Trojan via mail Chronopost et malware utilisant Teamviewer

Vu sur le site commentcamarche.net - un utilisateur qui a reçu un mail malicieus se faisant passer pour Chronopost.
Le lien mène à http://accord-global.eu/inputLTNumbers90041N90041oJahia.do
avec un exécutable au bout...

SHA256: 37d251842125cdc4c02f54db02ec95c1bfff43630a14ce0ed26cb711d7e7e70a
File name: Tracking+paket+-+Suivi+Votre+colis.exe
Detection ratio: 4 / 56
Analysis date: 2016-06-07 06:41:59 UTC ( 3 hours, 10 minutes ago )
Antivirus Result Update
Avira (no cloud) TR/Dropper.yfzs 20160607
Kaspersky UDS:DangerousObject.Multi.Generic 20160607
McAfee-GW-Edition BehavesLike.Win32.Downloader.cc 20160607
Qihoo-360 HEUR/QVM42.1.Malware.Gen 20160607

Le faux Mail Chronopost provenant de l'adresse [email protected] intitulé "Chronopost International".

faux_mail_chronopost_malware

Ce malware en vidéo :

Ce dernier créé des fichiers dans %PROGRAMDATA% et se lance via une clef Run.
Le trojan ouvre des fenêtres incessantes du contrôle utilisateur (UAC) afin d'obtenir les droits administrateurs puis injecte le processus système %systemroot%\system32\msiexec.exe
En outre, ce dernier utilise Teamviewer afin de permettre aux pirates de contrôler l'ordinateur à distance.

Trojan_Teamviewer_3 Trojan_Teamviewer_2 Trojan_Teamviewer

Les connexions Teamviewer :

TCP_MISS/200 238 GET http://master.dyngate.com/din.aspx?s=00000000&client=DynGate&rnd=376332944&p=10000001 - DIRECT/178.77.120.100 application/octet-stream
TCP_MISS/200 187 POST http://master.dyngate.com/dout.aspx?s=62107899&p=10000001&client=DynGate - DIRECT/178.77.120.100 -
TCP_MISS/200 236 GET http://master.dyngate.com/din.aspx?s=62107899&client=DynGate&p=10000002 - DIRECT/178.77.120.100 application/octet-stream

Trojan_Teamviewer_3

et pour le contrôle du Trojan :

TCP_MISS/200 288 POST http://busn4man.com/me/gate.php - DIRECT/193.169.194.168

Le malware créé aussi les fichiers suivants :

%APPDATA%\Roaming\LollBourgeon.rPB
%APPDATA%\Roaming\SFhelper.dll  (1/57)
%APPDATA%\Roaming\SkidPiragua.T

et génère d'ailleurs des erreurs dessus avec un titre "aplogetics Setup"

Trojan_Teamviewer_2

L'utilisation de Teamviewer n'est pas vraiment nouveau puisqu'il y a eu des précédents mais cela reste quand même relativement rare.

 

Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
bouton facebookbouton twitterbouton whatapps
Cet article est sous licence Creative Commons BY-NC-SA.
Vous êtes autorisé à partager et modifier cet article, à condition de créditer le site ainsi que la licence, d'utiliser la même licence si vous modifiez l'oeuvre et de ne pas en faire d'utilisation commerciale.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Trojan via mail Chronopost et malware utilisant Teamviewer mais vous n'avez pas trouvé la solution à votre problème...

Suivez ces articles du forum pour trouver une réponse :

Sinon créez votre propre demande pour obtenir de l'aide gratuite.
Plus de détails : Comment obtenir de l'aide sur le forum

Tags: