Trojan-Dropper.Win32.Dapato chez Free via OVH

On continue la saga des RATs via des cracks , après Backdoor:Win32/Fynloski.A sur Orange via no-ip.org, du Trojan.Dapato chez Free.
Comme le précédent, c’est le forum de cracks de planete-lolo qui est bombardé de faux sujets.

On voit ici l’utilisateur Abbicted2bass qui a créé une multitude de sujets, tous ces sujets conduisent à un dropper.

Ces derniers utilisent l’hébergeur de fichiers sendspace.com :

Le dropper embarque bien un crack mais lance un processus Spoolv.exe :

Ce dernier est un Trojan-Download qui va télécharger un malware, au moment où sont écrites ces lignes, le site contacté est : proak.alwaysdata.net (OVH – 178.32.28.117).
En l’occurence, c’est le fichier Rundll32.exe qui est téléchargé : 01aa8c1ab592219fd374259c07185538

Nom de fichier :	  Rundll32.exe
Taille du fichier :	  490496 byte
Type de fichier :	  PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 :	  01aa8c1ab592219fd374259c07185538
SHA1 :	  f170956854ca208777b17bd13a44422be4ea20de
Résultats des moteurs :	  27% (10/37) a trouvé un malware !
Temps :	  2011/11/21 22:46:19 (CET)

Scanner 	Vers. moteur	Vers. Sig.	Date Sig.	Résultat du scan	Temps
a-squared	5.1.0.4	20111122050204	2011-11-22	Trojan-Dropper.Win32.Dapato!IK	0.313
AhnLab V3	2011.11.22.00	2011.11.22	2011-11-22	-	2.648
AntiVir	8.2.6.116	7.11.17.250	2011-11-21	TR/Drop.Dapato.och	0.271
BitDefender	7.90123.9000557	7.39921	2011-11-22	Trojan.Generic.KD.422489	4.458
GData	22.2847	20111122	2011-11-22	Trojan.Generic.KD.422489 [Engine:A]	5.675
Ikarus	T3.1.32.20.0	2011.11.21.79845	2011-11-21	Trojan-Dropper.Win32.Dapato	4.839
JiangMin	13.0.900	2011.11.21	2011-11-21	TrojanDropper.Dapato.bmx	1.956
Kaspersky	5.5.10	2011.11.21	2011-11-21	Trojan-Dropper.Win32.Dapato.och	0.069
NOD32	3.0.21	6648	2011-11-21	a variant of MSIL/Injector.OD trojan	0.050
nProtect	20111121.02	12850232	2011-11-21	Trojan.Generic.KD.422489	1.728

Puis le navigateur par défaut est lancé et se connecte au C&C sur une IP Free : ken66-1-82-242-250-193.fbx.proxad.net / 90.34.110.112

La ligne Run ajoutée visible sur HijackThis :

Les fichiers en question dans %APPDATA% – un fichier texte est créé en plus.

 

Un Rat un peu plus structuré que les autres, il semblerait que les précédents, avec certainement un mécanisme plus rodé pour pisser du dropper.

Pour conclure sur tous ces billets et pour ceux qui tomberaient sur ce billet suite à la recherche sur le malware Trojan-Dropper.Win32.Dapato, encore une fois et comme à chaque fois, le conseil habituel : arreter de télécharger n’importe quoi – notamment quand on est pas capable de faire la différence entre un crack malicieux et non malicieux ==> Le danger des cracks !

(Visité 178 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet