Une nouvelle infection se propage depuis quelques jours via des commentaires sur FaceBook et MySpace (possible que les premières infections datent d'un peu avant le 20 septembre).
Les messages sont très diversifiés et contiennent à chaque fois un lien... Ces messages sont postés automatiquement par le ver.
Encore une fois, faire attention aux liens dans les commentaires sur les forums, sites de vidéos, MySpace etc.
Le lien propose une vidéo à télécharger
seulement une erreur de version de Flash s'affiche (Your version of Flash Player is out of date) et vous devez télécharger un nouveau codec pour visualiser la dite vidéo.
Le fichier proposé est flash_update.exe et est bien sûr la source de l'infection, une fois exécuté, vous obtenez une popup avec le message "Error installing Codec. Please contact support", l'infection s'installe alors sure système.
Bref du social engineering reprenant le principe des Faux codec : Zlob/VideoAccess/Trojan.Win32.DNSChanger
exemple avec les liens suivants :
Code : Tout sélectionner
1224095479.222 1462 192.168.1.63 TCP_MISS/200 19315 GET http://www.tehnomaxdata.com/YczpgK/flash_update.exe - DIRECT/203.22.204.47 application/octet-stream
1224095474.762 941 192.168.1.63 TCP_MISS/200 17125 GET http://www.tehnomaxdata.com/YczpgK/ - DIRECT/203.22.204.47 text/html
1224095475.289 1601 192.168.1.63 TCP_MISS/200 48804 GET http://www.tehnomaxdata.com/YczpgK/player.swf?pid=6123 - DIRECT/203.22.204.47 application/x-shockwave-flash
1224095476.029 741 192.168.1.63 TCP_MISS/200 5770 GET http://www.tehnomaxdata.com/YczpgK/tom.jpg - DIRECT/203.22.204.47 image/jpeg
1224095479.222 1462 192.168.1.63 TCP_MISS/200 19315 GET http://www.tehnomaxdata.com/YczpgK/flash_update.exe - DIRECT/203.22.204.47 application/octet-stream
1224095545.379 637 192.168.1.63 TCP_MISS/200 360 POST http://a13092008.com/fb/first.php - DIRECT/213.133.100.5 text/html
1224095547.804 1392 192.168.1.63 TCP_MISS/200 19834 GET http://www.ameanz.com/youtube/msnstart4.exe - DIRECT/203.22.204.160 application/octet-stream
1224095584.029 889 192.168.1.63 TCP_MISS/200 16762 GET http://www.ameanz.com/youtube/tinyproxy.exe - DIRECT/203.22.204.160 application/octet-stream
1224095646.283 179 192.168.1.63 TCP_MISS/200 340 GET http://a13092008.com/mesenger/res.php?v=4&c=-1&o=0&hs=0 - DIRECT/213.133.100.5 text/html
Windows messenger (C:\Program Files\Messenger\msmsgs.exe) démarre et charge cette DLL.
La DLL semble capable d'effectuer des connexions vers hxxp://a1309D08.com/meyngn.php
Le malware installe aussi un proxy (TinyProxy) et ajoute les lignes suivantes sur HijackThis :
Pour la petite histoire, le proxy utilise un nom de service légitime, ce qui peux poser souci lors des désinfections via forum.R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8181
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O23 - Service: Logical Disk Manager (dmserver) - Unknown owner - C:\Program Files\TinyProxy\TinyProxy.exe
Lire le post du blog de miekiemoes : http://feeds.feedburner.com/~r/Miekiemo ... usion.html
Détection des fichiers :
La variante mentionnée n'est pas récente... la détection est plutôt excellente (~ 40%).
Néanmoins, d'autres variantes sont en liberté.... %WinDir%\kenny**.exe étant remplacé par un autre nom...
Exemple avec Net-Worm.Win32.Koobface.bm et c:\windows\bolivar19.exe : http://www.f-secure.com/v-descs/net-wor ... e_bm.shtml
%Windows%\fbtre8.exe etc... : http://www.trendmicro.com/vinfo/virusen ... EE&VSect=T
Fichier tinyproxy.exe reçu le 2008.10.15 19:05:15 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 15/36 (41.67%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.16.0 2008.10.15 -
AntiVir 7.9.0.4 2008.10.15 TR/Dropper.Gen
Authentium 5.1.0.4 2008.10.15 W32/NewMalware-Rootkit-PX-based!Maximus
Avast 4.8.1248.0 2008.10.15 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.10.15 BackDoor.Generic10.OYZ
BitDefender 7.2 2008.10.15 -
CAT-QuickHeal 9.50 2008.10.14 -
ClamAV 0.93.1 2008.10.15 -
DrWeb 4.44.0.09170 2008.10.15 Trojan.Corruptor.origin
eSafe 7.0.17.0 2008.10.15 Suspicious File
eTrust-Vet 31.6.6149 2008.10.15 -
Ewido 4.0 2008.10.15 -
F-Prot 4.4.4.56 2008.10.14 W32/NewMalware-Rootkit-PX-based!Maximus
F-Secure 8.0.14332.0 2008.10.15 Suspicious:W32/Malware!Gemini
Fortinet 3.113.0.0 2008.10.15 -
GData 19 2008.10.15 Win32:Trojan-gen {Other}
Ikarus T3.1.1.34.0 2008.10.15 -
K7AntiVirus 7.10.496 2008.10.15 -
Kaspersky 7.0.0.125 2008.10.15 -
McAfee 5405 2008.10.14 Generic BackDoor.m
Microsoft 1.4005 2008.10.15 -
NOD32 3524 2008.10.15 -
Norman 5.80.02 2008.10.15 -
Panda 9.0.0.4 2008.10.15 Suspicious file
PCTools 4.4.2.0 2008.10.15 -
Prevx1 V2 2008.10.15 Malicious Software
Rising 20.66.22.00 2008.10.15 -
SecureWeb-Gateway 6.7.6 2008.10.15 Trojan.Dropper.Gen
Sophos 4.34.0 2008.10.15 Mal/Behav-214
Sunbelt 3.1.1725.1 2008.10.15 -
Symantec 10 2008.10.15 -
TheHacker 6.3.1.0.112 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.15 PAK_Generic.001
VBA32 3.12.8.6 2008.10.14 -
ViRobot 2008.10.15.1421 2008.10.15 -
VirusBuster 4.5.11.0 2008.10.15 -
Information additionnelle
File size: 16384 bytes
MD5...: 7b458d170220ae9c87e4250c387929f0
SHA1..: 340018bffd9b73a6eab8c6358dea349dd50d31a2
Les pages des exploits contiennent aussi de fausses pages Facebook qui propose l'installation de l'infection :Fichier msnstart4.exe reçu le 2008.10.15 19:05:28 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 13/36 (36.12%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.16.0 2008.10.15 -
AntiVir 7.9.0.4 2008.10.15 TR/Crypt.PEPM.Gen
Authentium 5.1.0.4 2008.10.15 W32/Injector.A.gen!Eldorado
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.15 -
BitDefender 7.2 2008.10.15 -
CAT-QuickHeal 9.50 2008.10.14 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.10.15 -
DrWeb 4.44.0.09170 2008.10.15 -
eSafe 7.0.17.0 2008.10.15 Suspicious File
eTrust-Vet 31.6.6149 2008.10.15 -
Ewido 4.0 2008.10.15 -
F-Prot 4.4.4.56 2008.10.14 W32/Injector.A.gen!Eldorado
F-Secure 8.0.14332.0 2008.10.15 W32/P2PWorm
Fortinet 3.113.0.0 2008.10.15 -
GData 19 2008.10.15 -
Ikarus T3.1.1.34.0 2008.10.15 Trojan-Downloader.Win32.Nonaco.H
K7AntiVirus 7.10.496 2008.10.15 -
Kaspersky 7.0.0.125 2008.10.15 -
McAfee 5405 2008.10.14 -
Microsoft 1.4005 2008.10.15 -
NOD32 3524 2008.10.15 -
Norman 5.80.02 2008.10.15 W32/P2PWorm
Panda 9.0.0.4 2008.10.15 Suspicious file
PCTools 4.4.2.0 2008.10.15 -
Prevx1 V2 2008.10.15 Malicious Software
Rising 20.66.22.00 2008.10.15 -
SecureWeb-Gateway 6.7.6 2008.10.15 Trojan.Crypt.PEPM.Gen
Sophos 4.34.0 2008.10.15 Mal/Behav-214
Sunbelt 3.1.1725.1 2008.10.15 -
Symantec 10 2008.10.15 -
TheHacker 6.3.1.0.112 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.15 PAK_Generic.001
VBA32 3.12.8.6 2008.10.14 -
ViRobot 2008.10.15.1421 2008.10.15 -
VirusBuster 4.5.11.0 2008.10.15 -
Information additionnelle
File size: 19456 bytes
MD5...: 4a92185ebc4fd6363c7113384dd3e45a
SHA1..: d007739a50d54058bcf56c4fff144245cd8b9184
Février 2010
Dropper initial :
MD5 : 03e2de352f02c82a0cd73bec1c09b2d7
Date : 2009.12.20 18:26:35 (UTC)
Results : 6/41
Virus Names : W32.Koobface!gen1 TrojWare.Win32.Trojan.Agent.Gen Win32.HLLW.Facebook.358
Permalink : http://www.virustotal.com/analisis/4731 ... 1261333595
The results for index.html?getexe=loader.exe are :
Prevx 3.0 2009.12.20 Medium Risk Malware
Fortinet 4.0.14.0 2009.12.20 W32/Koobface.CSI!worm
PCTools 7.0.3.5 2009.12.20 Net-Worm.Koobface
DrWeb 5.0.0.12182 2009.12.20 Win32.HLLW.Facebook.358
Comodo 3310 2009.12.20 TrojWare.Win32.Trojan.Agent.Gen
Symantec 1.4.4.12 2009.12.20 W32.Koobface!gen1
qui va chercher du monde
Code : Tout sélectionner
1261341916.440 1049 192.168.1.26 TCP_MISS/200 101369 GET http://nippontrading.se/.sys/?getexe=go.exe - DIRECT/91.201.63.143 application/octet-stream
1261341917.073 633 192.168.1.26 TCP_MISS/200 57851 GET http://nippontrading.se/.sys/?getexe=fb.79.exe - DIRECT/91.201.63.143 application/octet-stream
1261341924.668 7274 192.168.1.26 TCP_MISS/200 84475 GET http://nippontrading.se/.sys/?getexe=be.20.exe - DIRECT/91.201.63.143 application/octet-stream
1261341925.593 466 192.168.1.26 TCP_MISS/200 55803 GET http://nippontrading.se/.sys/?getexe=ms.26.exe - DIRECT/91.201.63.143 application/octet-stream
1261341926.945 438 192.168.1.26 TCP_MISS/200 31227 GET http://nippontrading.se/.sys/?getexe=hi.15.exe - DIRECT/91.201.63.143 application/octet-stream
1261341929.523 1192 192.168.1.26 TCP_MISS/200 46075 GET http://nippontrading.se/.sys/?getexe=tg.16.exe - DIRECT/91.201.63.143 application/octet-stream
1261341934.468 3470 192.168.1.26 TCP_MISS/200 47099 GET http://nippontrading.se/.sys/?getexe=tw.07.exe - DIRECT/91.201.63.143 application/octet-stream
1261341936.825 397 192.168.1.26 TCP_MISS/200 22015 GET http://nippontrading.se/.sys/?getexe=v2captcha.exe - DIRECT/91.201.63.143 application/octet-stream
1261341938.302 378 192.168.1.26 TCP_MISS/200 6658 GET http://nippontrading.se/.sys/?getexe=v2googlecheck.exe - DIRECT/91.201.63.143 application/octet-stream
Code : Tout sélectionner
1261342100.816 2313 192.168.1.26 TCP_MISS/200 101362 GET http://themedallion.net/.sys/?getexe=go.exe - DIRECT/72.9.235.98 application/octet-stream
1261342103.618 1728 192.168.1.26 TCP_MISS/200 57844 GET http://themedallion.net/.sys/?getexe=fb.79.exe - DIRECT/72.9.235.98 application/octet-stream
1261342107.668 3760 192.168.1.26 TCP_MISS/200 84468 GET http://themedallion.net/.sys/?getexe=be.20.exe - DIRECT/72.9.235.98 application/octet-stream
1261342109.771 1870 192.168.1.26 TCP_MISS/200 55796 GET http://themedallion.net/.sys/?getexe=ms.26.exe - DIRECT/72.9.235.98 application/octet-stream
1261342112.593 2275 192.168.1.26 TCP_MISS/200 31220 GET http://themedallion.net/.sys/?getexe=hi.15.exe - DIRECT/72.9.235.98 application/octet-stream
1261342115.915 2132 192.168.1.26 TCP_MISS/200 46068 GET http://themedallion.net/.sys/?getexe=tg.16.exe - DIRECT/72.9.235.98 application/octet-stream
1261342118.159 1775 192.168.1.26 TCP_MISS/200 47092 GET http://themedallion.net/.sys/?getexe=tw.07.exe - DIRECT/72.9.235.98 application/octet-stream
1261342119.561 1242 192.168.1.26 TCP_MISS/200 22008 GET http://themedallion.net/.sys/?getexe=v2captcha.exe - DIRECT/72.9.235.98 application/octet-stream
Code : Tout sélectionner
1261342265.835 1664 192.168.1.26 TCP_MISS/200 22036 GET http://drive.dubaigatehost.com/.sys/?getexe=v2captcha.exe - DIRECT/69.175.58.122 application/octet-stream
1261342267.064 952 192.168.1.26 TCP_MISS/200 6679 GET http://drive.dubaigatehost.com/.sys/?getexe=v2googlecheck.exe - DIRECT/69.175.58.122 application/octet-stream
Les détections sont meilleurs.
Les fichiers ajoutés :
Les lignes HiJackThis visibles :c:\Program Files\captcha.dll
Date: 12/20/2009 10:33 AM
Size: 17 408 bytes
c:\WINDOWS\010112010146111103.xxe
Date: 12/20/2009 10:33 AM
Size: 2 bytes
c:\WINDOWS\0101120101464850.xxe
Date: 12/20/2009 10:33 AM
Size: 2 bytes
c:\WINDOWS\0101120101465349.xxe
Date: 12/20/2009 10:33 AM
Size: 2 bytes
c:\WINDOWS\0101120101465449.xxe
Date: 12/20/2009 10:33 AM
Size: 2 bytes
c:\WINDOWS\0101120101465450.xxe
Date: 12/20/2009 10:33 AM
Size: 2 bytes
c:\WINDOWS\0101120101465548.xxe
Date: 12/20/2009 10:33 AM
Size: 2 bytes
c:\WINDOWS\0101120101465755.xxe
Date: 12/20/2009 10:33 AM
Size: 2 bytes
c:\WINDOWS\bk23567.dat
Date: 12/20/2009 10:33 AM
Size: 1 bytes
c:\WINDOWS\bx4657.dat
Date: 12/20/2009 10:33 AM
Size: 1 bytes
c:\WINDOWS\freddy79.exe
Date: 12/20/2009 10:33 AM
Size: 57 344 bytes
c:\WINDOWS\hpm2.dat
Date: 12/20/2009 10:33 AM
Size: 1 bytes
c:\WINDOWS\ld16.exe
Date: 12/20/2009 10:33 AM
Size: 39 424 bytes
c:\WINDOWS\mmsmark3.dat
Date: 12/20/2009 10:33 AM
Size: 1 bytes
c:\WINDOWS\rdr_1261334018.exe
Date: 12/20/2009 10:33 AM
Size: 6 144 bytes
c:\WINDOWS\sber20.exe
Date: 12/20/2009 10:33 AM
Size: 83 968 bytes
c:\WINDOWS\tag16.exe
Date: 12/20/2009 10:33 AM
Size: 45 568 bytes
c:\WINDOWS\tgm2.dat
Date: 12/20/2009 10:33 AM
Size: 1 bytes
c:\WINDOWS\tw23567.dat
Date: 12/20/2009 10:33 AM
Size: 1 bytes
c:\WINDOWS\twitty07.exe
Date: 12/20/2009 10:33 AM
Size: 46 592 bytes
A chaque démarrage de l'ordinateur, une fenêtre bleu s'ouvre "enter both words below", l'utilisateur doit remplir un captcha afin de pouvoir utiliser son ordinateur.O4 - HKLM\..\Run: [sysldtray] c:\windows\ld16.exe
O4 - HKLM\..\Run: [sysfbtray] c:\windows\freddy79.exe
O4 - HKLM\..\Run: [Captcha7] rundll "C:\Program Files\captcha.dll",captcha
Les auteurs de malwares récupèrent alors les informations afin de pouvoir par la suite cracker ce captcha.
Mars 2010
Un peu de changement...
Code : Tout sélectionner
1268582763.447 1127 192.168.1.27 TCP_MISS/200 15808 GET http://win4u.co.il/.sys/?getexe=v2webserver.exe - DIRECT/80.179.155.151 application/octet-stream
1268582810.672 1392 192.168.1.27 TCP_MISS/200 25024 GET http://win4u.co.il/.sys/?getexe=v2captcha21.exe - DIRECT/80.179.155.151 application/octet-stream
1268582827.333 2170 192.168.1.27 TCP_MISS/200 101816 GET http://win4u.co.il/.sys/?getexe=go.exe - DIRECT/80.179.155.151 application/octet-stream
1268582866.033 990 192.168.1.27 TCP_MISS/200 235 POST http://xtsd20090815.com/adm/index.php - DIRECT/61.235.117.83 text/html
1268582866.705 861 192.168.1.27 TCP_MISS/200 437 POST http://rwcotton.biz/.sys/?action=fbgen&v=103&crc=669 - DIRECT/12.68.140.207 text/html
1268582867.378 648 192.168.1.27 TCP_MISS/200 528 GET http://rwcotton.biz/.sys/?action=fbgen&mode=s&age=22&a=1080276621&v=103&c_fb=0&c_ms=0&ie=6.0.2900.2180 - DIRECT/12.68.140.207 text/html
1268582867.933 477 192.168.1.27 TCP_MISS/200 2065 GET http://lite.facebook.com/p/ - DIRECT/69.63.189.13 text/html
1268582913.832 267 192.168.1.27 TCP_MISS/200 3696 GET http://lite.facebook.com/ - DIRECT/69.63.189.13 text/html
1268583019.747 351 192.168.1.27 TCP_MISS/404 1882 POST http://www.weatherserve.net/.sys/?action=fbgen&v=103&crc=669 - DIRECT/67.228.172.99 text/html
1268583020.360 332 192.168.1.27 TCP_MISS/200 438 POST http://reishus.de/.sys/?action=fbgen&v=103&crc=669 - DIRECT/212.12.112.25 text/html
1268583020.839 259 192.168.1.27 TCP_MISS/200 650 GET http://reishus.de/.sys/?action=ldgen&a=1080276621&v=103&c_fb=1&c_ms=0&ie=6.0.2900.2180 - DIRECT/212.12.112.25 text/html
1268583024.263 2702 192.168.1.27 TCP_MISS/200 221609 GET http://bc-wny.com/.sys/?getexe=p.exe - DIRECT/65.39.133.25 application/octet-stream
268583049.327 181227 192.168.1.27 TCP_MISS/504 1447 GET http://b.static.ak.fbcdn.net/rsrc.php/z19B4/hash/bif6ml3o.js - DIRECT/81.52.160.35 text/html
webserver est le proxy pour récupérer les mots de passe et autres informations.O4 - HKLM\..\Run: [sysfbtray] c:\windows\bill103.exe
O23 - Service: webserver - Unknown owner - C:\Program Files\webserver\webserver.exe
File 462215 received on 2010.03.13 14:07:04 (UTC)
Current status: finished
Result: 27/42 (64.29%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.03.13 -
AhnLab-V3 5.0.0.2 2010.03.12 -
AntiVir 8.2.1.180 2010.03.12 BDS/Backdoor.Gen
Antiy-AVL 2.0.3.7 2010.03.12 -
Authentium 5.2.0.5 2010.03.13 -
Avast 4.8.1351.0 2010.03.13 Win32:Koobface-AU
Avast5 5.0.332.0 2010.03.13 Win32:Koobface-AU
AVG 9.0.0.787 2010.03.13 Worm/Generic.BANU
BitDefender 7.2 2010.03.13 Gen:Trojan.Heur.GZ.amGfbu9frXn
CAT-QuickHeal 10.00 2010.03.13 Win32.Backdoor.Phdet.gen!A.3
ClamAV 0.96.0.0-git 2010.03.13 Worm.Koobface-156
Comodo 4248 2010.03.13 TrojWare.Win32.TrojanSpy.Agent.~AFE
DrWeb 5.0.1.12222 2010.03.13 -
eSafe 7.0.17.0 2010.03.11 Win32.BDSBackdoor
eTrust-Vet 35.2.7359 2010.03.12 Win32/Koobface.LJ
F-Prot 4.5.1.85 2010.03.12 -
F-Secure 9.0.15370.0 2010.03.13 Gen:Trojan.Heur.GZ.amGfbu9frXn
Fortinet 4.0.14.0 2010.03.13 W32/TinyDL.T
GData 19 2010.03.13 Gen:Trojan.Heur.GZ.amGfbu9frXn
Ikarus T3.1.1.80.0 2010.03.13 -
Jiangmin 13.0.900 2010.03.13 Worm/Palevo.nzo
K7AntiVirus 7.10.996 2010.03.12 -
Kaspersky 7.0.0.125 2010.03.13 P2P-Worm.Win32.Palevo.xfo
McAfee 5918 2010.03.12 New Malware.ai
McAfee+Artemis 5918 2010.03.12 Artemis!D5DB0C2908D0
McAfee-GW-Edition 6.8.5 2010.03.12 Heuristic.LooksLike.Win32.Koobface.B
Microsoft 1.5502 2010.03.12 Trojan:Win32/Koobface.gen!B
NOD32 4940 2010.03.12 a variant of Win32/TrojanProxy.Small.NEB
Norman 6.04.08 2010.03.12 -
nProtect 2009.1.8.0 2010.03.13 -
Panda 10.0.2.2 2010.03.13 Trj/CI.A
PCTools 7.0.3.5 2010.03.13 Downloader.Generic
Prevx 3.0 2010.03.13 Medium Risk Malware Downloader
Rising 22.38.04.03 2010.03.12 -
Sophos 4.51.0 2010.03.13 Mal/TinyDL-T
Sunbelt 5854 2010.03.13 -
Symantec 20091.2.0.41 2010.03.13 Downloader
TheHacker 6.5.2.0.232 2010.03.13 Trojan/Proxy.Small.neb
TrendMicro 9.120.0.1004 2010.03.13 Mal_Koob-2
VBA32 3.12.12.2 2010.03.12 -
ViRobot 2010.3.13.2226 2010.03.13 -
VirusBuster 5.0.27.0 2010.03.12 -
Additional information
File size: 15360 bytes
MD5 : d5db0c2908d025c792231901deeacf42
SHA1 : a945753725b8d8f7484edb735f54cc79e1ef79ed
bill103.exe relance régulièrement les fichiers infectieux via des fichiers avec des noms aléatoires du type :
"C:\Documents and Settings\Mak\Local Settings\Application Data\rdr_1268574709.exe"
On notera aussi la présence d'un nouveau service :Parent process:
Path: c:\WINDOWS\bill103.exe
PID: 1592
Information:
Child process:
Path: C:\Documents and Settings\Mak\Local Settings\Temp\zpskon_1268606813.exe
Information:
Command line:C:\DOCUME~1\Mak\LOCALS~1\Temp\\zpskon_1268606813.exe
qui charge une dll ici erokosvc.dllProcess:
Path: C:\WINDOWS\system32\services.exe
PID: 692
Information: Applications Services et Contrôleur (Microsoft Corporation)
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\cpqoko6
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cpqoko6]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=str(2):"C:\WINDOWS\system32\svchost.exe -k tapisrvs"
"DisplayName"="Mass Driver Sentinel Service Call Browser Device Packet"
"ObjectName"="LocalSystem"
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cpqoko6\Parameters]
"ServiceDll"=str(2):"C:\WINDOWS\system32\erokosvc.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cpqoko6\Security]
"Security"=hex:xxx
File erokosvc.dll received on 2010.03.14 14:14:36 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 3/42 (7.15%)
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.03.14 -
AhnLab-V3 5.0.0.2 2010.03.14 -
AntiVir 8.2.1.180 2010.03.12 -
Antiy-AVL 2.0.3.7 2010.03.12 -
Authentium 5.2.0.5 2010.03.13 -
Avast 4.8.1351.0 2010.03.14 -
Avast5 5.0.332.0 2010.03.14 -
AVG 9.0.0.787 2010.03.14 -
BitDefender 7.2 2010.03.14 -
CAT-QuickHeal 10.00 2010.03.13 -
ClamAV 0.96.0.0-git 2010.03.14 -
Comodo 4254 2010.03.14 -
DrWeb 5.0.1.12222 2010.03.14 -
eSafe 7.0.17.0 2010.03.14 -
eTrust-Vet 35.2.7359 2010.03.12 -
F-Prot 4.5.1.85 2010.03.13 -
F-Secure 9.0.15370.0 2010.03.14 -
Fortinet 4.0.14.0 2010.03.13 -
GData 19 2010.03.14 -
Ikarus T3.1.1.80.0 2010.03.14 -
Jiangmin 13.0.900 2010.03.14 -
K7AntiVirus 7.10.997 2010.03.13 -
Kaspersky 7.0.0.125 2010.03.14 -
McAfee 5919 2010.03.13 -
McAfee+Artemis 5919 2010.03.13 -
McAfee-GW-Edition 6.8.5 2010.03.13 -
Microsoft 1.5502 2010.03.12 TrojanProxy:Win32/Koobface.gen!G
NOD32 4943 2010.03.14 -
Norman 6.04.08 2010.03.14 -
nProtect 2009.1.8.0 2010.03.13 -
Panda 10.0.2.2 2010.03.14 Suspicious file
PCTools 7.0.3.5 2010.03.14 -
Prevx 3.0 2010.03.14 -
Rising 22.38.04.03 2010.03.12 -
Sophos 4.51.0 2010.03.14 -
Sunbelt 5877 2010.03.14 -
Symantec 20091.2.0.41 2010.03.14 Suspicious.Insight
TheHacker 6.5.2.0.233 2010.03.13 -
TrendMicro 9.120.0.1004 2010.03.14 -
VBA32 3.12.12.2 2010.03.14 -
ViRobot 2010.3.13.2226 2010.03.13 -
VirusBuster 5.0.27.0 2010.03.13 -
Additional information
File size: 118784 bytes
MD5...: d23aa6d23c41e1654ca495c0d8b164aa
SHA1..: bdb1bc7cd21f0e3b376d44dd0183f1d6594fe69d
et d'un service catpcha :
scan de catpcha.dll :Process:
Path: C:\WINDOWS\system32\reg.exe
PID: 1392
Information: Outil de Registre de la console (Microsoft Corporation)
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\captcha
Registry value: Type
New value:
Type: REG_DWORD
Value: 00000120
Previous value:
Type: REG_DWORD
Value: 00000020
File 1268486689.captcha.dll received on 2010.03.13 14:19:01 (UTC)
Current status: finished
Result: 17/42 (40.48%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.03.13 -
AhnLab-V3 5.0.0.2 2010.03.12 -
AntiVir 8.2.1.180 2010.03.12 Worm/Koobface.fvz
Antiy-AVL 2.0.3.7 2010.03.12 Worm/Win32.Koobface
Authentium 5.2.0.5 2010.03.13 -
Avast 4.8.1351.0 2010.03.13 -
Avast5 5.0.332.0 2010.03.13 -
AVG 9.0.0.787 2010.03.13 -
BitDefender 7.2 2010.03.13 -
CAT-QuickHeal 10.00 2010.03.13 -
ClamAV 0.96.0.0-git 2010.03.13 Worm.Koobface-118
Comodo 4248 2010.03.13 Backdoor.Win32.PcClient.~a
DrWeb 5.0.1.12222 2010.03.13 -
eSafe 7.0.17.0 2010.03.11 -
eTrust-Vet 35.2.7359 2010.03.12 Win32/Koobface.LL
F-Prot 4.5.1.85 2010.03.12 -
F-Secure 9.0.15370.0 2010.03.13 -
Fortinet 4.0.14.0 2010.03.13 W32/Dloader.O
GData 19 2010.03.13 -
Ikarus T3.1.1.80.0 2010.03.13 -
Jiangmin 13.0.900 2010.03.13 -
K7AntiVirus 7.10.996 2010.03.12 -
Kaspersky 7.0.0.125 2010.03.13 Net-Worm.Win32.Koobface.fvz
McAfee 5918 2010.03.12 -
McAfee+Artemis 5918 2010.03.12 Artemis!177AF17589E6
McAfee-GW-Edition 6.8.5 2010.03.12 Worm.Koobface.fvz
Microsoft 1.5502 2010.03.12 Trojan:Win32/Koobface.gen!J
NOD32 4940 2010.03.12 -
Norman 6.04.08 2010.03.12 -
nProtect 2009.1.8.0 2010.03.13 -
Panda 10.0.2.2 2010.03.13 Trj/CI.A
PCTools 7.0.3.5 2010.03.13 -
Prevx 3.0 2010.03.13 Medium Risk Malware
Rising 22.38.04.03 2010.03.12 Trojan.Win32.Generic.51FAEC00
Sophos 4.51.0 2010.03.13 Mal/DownLdr-O
Sunbelt 5854 2010.03.13 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.03.13 -
TheHacker 6.5.2.0.232 2010.03.13 W32/Koobface.fvz
TrendMicro 9.120.0.1004 2010.03.13 PAK_Generic.001
VBA32 3.12.12.2 2010.03.12 -
ViRobot 2010.3.13.2226 2010.03.13 -
VirusBuster 5.0.27.0 2010.03.12 -
Additional information
File size: 18944 bytes
MD5 : 177af17589e6099605631a481f697315
SHA1 : 30a3d9d341d8cb9fef4708557c8a0a6f619e4232
et enfin un autre driver :
Process:
Path: C:\WINDOWS\system32\services.exe
PID: 692
Information: Applications Services et Contrôleur (Microsoft Corporation)
Driver:
Path: C:\WINDOWS\system32\drivers\imapioko.sys
Information: Filter Audio (Belarc, Inc.)
File imapioko.sys received on 2010.03.14 14:07:25 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 3/42 (7.15%)
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.03.14 -
AhnLab-V3 5.0.0.2 2010.03.14 -
AntiVir 8.2.1.180 2010.03.12 -
Antiy-AVL 2.0.3.7 2010.03.12 -
Authentium 5.2.0.5 2010.03.13 -
Avast 4.8.1351.0 2010.03.14 -
Avast5 5.0.332.0 2010.03.13 -
AVG 9.0.0.787 2010.03.14 -
BitDefender 7.2 2010.03.14 -
CAT-QuickHeal 10.00 2010.03.13 -
ClamAV 0.96.0.0-git 2010.03.14 -
Comodo 4254 2010.03.14 -
DrWeb 5.0.1.12222 2010.03.14 -
eSafe 7.0.17.0 2010.03.14 -
eTrust-Vet 35.2.7359 2010.03.12 -
F-Prot 4.5.1.85 2010.03.13 -
F-Secure 9.0.15370.0 2010.03.14 -
Fortinet 4.0.14.0 2010.03.13 -
GData 19 2010.03.14 -
Ikarus T3.1.1.80.0 2010.03.14 -
Jiangmin 13.0.900 2010.03.14 -
K7AntiVirus 7.10.997 2010.03.13 -
Kaspersky 7.0.0.125 2010.03.14 -
McAfee 5919 2010.03.13 -
McAfee+Artemis 5919 2010.03.13 -
McAfee-GW-Edition 6.8.5 2010.03.13 -
Microsoft 1.5502 2010.03.12 -
NOD32 4943 2010.03.14 probably a variant of Win32/Tinxy.AU
Norman 6.04.08 2010.03.14 -
nProtect 2009.1.8.0 2010.03.13 -
Panda 10.0.2.2 2010.03.14 -
PCTools 7.0.3.5 2010.03.14 -
Prevx 3.0 2010.03.14 -
Rising 22.38.04.03 2010.03.12 -
Sophos 4.51.0 2010.03.14 Troj/Agent-MNW
Sunbelt 5877 2010.03.14 -
Symantec 20091.2.0.41 2010.03.14 Suspicious.Insight
TheHacker 6.5.2.0.233 2010.03.13 -
TrendMicro 9.120.0.1004 2010.03.14 -
VBA32 3.12.12.2 2010.03.14 -
ViRobot 2010.3.13.2226 2010.03.13 -
VirusBuster 5.0.27.0 2010.03.13 -
Additional information
File size: 32768 bytes
MD5...: 77e328607b8928d1b54941f94c9f4fc8
SHA1..: ea2eadbdabb142e15e66456344aacf8574f7ff48
Koobface effectue des redirections Google, il peut aussi modifier le traffic HTTP via le proxy (par exemple un programme qui doit se connecter à une URL aura la connexion modifiée et une redirection vers une publicité ou autres peut alors se faire).
Les redirections sont font via des connexions à des adresses clic.php suivies de paramètres suivi de moteur de recherche.
ex :
Code : Tout sélectionner
http://77.91.228.48/click.php?c=ec2e2a1e017ace2a3a87a8e8bd00
http://40615.123bounce.com/xtr_new?q=+exe&enk=hokGmabJB6mPsY+Jj6EGsSapj4lGsQep5qlGueY=
Code : Tout sélectionner
http://64.111.212.229/click.php?xxx
http://feed.ndot.com/clickn.php?fb=xxx
Code : Tout sélectionner
http://77.91.228.48/click.php?c=f0190c180f0b9bb2a21f30702501
http://102.skooble.com/xtr_new?q=spyware&enk=RrEHuSaBJ5GPiQbjRuOGgcaJpuMmkcbBprnGkQeR
exemple traffic complet avec le moteur de recherche htxp://www.search.pro/:
Code : Tout sélectionner
1268583666.393 86 192.168.1.27 TCP_MISS/302 906 GET http://www.google.com/ - DIRECT/209.85.229.99 text/html
1268583668.794 1671 192.168.1.27 TCP_MISS/404 410 POST http://www.emo-lesbians.com/.sys/?action=fbgen&v=103&crc=669 - DIRECT/67.55.116.76 text/html
1268583671.662 826 192.168.1.27 TCP_MISS/200 437 POST http://ralphcotton.net/.sys/?action=fbgen&v=103&crc=669 - DIRECT/12.68.140.207 text/html
1268583672.298 631 192.168.1.27 TCP_MISS/200 747 GET http://ralphcotton.net/.sys/?action=ppgen&a=1080276621&v=103&pid=1000 - DIRECT/12.68.140.207 text/html
1268583674.008 429 192.168.1.27 TCP_MISS/302 662 POST http://77.91.228.48/click.php?c=ec2e2a1e017ace2a3a87a8e8bd00 - DIRECT/77.91.228.48 text/html
1268583674.761 480 192.168.1.27 TCP_MISS/200 10084 GET http://40615.123bounce.com/xtr_new?q=+exe&enk=hokGmabJB6mPsY+Jj6EGsSapj4lGsQep5qlGueY= - DIRECT/216.36.248.40 text/html
1268583675.136 285 192.168.1.27 TCP_MISS/200 2196 GET http://40615.123bounce.com/skip.gif - DIRECT/216.36.248.40 image/gif
1268583675.142 291 192.168.1.27 TCP_MISS/200 2927 GET http://40615.123bounce.com/ajax-loader.gif - DIRECT/216.36.248.40 image/gif
1268583675.149 295 192.168.1.27 TCP_MISS/200 2289 GET http://40615.123bounce.com/continue.gif - DIRECT/216.36.248.40 image/gif
1268583675.189 325 192.168.1.27 TCP_MISS/302 1052 GET http://40615.123bounce.com/xtr3_new?sid=41035985&sa=6&p=1&s=40615&qt=1268575277&q=+exe&rf=http%3A%2F%2Fsearchnow2010.com%2F%3Fq%3D.exe&enc=&enk=hokGmabJB6mPsY%2BJj6EGsSapj4lGsQep5qlGueY%3D&xsc=&xsp=&xsm=&xuc=&xcf=&xai=&qxcli=657b8e6798bcab81&qxsi=0a42d223ad494ea5 - DIRECT/216.36.248.40 text/html
1268583675.786 333 192.168.1.27 TCP_MISS/302 448 GET http://ck.ads.affinity.com/ck1?ca=547643cf84464274c193c85adc6a0805dba14d0165fe66c4b539eb1dc53fc672d28680d5a951a3f8b9b71fa2a635a349f021f5908238f60874eca386d182778407edb1ceb20c988c63dc7e7f86db9da23fb04c6073267a27c81cab0fad30d25f008d84b47e1a071ce37d634cff44fdfe78229009cc71cc2b387c869e34c9fbfdadec997d82a1947b&adt=Looking+for+exe&add=Find+%26+Compare+best+deals+in+your+area.+Top+sites+listed.&adr=http%3A%2F%2Fwww.search.pro%2Fresults.php%3Fq%3Dexe%26type%3Dweb%26rs%3D2%26_as%3D172%26sx_kw%3Dexe%26_ass%3D40615%26sx_mkw%3Dexe%26sx_v%3D%7Brandomnumber%7D&axz=cc903412775fcfe155c7554540d7259a&&xsc=12c4172a6aff2f1620d002b442d3724220d002b442d37242&xsp=a181f592d52a04ee&xuc=e3f20c7a0c173c3d275e9659b85c61a2641d99a43821788e36b1f9c94a73fb23&xcf=ea7bacb841de5571&xai=a9641cc74b69ccc2&xsm=336fcdc370322f5a4bfd6c06cc272429 - DIRECT/216.36.248.143 text/html
1268583677.151 171 192.168.1.27 TCP_MISS/200 7272 GET http://searchpro.edgecaching.net/media/js/common_js_min_28_01_2010.js - DIRECT/84.40.33.30 application/x-javascript
1268583677.224 247 192.168.1.27 TCP_MISS/200 19528 GET http://searchpro.edgecaching.net/media/css/css-min-20100128.css - DIRECT/84.40.33.30 text/css
1268583677.343 1206 192.168.1.27 TCP_MISS/200 22351 GET http://www.search.pro/results.php?q=exe&type=web&rs=2&_as=172&sx_kw=exe&_ass=40615&sx_mkw=exe&sx_v=0.02865 - DIRECT/64.26.28.144 text/html
1268583678.012 451 192.168.1.27 TCP_MISS/200 6859 GET http://searchpro.edgecaching.net/media/css/logo_old.gif - DIRECT/84.40.33.30 image/gif
1268583678.041 451 192.168.1.27 TCP_MISS/200 3006 GET http://sxtracking.com/sxm.js - DIRECT/64.26.28.144 application/x-javascript
1268583678.300 144 192.168.1.27 TCP_MISS/200 311 GET http://sxtracking.com/v.png?hr=http%3A%2F%2F40615.123bounce.com%2Fxtr_new%3Fq%3D%2Bexe%26enk%3DhokGmabJB6mPsY%2BJj6EGsSapj4lGsQep5qlGueY%3D&cw=www.search.pro&as=172&ass=40615&q=exe&mq=exe&vc=0.02865&dt=1268575625026 - DIRECT/64.26.28.144 image/png
Quelques liens sur le sujet... :
Autre variante mais même principe : http://www.f-secure.com/weblog/archives/00001517.html
Le même malware par email : http://blog.trendmicro.com/facebook-mys ... o-malware/
http://www.kaspersky.com/news?id=207575670
http://sophos.com/pressoffice/news/arti ... ebook.html
et un papier de Trend-Micro sur Koobface.
- "Show Me the Money!: The Monetization of KOOBFACE" : http://us.trendmicro.com/imperia/md/con ... emoney.pdf
- "The Heart of KOOBFACE: C&C and Social Network Propagation" : http://us.trendmicro.com/imperia/md/con ... nal_1_.pdf
- "The Real Face of KOOBFACE: The Largest Web 2.0 Botnet Explained" : http://us.trendmicro.com/imperia/md/con ... ul2009.pdf