Trojan.Karagany : toujours aussi actif

Bloqueur de pub détectée - Vous bloquez l'affichage des publicités.
Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher.

Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet.

J'en parlais en Décembre 2010 : Trojan.Karagany et Trojan.Oficla: Les malwares en .co.cc sont de retour !
Les Exploits sur les sites WEB piégés installant ce dernier sont toujours aussi actifs : http://www3.malekal.com/malwares/index.php?&url=showthread.php

Trojan.Karagany

L'icône de l'exe est un bouclier qui permet de reconnaitre le rogue/scareware Personal Shield ProTrojan.Karaganyet un exploit Java

Trojan.Karagany

Les fameux répertoires %APPDATA%\Adobe\ et %APPDATA%\Adobe\plugs  spécifique au Trojan.Karagany

Trojan.Karagany

Trojan.KaraganyLe beau petit monde, le rundll32 montre déjà le chargement de la DLL spécifique au Trojan.Oficla

Trojan.Karagany

Le meilleur pour la fin, la création du service spécifique au Rootkit.TDSS TDL 4

Trojan.Karagany

Ce qui nous donne :

 

Trojan.Karagany

A noter que l'on peux aussi récupérer du Trojan.spyeye / Trojan-pincavOn voit bien la constance du pack :

Les détections des droppers peuvent impressionner mais ces infections par exploits sur les sites WEB piégés sont faciles à éviter, une fois que l'on a compris le mécanisme. Il suffit de garder vos plugins à jour notamment Java et Adobe Reader/Flash. Eventuellement renforcer la sécurité au navigateur, dans le cas de Firefox, se reporter à la page : Sécuriser le navigateur WEB Firefox

Pour la petite histoire, le site d'hier renvoyé aussi sur un autre exploit (double hack ?) : http://www3.malekal.com/malwares/index.php?&hash=904d1b237c16ec9893c658283994c125 - un dropper Pavelo avec un petit message dedans (ce n'est d'ailleurs pas le premier message vers NOD32 que je rencontre) :

Ce qui illustre bien le jeu de chats et de souris (et challenge) entre les détections et les non détections des droppers par les antivirus et auteurs de malwares.

EDIT - Juillet 2012

Se reporter au billet (notamment page 2) où l'on voit une description de Trojan.Karagany : https://www.malekal.com/2012/07/18/psw-win32-tepfer-vol-ftp-et-injectionhack-de-sites/
La différence majeur étant la présence de fichiers de type %TEMP%/~!#3.tmp %TEMP%/~!#5.tmp
On notera que les packs sont assez identiques que précédemment.

Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Trojan.Karagany : toujours aussi actif mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum