TDSS/Alureon nouvelle variante?

Malwarebot a posté à plusieurs reprises des variantes de TDSS/Alureon qui m'étaient inconnues.

Exemple sur celui-ci : https://forum.malekal.com/http-forminteld-com-exo-php-t29695.html

Dropper : http://www.virustotal.com/file-scan/report.html?id=d21362c7e6d21fef87562cb9000b745e34a160c0aa2696422541ef1dad13c5dd-1289678409
File name:
d233588bc92a9aee0dde0dcd79794aaa
Submission date:
2010-11-13 20:00:09 (UTC)
Current status:
queued queued analysing finished
Result:
9/ 43 (20.9%)

Les fichiers ajoutés :
c:\WINDOWS\System32\\ernel32.dll
Date: 10/11/2005 1:00 AM
Size: 73 728 bytes
c:\WINDOWS\System32\\spool\prtprocs\w32x86\317wSKU9.dll
Date: 11/14/2006 1:00 AM
Size: 73 728 bytes
c:\WINDOWS\System32\\spool\prtprocs\w32x86\x1793uO.dll
Date: 4/3/2004 1:00 AM
Size: 24 064 bytes
c:\WINDOWS\Tasks\55bcc286.job
Date: 11/13/2010 8:43 PM
Size: 276 bytes
c:\WINDOWS\Temp\5wSKU.exe
Date: 11/13/2010 8:43 PM
Size: 73 728 bytes

Le mécanisme pour dropper l'infection est le même que d'habitude avec l'utilisation de spoolsv.exe à la différence qu'au lieu de copier un driver dans %windir%\temp
On se retrouve ici avec un fichier .exe

Ce dernier est ensuite copié dans %APPDATA% et un job (tâche planifiée) lance l'executable.

Les DNS sont aussi hijackés 93.188 et le fichier droppé sert à remettre ces DNS.

Quelques détections :

http://www.virustotal.com/file-scan/report.html?id=ae6f11ec1cefd202a0f1aae26c6c9bdf02a4374ce10c8901663fa9af1b6f2d3c-1289677500

File name: x1793uO.dll
Submission date: 2010-11-13 19:45:00 (UTC)
Current status: queued (#13) queued (#5) analysing finished
Result: 6/ 43 (14.0%)
VT Community
not reviewed
Safety score: -
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2010.11.14.00    2010.11.13    -
AntiVir    7.10.13.237    2010.11.13    TR/Crypt.ZPACK.Gen
Antiy-AVL    2.0.3.7    2010.11.13    -
Authentium    5.2.0.5    2010.11.13    -
Avast    4.8.1351.0    2010.11.13    -
Avast5    5.0.594.0    2010.11.13    -
AVG    9.0.0.851    2010.11.13    -
BitDefender    7.2    2010.11.13    -
CAT-QuickHeal    11.00    2010.11.09    -
ClamAV    0.96.4.0    2010.11.13    -
Comodo    6707    2010.11.13    -
DrWeb    5.0.2.03300    2010.11.13    Trojan.DownLoader1.36384
Emsisoft    5.0.0.50    2010.11.13    -
eSafe    7.0.17.0    2010.11.11    -
eTrust-Vet    36.1.7973    2010.11.13    -
F-Prot    4.6.2.117    2010.11.13    -
F-Secure    9.0.16160.0    2010.11.13    -
Fortinet    4.2.249.0    2010.11.13    -
GData    21    2010.11.13    -
Ikarus    T3.1.1.90.0    2010.11.13    -
Jiangmin    13.0.900    2010.11.13    -
K7AntiVirus    9.67.2973    2010.11.12    -
Kaspersky    7.0.0.125    2010.11.13    -
McAfee    5.400.0.1158    2010.11.13    -
McAfee-GW-Edition    2010.1C    2010.11.13    -
Microsoft    1.6301    2010.11.13    Trojan:Win32/Alureon.EC
NOD32    5617    2010.11.13    a variant of Win32/Kryptik.IDL
Norman    6.06.10    2010.11.13    -
nProtect    2010-11-13.01    2010.11.13    -
Panda    10.0.2.7    2010.11.13    Suspicious file
PCTools    7.0.3.5    2010.11.13    -
Prevx    3.0    2010.11.13    -
Rising    22.73.04.00    2010.11.13    -
Sophos    4.59.0    2010.11.13    -
Sunbelt    7300    2010.11.13    Trojan.Win32.Generic!SB.0
SUPERAntiSpyware    4.40.0.1006    2010.11.13    -
Symantec    20101.2.0.161    2010.11.13    -
TheHacker    6.7.0.1.083    2010.11.13    -
TrendMicro    9.120.0.1004    2010.11.13    -
TrendMicro-HouseCall    9.120.0.1004    2010.11.13    -
VBA32    3.12.14.2    2010.11.12    -
ViRobot    2010.11.13.4145    2010.11.13    -
VirusBuster    12.75.2.1    2010.11.13    -
Additional information
Show all
MD5   : e23edbbf5593138ae23fde6a9173a112
SHA1  : ec28b85bb8003a2ba1baafd38c265d22ef72e1af
SHA256: ae6f11ec1cefd202a0f1aae26c6c9bdf02a4374ce10c8901663fa9af1b6f2d3c

http://www.virustotal.com/file-scan/report.html?id=e21aa765173a01410336857f7a49d062fb0e02221431ece75a80adfaab420814-1289677506

File name: 317wSKU9.dll
Submission date: 2010-11-13 19:45:06 (UTC)
Current status: queued queued (#8) analysing finished
Result: 39/ 43 (90.7%)
VT Community
not reviewed
Safety score: -
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2010.11.14.00    2010.11.13    Win-Trojan/Tdss.73728.K
AntiVir    7.10.13.237    2010.11.13    TR/Crypt.ZPACK.Gen
Antiy-AVL    2.0.3.7    2010.11.13    Backdoor/Win32.TDSS.gen
Authentium    5.2.0.5    2010.11.13    W32/Alureon.JIQ
Avast    4.8.1351.0    2010.11.13    Win32:Trojan-gen
Avast5    5.0.594.0    2010.11.13    Win32:Trojan-gen
AVG    9.0.0.851    2010.11.13    Generic18.BVPY
BitDefender    7.2    2010.11.13    Gen:Variant.Kazy.2133
CAT-QuickHeal    11.00    2010.11.09    -
ClamAV    0.96.4.0    2010.11.13    -
Comodo    6707    2010.11.13    TrojWare.Win32.Tdss.~d5
DrWeb    5.0.2.03300    2010.11.13    Trojan.Packed.20685
Emsisoft    5.0.0.50    2010.11.13    Backdoor.Win32.TDSS!IK
eSafe    7.0.17.0    2010.11.11    -
eTrust-Vet    36.1.7973    2010.11.13    Win32/Alureon.BZJ
F-Prot    4.6.2.117    2010.11.13    W32/Alureon.JIQ
F-Secure    9.0.16160.0    2010.11.13    Gen:Variant.Kazy.2133
Fortinet    4.2.249.0    2010.11.13    W32/PackTDss.K!tr
GData    21    2010.11.13    Gen:Variant.Kazy.2133
Ikarus    T3.1.1.90.0    2010.11.13    Backdoor.Win32.TDSS
Jiangmin    13.0.900    2010.11.13    Backdoor/TDSS.jf
K7AntiVirus    9.67.2973    2010.11.12    Trojan
Kaspersky    7.0.0.125    2010.11.13    Backdoor.Win32.TDSS.atr
McAfee    5.400.0.1158    2010.11.13    FakeAlert-MalDoctor
McAfee-GW-Edition    2010.1C    2010.11.13    FakeAlert-MalDoctor
Microsoft    1.6301    2010.11.13    Trojan:Win32/Alureon.EC
NOD32    5617    2010.11.13    Win32/Olmarik.YR
Norman    6.06.10    2010.11.13    W32/Suspicious_Gen2.BWEOI
nProtect    2010-11-13.01    2010.11.13    Backdoor/W32.TDSS.73728
Panda    10.0.2.7    2010.11.13    Suspicious file
PCTools    7.0.3.5    2010.11.13    Trojan.FakeAV
Prevx    3.0    2010.11.13    Medium Risk Malware
Rising    22.73.04.00    2010.11.13    -
Sophos    4.59.0    2010.11.13    Mal/TDSSPack-Q
Sunbelt    7300    2010.11.13    Trojan.Win32.Generic!BT
SUPERAntiSpyware    4.40.0.1006    2010.11.13    Trojan.Agent/Gen-FakePak
Symantec    20101.2.0.161    2010.11.13    Trojan.FakeAV!gen30
TheHacker    6.7.0.1.083    2010.11.13    Trojan/Olmarik.yr
TrendMicro    9.120.0.1004    2010.11.13    BKDR_ZLOB.SMGS
TrendMicro-HouseCall    9.120.0.1004    2010.11.13    BKDR_ZLOB.SMGS
VBA32    3.12.14.2    2010.11.12    Backdoor.TDSS.atr
ViRobot    2010.11.13.4145    2010.11.13    Trojan.Win32.Agent.73728.DT
VirusBuster    12.75.2.1    2010.11.13    Trojan.Olmarik.AVK
Additional information
Show all
MD5   : d2b772e49af81fff65de3be14ea383c5
SHA1  : dc3fb27268a28b5241c8742360fb9b5c4d8e3f80
SHA256: e21aa765173a01410336857f7a49d062fb0e02221431ece75a80adfaab420814

http://www.virustotal.com/file-scan/report.html?id=01107d129158e51ff6ec78878a0c4c67c00b5c1482e5564a4fb0b8915d8e73ea-1289678261

File name: 55bcc286.exe
Submission date: 2010-11-13 19:57:41 (UTC)
Current status: queued (#3) queued (#3) analysing finished
Result: 39/ 43 (90.7%)
VT Community
not reviewed
Safety score: -
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2010.11.14.00    2010.11.13    Win-Trojan/Tdss.73728.K
AntiVir    7.10.13.237    2010.11.13    TR/Crypt.ZPACK.Gen
Antiy-AVL    2.0.3.7    2010.11.13    Backdoor/Win32.TDSS.gen
Authentium    5.2.0.5    2010.11.13    W32/Alureon.JIQ
Avast    4.8.1351.0    2010.11.13    Win32:Malware-gen
Avast5    5.0.594.0    2010.11.13    Win32:Malware-gen
AVG    9.0.0.851    2010.11.13    Generic18.BVPY
BitDefender    7.2    2010.11.13    Gen:Variant.TDss.24
CAT-QuickHeal    11.00    2010.11.09    -
ClamAV    0.96.4.0    2010.11.13    -
Comodo    6707    2010.11.13    TrojWare.Win32.Tdss.~d5
DrWeb    5.0.2.03300    2010.11.13    Trojan.Packed.20685
Emsisoft    5.0.0.50    2010.11.13    Backdoor.Win32.TDSS!IK
eSafe    7.0.17.0    2010.11.11    -
eTrust-Vet    36.1.7973    2010.11.13    Win32/Alureon.BZJ
F-Prot    4.6.2.117    2010.11.13    W32/Alureon.JIQ
F-Secure    9.0.16160.0    2010.11.13    Gen:Variant.TDss.24
Fortinet    4.2.249.0    2010.11.13    W32/PackTDss.K!tr
GData    21    2010.11.13    Gen:Variant.TDss.24
Ikarus    T3.1.1.90.0    2010.11.13    Backdoor.Win32.TDSS
Jiangmin    13.0.900    2010.11.13    Backdoor/TDSS.jf
K7AntiVirus    9.67.2973    2010.11.12    Trojan
Kaspersky    7.0.0.125    2010.11.13    Backdoor.Win32.TDSS.atr
McAfee    5.400.0.1158    2010.11.13    FakeAlert-MalDoctor
McAfee-GW-Edition    2010.1C    2010.11.13    FakeAlert-MalDoctor
Microsoft    1.6301    2010.11.13    Trojan:Win32/Alureon.EC
NOD32    5617    2010.11.13    Win32/Olmarik.YR
Norman    6.06.10    2010.11.13    W32/Suspicious_Gen2.BWHDJ
nProtect    2010-11-13.01    2010.11.13    Backdoor/W32.TDSS.73728
Panda    10.0.2.7    2010.11.13    Suspicious file
PCTools    7.0.3.5    2010.11.13    Trojan.FakeAV
Prevx    3.0    2010.11.13    High Risk Cloaked Malware
Rising    22.73.04.00    2010.11.13    -
Sophos    4.59.0    2010.11.13    Mal/TDSSPack-Q
Sunbelt    7301    2010.11.13    Trojan.Win32.Generic!BT
SUPERAntiSpyware    4.40.0.1006    2010.11.13    Trojan.Agent/Gen-TPack
Symantec    20101.2.0.161    2010.11.13    Trojan.FakeAV!gen30
TheHacker    6.7.0.1.083    2010.11.13    Trojan/Olmarik.yr
TrendMicro    9.120.0.1004    2010.11.13    BKDR_ZLOB.SMGS
TrendMicro-HouseCall    9.120.0.1004    2010.11.13    BKDR_ZLOB.SMGS
VBA32    3.12.14.2    2010.11.12    Backdoor.TDSS.atr
ViRobot    2010.11.13.4145    2010.11.13    Trojan.Win32.Agent.73728.DT
VirusBuster    12.75.2.1    2010.11.13    Trojan.Olmarik.AVK
Additional information
Show all
MD5   : 1cfb302de9416eed4ddaf191a973f265
SHA1  : 7f664051c5a30bf9ae9df50d5d5c91b1c3eccdfa
SHA256: 01107d129158e51ff6ec78878a0c4c67c00b5c1482e5564a4fb0b8915d8e73ea

Encore une autre variante apparemment :

https://forum.malekal.com/http-new-sec-updts-flg1-php-t29750.html

Point de chargement :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Taskman"
Type: REG_SZ
Data: C:\Documents and Settings\Mak\Application Data\fhrkmk.exe

Malware chargé dans le processus explorer.exe

Malware chargé dans le processus explorer.exe

File name: dfeaf45c367881f9e46dfb84ce376eb4
Submission date: 2010-11-15 11:14:15 (UTC)
Current status: finished
Result: 3 /43 (7.0%)
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.15.05 2010.11.15 -
AntiVir 7.10.13.240 2010.11.15 -
Antiy-AVL 2.0.3.7 2010.11.15 -
Authentium 5.2.0.5 2010.11.15 -
Avast 4.8.1351.0 2010.11.15 -
Avast5 5.0.594.0 2010.11.15 -
AVG 9.0.0.851 2010.11.15 -
BitDefender 7.2 2010.11.15 -
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.15 -
Comodo 6725 2010.11.15 -
DrWeb 5.0.2.03300 2010.11.15 -
Emsisoft 5.0.0.50 2010.11.15 -
eSafe 7.0.17.0 2010.11.14 -
eTrust-Vet 36.1.7976 2010.11.15 -
F-Prot 4.6.2.117 2010.11.15 -
F-Secure 9.0.16160.0 2010.11.15 -
Fortinet 4.2.249.0 2010.11.15 W32/PackTDss.SK!tr
GData 21 2010.11.15 -
Ikarus T3.1.1.90.0 2010.11.15 -
Jiangmin 13.0.900 2010.11.15 -
K7AntiVirus 9.67.2973 2010.11.12 -
Kaspersky 7.0.0.125 2010.11.15 -
McAfee 5.400.0.1158 2010.11.15 -
McAfee-GW-Edition 2010.1C 2010.11.15 -
Microsoft 1.6301 2010.11.15 -
NOD32 5620 2010.11.15 a variant of Win32/Kryptik.IEL
Norman 6.06.10 2010.11.14 -
nProtect 2010-11-15.01 2010.11.15 -
Panda 10.0.2.7 2010.11.14 -
PCTools 7.0.3.5 2010.11.15 -
Prevx 3.0 2010.11.15 -
Rising 22.73.06.03 2010.11.15 -
Sophos 4.59.0 2010.11.15 -
Sunbelt 7314 2010.11.15 -
SUPERAntiSpyware 4.40.0.1006 2010.11.15 -
Symantec 20101.2.0.161 2010.11.15 -
TheHacker 6.7.0.1.083 2010.11.15 -
TrendMicro 9.120.0.1004 2010.11.14 PAK_Generic.001
TrendMicro-HouseCall 9.120.0.1004 2010.11.15 -
VBA32 3.12.14.2 2010.11.15 -
ViRobot 2010.11.15.4148 2010.11.15 -
VirusBuster 12.75.3.0 2010.11.14 -
Additional informationShow all
MD5   : dfeaf45c367881f9e46dfb84ce376eb4
SHA1  : 6f604878c5810768c07a688135225535efb37aff
SHA256: f3d7841bfb1c5f98f80fa11f03c32ca0724c72e5278eb372eaf111e9ef06b410
Cet article est sous licence Creative Commons BY-NC-SA.
Vous êtes autorisé à partager et modifier cet article, à condition de créditer le site ainsi que la licence, d'utiliser la même licence si vous modifiez l'oeuvre et de ne pas en faire d'utilisation commerciale.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article TDSS/Alureon nouvelle variante? mais vous n'avez pas trouvé la solution à votre problème...

Suivez ces articles du forum pour trouver une réponse :
Sinon créez votre propre demande pour obtenir de l'aide gratuite.
Plus de détails : Comment obtenir de l'aide sur le forum