Zhelatin/Storm/Waledac Worm

[Malekal_morte]

Spam infectieux (Zhelatin/Storm Worm) est une infection très présente sur le WEB.
Cette infection est très bien pensée et pose de sérieux problèmes aux éditeurs de sécurité actuellement.
Elle utilise deux modes de propagation :

• Les sites WEB piégés via des iframes (voir Les Exploits sur les sites WEB piégés)
• Des emails de SPAM infectieux. Attention ce ne sont pas les emails avec des pièges jointes.

Si vous avez entendu parler des infections Blaster et Sasser dans le passé, c'est qu'elles ont su faire parler d'elles par leur rapidité d'infection.
Zhelatin/Storm Worm est une infection discrète qui agit dans l'ombre et bien plus difficile à tracer.

Pour la petite histoire, le nom Storm Worm vient du fait que la première campagne de mail infectieux portait sur la tempête qui a sévit en Europe en Janvier 2007, d'où le nom Storm Worm (tempête en anglais).

Infection par mail : Les ecard Zhelatin/Storm Worm

Plusieurs sujets sont éparpillés sur le forum concernant des mails de SPAM qui via du social engineering, tentent de faire télécharger aux internautes des fichiers infectieux.

Ceci confirme bien la tendance que les Vers de messageries ne sont plus vecteur 1er des infections

Le principe est extrêmement simple, le mail utilise le social engineering en proposant divers liens sous divers prétextes, l'internaute clic sur le lien et atterit sur un site WEB.
Soit le site WEB contient un exploit et infecte le PC de l'internaute à son insu.
Soit ce dernier fait télécharger un fichier, si l'internaute l'exécute l'infection s'installe.

Exemple concret, une campagne de fausse eCard pour la Saint Valentin.
Vous recevez un mail disant que vous avez reçu une eCard, vous cliquez sur le lien et atterissait sur une fausse page d'eCard ou un fichier .exe vous est proposé en téléchargement, vous l'exécutez, c'est l'infection.

Zhelatin/Storm Worm utilise beaucoup les évènements du calendrier pour leurs campagnes d'eCard, à tel point, qu'il est très facile de prévoir à l'avance quand une nouvelle campagne de SPAM Zhelatin/Storm Worm va avoir lieu.
Par exemple, des eCard pour Noël, Saint Valentin etc.
Néanmoins, les campagnes ont parfois d'autres objets : faux programmes de P2P, Spam pour des jeux etc.

Il est important de comprendre que :

• Le mail que vous recevez n'est pas infecté en soi et ne contient pas de pièce jointe, le scan par email de l'antivirus est donc inutile.
• C'est le fichier ou le site WEB qui est donné en lien qui est dangereux

Cette méthode à un double avantage, elle permet aux auteurs de malwares de mettre à jour les fichiers infectieux proposés en téléchargement, par exemple, via des méthodes automatiques (mise à jour toutes les 10 minutes, 15 minutes) etc.
Ceci peut donc poser quelques problèmes aux antivirus pour détecter toutes les variantes.
Encore une fois, la réactivité des antivirus est mise à l'épreuve.


Voici une liste non exhaustive des campagnes de mail infectieux Zhelatin/Storm Worm :

Cela a commencé en janvier où des mails profitant de la tempête qui a sévi en Europe ont commencé à voir le jour.
S'en est suivi régulièrement de nouvelles variantes :

• En Janvier, mail sur la tempête : viewtopic.php?f=12&t=2385&p=14453&hilit=storm#p14453
• En Juin, on a eu les spams pour les adresses .hk : ftopic3682.php
• Le 4 Juillet (fête nationale américaine) fausses Ecard : viewtopic.php?f=12&t=3903&p=26145&hilit=Ecard#p26145
  puis un faux patch de sécurité pour éradiquer une infection : viewtopic.php?f=12&t=3682&p=26626&hilit=patch#p26626
• Fin juillet des économiseurs d'écran piégés : viewtopic.php?f=12&t=4166&p=27905&hilit=storm#p27905
  puis des jeux flashs piégés avec fungame.zip : viewtopic.php?f=12&t=4196&p=28122&hilit=storm#p28122
• Début Aout : Célébrités nues : viewtopic.php?f=12&t=4280&p=28737&hilit=storm#p28737
• Mi Aoùt : Spam avec des game.zip, isit.exe/LGame.zip --> Trojan-Downloader.Win32.Agent.brk
• Spam msdataaccess.exe : viewtopic.php?f=12&t=4546&p=30734&hilit=storm#p30734
• 21 août : Changement de stratégie, faux mail d'inscription au service MP3 World : viewtopic.php?f=12&t=4575&p=31061&hilit=storm#p31061
• Septembre 2007 : spam avec des liens vers des sites web dit de jeux contenant des fichiers .exe infectieux, voir : http://www.f-secure.com/weblog/archives/00001277.html
• Octobre 2007 : Spam Super Laugh, site avec des images "mignones" : viewtopic.php?f=12&t=5518
• 17 Octobres 2007 : Spam pour Krackin , un faux client P2P : viewtopic.php?f=12&t=5595
• Fin Octobre 2007 : C'est Halloween ! SPAM : Halloween Day : viewtopic.php?f=12&t=5882
• Début Novembre 2007 : Spam pour Game.zip/KeyLogger.zip et Dancer.exe
  voir : http://www.cisrt.org/enblog/read.php?190 & http://www.cisrt.org/enblog/read.php?192
• Fin Décembre 2007 : Spam pour Mrs Santa Claus avec des images de mère noël "peu habillée" : http://www.secuser.com/alertes/2007/sto ... atinpd.htm
• Noel Décembre 2007 :
  http://www.prevx.com/blog/72/Storm-worm ... stmas.html
  http://www.prevx.com/blog/74/Storm-Worm ... round.html
• 15 Janvier - Storm Saint Valentin : http://asert.arbornetworks.com/2008/01/ ... day-theme/
• 12 février - : Autre carte pour la St Valentin Première fausse ecars Saint Valentin
• 4 mars : Ecard Spam
• 31 mars : Poisson d'Avril
• 3 juin : Fausses eCard d'amour
• 19 Juin : Fausses vidéos sur le tremblement de terre en Chine
• 01 juillet : fausses ecard d'amour - déjà exploité dans le passé.
• 4 Juillet : Mailling sur la fête de l'indépendance Américaine : http://www.bluetack.co.uk/forums/index. ... id=87917&#
• 9 Juillet : Fausses rumeurs envahissement de l'Iran par les USA.... : http://www.bluetack.co.uk/forums/index. ... opic=18151
• 22 juillet : Remplacement du dollar par l'Amero : http://www.bluetack.co.uk/forums/index. ... opic=18151
• 28 Juillet : FBI vs Facebook : http://www.bluetack.co.uk/forums/index. ... entry88434
• 05 Aout : Retour aux Ecards : http://www.bluetack.co.uk/forums/index. ... entry88577
• Fin Décembre 2008 : Waledac remplace Zhelatin/Storm Worm
• Fin Janvier/Début Février : Mailling Waledac exploitant la Saint Valentin

Site WEB piégés

NOTE : certains éléments sont repris de cette excellente page : http://marc-blanchard.com/blog/index.ph ... orm-botnet
Je ne saurais trop vous conseiller de prendre le temps de lire cette page.[/b]

L'infection Zhelatin/Storm ne se contente pas du SPAM par mail.
Zhelatin/Storm se propage aussi via des sites WEB piégés qui infectent des PC vulnérables lors des visites (voir la page Les Exploits sur les sites WEB piégés).
En général, les auteurs de malwares hackent la page d'index du site WEB pour rediriger les visiteurs vers l'infection.
Cela peut vous donner un autre d'idée des dégâts, si le site WEB en question compte plusieurs centaines de milliers de visiteurs par heure.
A noter que si certains sites WEB avec certains thèmes sont plus dangereux (pornographie, cracks), le fait que l'infection se propage via des sites WEB hackés peut donc entraîner l'infection d'internautes qui ne surfent pas sur certains sites dits "sensibles".

En outre, les auteurs de malwares créés de faux blogs, sites et autres avec des liens infectieux.
Ces blogs suivent l'actualité, afin que si un internaute effectue une recherche sur un évènement récent, ils tombent sur ces faux blogs et cliquent sur le lien infectieux pour infecter son PC.
Ces méthodes sont assez connus maintenant puisque par exemple, les auteurs des infections Zlob créés de faux forums/blogs pornographiques qui proposent le téléchargement des faux codecs à l'origine de l'infection.

Encore une fois, cette méthode permet de modifier de manière automatique et très régulièrement l'infection.
En outre, tous les sites WEB hackés ne pointent pas vers la même variante, et chaque visite d'une même page infectée peut donner une variante différente, tout ceci rend l'intégration de l'infection difficile par les antivirus et une nouvelle fois met à l'épreuve la réactivité des antivirus.


Une nouvelle génération de PC Zombis

Vous trouverez la définition de PC Zombis sur cette page : viewtopic.php?f=33&t=1020
Le réseau de PC Zombis contrôlé par le pirate se nomme : botnet.

En général, les PC Zombis se connectent sur un serveur (souvent IRC) afin d'être contrôlés par les pirates. Il y a donc deux manières de "libérer" le PC du contrôle du pirate, désinfecter le PC, empêcher la connexion au serveur de contrôle (soit via des restrictions réseaux, soit en faisant tomber le serveur central). L'avantage de faire tomber le serveur central est que cela fait tomber le contrôle du botnet instantanément aux pirates sans désinfecter les machines unes par unes.

Zhelatin/Storm Worm utilise une autre méthode, les PC Zombis ne se connectent pas à un serveur central mais se connectent les uns aux autres (principe du P2P), dès lors, il est impossible de faire tomber le botnet en faisant tomber le serveur central, puisqu'il n'y en a pas.

De plus, Zhelatin/Storm Worm cherche la discrétion afin de ne pas éveiller les soupçons :

• Zhelatin/Storm Worm utilise des technologies de rootkits afin de ne pas éveiller de soupçon chez l'utilisateur. Une fois installé, si l'antivirus est à jour pour détecter la nouvelle variante, il peut donc passer à côté.
• En général, lorsque vous êtes infectés le PC est ralenti. Le PC est ralenti car l'infection utilise toutes les ressources sytèmes (notition expliquée dans la page Comprendre pourquoi votre ordinateur est ralenti). Zhelatin/Storm Worm se contente d'utiliser seulement 40% des ressources systèmes afin de ne pas ralentir l'ordinateur, l'utilisateur de l'ordinateur ne verra donc aucun changement et ne soupçonnera pas que son PC est infecté.

Le botnet Zhelatin/Storm Worm est estimé en millions de machines pour effectuer les opérations pour lesquelles sont généralement destinées les machines Zombis (SPAM, attaque DoS etc.) afin de rémunérer les auteurs.

Cela donne aussi une formidable puissance de calcul aux pirates.. puisque :

Le plus redoutable est la puissance dégagée par ce type de botnet. Selon Marc Blanchard, 50 000 PC zombies équivalent à 10 % de la puissance d'un Cray XT, l'un des supercalculateur les plus puissants du monde après Blue Gene d'IBM. "Un million de PC zombie revient à 2 fois la puissance d'un Cray XT."

source : http://www.vnunet.fr/fr/news/2007/11/22 ... sky?page=1


Quelques liens sur le sujet :

• Blog de Marc-Blanchard A LIRE!! : http://marc-blanchard.com/blog/index.ph ... orm-botnet
• news vnunet.fr sur l'infection Zhelatin/Storm Worm : http://www.vnunet.fr/fr/news/2007/11/22 ... sky?page=1
• Fonctionnement de l'infection BISS (anglais) : http://www.bluetack.co.uk/forums/index. ... opic=18151
• Zhelatin/Storm Worm sur Wikipedia (anglais) : http://en.wikipedia.org/wiki/Storm_botnet

[Malekal_morte]

Un résume de l'ampleur de l'infection Zhelatin/Storm sur cette news issu de Kaspersky.
Plusieurs millions de PC infectés.....
Attention la news est en deux pages

--> http://www.vnunet.fr/fr/news/2007/11/22 ... sky?page=1

_____________

In 2007, over 50,000 variants of the Storm Trojan were identified by SophosLabs, and with the hackers spamming out new versions so regularly, it is imperative that all businesses ensure their spam and anti-malware solutions are proactively defended and up to the task of stopping both known and unknown malware before it can wreak havoc.

La suite : http://www.sophos.com/pressoffice/news/ ... ezone.html

[Malekal_morte]

Source : http://asert.arbornetworks.com/2008/01/ ... day-theme/


Toujours par mail...

Sujet des mails :

* A Toast My Love
* Your Love Has Opened
* Sending You My Love
A Dream is a Wish
A Kiss So Gentle
For You....My Love
Love Is...
Memories of You
Our Love Will Last

Une image avec un coeur et un lien WEB , si vous cliquez sur ce lien WEB, le fichier withlove.exe est proposé en téléchargement, si exécution, c'est l'infection.

[Malekal_morte]

In 2007, over 50,000 variants of the Storm Trojan were identified by SophosLabs, and with the hackers spamming out new versions so regularly, it is imperative that all businesses ensure their spam and anti-malware solutions are proactively defended and up to the task of stopping both known and unknown malware before it can wreak havoc.

La suite : http://www.sophos.com/pressoffice/news/ ... ezone.html

[Malekal_morte]

Spam Storm Poisson d'Avril : Poisson d'Avril

Sujet :
Gotcha! All Fool!
Join the Laugh-A-Lot!
Doh! April's Fool.
Happy April Fools Day!
Happy April Fools!
Happy Fools Day!
Today You Can Officially Act Foolish
Happy April Fool's Day.
All Fools' Day
I am a Fool for your Love
Happy All Fool's Day.
Gotcha!
Wise Men Have Learned More from Fools...
Happy All Fools Day!
Doh! All's Fool.
Surprise! The joke's on you.
One who is sportively imposed upon by others on the first day of April
Gotcha! April Fool!
Happy All Fools!
Today's Joke!
April Fools' Day
Surprise!

[Malekal_morte]

F-Secure rapporte que plusieurs Zhelatin/Storm Worm ont été recencés : blogs http://www.f-secure.com/weblog/archives/00001415.html

Ces blogs redirigent vers une page avec un coeur et le mot "love", le site propose alors deux fichiers love.exe ou withlove.exe qui installent l'infection.

[Malekal_morte]

Storm utilise maintenant des vidéos pour se propager.
Certains sites reprenant le style de youtube proposent des vidéos... cependant, pour visualiser des vidéos vous devez installer le Storm Codec qui n'est que le "programme d'installation" de l'infection.

Ce principe est déjà utilisé par les infections Zlob pour se répandre, voir la page sur les faux codecs : viewtopic.php?f=33&t=878

Plus d'infos sur le Storm Codec : http://blog.trendmicro.com/storm-now-on-video/

[Malekal_morte]

Toujours le même principe.. un mail qui renvoit vers un site qui propose le téléchargement de fichiers infectieux.
Le site contient cette fois-ci un exploit.

Toujours en exploitant le social engineering, ce mailling propose de fausses Ecard d'amour. Thématique déjà exploitée en début de mois.

La bannière de publicité en haut est fausse, le lien pointe vers un fichier winner.exe
Le lien de proposition pour la fausse ecard pointe vers un fichier mylove.exe

Complete scanning result of "mylove.exe", processed in VirusTotal at 07/01/2008 21:08:24 (CET).

[ file data ]
* name..: mylove.exe
* size..: 119296
* md5...: 79ce46be7776b2702e9e666a341b147a
* sha1..: 1f206ec4404929fb456f91f378cd7a2ac16f2a9e
* peid..: -

[ scan result ]
AhnLab-V3 2008.7.2.0/20080701 found nothing
AntiVir 7.8.0.59/20080701 found [Worm/Zhelatin.zf]
Authentium 5.1.0.4/20080701 found nothing
Avast 4.8.1195.0/20080630 found nothing
AVG 7.5.0.516/20080701 found nothing
BitDefender 7.2/20080701 found nothing
CAT-QuickHeal 9.50/20080630 found nothing
ClamAV 0.93.1/20080701 found nothing
DrWeb 4.44.0.09170/20080701 found nothing
eSafe 7.0.17.0/20080701 found [Suspicious File]
eTrust-Vet 31.6.5917/20080701 found nothing
Ewido 4.0/20080701 found nothing
F-Prot 4.4.4.56/20080701 found nothing
F-Secure 7.60.13501.0/20080701 found nothing
Fortinet 3.14.0.0/20080701 found nothing
GData 2.0.7306.1023/20080701 found nothing
Ikarus T3.1.1.26.0/20080701 found nothing
Kaspersky 7.0.0.125/20080701 found nothing
McAfee 5329/20080701 found nothing
Microsoft 1.3704/20080701 found nothing
NOD32v2 3232/20080701 found nothing
Norman 5.80.02/20080701 found nothing
Panda 9.0.0.4/20080701 found [Suspicious file]
Prevx1 V2/20080701 found nothing
Rising 20.51.12.00/20080701 found nothing
Sophos 4.30.0/20080701 found nothing
Sunbelt 3.1.1509.1/20080701 found nothing
Symantec 10/20080701 found nothing
TheHacker 6.2.96.365/20080701 found nothing
TrendMicro 8.700.0.1004/20080701 found nothing
VBA32 3.12.6.8/20080701 found nothing
VirusBuster 4.5.11.0/20080701 found nothing
Webwasher-Gateway 6.6.2/20080701 found [Worm.Zhelatin.zf]

Complete scanning result of "winner.exe", processed in VirusTotal at 07/01/2008 21:30:42 (CET).

[ file data ]
* name: winner.exe
* size: 119296
* md5.: 53fbdbbacc5d5583dd10847d11452ff0
* sha1: 018dd2806f93da1fd9d27cff47c2e723dbc253c9
* peid..: -

[ scan result ]
AhnLab-V3 2008.7.2.0/20080701 found nothing
AntiVir 7.8.0.59/20080701 found [Worm/Zhelatin.zf]
Authentium 5.1.0.4/20080701 found nothing
Avast 4.8.1195.0/20080630 found nothing
AVG 7.5.0.516/20080701 found nothing
BitDefender 7.2/20080701 found [Trojan.Peed.JLV]
CAT-QuickHeal 9.50/20080630 found nothing
ClamAV 0.93.1/20080701 found nothing
DrWeb 4.44.0.09170/20080701 found [Trojan.Packed.555]
eSafe 7.0.17.0/20080629 found [Suspicious File]
eTrust-Vet 31.6.5917/20080701 found nothing
Ewido 4.0/20080701 found nothing
F-Prot 4.4.4.56/20080701 found nothing
F-Secure 7.60.13501.0/20080701 found nothing
Fortinet 3.14.0.0/20080701 found nothing
GData 2.0.7306.1023/20080701 found [Email-Worm.Win32.Zhelatin.add]
Ikarus T3.1.1.26/20080701 found [Email-Worm.Win32.Zhelatin.zy]
Kaspersky 7.0.0.125/20080701 found [Email-Worm.Win32.Zhelatin.add]
McAfee 5329/20080701 found nothing
Microsoft 1.3704/20080701 found nothing
NOD32v2 3232/20080701 found [Win32/Nuwar.DC]
Norman 5.80.02/20080701 found nothing
Panda 9.0.0.4/20080701 found nothing
Prevx1 V2/20080701 found nothing
Rising 20.51.12.00/20080701 found nothing
Sophos 4.30.0/20080701 found nothing
Sunbelt 3.1.1509.1/20080701 found nothing
Symantec 10/20080701 found nothing
TheHacker 6.2.96.365/20080701 found nothing
TrendMicro 8.700.0.1004/20080701 found nothing
VBA32 3.12.6.8/20080701 found nothing
VirusBuster 4.5.11.0/20080701 found nothing
Webwasher-Gateway 6.6.2/20080701 found [Worm.Zhelatin.zf]

[Malekal_morte]

Nouveau mailling Storm Worm sur le thème de l'indépendance des Etats-Unis (le 4 juillet)
Pour plus d'informations, se reporter au topic B.I.S.S : http://www.bluetack.co.uk/forums/index. ... opid=87917&#

[Malekal_morte]

Nouveau mailling, les US auraient envahi l'Iran, c'est le début de la troisième guerre mondiale....
Une vidéo, bien sûr, pour suivre les premiers évènements... qui n'est en fait qu'un exécutable pour installer Storm.

La bannière en haut est aussi fausse et renvoit vers un autre exécutable.


Plus d'informations : http://www.bluetack.co.uk/forums/index. ... opic=18151

[Malekal_morte]

Nouveau mailling Storm avec comme sujet FBI VS Facebook :



Plus d'infos techniques : http://www.bluetack.co.uk/forums/index. ... entry88434

[Malekal_morte]

Retour au Ecard avec rootkit.
Exemple de mail :

Your flatmate has sent you an Ecard from AudioPostcardMail.com.

To Enjoy your Ecard, click on the link found here.

hxxp://AudioPostcardMail.com/?6ec290b516c3

(c) 2005-2008 AudioPostcardMail.com.

voir plus d'infos techniques : http://www.bluetack.co.uk/forums/index. ... entry88577

[Malekal_morte]

Storm ne semble plus très actif, une campagne de mail à noel aurait dû avoir lieu.

Cependant un nouveau botnet se propageant par des campagnes de mails (fausses ecard) a des similitudes avec Storm aussi au niveau du fonctionnement.
Le trojan a l'origine du botnet répond sous le nom de Waledac

Voir article (en anglais) : http://www.shadowserver.org/wiki/pmwiki ... r.20081231

Quelques liens infectieux via des exploits sur site WEB.

Code : Tout sélectionner

1231906075.251    391 192.168.1.120 TCP_MISS/200 7311 GET http://seocom.name/seogo/go.xmn?e=13 - DIRECT/74.200.71.22 application/octet-stream

Code : Tout sélectionner

232055165.941    305 192.168.1.63 TCP_MISS/200 22850 GET http://doheth.co.uk/designs/load.php?id=10149&spl=7 - DIRECT/77.74.198.15 application/octet-stream

La détection de Waledac par les antivirus :

Fichier load.php_id_10149 reçu le 2009.01.15 20:38:52 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 14/39 (35.9%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.73 2009.01.15 -
AhnLab-V3 2009.1.15.0 2009.01.15 -
AntiVir 7.9.0.54 2009.01.15 TR/Inject.njh
Authentium 5.1.0.4 2009.01.15 -
Avast 4.8.1281.0 2009.01.15 -
AVG 8.0.0.229 2009.01.15 Win32/Cryptor
BitDefender 7.2 2009.01.15 Trojan.Waledac.Gen.1
CAT-QuickHeal 10.00 2009.01.15 Trojan.Inject.njh
ClamAV 0.94.1 2009.01.15 -
Comodo 932 2009.01.15 -
DrWeb 4.44.0.09170 2009.01.15 -
eSafe 7.0.17.0 2009.01.15 -
eTrust-Vet 31.6.6309 2009.01.15 -
F-Prot 4.4.4.56 2009.01.15 -
F-Secure 8.0.14470.0 2009.01.15 -
Fortinet 3.117.0.0 2009.01.15 -
GData 19 2009.01.15 Trojan.Waledac.Gen.1
Ikarus T3.1.1.45.0 2009.01.15 -
K7AntiVirus 7.10.584 2009.01.09 -
Kaspersky 7.0.0.125 2009.01.15 Trojan.Win32.Inject.njh
McAfee 5496 2009.01.15 W32/Waledac.gen.a
McAfee+Artemis 5496 2009.01.15 W32/Waledac.gen.a
Microsoft 1.4205 2009.01.15 TrojanDownloader:Win32/Bredolab.B
NOD32 3769 2009.01.15 a variant of Win32/Kryptik.EO
Norman 5.93.01 2009.01.15 -
nProtect 2009.1.8.0 2009.01.15 Trojan.Waledac.Gen.1
Panda 9.5.1.2 2009.01.15 Trj/Inject.K
PCTools 4.4.2.0 2009.01.15 -
Prevx1 V2 2009.01.15 -
Rising 21.12.32.00 2009.01.15 -
SecureWeb-Gateway 6.7.6 2009.01.15 Trojan.Inject.njh
Sophos 4.37.0 2009.01.15 Mal/Generic-A
Sunbelt 3.2.1831.2 2009.01.09 -
Symantec 10 2009.01.15 -
TheHacker 6.3.1.4.220 2009.01.14 -
TrendMicro 8.700.0.1004 2009.01.15 -
VBA32 3.12.8.10 2009.01.14 -
ViRobot 2009.1.15.1560 2009.01.15 -
VirusBuster 4.5.11.0 2009.01.15 -
Information additionnelle
File size: 22528 bytes
MD5...: 83dea10ab4e7a6c55574908db314ac95
SHA1..: c2b0ce0600f3f191f94c8b5a04bdfc36e4d7ff3a

[Malekal_morte]

Le malware est maintenant propagé via des sites WEB sur la saint Valentin, technique de propagation déjà utilisé par Storm dans le passé.

Les adresses des sites WEB
hxxp://goodnewsdigital.com
hxxp://www.worldnewsdot.com
hxxp://goodnewsreview.com
hxxp://worldnewseye.com
hxxp://www.wapcitynews.com
hxxp://www.spacemynews.com
hxxp://www.worldtracknews.com
hxxp://linkworldnews.com




En cliquant sur l'image.... un fichier sous les noms you.exe, meandyou.exe ou onlyyou.exe est proposé en téléchargement.

Les sites contiennent des exploits qui peuvent installer le malware automatiquement.

Code : Tout sélectionner

1232725160.938   2190 192.168.1.120 TCP_MISS/200 572 GET http://www.wapcitynews.com/ - DIRECT/210.113.20.245 text/html
1232725162.278   1020 192.168.1.120 TCP_MISS/200 1707 GET http://www.wapcitynews.com/google-analysis.js - DIRECT/210.113.20.245 application/x-javascript
1232725162.714    307 192.168.1.120 TCP_MISS/200 1454 GET http://googl-status.com/jobs/direct.php?eb0h - DIRECT/74.200.80.10 text/html
1232725163.579    851 192.168.1.120 TCP_MISS/200 154167 GET http://googl-status.com/jobs/direct.php?c42d4370e3ba2705ccea5b55466b1194n76697700n65623068000000000000 - DIRECT/74.200.80.10 text/html
1232725165.022    383 192.168.1.120 TCP_MISS/200 7311 GET http://googl-status.com/jobs/direct.php?e=13 - DIRECT/74.200.80.10 application/octet-stream

Fichier direct.php_e_13 reçu le 2009.01.23 14:28:12 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 13/39 (33.34%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.73 2009.01.23 -
AhnLab-V3 5.0.0.2 2009.01.23 -
AntiVir 7.9.0.60 2009.01.23 TR/Dldr.Small.jbm
Authentium 5.1.0.4 2009.01.22 W32/Heuristic-210!Eldorado
Avast 4.8.1281.0 2009.01.22 -
AVG 8.0.0.229 2009.01.23 -
BitDefender 7.2 2009.01.23 -
CAT-QuickHeal 10.00 2009.01.23 Win32.TrojanDropper.Agent.UM.2
ClamAV 0.94.1 2009.01.23 -
Comodo 943 2009.01.23 -
DrWeb 4.44.0.09170 2009.01.23 -
eSafe 7.0.17.0 2009.01.22 Suspicious File
eTrust-Vet 31.6.6323 2009.01.23 -
F-Prot 4.4.4.56 2009.01.22 W32/Heuristic-210!Eldorado
F-Secure 8.0.14470.0 2009.01.23 -
Fortinet 3.117.0.0 2009.01.23 -
GData 19 2009.01.23 -
Ikarus T3.1.1.45.0 2009.01.23 -
K7AntiVirus 7.10.601 2009.01.22 -
Kaspersky 7.0.0.125 2009.01.23 -
McAfee 5503 2009.01.22 -
McAfee+Artemis 5503 2009.01.22 -
Microsoft 1.4205 2009.01.23 TrojanDownloader:Win32/Small.IV
NOD32 3792 2009.01.23 -
Norman 5.93.01 2009.01.23 -
nProtect 2009.1.8.0 2009.01.23 Gen:Trojan.Heur.23
Panda 9.5.1.2 2009.01.23 -
PCTools 4.4.2.0 2009.01.23 -
Prevx1 V2 2009.01.23 Malicious Software
Rising 21.13.41.00 2009.01.23 -
SecureWeb-Gateway 6.7.6 2009.01.23 Trojan.Dldr.Small.jbm
Sophos 4.37.0 2009.01.23 Mal/Packer
Sunbelt 3.2.1835.2 2009.01.16 Trojan.Win32.Packed.gen (v)
Symantec 10 2009.01.23 -
TheHacker 6.3.1.5.226 2009.01.22 W32/Bagle.gen@MM
TrendMicro 8.700.0.1004 2009.01.23 PAK_Generic.001
VBA32 3.12.8.11 2009.01.22 -
ViRobot 2009.1.23.1576 2009.01.23 -
VirusBuster 4.5.11.0 2009.01.22 -
Information additionnelle
File size: 6783 bytes
MD5...: 21a520cd699dd7ef8f3687177efcc003
SHA1..: 4073611a7f6628f7302be3a5c515f8467a1ebca2

[Malekal_morte]

Derniers détails sur les mailling infectieuses Storm/Waledac.
La boucle étant bouclée avec un an d'informations sur les mailling, cette année seront encore exploités les mêmes ficelles, aucun intérêt des les énumérer à nouveau.
Le but étant de donner des exemples et comprendre sur quels types de pièges reposent ces infections.


~~~


Nouveau mailling avec de faux sites sur la Saint Valentin.

Le site propose un outils pour créer des ecard "Valentine DevKit" et "Download DevKit".
Une fois le fichier exécuté... l'infection s'installe sur le système.

En outre les sites peuvent contenir des exploits afin d'installer le malware automatiquement sur le système.