Trojan via mail Chronopost et malware utilisant Teamviewer

Dernière Mise à jour le

Vu sur le site commentcamarche.net – un utilisateur qui a reçu un mail malicieus se faisant passer pour Chronopost.
Le lien mène à http://accord-global.eu/inputLTNumbers90041N90041oJahia.do
avec un exécutable au bout…

SHA256:37d251842125cdc4c02f54db02ec95c1bfff43630a14ce0ed26cb711d7e7e70a
File name:Tracking+paket+-+Suivi+Votre+colis.exe
Detection ratio:4 / 56
Analysis date:2016-06-07 06:41:59 UTC ( 3 hours, 10 minutes ago )
AntivirusResultUpdate
Avira (no cloud)TR/Dropper.yfzs20160607
KasperskyUDS:DangerousObject.Multi.Generic20160607
McAfee-GW-EditionBehavesLike.Win32.Downloader.cc20160607
Qihoo-360HEUR/QVM42.1.Malware.Gen20160607

Le faux Mail Chronopost provenant de l’adresse [email protected] intitulé “Chronopost International”.

faux_mail_chronopost_malware

Ce malware en vidéo :

Ce dernier créé des fichiers dans %PROGRAMDATA% et se lance via une clef Run.
Le trojan ouvre des fenêtres incessantes du contrôle utilisateur (UAC) afin d’obtenir les droits administrateurs puis injecte le processus système %systemroot%\system32\msiexec.exe
En outre, ce dernier utilise Teamviewer afin de permettre aux pirates de contrôler l’ordinateur à distance.

Trojan_Teamviewer_3 Trojan_Teamviewer_2

Trojan_Teamviewer

Les connexions Teamviewer :

TCP_MISS/200 238 GET http://master.dyngate.com/din.aspx?s=00000000&client=DynGate&rnd=376332944&p=10000001 - DIRECT/178.77.120.100 application/octet-stream
TCP_MISS/200 187 POST http://master.dyngate.com/dout.aspx?s=62107899&p=10000001&client=DynGate - DIRECT/178.77.120.100 -
TCP_MISS/200 236 GET http://master.dyngate.com/din.aspx?s=62107899&client=DynGate&p=10000002 - DIRECT/178.77.120.100 application/octet-stream

Trojan_Teamviewer_3

et pour le contrôle du Trojan :

TCP_MISS/200 288 POST http://busn4man.com/me/gate.php - DIRECT/193.169.194.168

Le malware créé aussi les fichiers suivants :

%APPDATA%\Roaming\LollBourgeon.rPB
%APPDATA%\Roaming\SFhelper.dll  (1/57)
%APPDATA%\Roaming\SkidPiragua.T

et génère d’ailleurs des erreurs dessus avec un titre “aplogetics Setup”

Trojan_Teamviewer_2

L’utilisation de Teamviewer n’est pas vraiment nouveau puisqu’il y a eu des précédents mais cela reste quand même relativement rare.

 

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Trojan via mail Chronopost et malware utilisant Teamviewer mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum


Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum
Tags:

Laisser un commentaire

0 Partages
Tweetez
Partagez
Enregistrer
Partagez