Zlob et exploits sur site WEB

Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec
Infections liés aux rogues et affichant de fausses alertes de sécurité.
Malekal_morte
Messages : 116289
Inscription : 10 sept. 2005 13:57

Zlob et exploits sur site WEB

par Malekal_morte »

Zlob est un malware qui se propage par de Faux Codec, ces Faux codec sont proposés sur des sites pornographiques afin de visualiser des vidéos.

Zlob se propage maintenant par des Exploits sur des sites WEB et notamment en exploitant une faille sur Adobe Reader via des PDF piégés (ce qui est courant depuis quelques mois, voir Infections : exploitation SWF/PDF et Java).

Image

Une fois le PDF exécuté par Adobe (hxxp://svinushka.net/forum/spl/pdf.pdf), ce dernier créé un fichier ~.exe qui est un Trojan.downloader (hxxp://svinushka.net/forum/exe.php)
Image

Ce dernier démarre svchost.exe qui va télécharger le faux codec (utilisé un fichier système Windows pour télécharger le malware permet d'outre-passer les firewall mal configurés).

On reconnait bien l'icône de faux codec du fichier ie3.tmp
Image

En lançant manuellement le codec, on obtient l'interface d'installation avec la dite icone en haut à gauche.
Image

Une fois les codecs installés, l'utilisateur est submergé de fausses alertes de sécurités], page de démarrage modifié.

Image

et l'installation [url=http://forum.malekal.com/viewtopic.php?f=56&t=589]d'un rogue
à son insu... en ce moment.. Virus Responsabe Lab 2009

Bref, rien de nouveaux de côté là.

Image

Voici les connexions établies au moment de l'écriture de cette page, les domaines zlob changent régulièrement, ils seront certainement plus d'actualités dans quelques heures/jours.

Code : Tout sélectionner

[code]1224336178.210    353 192.168.1.62 TCP_MISS/200 2890 GET http://svinushka.net/forum/spl/pdf.pdf - DIRECT/209.160.76.41 application/pdf
1224339723.035    459 192.168.1.63 TCP_MISS/200 6801 GET http://svinushka.net/forum/exe.php - DIRECT/209.160.76.41 application/octet-stream
1224339729.798    362 192.168.1.63 TCP_MISS/200 309 GET http://www.leasweek.net/ldr/gate.php?id=50ab9771 - DIRECT/195.24.78.242 text/html
1224339730.729    708 192.168.1.63 TCP_MISS/200 86939 GET http://gigacodec.com/download/load.3259.exe - DIRECT/78.157.142.111 application/octet-stream
1224339723.035    459 192.168.1.63 TCP_MISS/200 6801 GET http://svinushka.net/forum/exe.php - DIRECT/209.160.76.41 application/octet-stream
1224339730.729    708 192.168.1.63 TCP_MISS/200 86939 GET http://gigacodec.com/download/load.3259.exe - DIRECT/78.157.142.111 application/octet-stream
1224340778.845    431 192.168.1.63 TCP_MISS/200 2953 GET http://www.vidsdevices.com/download.php?id=1412 - DIRECT/91.203.92.12 application/octet-stream
1224340781.470   2250 192.168.1.63 TCP_MISS/200 13187 GET http://www.vidsdevices.com/download.php?id=1412 - DIRECT/91.203.92.12 application/octet-stream
1224340883.672   1230 192.168.1.63 TCP_MISS/200 30031 GET http://software-pc-download.net/MSCodecLite.7.20742.exe - DIRECT/66.232.126.193 application/x-msdownload
1224340995.377   1428 192.168.1.63 TCP_MISS/200 86944 GET http://gigacodec.com/download/load.3259.exe - DIRECT/78.157.142.111 application/octet-stream
1224341494.759   1052 192.168.1.90 TCP_MISS/200 13187 GET http://www.vidsdevices.com/download.php?id=1412 - DIRECT/91.203.92.12 application/octet-stream
1224341597.658   4465 192.168.1.90 TCP_MISS/200 1616391 GET http://dl4.takenholiday.com/downloads/1012/vlab_setup.exe - DIRECT/63.217.29.114 application/octet-stream
[/code]


Deux nouveautés et mauvais côté de cette infection pour l'utilisateur.
Celle-ci créé un fichier autorun.inf qui ouvre le fichier resycled\boot.com

L'infection est donc capable de se transmettre via des disques amovibles

Image

L'infection patche aussi le fichier système Windows userinit.exe
Ce dernier s'exécute au démarrage de la session (et aussi en mode sans échec), le userinit.exe exécute le fichier %System%\stus.exe qui retélécharge tous les Faux Codec via svchost.exe
Ces derniers se réinstallent donc à chaque ouverture de session.

On voit ci-dessous la date du fichier userinit.exe modifiée ainsi qu'un scan VirusTotal, vous pouvez prier pour que votre antivirus ne shoot pas le fichier, sinon vous pouvez dire adieu à votre Windows.

Autre conseil, ne supprimer pas %System%\stus.exe (c'est une copie du userinit.exe non patché), sauf si aimez démarrer Windows avec votre fond d'écran sans icone, ni menu démarrer.

Image

Bref, on voit que les auteurs de Zlob diversifient de plus en plus les moyens de propagations de leurs malwares afin de toucher un maximum d'internautes.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec »