chickenkiller.com : vbe qui charge du BitCoin

Vu sur ce sujet, il y a quelques jours, sur Commentcamarche.net => http://www.commentcamarche.net/forum/affich-26783466-svchost-exe-infecte

Un .vbe crypté :

VBE_BitCoin

Le .vbe se décrypté pour donner ceci => http://pjjoint.malekal.com/files.php?read=20130104_7s14h14n7t8

Ce dernier charge des fichiers, désactive le pare-feu de Windows et charge le .vbe via une clef Run dans ProgramData\Adobe\random.vbe
Le but du vbe est de charger un client BitCoin pour générer des revenus à l’auteur.

L’adresse chickenkiller.com est down – à noter qu’une recherche Google montre que ce DNS est connu pour hoster des malwares (phishing etc).
VBE_BitCoin2

Ce dernier est relativement répandu ces derniers temps – une recherche Google montre les différents cas :

VBE_BitCoin3
VBE_BitCoin4

La détection du vbe crypté : https://www.virustotal.com/file/db7d516f2640ec9171fda8d26f2d35f137853346c3cf7fa3cc0ff39718a10a07/analysis/

SHA256: db7d516f2640ec9171fda8d26f2d35f137853346c3cf7fa3cc0ff39718a10a07
File name: 2A87C5.vbe
Detection ratio: 4 / 46
Analysis date: 2013-01-04 11:03:34 UTC ( 1 minute ago )

Agnitum HTML.Psyme.Gen 20130104
ESET-NOD32 VBS/CoinMiner.C 20130104
Rising Trojan.DL.Script.VBS.Agent.xjb 20130104
TrendMicro-HouseCall TROJ_GEN.F47V1129 20130104

 

La version décrypté donne la même détection : https://www.virustotal.com/file/6261dd813ab549c2e34c0c16d280af7c9b28387052aae2bcd72c44e154747d12/analysis/1357300067/

SHA256: 6261dd813ab549c2e34c0c16d280af7c9b28387052aae2bcd72c44e154747d12
File name: ecr.txt
Detection ratio: 4 / 46
Analysis date: 2013-01-04 11:47:47 UTC ( 0 minute ago )

 

Comme quoi les choses simples peuvent être les plus efficaces.
Vais envoyer le .vbe aux antivirus pour qu’ils ajoutent des détections

(Visité 111 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet