Campagne SPAM : Faux Facebook => Zeus/Zbot

Une campagne de SPAM par email a actuellement lieu qui droppe le malware Zeus/Zbot

Les mails sont du type xxxxx wants to be friends on Facebook.
qui reprend les mails type Facebook (sans le F majuscule à Facebook).

Le lien conduit vers une page avec une adresse non Facebook : http://session04087523806793.pmstdl.com/confirm/req/


Sur la dite page, on nous explique que notre version de Flash est ancienne et qu'il faut la mettre à jour.
Le lien proposé n'a rien à voir avec Adobe : http://session04087523806793.pmstdl.com/confirm/req/updateflash.exe

La page contient aussi un exploit sur site WEB pour automatiser l'installation de l'infection.

Ce qui droppe Zeus/Zbot dans un sous-répertoire de %APPDATA%

La détection du dropper  : http://www.virustotal.com/file-scan/report.html?id=e31b119e4f1bee734efb259fce8974c8b63cc0bbe6588bf1d1655847cd0cfc33-1314007802

File name: 6f86e5939e7bca1d0a57689e6d4e3e57
Submission date: 2011-08-22 10:10:02 (UTC)
Current status: finished
Result: 22 /44 (50.0%)Compact
Print results Antivirus Version Last Update Result
AhnLab-V3 2011.08.22.01 2011.08.22 Backdoor/Win32.ZAccess
AntiVir 7.11.13.174 2011.08.22 TR/PSW.Zbot.ZT.17
Antiy-AVL 2.0.3.7 2011.08.22 -
Avast 4.8.1351.0 2011.08.21 -
Avast5 5.0.677.0 2011.08.21 -
AVG 10.0.0.1190 2011.08.22 PSW.Generic9.JGZ
BitDefender 7.2 2011.08.22 Trojan.Generic.6453348
ByteHero 1.0.0.1 2011.08.22 -
CAT-QuickHeal 11.00 2011.08.22 -
ClamAV 0.97.0.0 2011.08.22 -
Commtouch 5.3.2.6 2011.08.22 -
Comodo 9831 2011.08.22 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2011.08.22 Trojan.PWS.Panda.830
Emsisoft 5.1.0.10 2011.08.22 Trojan-Spy.Win32.Zbot!IK
eSafe 7.0.17.0 2011.08.21 -
eTrust-Vet 36.1.8514 2011.08.22 -
F-Prot 4.6.2.117 2011.08.22 -
F-Secure 9.0.16440.0 2011.08.22 Trojan.Generic.6453348
Fortinet 4.2.257.0 2011.08.22 W32/Zbot.CX!tr.pws
GData 22 2011.08.22 Trojan.Generic.6453348
Ikarus T3.1.1.107.0 2011.08.22 Trojan-Spy.Win32.Zbot
Jiangmin 13.0.900 2011.08.21 -
K7AntiVirus 9.110.5037 2011.08.20 -
Kaspersky 9.0.0.837 2011.08.22 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.08.22 Artemis!6F86E5939E7B
McAfee-GW-Edition 2010.1D 2011.08.21 Artemis!6F86E5939E7B
Microsoft 1.7604 2011.08.22 PWS:Win32/Zbot.ZT
NOD32 6399 2011.08.22 a variant of Win32/Kryptik.RWD
Norman 6.07.10 2011.08.20 -
nProtect 2011-08-22.01 2011.08.22 Gen:Variant.Kazy.34803
Panda 10.0.3.5 2011.08.21 Trj/CI.A
PCTools 8.0.0.5 2011.08.22 Trojan.Gen
Prevx 3.0 2011.08.22 -
Rising 23.71.03.03 2011.08.18 -
Sophos 4.68.0 2011.08.22 Mal/Zbot-CX
SUPERAntiSpyware 4.40.0.1006 2011.08.20 -
Symantec 20111.2.0.82 2011.08.22 Trojan.Gen
TheHacker 6.7.0.1.282 2011.08.22 -
TrendMicro 9.500.0.1008 2011.08.17 -
TrendMicro-HouseCall 9.500.0.1008 2011.08.22 -
VBA32 3.12.16.4 2011.08.21 -
VIPRE 10240 2011.08.22 FraudTool.Win32.AVSoft (v)
ViRobot 2011.8.22.4633 2011.08.22 -
VirusBuster 14.0.180.0 2011.08.22 -
Additional information
Show all
MD5 : 6f86e5939e7bca1d0a57689e6d4e3e57
SHA1 : 9b1ee6e1a87ff49c5648aa0ba418a42538aa3d14
SHA256: e31b119e4f1bee734efb259fce8974c8b63cc0bbe6588bf1d1655847cd0cfc33
File name: gaet.exe
Submission date: 2011-08-22 09:34:28 (UTC)
Current status: queued queued analysing finished
Result: 16/ 44 (36.4%)
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.08.22.01 2011.08.22 -
AntiVir 7.11.13.174 2011.08.22 TR/PSW.Zbot.ZT.17
Antiy-AVL 2.0.3.7 2011.08.22 -
Avast 4.8.1351.0 2011.08.21 -
Avast5 5.0.677.0 2011.08.21 -
AVG 10.0.0.1190 2011.08.21 PSW.Generic9.JGZ
BitDefender 7.2 2011.08.22 Trojan.Generic.6453348
ByteHero 1.0.0.1 2011.08.22 -
CAT-QuickHeal 11.00 2011.08.22 -
ClamAV 0.97.0.0 2011.08.22 -
Commtouch 5.3.2.6 2011.08.22 -
Comodo 9831 2011.08.22 -
DrWeb 5.0.2.03300 2011.08.22 -
Emsisoft 5.1.0.10 2011.08.22 Trojan-Spy.Win32.Zbot!IK
eSafe 7.0.17.0 2011.08.21 -
eTrust-Vet 36.1.8514 2011.08.22 -
F-Prot 4.6.2.117 2011.08.22 -
F-Secure 9.0.16440.0 2011.08.22 Trojan.Generic.6453348
Fortinet 4.2.257.0 2011.08.22 -
GData 22 2011.08.22 Trojan.Generic.6453348
Ikarus T3.1.1.107.0 2011.08.22 Trojan-Spy.Win32.Zbot
Jiangmin 13.0.900 2011.08.21 -
K7AntiVirus 9.110.5037 2011.08.20 -
Kaspersky 9.0.0.837 2011.08.22 HEUR:Trojan.Win32.Generic
McAfee 5.400.0.1158 2011.08.22 PWS-Zbot.gen.cc
McAfee-GW-Edition 2010.1D 2011.08.21 -
Microsoft 1.7604 2011.08.22 PWS:Win32/Zbot.ZT
NOD32 6398 2011.08.22 a variant of Win32/Kryptik.RWD
Norman 6.07.10 2011.08.20 -
nProtect 2011-08-22.01 2011.08.22 Gen:Variant.Kazy.34803
Panda 10.0.3.5 2011.08.21 -
PCTools 8.0.0.5 2011.08.22 Trojan.Gen
Prevx 3.0 2011.08.22 -
Rising 23.71.03.03 2011.08.18 -
Sophos 4.68.0 2011.08.22 Mal/Zbot-CX
SUPERAntiSpyware 4.40.0.1006 2011.08.20 -
Symantec 20111.2.0.82 2011.08.22 Trojan.Gen
TheHacker 6.7.0.1.282 2011.08.22 -
TrendMicro 9.500.0.1008 2011.08.17 -
TrendMicro-HouseCall 9.500.0.1008 2011.08.22 -
VBA32 3.12.16.4 2011.08.21 -
VIPRE 10240 2011.08.22 FraudTool.Win32.AVSoft (v)
ViRobot 2011.8.22.4633 2011.08.22 -
VirusBuster 14.0.180.0 2011.08.22 -
Additional informationShow all
MD5 : 50350a4a2a84b4493c96f677341457bc
SHA1 : 7d86f9d3156b77e1e68a67d91494d58cb428a3a8
SHA256: 71971fdcd6151a81354c47e965833afbae344acb532d383cc827cf64e8b6784d
La reprise des templates des mails de Facebook n'est pas nouvelle, mais commence à devenir très utilisé puisqu'il y a aussi une autre campagne de mail de Spam pour du viagra cette fois.

Cet article est sous licence Creative Commons BY-NC-SA.
Vous êtes autorisé à partager et modifier cet article, à condition de créditer le site ainsi que la licence, d'utiliser la même licence si vous modifiez l'oeuvre et de ne pas en faire d'utilisation commerciale.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Campagne SPAM : Faux Facebook => Zeus/Zbot mais vous n'avez pas trouvé la solution à votre problème...

Suivez ces articles du forum pour trouver une réponse :
Sinon créez votre propre demande pour obtenir de l'aide gratuite.
Plus de détails : Comment obtenir de l'aide sur le forum