Trojan.Esfury : Couteau Suisse – directorio-w.com/www.qseach.com

Bloqueur de pub détectée - Vous bloquez l'affichage des publicités.
Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher
Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet

Un nouveau fichier a été uploadé winlogon.exe.Trojan.Esfury.exe :
http://upload.malekal.com/xxxxxxx/winlogon.exe.Trojan.Esfury.exe
La taille du fichier est : 77824
Le hash est: c91b9aaebb40fec1c21b926a2eca8806

dont voici la détection :

http://www.virustotal.com/file-scan/report.html?id=863c526d186f35bb07d73d5460115d514b9c0e6e52ddca1c2faf33b4c9ec403d-1313473172

 

File name: uIaU3k3kzmh4Otjy73o.exe
Submission date: 2011-08-16 05:39:32 (UTC)
Current status: finished
Result: 19 /43 (44.2%)
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.08.15.00 2011.08.15 -
AntiVir 7.11.13.48 2011.08.15 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2011.08.15 -
Avast 4.8.1351.0 2011.08.15 Win32:Esfury-G [Trj] Avast5 5.0.677.0 2011.08.15 Win32:Esfury-G [Trj] AVG 10.0.0.1190 2011.08.16 -
BitDefender 7.2 2011.08.16 Gen:Variant.Kazy.30758
CAT-QuickHeal 11.00 2011.08.16 (Suspicious) - DNAScan
ClamAV 0.97.0.0 2011.08.16 -
Commtouch 5.3.2.6 2011.08.16 W32/Alureon.D!Generic
Comodo 9761 2011.08.16 -
DrWeb 5.0.2.03300 2011.08.16 -
Emsisoft 5.1.0.8 2011.08.16 -
eSafe 7.0.17.0 2011.08.15 -
eTrust-Vet 36.1.8503 2011.08.15 -
F-Prot 4.6.2.117 2011.08.15 W32/Alureon.D!Generic
F-Secure 9.0.16440.0 2011.08.16 Gen:Variant.Kazy.30758
Fortinet 4.2.257.0 2011.08.16 W32/VB.WL!tr
GData 22 2011.08.16 Gen:Variant.Kazy.30758
Ikarus T3.1.1.107.0 2011.08.16 -
Jiangmin 13.0.900 2011.08.15 -
K7AntiVirus 9.109.5017 2011.08.15 Virus
Kaspersky 9.0.0.837 2011.08.16 Worm.Win32.VBNA.b
McAfee 5.400.0.1158 2011.08.16 -
McAfee-GW-Edition 2010.1D 2011.08.15 Heuristic.BehavesLike.Win32.Downloader.A
Microsoft 1.7104 2011.08.16 VirTool:Win32/VBInject.gen!FA
NOD32 6380 2011.08.16 -
Norman 6.07.10 2011.08.15 -
nProtect 2011-08-15.01 2011.08.15 Gen:Variant.Kazy.30758
Panda 10.0.3.5 2011.08.15 Trj/CI.A
PCTools 8.0.0.5 2011.08.16 -
Prevx 3.0 2011.08.16 -
Rising 23.71.00.03 2011.08.15 -
Sophos 4.68.0 2011.08.16 Mal/SillyFDC-G
SUPERAntiSpyware 4.40.0.1006 2011.08.16 -
Symantec 20111.2.0.82 2011.08.16 -
TheHacker 6.7.0.1.277 2011.08.16 -
TrendMicro 9.500.0.1008 2011.08.16 PAK_Generic.001
TrendMicro-HouseCall 9.500.0.1008 2011.08.16 PAK_Generic.001
VBA32 3.12.16.4 2011.08.15 -
VIPRE 10178 2011.08.16 -
ViRobot 2011.8.16.4622 2011.08.16 -
VirusBuster 14.0.170.0 2011.08.15 -
Additional informationShow all
MD5 : c91b9aaebb40fec1c21b926a2eca8806
SHA1 : 207cdb4fb84395dbb141d54c77a05e48b1b7ee45
SHA256: 863c526d186f35bb07d73d5460115d514b9c0e6e52ddca1c2faf33b4c9ec403d

(Merci à l'uploader)

La détection d'Avast! : EsFury est peut-être la concaténation de Trojan.Fury  et es pour espagnol puisque beaucoup de messages sont en espagnols et visent donc les internautes latinos :

 

Il y a quelques temps j'avais fait un article Backdoor.IRC : le couteau suisse qui montrait les fonctionnalités standards des backdoors.
Vous allez voir que celui-ci est pas mal.

Trojan Esfury : Le Processus

Les fonctions de défense

Le malware ajoute des clefs Debugger sur les processus des antivirus ou des applications de sécurité.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe "Debugger"
Old type: REG_SZ
New type: REG_SZ
Old data: "C:\DOCUMENTS AND SETTINGS\MAK\BUREAU\PROCEXP.EXE"
New data: "C:\Documents and Settings\Mak\B616D4\winlogon.exe"

Cela permet de lancer le fichier Exe avant l'executable sur lequel on a double cliqué.
(Dans le cas où le processus présent dans la clef Debugger n'est pas disponible, le fichier sur lequel on a double cliqué ne s'ouvre pas - donc si l'antivirus supprime le malware sans remettre les clefs système, c'est génant).

Le malware ajoute des policies pour désactiver l'ouverture du gestionnaire de tâches, regedit etc .. :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations "LowRiskFileTypes"
Type: REG_SZ
Data: .exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoFile"
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoFolderOptions"
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoRun"
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableRegistryTools"
Type: REG_DWORD
Data: 01, 00, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr"
Type: REG_DWORD

Ceci permet à l'infection d'afficher la popup suivante : "Ce fichier est utilisé par une autre application"

Le malware est aussi capable de tuer une application selon le contenu des fenêtres, ici le mot HijackThis :


L'infection modifie aussi le fichier HOSTS pour rediriger certaines adresses mais aussi pour bloquer les connexions vers des sites antivirus ou les mises à jour des antivirus.

Le malware ajoute des exceptions dans le pare-feu de Windows et désactive les notifications de ce dernier et le centre de sécurité :

Les méthodes de propagation

Le malware utilise divers méthodes de propagation.... autorun/medias amovibles :

Empêche d'aller dans les options de dossiers et force le non affichage des fichiers cachés (pour ne pas voir les fichiers autorun.inf) - supprime le bouton "Exécuter" :

Mais aussi par Messagerie Instannée :


Par P2P via des noms de fichiers cracks :

Monétisation

Le malware a des fonctionnalités de Stealer et est capable de voler les identifiants Firefox et certains programmes de FTP.

Le malware Hijack les pages de démarrages des navigateurs WEB :

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Default_Page_URL"
Type: REG_SZ
Data: http://ly2awp02h4z1e31.directorio-w.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main "Default_Search_URL"
Type: REG_SZ
Data: http://wf5p29b4nbr11ex.directorio-w.com
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice "Progid"
Type: REG_SZ
Data: IE.AssocFile.HTM

Les adresses directorio-w.com conduisent au final sur une page moteur de recherche : www.qsearch.com (184.82.228.2)

Le malware est aussi de type Trojan.Clicker puisqu'il surf en fond... notamment pour contacter des bannières de publicités :


Ce qui parfois peux faire afficher ce type de popup : "Félicitations! Vous avez choisi de gagner un Appel Iphone4 avec iPad!"

Le surf se faisant par une instance d'Internet Explorer en embedding lancé par svchost.exe

Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Trojan.Esfury : Couteau Suisse – directorio-w.com/www.qseach.com mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum