Accueil
Trojan Gootkit

Trojan Gootkit

Article initial : 1 juillet 2016

Dernière modification : 1 avril 2018

 Sécurité Windows, Virus, Trojan, Adwares, Keylogger etc, Windows 10

Gootkit est un Trojan Banker très actif depuis 2010.
Initialement il s'agit d'un Bootkit reprenant des fonctionnalités du Trojan Zeus depuis il a pas mal évolué pour passer en mode 'malware FileLess'.
Vers Février 2016, Gootkit vise les banques françaises (source ProofPoint) et effectivement depuis Mars 2016, les campagnes visant la France ont débuté.
Beaucoup de campagnes de malvertising visent à pousser Gootkit en France.

Aperçu du Trojan Gootkit

En Avril : https://twitter.com/malekal_morte/status/724909737230389248

WebExploit poussant le Trojan Gootkit

Cette semaine https://twitter.com/malekal_morte/status/748843170390212608
Twitter_malvertising_webexploit_trojan_gootkit_2

Les régies publicitaires touchées sont plutôt actives sur les sites de streaming illégaux, Torrent etc.

Dans le cas observé, il ne s'agit pas d'un 'malware FileLess', mais d'une DLL qui se charge par un service Windows permettant ensuite d'effectuer une injection de svchost.exe.

Le service Windows malicieux visible sur un rapport FRST :

trojan_gootkit

et sur la console MMC :

trojan_gootkit_services_malicieux

L'injection du processus svchost.exe :

trojan_gootkit_injection_svchost

Le Trojan Gootkit contacte ensuite les serveurs suivants :

pramball.com
kratique.com
klardiro.com
trastres.com
cheresto.com
manistor.com
bardabol.com
reballer.com
labarnor.com
pallituk.com

trojan_gootkit_DNS_malicieux

trojan_gootkit_DNS_malicieux_2

La détection de la DLL au moment du chargement de celle-ci dans le système, plutôt mal détecté :

SHA256: 32ae393fd0818f64cce046d3ec7439d20d1952e4c6506d91c684d15325462593
Nom du fichier : ecnjtwjb.dll
Ratio de détection : 5 / 52
Date d'analyse : 2016-07-01 11:46:47 UTC (il y a 51 minutes)
Antivirus Résultat Mise à jour
Ad-Aware Gen:Variant.Razy.74424 20160701
AegisLab Troj.Downloader.W32.Agent.l2pS 20160701
Baidu Win32.Trojan.WisdomEyes.151026.9950.9992 20160701
K7GW Hacktool ( 655367771 ) 20160701
Qihoo-360 QVM40.1.Malware.Gen 20160701

Kapsersky a publié une analyse du Trojan Banker Gootkit : Inside the Gootkit C&C server (27 Octobre 2016).
Voici la répartition des injections par pays, on voit que la France se positionne deuxième.

gootkit_repartition_pays

Sécuriser son ordinateur contre Trojan Gootkit

Pour ne pas être vulnérable aux WebExploits, vous devez maintenir vos logiciels à jour afin que ces derniers ne possèdent pas de vulnérabilités connues. Pour vous y aider, suivez cette page : Logiciels pour maintenir ses programmes à jour
De manière plus précise, si vous souhaitez aller plus loin dans la sécurisation de votre ordinateur, rendez-vous sur la page : Comment sécuriser mon Windows

Conclusion et liens connexes

Gootkit est un Trojan Banker relativement classique avec une injection de svchost.exe
La distribution est relativement massive et donc de nombreux internautes risquent d'être touchés par Gootkit.
Nous vous recommandons de bien sécuriser votre ordinateur.

Quelques liens relatifs à ces infections :

Cet article est sous licence Creative Commons BY-NC-SA.
Vous êtes autorisé à partager et modifier cet article, à condition de créditer le site ainsi que la licence, d'utiliser la même licence si vous modifiez l'oeuvre et de ne pas en faire d'utilisation commerciale.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Trojan Gootkit mais vous n'avez pas trouvé la solution à votre problème...

Suivez ces articles du forum pour trouver une réponse :
Sinon créez votre propre demande pour obtenir de l'aide gratuite.
Plus de détails : Comment obtenir de l'aide sur le forum

Tags:, ,