iSpy Keylogger

Aujourd'hui cet email a attiré mon attention... j'en reçois d'habitude beaucoup mais aujourd'hui, nous sommes dimanche or les emails malicieux Locky / Dridex sont plutôt actifs en semaine, puisqu'ils visent plus particulièrement les entreprises.

iSpy Keylogger_email_malicieux

Le mail renferme un document Word... (si vous n'êtes pas au courant, il est possible d'infecter son ordinateur avec un document Office via les macros), à ce sujet, lire : Trojan Dridex – Mail malicieux Macro Office

SHA256: 75f2689fbc33109a8cc95da69c093438f9facd525419d7a7ba7b41360b3f0ec0
File name: newfilez.doc
Detection ratio: 11 / 56
Analysis date: 2016-05-29 20:06:12 UTC ( 0 minutes ago )
Antivirus Result Update
Avast VBA:Downloader-AXL [Trj] 20160529
Avira (no cloud) X2000M/Adnel.AE 20160529
Cyren W97M/Downldr.AS.gen 20160529
F-Prot W97M/Downldr.AS.gen 20160529
Fortinet WM/Agent.BKT!tr.dldr 20160529
McAfee W97M/Downloader 20160529
McAfee-GW-Edition W97M/Downloader 20160529
Qihoo-360 heur.macro.download.r 20160529
Rising Macro.Agent.be 20160529
Sophos Troj/DocDl-BKT 20160529
TrendMicro-HouseCall W2KM_DRIDEX.SM5 20160529

La vidéo d'installation de ce stealer :

et oui le malware est à 0 sur VirusTotal...

Parmi les strings sympa du malware, on trouve :

Stealer_iSpy_Keylogger

Stealer_iSpy_Keylogger_2 Stealer_iSpy_Keylogger_3 Stealer_iSpy_Keylogger_4

Ce qui montre que ce dernier vole les mots de passes des navigateurs WEB, client FTP etc.
Envoie le tout par email, à des capacités de keylogger et énumérer les antivirus installés et éventuellement tenter d'arrêter le processus liés à ces derniers.

Les informations sont envoyés par email à l'adresse [email protected]

Stealer_iSpy_Keylogger_mail_malicieux_3 Stealer_iSpy_Keylogger_mail_malicieux

Stealer_iSpy_Keylogger_mail_malicieux_2 Stealer_iSpy_Keylogger_mail_malicieux_3

et voici un exemple des emails obtenus par le pirate avec mon ordinateur :

Stealer_iSpy_Keylogger_mail_malicieux_5 Stealer_iSpy_Keylogger_mail_malicieux_4

Une fois les éléments volés, la clef de Démarrage est supprimé et le malware se supprime.
De ce fait, si l'antivirus n'a rien détecté, il y a de fortes chances que l'utilisateur ne sache pas qu'un keylogger et que des données ont été volés.
Cela laisse le temps au pirate d'agir.

EDIT - 24h après, quelques détections en Trojan.Injector :

SHA256: d7a3315f872243c28bd95fb75ed3b007821a2dea25f78afd8cbaaca1d853ef4f
File name: 76yttt.exe
Detection ratio: 8 / 57
Analysis date: 2016-05-30 15:39:53 UTC ( 5 hours, 2 minutes ago )
Antivirus Result Update
Cyren W32/Cryptowall.A.gen!Eldorado 20160530
F-Prot W32/Cryptowall.A.gen!Eldorado 20160530
Ikarus Trojan.Inject 20160530
Kaspersky UDS:DangerousObject.Multi.Generic 20160530
Malwarebytes Trojan.Injector 20160530
Qihoo-360 Win32/Trojan.Multi.daf 20160530
Symantec Downloader.Ponik 20160530
Tencent Win32.Trojan.Inject.Auto 20160530
Cet article est sous licence Creative Commons BY-NC-SA.
Vous êtes autorisé à partager et modifier cet article, à condition de créditer le site ainsi que la licence, d'utiliser la même licence si vous modifiez l'oeuvre et de ne pas en faire d'utilisation commerciale.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article iSpy Keylogger mais vous n'avez pas trouvé la solution à votre problème...

Suivez ces articles du forum pour trouver une réponse :
Sinon créez votre propre demande pour obtenir de l'aide gratuite.
Plus de détails : Comment obtenir de l'aide sur le forum