Gootkit est un Trojan Banker très actif depuis 2010.
Initialement il s’agit d’un Bootkit reprenant des fonctionnalités du Trojan Zeus depuis il a pas mal évolué pour passer en mode ‘malware FileLess‘.
Vers Février 2016, Gootkit vise les banques françaises (source ProofPoint) et effectivement depuis Mars 2016, les campagnes visant la France ont débuté.
Beaucoup de campagnes de malvertising visent à pousser Gootkit en France.
Table des matières
Aperçu du Trojan Gootkit
En Avril : https://twitter.com/malekal_morte/status/724909737230389248
Cette semaine https://twitter.com/malekal_morte/status/748843170390212608
Les régies publicitaires touchées sont plutôt actives sur les sites de streaming illégaux, Torrent etc.
Dans le cas observé, il ne s’agit pas d’un ‘malware FileLess‘, mais d’une DLL qui se charge par un service Windows permettant ensuite d’effectuer une injection de svchost.exe.
Le service Windows malicieux visible sur un rapport FRST :
et sur la console MMC :
L’injection du processus svchost.exe :
Le Trojan Gootkit contacte ensuite les serveurs suivants :
pramball.com kratique.com klardiro.com trastres.com cheresto.com manistor.com bardabol.com reballer.com labarnor.com pallituk.com
La détection de la DLL au moment du chargement de celle-ci dans le système, plutôt mal détecté :
| SHA256: | 32ae393fd0818f64cce046d3ec7439d20d1952e4c6506d91c684d15325462593 |
| Nom du fichier : | ecnjtwjb.dll |
| Ratio de détection : | 5 / 52 |
| Date d’analyse : | 2016-07-01 11:46:47 UTC (il y a 51 minutes) |
| Antivirus | Résultat | Mise à jour |
|---|---|---|
| Ad-Aware | Gen:Variant.Razy.74424 | 20160701 |
| AegisLab | Troj.Downloader.W32.Agent.l2pS | 20160701 |
| Baidu | Win32.Trojan.WisdomEyes.151026.9950.9992 | 20160701 |
| K7GW | Hacktool ( 655367771 ) | 20160701 |
| Qihoo-360 | QVM40.1.Malware.Gen | 20160701 |
Kapsersky a publié une analyse du Trojan Banker Gootkit : Inside the Gootkit C&C server (27 Octobre 2016).
Voici la répartition des injections par pays, on voit que la France se positionne deuxième.
Sécuriser son ordinateur contre Trojan Gootkit
Pour ne pas être vulnérable aux WebExploits, vous devez maintenir vos logiciels à jour afin que ces derniers ne possèdent pas de vulnérabilités connues. Pour vous y aider, suivez cette page : Logiciels pour maintenir ses programmes à jour
De manière plus précise, si vous souhaitez aller plus loin dans la sécurisation de votre ordinateur, rendez-vous sur la page : Comment sécuriser mon Windows
Conclusion et liens connexes
Gootkit est un Trojan Banker relativement classique avec une injection de svchost.exe
La distribution est relativement massive et donc de nombreux internautes risquent d’être touchés par Gootkit.
Nous vous recommandons de bien sécuriser votre ordinateur.
Quelques liens relatifs à ces infections :
Imprimer l'article en PDF
