Aujourd’hui j’ai choppé un pack sympa : http://malwaredb.malekal.com/index.php?&url=smao.1dumb.com
Au redémarrage, le PC boot plus en mode normal avec un BSOD STOP: 0x0000007E
Le redémarrage en mode sans échec avec prise en charge du réseau ne fonctionne pas. Seul le redémarrage en mode sans échec fonctionne.
Les lignes ci-dessous sur HijackThis sont ajoutées – Le processus svhost.exe surf en fond sur des sites pornographiques.
Le responsable du BSOD est ce driver avec un nom aléatoire.
Impossible de supprimer le driver ni la clef Service correspondante :
Voici la détection du driver : https://www.virustotal.com/file/247a454d4ef8b8c91ad4ec674cf505df83b6667fe45e563681c7c879beaabf00/analysis/1327407347/
SHA256: 247a454d4ef8b8c91ad4ec674cf505df83b6667fe45e563681c7c879beaabf00 Detection ratio: 19 / 43 Analysis date: 2012-01-24 12:15:47 UTC ( 0 minutes ago ) 1Antivirus Result Update AhnLab-V3 Trojan/Win32.Gen 20120122 AntiVir TR/Agent.43008.30 20120123 Avast Win32:Malware-gen 20120123 AVG Generic26.BORM 20120123 CAT-QuickHeal Trojan.Necurs 20120123 Emsisoft Trojan.WinNT.Necurs!IK 20120123 GData Win32:Malware-gen 20120123 Ikarus Trojan.WinNT.Necurs 20120123 K7AntiVirus Riskware 20120123 McAfee Generic PUP.z!iz 20120123 McAfee-GW-Edition Generic PUP.z!iz 20120124 Microsoft Trojan:WinNT/Necurs.A 20120123 NOD32 Win32/Rootkit.Agent.NVS 20120123 Panda Adware/XpHomeSecurity 20120123 PCTools Trojan.Gen 20120124 Symantec Trojan.Gen.2 20120123 TrendMicro RTKT_NECURS.AD 20120123 TrendMicro-HouseCall RTKT_NECURS.AD 20120123 VIPRE Trojan.Win32.Generic!BT 20120123
Ce rootkit est en général associé à des rogues/scarewares (d’où la détection Adware/XpHomeSecurity – voir le billet de Septembre 2011 : https://www.malekal.com/2011/09/29/advanced-pc-shield-2012-protection-rootkit/
Le fait qu’un rootkit se charge bas, peux rendre Windows instable et donc générer des plantages type BSOD. Bien entendu les BSOD peuvent avoir d’autres origines comme le plantage d’un driver sain ou des problèmes matériels sous jascents.
Dans ce cas, TDSSKiller et Combofix gère le malware, seulement comme le réseau ne fonctionne pas, impossible de les télécharger.
Si l’USB fonctionne en mode sans échec, vous pouvez les copier depuis un autre PC.
Il est possible de démarrer depuis un CD Live (par exemple OTLPE ou GNU/Linux) pour supprimer ce dernier.
La simple suppression du fichier permet le démarrage en mode normale.
A noter aussi que l’infection colle ZeroAccess/Sireref.
Table des matières
EDIT Août 2012
Une campagne WinNT/Necurs depuis quelques jours avec un fichier syshost.exe – ce derneir se lance via un service:
O23 – Service: syshost32 – Dell – C:/WINDOWS/Installer/{9AB7E16B-55AB-C009-2483-F964FFB45731}/syshost.exe
Un driver est toujours chargé qui est assez mal détecté : https://www.virustotal.com/file/68169b8481acf9d180b9f542f553e4eaaca593d780da44b9b6abfdd00a7d8f23/analysis/1344270251/
SHA256: 68169b8481acf9d180b9f542f553e4eaaca593d780da44b9b6abfdd00a7d8f23
File name: 57e8ab84b24977d1.sys
Detection ratio: 1 / 41
Analysis date: 2012-08-06 16:24:11 UTC ( 0 minute ago )
Microsoft Trojan:WinNT/Necurs.A 20120803
Malwarebyte Anti-Malware détecté le fichier sous le nom Trojan.Phex.THAGen6
Le malware injecte smss.exe ou csrsss.exe et rend Windows toujours aussi instable.
EDIT Decembre 2012
Necurs distribuait avec le scareware/rogue « braviax » : https://www.malekal.com/2012/12/19/spam-malicieux-facebook-account-verification-scarewares/
EDIT – Juin 2016 : Necurs toujours aussi actif
Ce botnet est toujours aussi actif et est à l’origine des campagnes du malware dridex (voir Trojan Dridex) mais aussi du Ransomware Locky.
Botnet Necurs – source : https://www.proofpoint.com/us/threat-insight/post/necurs-botnet-outage-crimps-dridex-and-locky-distribution
