Win32:Corkow / TrojanDropper:Win32/Meteit.D / Trojan.Tracur s’accouple avec ZeroAccess via des exploits

Dernière Mise à jour le

Depuis quelques jours, un nouveau type de Trojan-Downloader est utilisé dans les exploits sur site web pour installer des infections :

Voici la détection du Trojan – Comme vous pouvez le voir Microsoft le détecte en Trojan.Karaganymais le mécanisme n’est pas le même :

DrWeb	5.0.2.03300	2011.10.29	Trojan.DownLoader5.9079
McAfee	5.400.0.1158	2011.10.29	Generic Downloader.jb
Microsoft	1.7801	2011.10.29	TrojanDownloader:Win32/Karagany.F
NOD32	6586	2011.10.29	a variant of Win32/Kryptik.UQP

MD5   : 9e0c0d75f41e097f1845d311ec4266a2
SHA1  : 291f72f28da77124020bed2af7f5fcf59632562c
SHA256: eff8df523b967e17e42c2d4f9b997dea187c5d1b3067a9383696383fbdc9d7f4
Le mécanisme de Trojan.Karagany a changé, ce dernier injecte maintenant explorer.Exe

puis des fichiers temporaires sont créés ~!#A.tmp – ce sont des exécutables.
Les noms des ficheirs aléatoires étant du type ~!#{chiffre/lettre}.tmp

ici Trojan.Tracur qui est droppé :

Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temp\~!#A.tmp
   PID: 2240
Registry Group: Malware
Object:
   Registry key: HKCR\CLSID\{477B5255-3E06-4960-8D4F-8320490B3243}\InprocServer32
   Registry value: (Default)
      Type: REG_SZ
      Value: C:\WINDOWS\system32\fastsrch.dll

DrWeb	5.0.2.03300	2011.10.29	Trojan.DownLoader5.9079
McAfee	5.400.0.1158	2011.10.29	Generic Downloader.jb
Microsoft	1.7801	2011.10.29	TrojanDownloader:Win32/Karagany.F
NOD32	6586	2011.10.29	a variant of Win32/Kryptik.UQP

MD5   : 9e0c0d75f41e097f1845d311ec4266a2
SHA1  : 291f72f28da77124020bed2af7f5fcf59632562c
SHA256: eff8df523b967e17e42c2d4f9b997dea187c5d1b3067a9383696383fbdc9d7f4

Ce dernier lance ensuite un fichier tmp type C2.tmp qui droppe le malware suivante :  Win32:Corkow / TrojanDropper:Win32/Meteit.D

File name: ipnapi32.ori
Submission date: 2011-10-29 18:54:05 (UTC)
Current status: finished
Result: 9/ 37 (24.3%)	VT Community

Print results  Antivirus	Version	Last Update	Result
Avast	6.0.1289.0	2011.10.29	Win32:Corkow [Wrm]
AVG	10.0.0.1190	2011.10.29	Cryptic.DSF
DrWeb	5.0.2.03300	2011.10.29	Trojan.PWS.Turist.4
Emsisoft	5.1.0.11	2011.10.29	Trojan.Crypt!IK
GData	22	2011.10.29	Win32:Corkow
Ikarus	T3.1.1.107.0	2011.10.29	Trojan.Crypt
Microsoft	1.7801	2011.10.29	TrojanDropper:Win32/Meteit.D
Symantec	20111.2.0.82	2011.10.29	Trojan Horse

MD5   : 45dbcb218a05a99158b22b34aafb03cd
SHA1  : 8a6feb05b829fdeaec3cb0825df4346525f6c804
SHA256: e9b5de534f13c5394a4a3c7214c26cc00d8608168fa269e35278afa39381c763
Ce dernier se charge par le service lanmanserever :
Process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temp\32.tmp.exe
   PID: 2212
   Information: Loyal Aloud Lace Honk (V Communications, Inc.)
Registry Group: Services
Object:
   Registry key: HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
   Registry value: ServiceDll
   New value:
      Type: REG_EXPAND_SZ
      Value: %CommonProgramFiles%\microsoft shared\ipnapi32.ori
   Previous value:
      Type: REG_EXPAND_SZ
      Value: %CommonProgramFiles%\microsoft shared\dussockx.odb

Le nom du fichier est bien sûr aléatoire.

 

Et enfin, la cerise sur le gateau, le fichier explorer.exe droppe le malware Zaccess  / Sireref

Un pack assez pénible à désinfecter notamment à cause de Zaccess  / Sireref.
Encore une fois, prenez l’habitude à maintenir vos logiciels à jour et notamment Java / Adobe Flash et Adobe Reader pour éviter les ennuies et les infections type exploits sur site web

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Win32:Corkow / TrojanDropper:Win32/Meteit.D / Trojan.Tracur s’accouple avec ZeroAccess via des exploits mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum


Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum

Une réponse

  1. ColdWindBlows 30 octobre 2011

Laisser un commentaire

0 Partages
Tweetez
Partagez
Enregistrer
Partagez