WinNT/Necurs.A

Aujourd'hui j'ai choppé un pack sympa : http://malwaredb.malekal.com/index.php?&url=smao.1dumb.com
Au redémarrage, le PC boot plus en mode normal avec un BSOD STOP: 0x0000007E

Le redémarrage en mode sans échec avec prise en charge du réseau ne fonctionne pas. Seul le redémarrage en mode sans échec fonctionne.
Les lignes ci-dessous sur HijackThis sont ajoutées - Le processus svhost.exe surf en fond sur des sites pornographiques.

Le responsable du BSOD est ce driver avec un nom aléatoire.
Impossible de supprimer le driver ni la clef Service correspondante :

Voici la détection du driver : https://www.virustotal.com/file/247a454d4ef8b8c91ad4ec674cf505df83b6667fe45e563681c7c879beaabf00/analysis/1327407347/

SHA256: 247a454d4ef8b8c91ad4ec674cf505df83b6667fe45e563681c7c879beaabf00
Detection ratio: 19 / 43
Analysis date: 2012-01-24 12:15:47 UTC ( 0 minutes ago )

1Antivirus Result Update
AhnLab-V3 Trojan/Win32.Gen 20120122
AntiVir TR/Agent.43008.30 20120123
Avast Win32:Malware-gen 20120123
AVG Generic26.BORM 20120123
CAT-QuickHeal Trojan.Necurs 20120123
Emsisoft Trojan.WinNT.Necurs!IK 20120123
GData Win32:Malware-gen 20120123
Ikarus Trojan.WinNT.Necurs 20120123
K7AntiVirus Riskware 20120123
McAfee Generic PUP.z!iz 20120123
McAfee-GW-Edition Generic PUP.z!iz 20120124
Microsoft Trojan:WinNT/Necurs.A 20120123
NOD32 Win32/Rootkit.Agent.NVS 20120123
Panda Adware/XpHomeSecurity 20120123
PCTools Trojan.Gen 20120124
Symantec Trojan.Gen.2 20120123
TrendMicro RTKT_NECURS.AD 20120123
TrendMicro-HouseCall RTKT_NECURS.AD 20120123
VIPRE Trojan.Win32.Generic!BT 20120123

Ce rootkit est en général associé à des rogues/scarewares (d'où la détection Adware/XpHomeSecurity - voir le billet de Septembre 2011 : https://www.malekal.com/2011/09/29/advanced-pc-shield-2012-protection-rootkit/
Le fait qu'un rootkit se charge bas, peux rendre Windows instable et donc générer des plantages type BSOD. Bien entendu les BSOD peuvent avoir d'autres origines comme le plantage d'un driver sain ou des problèmes matériels sous jascents.

Dans ce cas, TDSSKiller et Combofix gère le malware, seulement comme le réseau ne fonctionne pas, impossible de les télécharger.
Si l'USB fonctionne en mode sans échec, vous pouvez les copier depuis un autre PC.

Il est possible de démarrer depuis un CD Live (par exemple OTLPE ou GNU/Linux) pour supprimer ce dernier.
La simple suppression du fichier permet le démarrage en mode normale.

A noter aussi que l'infection colle ZeroAccess/Sireref.

EDIT Août 2012

Une campagne WinNT/Necurs depuis quelques jours avec un fichier syshost.exe - ce derneir se lance via un service:

O23 - Service: syshost32 - Dell - C:/WINDOWS/Installer/{9AB7E16B-55AB-C009-2483-F964FFB45731}/syshost.exe

Un driver est toujours chargé qui est assez mal détecté : https://www.virustotal.com/file/68169b8481acf9d180b9f542f553e4eaaca593d780da44b9b6abfdd00a7d8f23/analysis/1344270251/

SHA256: 68169b8481acf9d180b9f542f553e4eaaca593d780da44b9b6abfdd00a7d8f23
File name: 57e8ab84b24977d1.sys
Detection ratio: 1 / 41
Analysis date: 2012-08-06 16:24:11 UTC ( 0 minute ago )

Microsoft    Trojan:WinNT/Necurs.A    20120803

Malwarebyte Anti-Malware détecté le fichier sous le nom Trojan.Phex.THAGen6

Le malware injecte smss.exe ou csrsss.exe et rend Windows toujours aussi instable.

EDIT Decembre 2012

Necurs distribuait avec le scareware/rogue "braviax" : https://www.malekal.com/2012/12/19/spam-malicieux-facebook-account-verification-scarewares/

EDIT - Juin 2016 : Necurs toujours aussi actif

Ce botnet est toujours aussi actif et est à l'origine des campagnes du malware dridex (voir Trojan Dridex) mais aussi du Ransomware Locky.

Botnet Necurs - source : https://www.proofpoint.com/us/threat-insight/post/necurs-botnet-outage-crimps-dridex-and-locky-distribution