Dernière Mise à jour le
Vu passer un mail malicieux Chronopost, qui est d’ailleurs de plus en plus utilisé comme source de SPAM malicieux ou non.
Du pur classique qui pointe vers un VPS Français.
avec un lien malicieux :
et qui sans surprise mène à un exécutable malicieux : http://bwc.dole.gov.ph/abx/Chronopost-Colis.exe
bwc.dole.gov.ph has address 112.199.100.77 inetnum: 112.199.0.0 - 112.199.127.255 netname: ETPI descr: Eastern Telecom Philippines Inc. country: PH admin-c: RC536-AP
La détection VirusTotal de l’exécutable :
| SHA256: | ea3049624ea76ac35126a973df1a941ce67f1262af775a161a8be2f67dc7f9a5 |
| Nom du fichier : | Chronopost-Colis.exe |
| Ratio de détection : | 7 / 57 |
| Date d’analyse : | 2016-09-14 12:36:37 UTC (il y a 1 minute) |
| Antivirus | Résultat | Mise à jour |
|---|---|---|
| CrowdStrike Falcon (ML) | malicious_confidence_96% (D) | 20160725 |
| Invincea | virus.win32.sality.at | 20160912 |
| Kaspersky | HEUR:Packed.NSIS.MyxaH.gen | 20160914 |
| McAfee-GW-Edition | BehavesLike.Win32.Ransom.dc | 20160914 |
| Qihoo-360 | HEUR/QVM42.0.0000.Malware.Gen | 20160914 |
| Rising | Malware.Heuristic!ET (rdm+) | 20160914 |
| SUPERAntiSpyware | Trojan.Agent/Gen-Kovter | 20160914 |
Le mail est envoyé depuis une adresse [email protected] à partir d’une machine 185.81.157.168 (VPS – Inulogic Virtual Private Servers) :
Un malware qui va aller farfouiller dans les profils des navigateurs WEB pour voler des mots de passe WEB.
Le malware référence l’adresse resultip.ddns.net – encore un VPS chez Inulogic.
resultip.ddns.net has address 185.81.157.243 inetnum: 185.81.157.0 - 185.81.157.255 netname: INU-VPS01 descr: Inulogic Virtual Private Servers country: FR admin-c: GR8035-RIPE
Le serveur ne tournait pas au moment du test.
Il s’agit d’un RAT (Remote Tools Access) et plus précisément de Netwire RAT, un descriptif par Xylitol est disponible sur cette page : http://www.xylibox.com/2012/07/netwire-first-multi-platform-rat.html
EDIT – 23/11/2016
Toujours d’actualité, avec toujours un VPS Inulogic : 185.81.157.217
L’attaquant utilise toujours TeamViewer.
Trouver la solution sur le forum d'aide
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum
Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Un virus à supprimer ? Votre PC est lent ?
→ Demander de l'aide sur le forum
Bonjour,
L’email en question est le mien, un que je n’utilise pas depuis un moment. Je viens de voir la liste de personne spammé. Le petit malin se sert d’un serveur smtp en utilisant mon email comme expéditeur. Le corps du message donne ceci en expéditeur :
Received: from mout-xforward.kundenserver.de (mout-xforward.kundenserver.de [82.165.159.5])
by vbuml1.vocation-backup.com (Postfix) with ESMTPS id 1F40C4BB8D
for ; Wed, 14 Sep 2016 11:04:49 +0200 (CEST)
Received: from free.Fr ([185.81.157.168]) by mrelayeu.kundenserver.de
(mreue004) with ESMTPSA (Nemesis) id 0LnX58-1b65YL45Ve-00heBY for
Traceroute :
8: be4204.ccr21.par04.atlas.cogentco.com 1.767ms asymm 9
9: be2677.rcr21.b022890-0.par04.atlas.cogentco.com 2.882ms asymm 10
10: inulogic.demarc.cogentco.com 3.264ms asymm 11
MESSAGE POSTE A [email protected] et [email protected]
Bonjour,
Un de vos clients se sert d’un serveur hébergé dans un de vos datacenters
pour spammer un nombre incalculable de personnes. Il se sert d’un email
[email protected] pour cette opération. Cet email est utilisé dans un certain cadre
et ne peux continuer de servir à des fins de piratages.
Je vous remercie de bien vouloir enquêter, identifier cette personne et de
mettre fin à ces agissements.
http://www.malekal.com/faux-mail-chronopost-et-virus/#comment-32749
Si le problème persiste, les agences nationales compétentes listées à l’url
infra seront saisies de ce problème et procéderont à l’enquêtes.
http://www.ssi.gouv.fr/en-cas-dincident/
Merci de me tenir informé des suites données et du résultats de vos
recherches.
– IP concerné : 185.81.157.168
– Traceroute :
8: be4204.ccr21.par04.atlas.cogentco.com 1.767ms asymm 9
9: be2677.rcr21.b022890-0.par04.atlas.cogentco.com 2.882ms asymm 10
10: inulogic.demarc.cogentco.com 3.264ms asymm 11
Entête de message :
Bonjour,
Un de vos clients se sert d’un serveur hébergé dans un de vos datacenters
pour spammer un nombre incalculable de personnes. Il se sert d’un email
[email protected] pour cette opération. Cet email est utilisé dans un certain cadre
et ne peux continuer de servir à des fins de piratages.
Je vous remercie de bien vouloir enquêter, identifier cette personne et de
mettre fin à ces agissements.
http://www.malekal.com/faux-mail-chronopost-et-virus/#comment-32749
Si le problème persiste, les agences nationales compétentes listées à l’url
infra seront saisies de ce problème et procéderont à l’enquêtes.
http://www.ssi.gouv.fr/en-cas-dincident/
Merci de me tenir informé des suites données et du résultats de vos
recherches
– IP concerné : 185.81.157.168
– Traceroute :
8: be4204.ccr21.par04.atlas.cogentco.com 1.767ms asymm 9
9: be2677.rcr21.b022890-0.par04.atlas.cogentco.com 2.882ms asymm 10
10: inulogic.demarc.cogentco.com 3.264ms asymm 11
Cordialement,
C’est bon, j’ai envoyé un email au responsable du serveur. Je vous informerai de la résolution de ce problème (sans entrer dans les détails).
Hello ysy,
yes, il faut contacter l’abuse de kundenserver.de (hostmaster_at_1und1.de ou abuse_at_1und1.de et mettre éventuellement celui de 1&1 en copie)… en espérant qu’ils se bougent..
bon courage !