Worm:Win32/Gamarue aka Andromeda Trojan stealer

Voici une nouvelle famille de stealer nommé Worm:Win32/Gamarue ou Trojan Andromeda.
Le malware pemret donc de contrôler l’ordinateur, faire télécharger d’autres malwares et aussi contrôle l’ordinateur.

Exemple détection : https://www.virustotal.com/file/99f9f223162d30fa8db522ba9d2faac5acbab7fe951ee1f8be8ec1f00db08d4f/confirmation/

Kaspersky HEUR:Trojan.Win32.Generic 9.0.0.837 20120103
McAfee Artemis!03374DD54E61 5.400.0.1158 20120103
McAfee-GW-Edition Artemis!03374DD54E61 2010.1E 20120103
Panda Suspicious file 10.0.3.5 20120103
Sophos Mal/Zbot-EZ 4.72.0 20120103
TheHacker Posible_Worm32 6.7.0.1.371 20120103

Présentation du trojan Gamarue

Ce dernier injecte le processus système wuauclt.exe qui gère les mises à jour Windows.

le processus injecté créé une clef Run qui permet au malware de se lancer à chaque démarrage.

Le fichier est copié dans le dossier TEMP de All Users – à chaque démarrage le malware va relancer wuauctl.exe, voici la détection :https://www.virustotal.com/file/99f9f223162d30fa8db522ba9d2faac5acbab7fe951ee1f8be8ec1f00db08d4f/analysis/

SHA256: 99f9f223162d30fa8db522ba9d2faac5acbab7fe951ee1f8be8ec1f00db08d4f
Detection ratio: 8 / 43
Analysis date: 2012-01-12 19:02:56 UTC ( 2 minutes ago )

Antivirus Result Version Update
Fortinet W32/Yakes.B!tr 4.3.388.0 20120112
Kaspersky UDS:DangerousObject.Multi.Generic 9.0.0.837 20120112
McAfee Artemis!03374DD54E61 5.400.0.1158 20120112
McAfee-GW-Edition Artemis!03374DD54E61 2010.1E 20120112
Microsoft Worm:Win32/Gamarue.B 1.7903 20120112
Panda Suspicious file 10.0.3.5 20120112
Sophos Mal/EncPk-AAY 4.73.0 20120112
TheHacker Posible_Worm32 6.7.0.1.375 20120110

c’est aussi wuauclt.exe qui effectue les connexions afin de bypasser les pare-feu

Le malware fait un POST afin d’envoyer les informations volées :

1326395109.947 552 192.168.1.27 TCP_MISS/200 337 POST http://www.gooodman.net/foro/image.php – DIRECT/95.57.120.129 application/octet-stream

Ce dernier a des fonctionnalités de keylogger, en outre, sur la fiche Microsoft, on peux aussi lire que certains variantes peuvent se propager par média amovibles.

Un malware qui peut s’avérer discret. L’injection de processus système aidant, un utilisateur qui lance le gestionnaire de tâches ne verra pas forcément quelque chose.
La clef Run est pas forcément discrète, par contre elle est monitorée, ce qui signifie que si vous tentez de la désactiver quand le malware est actif en mémoire, elle sera aussitôt recrée.
Même chose pour la suppression de fichiers.

Il est conseillé de désactiver la clef Run en mode sans échec et supprimer le fichier TEMP.
Malwarebyte’s Anti-Malware peut éventuellement faire le boulot.

EDIT 5 Octobre : rise of gamarue/Smokebot/Andromeda

Ces derniers temps, on peux voir une explosion de ce malware.
Ce dernier se caractérise par le lancement d’une instance de svchost.exe qui communique avec le C&C du botnet.

Les POSTs effectués sont toujours du type : HOST/rep/index.php
Exemple : TCP_MISS/504 1549 POST http://fckd330.mooo.com/xbox/image.php – DIRECT/46.105.62.113 text/html

Un malware assez professionnel qui peux concurrencer les botnets du type Spyeye ou Zbot.

EDIT – Présentation du WebPanel du bot Andromeda

Pour une présentation du serveur de contrôle, rendez-vous sur la page suivante : https://www.malekal.com/?p=10641

EDIT Décembre 2017 : operation de shutdown

Une opération importante a eu lieu contre des botnet Gramarue / Andromeda, plus d’informations : Operation de shutdown de botnets Gamarue (Andromeda bot)

(Visité 12 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet