Retour de Bredolab et Kelihos

Gros retour de Bredolab en version _ex-68.exe depuis quelques semaines et une accélération ces derniers jours : https://forum.malekal.com/bredolab-195-234-124-t32038.html
Bredolab est un malware qui peut avoir plusieurs visages :

Trojan.Agent.AWDE / TrojanDownloader:Win32/Bredolab
https://forum.malekal.com/bubnix-winesm32-exe-ihaupd32-rootkit-agent-t23617.html

Le Botnet était officiellement tombé fin de l'année 2010 :
https://forum.malekal.com/bredolab-takedown-t29358.html
http://www.securelist.com/en/analysis/204792152/End_of_the_Line_for_the_Bredolab_Botnet
Le retour se fait avec la version %windir%\Temp\_ex-68.exe qui est connu pour installer d'autres malwares pour monétiser.
En l'occurence par exemple dans le passé le rogue Security Tool.
ex : https://forum.malekal.com/pas-aller-sur-security-frame-pourri-t22676.html#p189362

Le malware droppé porte souvent le nom : _ex-08.exe et se charge par une simple clef Run - exemple actuellement :
O4 - HKLM..\Run: [smartindex] C:\WINDOWS\Temp\_ex-08.exe

Actuellement le malware téléchargé est : hxxp://tamarer.com/client1.exe (68.191.98.156)

Le malware téléchargé effectue des connexions WEB au Command & Center

Retour de Bredolab et Kelihos

dans une plage d'adresses et une page WEB aléatoire.

Retour de Bredolab et Kelihos

puis des connexions SMTP sont effectuées :

Retour de Bredolab et Kelihospour Spammer bien entendu

Retour de Bredolab et Kelihos
Retour de Bredolab et KelihosRetour de Bredolab et Kelihos

On reconnait alors le malware Backdoor:Win32/Kelihos.A : Possible nouveau Storm/Waledac confirmé par les détections VirusTotal.

http://www.virustotal.com/file-scan/report.html?id=520afa2624cfc9b499857f42914aead1b116bfd0c455b8ac43791b815a04650d-1300986071

File name:
f47c58f671e7bb68d61bfdedd9c5a10b.exe
Submission date: 2011-03-24 17:01:11 (UTC)
Current status: finished
Result: 9 /43 (20.9%) 

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.03.24.01     2011.03.24     -
AntiVir     7.11.5.63     2011.03.24     -
Antiy-AVL     2.0.3.7     2011.03.24     -
Avast     4.8.1351.0     2011.03.24     -
Avast5     5.0.677.0     2011.03.24     -
AVG     10.0.0.1190     2011.03.24     -
BitDefender     7.2     2011.03.24     Gen:Variant.Kazy.16684
CAT-QuickHeal     11.00     2011.03.24     -
ClamAV     0.96.4.0     2011.03.24     -
Commtouch     5.2.11.5     2011.03.24     -
Comodo     8089     2011.03.24     -
DrWeb     5.0.2.03300     2011.03.24     -
Emsisoft     5.1.0.4     2011.03.24     -
eSafe     7.0.17.0     2011.03.24     -
eTrust-Vet     36.1.8233     2011.03.24     Win32/Kelihos.CI
F-Prot     4.6.2.117     2011.03.23     -
F-Secure     9.0.16440.0     2011.03.23     -
Fortinet     4.2.254.0     2011.03.24     W32/[email protected]
GData     21     2011.03.24     Gen:Variant.Kazy.16684
Ikarus     T3.1.1.97.0     2011.03.24     -
Jiangmin     13.0.900     2011.03.24     -
K7AntiVirus     9.94.4201     2011.03.24     -
Kaspersky     7.0.0.125     2011.03.24     -
McAfee     5.400.0.1158     2011.03.24     Generic FakeAlert.ama
McAfee-GW-Edition     2010.1C     2011.03.24     Heuristic.BehavesLike.Win32.Trojan.D
Microsoft     1.6702     2011.03.24     -
NOD32     5983     2011.03.24     -
Norman     6.07.03     2011.03.24     -
nProtect     2011-02-10.01     2011.02.15     -
Panda     10.0.3.5     2011.03.24     -
PCTools     7.0.3.5     2011.03.24     HeurEngine.ZeroDayThreat
Prevx     3.0     2011.03.24     -
Rising     23.50.03.06     2011.03.24     -
Sophos     4.64.0     2011.03.24     -
SUPERAntiSpyware     4.40.0.1006     2011.03.24     -
Symantec     20101.3.0.103     2011.03.24     Suspicious.MLApp
TheHacker     6.7.0.1.156     2011.03.24     -
TrendMicro     9.200.0.1012     2011.03.24     -
TrendMicro-HouseCall     9.200.0.1012     2011.03.24     -
VBA32     3.12.14.3     2011.03.24     -
VIPRE     8805     2011.03.24     FraudTool.Win32.SecurityShield.ek!e (v)
ViRobot     2011.3.24.4374     2011.03.24     -
VirusBuster     13.6.268.0     2011.03.24     -
Additional information
MD5   : f47c58f671e7bb68d61bfdedd9c5a10b
SHA1  : ac766f37db2556c5392b631fcc43bdc337d8102c
SHA256: 520afa2624cfc9b499857f42914aead1b116bfd0c455b8ac43791b815a04650d

Bredolab revient donc de manière virulente comme à son habitude.
On peux s'attendre à ce qu'il soit un tremplin pour d'autres familles de malwares habituels comme Zbot, Trojan.spyeye / Trojan-pincav, rogues etc.

Cet article est sous licence Creative Commons BY-NC-SA.
Vous êtes autorisé à partager et modifier cet article, à condition de créditer le site ainsi que la licence, d'utiliser la même licence si vous modifiez l'oeuvre et de ne pas en faire d'utilisation commerciale.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Retour de Bredolab et Kelihos mais vous n'avez pas trouvé la solution à votre problème...

Suivez ces articles du forum pour trouver une réponse :
Sinon créez votre propre demande pour obtenir de l'aide gratuite.
Plus de détails : Comment obtenir de l'aide sur le forum