Malekal's forum

[Malekal_morte]

digeste.dll : Trojan.Agent.AWDE / TrojanDownloader:Win32/Bredolab.B (Microsoft)
Alias Trojan.Botnetlog.x chez Dr.Web

Ceci n'est pas une nouvelle infection puisque déjà présente depuis quelques mois.
Par exemple en décembre : viewtopic.php?f=62&t=14926#p124397

Néanmoins, cette semaine beaucoup de variantes sont présentes en téléchargement depuis des exploits sur site WEB, comme en témoigne ces liens depuis 1 semaine :
viewtopic.php?f=62&t=17204
viewtopic.php?f=62&t=17184
viewtopic.php?f=62&t=17174
viewtopic.php?f=62&t=17172
viewtopic.php?f=62&t=17150
viewtopic.php?f=62&t=17013

Créé les fichiers suivants sur le système :
%System%\digeste.dll (le légitime est digest.dll sans le "e")
%Windir%\wiaserviv.log

La taille de digeste.dll varie entre ~ 24k à ~26k (voir les tailles dans les liens précédents)

Pour charger digeste.dll, le registre Windows est modifié comme suit :

o [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders]
+ SecurityProviders = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, digeste.dll"
o [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
+ SecurityProviders = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, digeste.dll"

Le trojan se connecte ensuite à une adresse WEB pour recevoir les "ordres".

Si vous êtes infecté, suivez la Procédure de désinfection des Trojans/Backdoor

[Malekal_morte]

Juste pour signaler que Kaspersky le détecte ainsi : Backdoor.Win32.Zdoogu

[Malekal_morte]

variante qui au lieu d'ajouter digeste.dll, ajoute le fichier : %System%\mcenspc.dll

même principe pour se charger via les clefs :

* [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders]
o SecurityProviders = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mcenspc.dll"
* [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
o SecurityProviders = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mcenspc.dll"

[Malekal_morte]

Autre variante avec le fichier : %System%\digiwet.dll

* The following Registry Values were modified:
o [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders]
+ SecurityProviders = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, digiwet.dll"
o [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
+ SecurityProviders = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, digiwet.dll"

[Malekal_morte]

Notre ami Bredolab revient avec le remplacement du driver %windir%\system32\drivers\amdk7.sys (driver pour la techno PowerNow! pour les ADM mobiles).

Cette variante est très souvent accompagne du Rootkit.TDSS (variante Cx.tmp / x.tmp)

La détection du dropper :

File E835141500FD00FC4CD0005EE6E9AC0091D9985D.exe received on 2010.01.03 06:40:52 (UTC)
Current status: finished
Result: 14/40 (35.00%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.46 2010.01.03 Email-Worm.Win32.Iksmas!IK
AhnLab-V3 5.0.0.2 2010.01.02 -
AntiVir 7.9.1.122 2009.12.31 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.12.31 -
Authentium 5.2.0.5 2010.01.03 -
Avast 4.8.1351.0 2010.01.02 -
AVG 8.5.0.430 2010.01.02 -
BitDefender 7.2 2010.01.03 Trojan.Downloader.Bredolab.CD
CAT-QuickHeal 10.00 2010.01.02 Win32.Trojan.Monder.gen.4
ClamAV 0.94.1 2010.01.03 -
Comodo 3452 2010.01.03 -
DrWeb 5.0.1.12222 2010.01.03 -
eSafe 7.0.17.0 2009.12.31 -
eTrust-Vet 35.1.7210 2010.01.01 -
F-Prot 4.5.1.85 2010.01.03 -
F-Secure 9.0.15370.0 2010.01.02 -
Fortinet 4.0.14.0 2010.01.02 -
GData 19 2010.01.03 Trojan.Downloader.Bredolab.CD
Ikarus T3.1.1.79.0 2009.12.31 Trojan.Win32.Bredolab
Jiangmin 13.0.900 2010.01.03 -
K7AntiVirus 7.10.936 2010.01.02 -
Kaspersky 7.0.0.125 2010.01.03 -
McAfee 5849 2010.01.02 Bredolab.gen.m
McAfee+Artemis 5849 2010.01.02 Bredolab.gen.m
McAfee-GW-Edition 6.8.5 2010.01.01 Trojan.Crypt.ZPACK.Gen
Microsoft 1.5302 2010.01.03 TrojanDownloader:Win32/Harnig.gen!J
NOD32 4738 2010.01.02 a variant of Win32/Kryptik.BPL
Norman 6.04.03 2009.12.31 -
nProtect 2009.1.8.0 2010.01.03 -
Panda 10.0.2.2 2010.01.02 Suspicious file
PCTools 7.0.3.5 2010.01.03 -
Prevx 3.0 2010.01.03 Medium Risk Malware
Rising 22.28.03.04 2009.12.31 -
Sophos 4.49.0 2010.01.03 -
Sunbelt 3.2.1858.2 2010.01.02 -
TheHacker 6.5.0.3.129 2010.01.03 -
TrendMicro 9.120.0.1004 2010.01.03 TROJ_BREDLAB.SME
VBA32 3.12.12.1 2010.01.01 -
ViRobot 2009.12.31.2118 2009.12.31 -
VirusBuster 5.0.21.0 2010.01.02 -
Additional information
File size: 19456 bytes
MD5 : 9a41c87eb8df28f2d537af599ac519e6
SHA1 : f54f2a628faf2f75988f8a248102c1ac63e4c21d

Contacte les urls suivantes :

Code: Tout sélectionner

1262535900.769  66330 192.168.1.26 TCP_MISS/200 767695 GET http://204.12.242.226/applicationdata2.bin - DIRECT/204.12.242.226 application/octet-stream
1262536169.119   1331 192.168.1.26 TCP_MISS/206 57116 GET http://96.0.203.82/applicationdata2.bin - DIRECT/96.0.203.82 application/octet-stream
1262536188.359  72391 192.168.1.26 TCP_MISS/200 741116 GET http://204.12.242.226/applicationdata2.bin - DIRECT/204.12.242.226 application/octet-stream
1262536203.138  11003 192.168.1.26 TCP_MISS/200 767695 GET http://96.0.203.114/applicationdata2.bin - DIRECT/96.0.203.114 application/octet-stream

~~~

%windir%\system32\drivers\amdk7.sys est alors remplacé et le "bon" driver est copié en amdk7.sys.bak

Un rapport GMER montrant l'infection :

GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2010-01-03 06:22:46
Windows 5.1.2600 Service Pack 2
Running: l0pjcpp9.exe; Driver: C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\fwrcyaog.sys


---- Kernel code sections - GMER 1.0.15 ----

PAGE Ntfs.sys F9C20E88 4 Bytes CALL 80DE7E81
INIT amdk7.sys F859A000 40 Bytes [E1, 80, 1B, 04, 76, A3, 1F, ...]
INIT amdk7.sys F859A03C 2 Bytes [1A, 77]
INIT amdk7.sys F859A040 6 Bytes [FE, 23, E3, B4, 90, 71]
INIT amdk7.sys F859A048 2 Bytes [9E, 71]
INIT amdk7.sys F859A04C 2 Bytes [B0, 71] {MOV AL, 0x71}
INIT ...
.pak2 C:\WINDOWS\system32\DRIVERS\amdk7.sys entry point in ".pak2" section [0xF8601509]
? C:\WINDOWS\system32\DRIVERS\amdk7.sys A device attached to the system is not functioning.

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 80DF53A0

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\DRIVERS\amdk7.sys (*** hidden *** ) [SYSTEM] AmdK7 <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\AmdK7@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\AmdK7@Start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\AmdK7@ErrorControl 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\AmdK7@Tag 3
Reg HKLM\SYSTEM\CurrentControlSet\Services\AmdK7@ImagePath system32\DRIVERS\amdk7.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\AmdK7@DisplayName AMD K7 Processor Driver
Reg HKLM\SYSTEM\CurrentControlSet\Services\AmdK7@Group Extended Base
Reg HKLM\SYSTEM\CurrentControlSet\Services\AmdK7\Security
Reg HKLM\SYSTEM\CurrentControlSet\Services\AmdK7\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\AmdK7@EventMessageFile %SystemRoot%\System32\IoLogMsg.dll;%SystemRoot%\System32\drivers\amdk7.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\System\AmdK7@TypesSupported 7
Reg HKLM\SYSTEM\ControlSet002\Services\AmdK7@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\AmdK7@Start 1
Reg HKLM\SYSTEM\ControlSet002\Services\AmdK7@ErrorControl 1
Reg HKLM\SYSTEM\ControlSet002\Services\AmdK7@Tag 3
Reg HKLM\SYSTEM\ControlSet002\Services\AmdK7@ImagePath system32\DRIVERS\amdk7.sys
Reg HKLM\SYSTEM\ControlSet002\Services\AmdK7@DisplayName AMD K7 Processor Driver
Reg HKLM\SYSTEM\ControlSet002\Services\AmdK7@Group Extended Base
Reg HKLM\SYSTEM\ControlSet002\Services\AmdK7\Security (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\AmdK7\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\ControlSet002\Services\Eventlog\System\AmdK7@EventMessageFile %SystemRoot%\System32\IoLogMsg.dll;%SystemRoot%\System32\drivers\amdk7.sys
Reg HKLM\SYSTEM\ControlSet002\Services\Eventlog\System\AmdK7@TypesSupported 7

---- EOF - GMER 1.0.15 ----

et la détection du driver :

File amd received on 2010.01.03 14:16:55 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 3/40 (7.5%)


Antivirus Version Last Update Result
a-squared 4.5.0.46 2010.01.03 -
AhnLab-V3 5.0.0.2 2010.01.02 -
AntiVir 7.9.1.122 2009.12.31 -
Antiy-AVL 2.0.3.7 2009.12.31 -
Authentium 5.2.0.5 2010.01.03 -
Avast 4.8.1351.0 2010.01.02 -
AVG 8.5.0.430 2010.01.02 -
BitDefender 7.2 2010.01.03 -
CAT-QuickHeal 10.00 2010.01.02 -
ClamAV 0.94.1 2010.01.03 -
Comodo 3456 2010.01.03 -
DrWeb 5.0.1.12222 2010.01.03 -
eSafe 7.0.17.0 2009.12.31 -
eTrust-Vet 35.1.7210 2010.01.01 -
F-Prot 4.5.1.85 2010.01.03 -
F-Secure 9.0.15370.0 2010.01.03 -
Fortinet 4.0.14.0 2010.01.02 -
GData 19 2010.01.03 -
Ikarus T3.1.1.79.0 2009.12.31 -
Jiangmin 13.0.900 2010.01.03 -
K7AntiVirus 7.10.936 2010.01.02 -
Kaspersky 7.0.0.125 2010.01.03 -
McAfee 5849 2010.01.02 -
McAfee+Artemis 5849 2010.01.02 Artemis!B4E31A10D854
McAfee-GW-Edition 6.8.5 2010.01.01 -
Microsoft 1.5302 2010.01.03 -
NOD32 4739 2010.01.03 a variant of Win32/Rootkit.Kryptik.AF
Norman 6.04.03 2009.12.31 -
nProtect 2009.1.8.0 2010.01.03 -
Panda 10.0.2.2 2010.01.03 -
PCTools 7.0.3.5 2010.01.03 -
Prevx 3.0 2010.01.03 -
Rising 22.28.03.04 2009.12.31 -
Sophos 4.49.0 2010.01.03 Sus/UnkPack-C
Sunbelt 3.2.1858.2 2010.01.02 -
TheHacker 6.5.0.3.129 2010.01.03 -
TrendMicro 9.120.0.1004 2010.01.03 -
VBA32 3.12.12.1 2010.01.01 -
ViRobot 2009.12.31.2118 2009.12.31 -
VirusBuster 5.0.21.0 2010.01.02 -
Additional information
File size: 767488 bytes
MD5...: b4e31a10d8545b583cefe4f5122871b8
SHA1..: 5274c04976279e987835cbd96b744bb0c76495c8