Multi.Generic 9.0.0.837 20120112
McAfee Artemis!03374DD54E61 5.400.0.1158 20120112
McAfee-GW-Edition Artemis!03374DD54E61 2010.1E 20120112
Microsoft Worm:Win32/Gamarue.B 1.7903 20120112
Panda Suspicious file 10.0.3.5 20120112
Sophos Mal/EncPk-AAY 4.73.0 20120112
TheHacker Posible_Worm32 6.7.0.1.375 20120110

c’est aussi wuauclt.exe qui effectue les connexions afin de bypasser les pare-feu

Le malware fait un POST afin d’envoyer les informations volées :

1326395109.947 552 192.168.1.27 TCP_MISS/200 337 POST http://www.gooodman.net/foro/image.php – DIRECT/95.57.120.129 application/octet-stream

Ce dernier a des fonctionnalités de keylogger, en outre, sur la fiche Microsoft, on peux aussi lire que certains variantes peuvent se propager par média amovibles.

Un malware qui peut s’avérer discret. L’injection de processus système aidant, un utilisateur qui lance le gestionnaire de tâches ne verra pas forcément quelque chose.
La clef Run est pas forcément discrète, par contre elle est monitorée, ce qui signifie que si vous tentez de la désactiver quand le malware est actif en mémoire, elle sera aussitôt recrée.
Même chose pour la suppression de fichiers.

Il est conseillé de désactiver la clef Run en mode sans échec et supprimer le fichier TEMP.
Malwarebyte’s Anti-Malware peut éventuellement faire le boulot.

EDIT 5 Octobre : rise of gamarue/Smokebot/Andromeda

Ces derniers temps, on peux voir une explosion de ce malware.
Ce dernier se caractérise par le lancement d’une instance de svchost.exe qui communique avec le C&C du botnet.

Les POSTs effectués sont toujours du type : HOST/rep/index.php
Exemple : TCP_MISS/504 1549 POST http://fckd330.mooo.com/xbox/image.php – DIRECT/46.105.62.113 text/html


Le svchost.exe peux aussi être  le malware lui même et non une instance de %SYSTEM/svchost.exe :

La clef par défaut est : SunJavaUpdateSched = « %AllUsersProfile%/svchost.exe » :

Le panel se trouve à l’adresse Host/control.php
Les fichiers de conf sont dans inc/cfg.php

Le panel se nomme SmokeBot – il permet en autre de lancer des commandes sur les PC infectés :

Le malware vole tout ce qu’il peux trouver, des mots de passe WEB, adresse email de contact, numéro de téléphone, accès FTP.
Exemple d’un log de données volées :

 

 

On peux donc avoir des noms qui changent selon les éditeurs :

AntiVir TR/Dldr.Andromeda.mb 20121005
Kaspersky Trojan-Downloader.Win32.Andromeda.mb 20121005
Microsoft Worm:Win32/Gamarue.I 20121005
Norman W32/SmokeBot.D 20121005
Panda Suspicious file

 

Un malware assez professionnel qui peux concurencer les botnets du type Spyeye ou Zbot.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 39 times, 1 visits today)

2 thoughts on “Worm:Win32/Gamarue et Andromeda / SmokeBot: stealer

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *