Accueil
Faux mail Chronopost et virus

Faux mail Chronopost et virus

14 septembre 2016 Virus, Trojan, Adwares, Keylogger etc, Windows

Bloqueur de pub détectée - Vous bloquez l'affichage des publicités.
Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher
Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet

Vu passer un mail malicieux Chronopost, qui est d'ailleurs de plus en plus utilisé comme source de SPAM malicieux ou non.
Du pur classique qui pointe vers un VPS Français.

logo_chronopost

Le mail :
mail_malicieux_chronopost

avec un lien malicieux :

mail_malicieux_chronopost_2

et qui sans surprise mène à un exécutable malicieux : http://bwc.dole.gov.ph/abx/Chronopost-Colis.exe

mail_malicieux_chronopost_4

 

bwc.dole.gov.ph has address 112.199.100.77

inetnum: 112.199.0.0 - 112.199.127.255
netname: ETPI
descr: Eastern Telecom Philippines Inc.
country: PH
admin-c: RC536-AP

La détection VirusTotal de l'exécutable :

 

SHA256: ea3049624ea76ac35126a973df1a941ce67f1262af775a161a8be2f67dc7f9a5
Nom du fichier : Chronopost-Colis.exe
Ratio de détection : 7 / 57
Date d'analyse : 2016-09-14 12:36:37 UTC (il y a 1 minute)
Antivirus Résultat Mise à jour
CrowdStrike Falcon (ML) malicious_confidence_96% (D) 20160725
Invincea virus.win32.sality.at 20160912
Kaspersky HEUR:Packed.NSIS.MyxaH.gen 20160914
McAfee-GW-Edition BehavesLike.Win32.Ransom.dc 20160914
Qihoo-360 HEUR/QVM42.0.0000.Malware.Gen 20160914
Rising Malware.Heuristic!ET (rdm+) 20160914
SUPERAntiSpyware Trojan.Agent/Gen-Kovter 20160914

Le mail est envoyé depuis une adresse [email protected] à partir d'une machine 185.81.157.168 (VPS - Inulogic Virtual Private Servers) :

mail_malicieux_chronopost_3

Un malware qui va aller farfouiller dans les profils des navigateurs WEB pour voler des mots de passe WEB.

malware_stealer

Le malware référence l'adresse resultip.ddns.net - encore un VPS chez Inulogic.

malware_stealer_2

resultip.ddns.net has address 185.81.157.243


inetnum: 185.81.157.0 - 185.81.157.255
netname: INU-VPS01
descr: Inulogic Virtual Private Servers
country: FR
admin-c: GR8035-RIPE

Le serveur ne tournait pas au moment du test.

Il s'agit d'un RAT (Remote Tools Access) et plus précisément de  Netwire RAT, un descriptif par Xylitol est disponible sur cette page : http://www.xylibox.com/2012/07/netwire-first-multi-platform-rat.html

EDIT - 23/11/2016

Toujours d'actualité,  avec toujours un VPS Inulogic : 185.81.157.217
L'attaquant utilise toujours TeamViewer.
rat_trojan_chronopost

 

Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Faux mail Chronopost et virus mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum
  • Chronoposte vrai ou faux mail....
  • Mon adresse mail n'apparaît pas dans le code source d'un mail que j'ai reçu...
  • mail et virus...
  • Virus GEN:VARIANT : faux positif ?...
  • Supprimer virus Mail.ru [résolu]...

    • Tags:, ,