SpyEye - Trojan.Pincav

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Curson

SpyEye - Trojan.Pincav

par Curson »

SpyEye est une infection relativement récente. Il s'agit d'un concurrent direct a Zbot/zeus, il s'agit donc d'un Trojan Banker.

Image

Ce bot contient des fonctionnalités avancées de vol de données (Formgrabbing) permettant la récupération d'adresses email, de mots de passe, de coordonnées bancaires, etc.
Les informations collectées sont transmises en tout temps à un Server C&C et toutes les 24 heures directement au client via email.

Cette infection dispose de fonctionnalités de rootkit (mode userland - ring3).
Petite spécificité, lors de la génération de l'infection via le centre de commande, il est possible de spécifier l'option "Kill Zeus" ceci permettant la suppression du bot lors de l'infection.


La présence dans le système

L'infection créé le répertoire %systemdrive%\cleansweep.exe et droppe les fichiers cleansweep.exe et config.bin qui correspond respectivement au bot et à son fichier de configuration.
Ces deux fichiers sont partiellement encryptés.

Suivant le Server C&C, le bot peut téléchargé de nouveaux malwares (par exemple le rootkit TDSS).

Scan du dropper (version 1.0.72 du bot)
a-squared 4.5.0.50 2010.02.12 Trojan.Win32.Spyeye!IK
AhnLab-V3 5.0.0.2 2010.02.11 Dropper/Malware.70144.K
AntiVir 7.9.1.160 2010.02.11 TR/Pincav.shd
Antiy-AVL 2.0.3.7 2010.02.11 -
Authentium 5.2.0.5 2010.02.12 -
Avast 4.8.1351.0 2010.02.11 Win32:Malware-gen
AVG 9.0.0.730 2010.02.11 SHeur2.CJMO
BitDefender 7.2 2010.02.12 -
CAT-QuickHeal 10.00 2010.02.11 -
ClamAV 0.96.0.0-git 2010.02.12 -
Comodo 3904 2010.02.12 -
DrWeb 5.0.1.12222 2010.02.12 BackDoor.Sweep
eSafe 7.0.17.0 2010.02.11 Win32.Suspect
eTrust-Vet 35.2.7298 2010.02.11 Win32/AdClicker.ALA
F-Prot 4.5.1.85 2010.02.12 -
F-Secure 9.0.15370.0 2010.02.12 Trojan-Spy:W32/Spyeye.B
Fortinet 4.0.14.0 2010.02.12 W32/Agent.SEP!tr
GData 19 2010.02.12 Win32:Malware-gen
Ikarus T3.1.1.80.0 2010.02.12 Trojan.Win32.Spyeye
Jiangmin 13.0.900 2010.02.08 -
K7AntiVirus 7.10.971 2010.02.11 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2010.02.12 Trojan.Win32.Pincav.shd
McAfee 5889 2010.02.11 Suspect-02!9D2A48BE1A55
McAfee+Artemis 5889 2010.02.11 Suspect-02!9D2A48BE1A55
McAfee-GW-Edition 6.8.5 2010.02.11 Heuristic.LooksLike.Win32.Suspicious.B
Microsoft 1.5406 2010.02.11 Trojan:Win32/Spyeye
NOD32 4859 2010.02.11 a variant of Win32/Spy.SpyEye.B
Norman 6.04.08 2010.02.11 W32/Agent.TFBZ
nProtect 2009.1.8.0 2010.02.11 -
Panda 10.0.2.2 2010.02.11 -
PCTools 7.0.3.5 2010.02.11 Trojan.Spyeye
Prevx 3.0 2010.02.12 Medium Risk Malware
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.12 Mal/Spyeye-A
Sunbelt 3.9.2398.2 2010.02.11 Trojan.Win32.Malware (fs)
Symantec 20091.2.0.41 2010.02.12 Trojan.Spyeye
TheHacker 6.5.1.1.190 2010.02.11 Trojan/Agent.qqs
TrendMicro 9.120.0.1004 2010.02.11 -
VBA32 3.12.12.2 2010.02.11 suspected of Embedded.Trojan.Win32.Pincav.prk
ViRobot 2010.2.11.2182 2010.02.11 Trojan.Win32.Pincav.70144.B
VirusBuster 5.0.21.0 2010.02.11 -

Information additionnelle
File size: 70144 bytes
MD5 : 9d2a48be1a553984a4fda1a88ed4f8ee
SHA1 : b89d6cce43c987577b189a16152727940253e679
Plus d'informations :
SpyEye Bot versus Zeus Bot
SpyEye Bot - Analysis of a new alternative scenario crimeware (PDF)
Dernière modification par Curson le 28 févr. 2010 20:42, modifié 1 fois.
Curson

Re: SpyEye - Trojan.Pincav

par Curson »

Le bot a récemment été mis à jour. Il dispose à présent d'un module permettant à l'attaquant de modifier à volonté les pages WEB visualisées au travers d'un navigateur (WEB Injection), ceci facilitant le vol de données.

Les détections de la dernière variante :
a-squared 4.5.0.50 2010.02.26 -
AhnLab-V3 5.0.0.2 2010.02.26 -
AntiVir 8.2.1.176 2010.02.26 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.02.26 -
Authentium 5.2.0.5 2010.02.26 -
Avast 4.8.1351.0 2010.02.26 -
AVG 9.0.0.730 2010.02.26 -
BitDefender 7.2 2010.02.26 -
CAT-QuickHeal 10.00 2010.02.26 -
ClamAV 0.96.0.0-git 2010.02.26 -
Comodo 4075 2010.02.26 -
DrWeb 5.0.1.12222 2010.02.26 -
eSafe 7.0.17.0 2010.02.25 -
eTrust-Vet 35.2.7331 2010.02.26 -
F-Prot 4.5.1.85 2010.02.26 -
F-Secure 9.0.15370.0 2010.02.26 -
Fortinet 4.0.14.0 2010.02.26 -
GData 19 2010.02.26 -
Ikarus T3.1.1.80.0 2010.02.26 Trojan-Spy.Win32.SpyEyes
Jiangmin 13.0.900 2010.02.25 -
K7AntiVirus 7.10.984 2010.02.26 -
Kaspersky 7.0.0.125 2010.02.26 -
McAfee 5903 2010.02.25 -
McAfee+Artemis 5903 2010.02.25 -
McAfee-GW-Edition 6.8.5 2010.02.26 Heuristic.BehavesLike.Win32.Obfuscated.C
Microsoft 1.5502 2010.02.26 -
NOD32 4899 2010.02.26 -
Norman 6.04.08 2010.02.26 -
nProtect 2009.1.8.0 2010.02.26 -
Panda 10.0.2.2 2010.02.26 -
PCTools 7.0.3.5 2010.02.26 -
Rising 22.36.04.04 2010.02.26 -
Sophos 4.50.0 2010.02.26 Sus/UnkPack-C
Sunbelt 5700 2010.02.26 -
Symantec 20091.2.0.41 2010.02.26 Suspicious.Insight
TheHacker 6.5.1.6.212 2010.02.26 -
TrendMicro 9.120.0.1004 2010.02.26 PAK_Generic.001
VBA32 3.12.12.2 2010.02.26 BScope.Trojan-Dropper.0169
ViRobot 2010.2.26.2204 2010.02.26 -
VirusBuster 5.0.27.0 2010.02.26 -

Information additionnelle
File size: 155648 bytes
MD5 : 91aa0ce3c1581b6a581b4cdc665c13fb
SHA1 : 30fa007c10a5a83102eaefacfa6b1db2db6b3f62
Malekal_morte
Messages : 116494
Inscription : 10 sept. 2005 13:57

Re: SpyEye - Trojan.Pincav

par Malekal_morte »

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116494
Inscription : 10 sept. 2005 13:57

Re: SpyEye - Trojan.Pincav

par Malekal_morte »

Deux auteurs reconnus pour avoir été les auteurs et vendeurs de SpyEye ont écopés de 9 ans de prisons.

Source : http://blog.trendmicro.com/trendlabs-se ... sentenced/

Cela n'arrête en rien la prolifération de ce type de trojans, de nouvelles variantes apparaissent régulièrement, le dernier en date se nomme GozNym.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »