Win32/Bubnix.A/Win32/Bredolab : winesm32.exe/ihaupd32

[Malekal_morte]

Win32/Bubnix vole les identifiants de compte FTP et ajoute un javascript malicieux sur votre site afin d'infecter les internautes visitant
votre site à leur tour.
Après désinfection de votre PC, il convient de modifier les mots de passe des comptes FTP et de nettoyer votre site.
Voir la page Hack WEB site par vol FTP


Ex de topic :
http://forum.malekal.com/infections-par ... 23615.html
http://forum.malekal.com/win32-rootkit- ... 23583.html

Voir :
http://forum.malekal.com/cheapfad-8080- ... 25360.html
et pour la désinfection : https://www.malekal.com/RKIT_Bubnix.S_W ... bnix.S.php

La caractéristiques sont un javascript en fin de page avec <!--3fd406e0c4523d5441f6a0964887c43b-->
qui conduise à des URL en .ru:8080

Un papier intéressant de Kaspersky : End of the Line for the Bredolab Botnet?

~~

Les lignes HijackThis :

O4 - Startup: winesm32.exe
O4 - Startup: ihaupd32.exe

La détection est bonne :

Fichier 66D1488D6D049CA904644D29F085D15F_ reçu le 2010.02.26 10:46:29 (UTC)
Situation actuelle: terminé
Résultat: 16/41 (39.02%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.26 Packed.Win32.Krap!IK
AhnLab-V3 5.0.0.2 2010.02.26 -
AntiVir 8.2.1.176 2010.02.26 -
Antiy-AVL 2.0.3.7 2010.02.26 Packed/Win32.Krap
Authentium 5.2.0.5 2010.02.25 -
Avast 4.8.1351.0 2010.02.26 -
AVG 9.0.0.730 2010.02.25 -
BitDefender 7.2 2010.02.26 Gen:[email protected]
CAT-QuickHeal 10.00 2010.02.26 -
ClamAV 0.96.0.0-git 2010.02.26 -
Comodo 4070 2010.02.26 -
DrWeb 5.0.1.12222 2010.02.26 -
eSafe 7.0.17.0 2010.02.25 -
eTrust-Vet 35.2.7330 2010.02.26 -
F-Prot 4.5.1.85 2010.02.25 -
F-Secure 9.0.15370.0 2010.02.26 Gen:[email protected]
Fortinet 4.0.14.0 2010.02.26 -
GData 19 2010.02.26 Gen:[email protected]
Ikarus T3.1.1.80.0 2010.02.26 Packed.Win32.Krap
Jiangmin 13.0.900 2010.02.25 -
K7AntiVirus 7.10.983 2010.02.25 -
Kaspersky 7.0.0.125 2010.02.26 Packed.Win32.Krap.ao
McAfee 5903 2010.02.25 -
McAfee+Artemis 5903 2010.02.25 Artemis!66D1488D6D04
McAfee-GW-Edition 6.8.5 2010.02.26 -
Microsoft 1.5502 2010.02.26 TrojanDownloader:Win32/Bredolab.X
NOD32 4897 2010.02.26 -
Norman 6.04.08 2010.02.25 -
nProtect 2009.1.8.0 2010.02.26 -
Panda 10.0.2.2 2010.02.25 Trj/CI.A
PCTools 7.0.3.5 2010.02.26 -
Prevx 3.0 2010.02.26 Medium Risk Malware
Rising 22.36.04.04 2010.02.26 Packer.Win32.UnkPacker.a
Sophos 4.50.0 2010.02.26 Mal/FakeAV-BW
Sunbelt 5700 2010.02.26 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.02.26 Suspicious.Insight
TheHacker 6.5.1.6.211 2010.02.26 Trojan/Krap.ao
TrendMicro 9.120.0.1004 2010.02.26 -
VBA32 3.12.12.2 2010.02.25 -
ViRobot 2010.2.26.2204 2010.02.26 -
VirusBuster 5.0.27.0 2010.02.25 -
Information additionnelle
File size: 33280 bytes
MD5 : 66d1488d6d049ca904644d29f085d15f
SHA1 : 54803101b8134a3913f2e4a9d63644e8c55a92f8

Dans les derniers topics, Bredolab s'accompagne d'un rootkit de type Rustock (nom aléatoire dans le dossier driver) :

File jowhomirgz.sys received on 2010.02.26 11:45:22 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.26 Rootkit.Win32.Agent!IK
AhnLab-V3 5.0.0.2 2010.02.26 Win-Trojan/Agent.30720.AIA
AntiVir 8.2.1.176 2010.02.26 TR/Rootkit.Gen
Antiy-AVL 2.0.3.7 2010.02.26 Trojan/Win32.Agent
Authentium 5.2.0.5 2010.02.25 W32/Rootkit.DBD
Avast 4.8.1351.0 2010.02.26 Win32:Rootkit-gen
Avast5 5.0.332.0 2010.02.26 Win32:Rootkit-gen
AVG 9.0.0.730 2010.02.25 DDoS.K
BitDefender 7.2 2010.02.26 Gen:[email protected]
CAT-QuickHeal 10.00 2010.02.26 Rootkit.Agent.vxl
ClamAV 0.96.0.0-git 2010.02.26 -
Comodo 4070 2010.02.26 UnclassifiedMalware
DrWeb 5.0.1.12222 2010.02.26 Trojan.NtRootKit.4361
eSafe 7.0.17.0 2010.02.25 Win32.TRRootkit
eTrust-Vet 35.2.7330 2010.02.26 -
F-Prot 4.5.1.85 2010.02.25 W32/Rootkit.DBD
F-Secure 9.0.15370.0 2010.02.26 Gen:[email protected]
Fortinet 4.0.14.0 2010.02.26 -
GData 19 2010.02.26 Gen:[email protected]
Ikarus T3.1.1.80.0 2010.02.26 Rootkit.Win32.Agent
Jiangmin 13.0.900 2010.02.25 Rootkit.Agent.ern
K7AntiVirus 7.10.983 2010.02.25 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2010.02.26 Rootkit.Win32.Agent.vxl
McAfee 5903 2010.02.25 Generic BackDoor!byv
McAfee+Artemis 5903 2010.02.25 Generic BackDoor!byv
McAfee-GW-Edition 6.8.5 2010.02.26 Trojan.Rootkit.Gen
Microsoft 1.5502 2010.02.26 Backdoor:WinNT/Rustock.H
NOD32 4897 2010.02.26 probably a variant of Win32/Rootkit
Norman 6.04.08 2010.02.25 W32/Rootkit.BAYJ
nProtect 2009.1.8.0 2010.02.26 -
Panda 10.0.2.2 2010.02.25 Generic Malware
PCTools 7.0.3.5 2010.02.26 Hacktool.Rootkit
Prevx 3.0 2010.02.26 Medium Risk Malware
Rising 22.36.04.04 2010.02.26 -
Sophos 4.50.0 2010.02.26 Mal/Generic-A
Sunbelt 5700 2010.02.26 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.02.26 Hacktool.Rootkit
TheHacker 6.5.1.6.211 2010.02.26 -
TrendMicro 9.120.0.1004 2010.02.26 TROJ_AGENT.AXMP
VBA32 3.12.12.2 2010.02.26 -
ViRobot 2010.2.26.2204 2010.02.26 -
VirusBuster 5.0.27.0 2010.02.25 -
Additional information
File size: 30720 bytes
MD5...: bd5b0ba56657bfcecf662fcdfbca548c
SHA1..: a5cf18f18982639e9c038acf6bb33ba42cb9a8a7

Une fois infecté, le PC est sous le contrôle (botnet), le malware peut alors aller télécharger d'autres malwares (Stealer etc) ou rogues pour gagner de l'argent.

Malwarebyte Anti-Malware doit supprimer ce malware.

[Malekal_morte]

Done !
MD5 : 6d6b68d01eda064a977ca2d692d27342
Date : 2010.03.02 20:34:17 (UTC)
Results : 11/41
Virus Names : Suspicious.Insight a variant of Win32/Kryptik.CNF TrojanDownloader:Win32/Bubnix.A
Permalink : http://www.virustotal.com/analisis/687c ... 1267562057

The results for rbdrdbu.exe are :
Prevx 3.0 2010.03.02 Medium Risk Malware
DrWeb 5.0.1.12222 2010.03.02 Trojan.Packed.1063
Microsoft 1.5502 2010.03.02 TrojanDownloader:Win32/Bubnix.A
Symantec 20091.2.0.41 2010.03.02 Suspicious.Insight
Sophos 4.50.0 2010.03.02 Mal/FakeAV-AX
NOD32 4910 2010.03.02 a variant of Win32/Kryptik.CNF
McAfee+Artemis 5908 2010.03.02 Artemis!6D6B68D01EDA
a-squared 4.5.0.50 2010.03.02 Trojan.Win32.Inject!IK
Ikarus T3.1.1.80.0 2010.03.02 Trojan.Win32.Inject
Panda 10.0.2.2 2010.03.02 Suspicious file
TrendMicro 9.120.0.1004 2010.03.02 TROJ_KRAP.SMD

Lance le dropper du Rootkit :

Process:
Path: C:\Documents and Settings\Mak\Bureau\rbdrdbu.exe
PID: 1952
Information: Windows NT ClipBook Viewer (TWX Corp.)
Registry Group: System Critical
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
Registry value: PendingFileRenameOperations
Type: REG_MULTI_SZ
Value: \??\C:\DOCUME~1\Mak\LOCALS~1\Temp\4f228c4c.tmp

Détection :

File 6d6b68d01eda064a977ca2d692d27342 received on 2010.03.02 20:05:03 (UTC)
Current status: finished

Result: 10/40 (25.00%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.03.02 Trojan.Win32.Inject!IK
AhnLab-V3 5.0.0.2 2010.03.02 -
AntiVir 8.2.1.180 2010.03.02 -
Antiy-AVL 2.0.3.7 2010.03.02 -
Authentium 5.2.0.5 2010.03.02 -
Avast 4.8.1351.0 2010.03.02 -
AVG 9.0.0.730 2010.03.02 -
BitDefender 7.2 2010.03.02 -
CAT-QuickHeal 10.00 2010.03.02 -
ClamAV 0.96.0.0-git 2010.03.02 -
Comodo 4091 2010.02.28 -
DrWeb 5.0.1.12222 2010.03.02 Trojan.Packed.1063
eSafe 7.0.17.0 2010.03.02 -
eTrust-Vet 35.2.7335 2010.03.02 -
F-Prot 4.5.1.85 2010.03.02 -
F-Secure 9.0.15370.0 2010.03.02 -
Fortinet 4.0.14.0 2010.02.28 -
GData 19 2010.03.02 -
Ikarus T3.1.1.80.0 2010.03.02 Trojan.Win32.Inject
Jiangmin 13.0.900 2010.03.02 -
K7AntiVirus 7.10.987 2010.03.02 -
Kaspersky 7.0.0.125 2010.03.02 -
McAfee 5908 2010.03.02 -
McAfee+Artemis 5908 2010.03.02 Artemis!6D6B68D01EDA
McAfee-GW-Edition 6.8.5 2010.03.02 -
Microsoft 1.5502 2010.03.02 TrojanDownloader:Win32/Bubnix.A
NOD32 4910 2010.03.02 a variant of Win32/Kryptik.CNF
Norman 6.04.08 2010.03.02 -
nProtect 2009.1.8.0 2010.03.02 -
Panda 10.0.2.2 2010.03.02 Suspicious file
PCTools 7.0.3.5 2010.03.02 -
Rising 22.37.01.04 2010.03.02 -
Sophos 4.50.0 2010.03.02 Mal/FakeAV-AX
Sunbelt 5729 2010.03.02 -
Symantec 20091.2.0.41 2010.03.02 Suspicious.Insight
TheHacker 6.5.1.7.218 2010.03.02 -
TrendMicro 9.120.0.1004 2010.03.02 TROJ_KRAP.SMD
VBA32 3.12.12.2 2010.03.02 -
ViRobot 2010.3.2.2208 2010.03.02 -
VirusBuster 5.0.27.0 2010.03.02 -
Additional information
File size: 14848 bytes
MD5 : 6d6b68d01eda064a977ca2d692d27342
SHA1 : 3c32af45e82b4f882a3783de7887909e0bcebf1f

Voir là pour Win32/Bubnix.A : http://www.microsoft.com/security/porta ... 2FBubnix.A

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-03-02 21:32:35
Windows 5.1.2600 Service Pack 2
Running: ulb62ofq.exe; Driver: C:\DOCUME~1\Mak\LOCALS~1\Temp\uxtdypoc.sys


---- Kernel code sections - GMER 1.0.15 ----

.pak2 C:\WINDOWS\system32\drivers\txnmo.sys entry point in ".pak2" section [0xF849A18B]
? C:\WINDOWS\system32\drivers\txnmo.sys Un périphérique attaché au système ne fonctionne pas correctement.
PAGE Ntfs.sys F8306E88 4 Bytes CALL 8237A151

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 82213118

---- Services - GMER 1.0.15 ----

Service (*** hidden *** ) [BOOT] txnmo <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\[email protected] 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\[email protected] 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\[email protected] 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\[email protected] Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet003\Services\[email protected] 1
Reg HKLM\SYSTEM\ControlSet003\Services\[email protected] 0
Reg HKLM\SYSTEM\ControlSet003\Services\[email protected] 0
Reg HKLM\SYSTEM\ControlSet003\Services\[email protected] Boot Bus Extender

---- EOF - GMER 1.0.15 ----

La Détection du driver :

File PDCOMP.sys received on 2010.02.28 09:01:45 (UTC)
Current status: finished

Result: 38/41 (92.68%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.28 Trojan.WinNT.Bubnix!IK
AhnLab-V3 5.0.0.2 2010.02.27 Win-Trojan/Injector.791552.C
AntiVir 8.2.1.176 2010.02.26 TR/Rootkit.Gen
Antiy-AVL 2.0.3.7 2010.02.26 Trojan/Win32.Agent.gen
Authentium 5.2.0.5 2010.02.27 -
Avast 4.8.1351.0 2010.02.27 Win32:Rootkit-gen
AVG 9.0.0.730 2010.02.27 BackDoor.Generic12.AECT
BitDefender 7.2 2010.02.28 Backdoor.Generic.274404
CAT-QuickHeal 10.00 2010.02.27 Rootkit.Agent.azyx
ClamAV 0.96.0.0-git 2010.02.28 -
Comodo 4091 2010.02.28 UnclassifiedMalware
DrWeb 5.0.1.12222 2010.02.28 Trojan.NtRootKit.5823
eSafe 7.0.17.0 2010.02.25 Win32.TRRootkit
eTrust-Vet 35.2.7331 2010.02.26 Win32/Tnega.AHL
F-Prot 4.5.1.85 2010.02.27 -
F-Secure 9.0.15370.0 2010.02.27 Backdoor.Generic.274404
Fortinet 4.0.14.0 2010.02.27 W32/Rootkit.ASR!tr
GData 19 2010.02.28 Backdoor.Generic.274404
Ikarus T3.1.1.80.0 2010.02.28 Trojan.WinNT.Bubnix
Jiangmin 13.0.900 2010.02.28 Trojan/Agent.dlqy
K7AntiVirus 7.10.984 2010.02.26 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2010.02.28 Rootkit.Win32.Agent.akga
McAfee 5905 2010.02.27 Spam-Mailbot
McAfee+Artemis 5905 2010.02.27 Spam-Mailbot
McAfee-GW-Edition 6.8.5 2010.02.28 Trojan.Rootkit.Gen
Microsoft 1.5502 2010.02.28 Trojan:WinNT/Bubnix.gen!A
NOD32 4901 2010.02.27 Win32/SpamTool.Agent.NDR
Norman 6.04.08 2010.02.27 W32/Suspicious_Gen2.OUJE
nProtect 2009.1.8.0 2010.02.27 Trojan/W32.Rootkit.791552
Panda 10.0.2.2 2010.02.27 W32/Spamta.AIP.worm
PCTools 7.0.3.5 2010.02.28 Hacktool.Rootkit
Prevx 3.0 2010.02.28 Medium Risk Malware
Rising 22.36.06.04 2010.02.28 Trojan.Win32.Generic.51F8AAC5
Sophos 4.50.0 2010.02.28 Mal/SysPk-A
Sunbelt 5707 2010.02.28 Backdoor.Rustock
Symantec 20091.2.0.41 2010.02.28 Hacktool.Rootkit
TheHacker 6.5.1.7.214 2010.02.28 Trojan/Kryptik.af
TrendMicro 9.120.0.1004 2010.02.28 TROJ_BUBNIX.W
VBA32 3.12.12.2 2010.02.26 Rootkit.0141
ViRobot 2010.2.27.2206 2010.02.27 Trojan.Win32.S.Bubnix.791552
VirusBuster 5.0.27.0 2010.02.27 Trojan.Rootkit.AAA
Additional information
File size: 791552 bytes
MD5 : 4c7a681b8f87924370e98ab01412a968
SHA1 : 22a996e89517eb2f7330780b658501ba618f8f32

[Malekal_morte]

autre possibles variantes :

O4 - Startup: rarbvz32.exe

et :

O4 - Startup: msconfig32.exe

Fichier msconfig32.exe reçu le 2010.03.06 21:23:54 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 2/42 (4.77%)


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.03.06 -
AhnLab-V3 5.0.0.2 2010.03.06 -
AntiVir 8.2.1.180 2010.03.05 -
Antiy-AVL 2.0.3.7 2010.03.05 -
Authentium 5.2.0.5 2010.03.06 -
Avast 4.8.1351.0 2010.03.06 -
Avast5 5.0.332.0 2010.03.06 -
AVG 9.0.0.787 2010.03.06 -
BitDefender 7.2 2010.03.06 -
CAT-QuickHeal 10.00 2010.03.06 -
ClamAV 0.96.0.0-git 2010.03.06 -
Comodo 4091 2010.02.28 -
DrWeb 5.0.1.12222 2010.03.06 -
eSafe 7.0.17.0 2010.03.04 -
eTrust-Vet 35.2.7342 2010.03.05 -
F-Prot 4.5.1.85 2010.03.06 -
F-Secure 9.0.15370.0 2010.03.06 -
Fortinet 4.0.14.0 2010.03.06 -
GData 19 2010.03.06 -
Ikarus T3.1.1.80.0 2010.03.06 -
Jiangmin 13.0.900 2010.03.06 -
K7AntiVirus 7.10.990 2010.03.04 -
Kaspersky 7.0.0.125 2010.03.06 -
McAfee 5912 2010.03.06 -
McAfee+Artemis 5912 2010.03.06 -
McAfee-GW-Edition 6.8.5 2010.03.06 -
Microsoft 1.5502 2010.03.06 -
NOD32 4921 2010.03.06 -
Norman 6.04.08 2010.03.06 -
nProtect 2009.1.8.0 2010.03.06 -
Panda 10.0.2.2 2010.03.06 -
PCTools 7.0.3.5 2010.03.04 -
Prevx 3.0 2010.03.06 -
Rising 22.37.05.03 2010.03.06 -
Sophos 4.51.0 2010.03.06 Mal/FakeAV-CH
Sunbelt 5773 2010.03.06 -
Symantec 20091.2.0.41 2010.03.06 Suspicious.Insight
TheHacker 6.5.1.9.223 2010.03.06 -
TrendMicro 9.120.0.1004 2010.03.06 -
VBA32 3.12.12.2 2010.03.05 -
ViRobot 2010.3.5.2214 2010.03.05 -
VirusBuster 5.0.27.0 2010.03.06 -
Information additionnelle
File size: 29696 bytes
MD5...: 5836d0ecb9d4b0fab8cbfef148d1773e
SHA1..: 9dcad91871703bc9f70d1a671d3f843fab0f5e97

[Malekal_morte]

Nouvelle variante avec : syspck32.exe
Ex : c:\documents and settings\Compaq_Propri‚taire\Menu Démarrer\Programmes\Démarrage\syspck32.exe

[Malekal_morte]

Campagne de malicieux Twitter par mail qui conduit à Bubnix : http://forum.malekal.com/twitter-spam-c ... ml#p214636

[Malekal_morte]

Les campagnes malicieux pour Bredolab/Bubnix continuent : http://forum.malekal.com/spam-malicieux ... ml#p214767

[Malekal_morte]

Un papier intéressant de Kaspersky sur cette famille : End of the Line for the Bredolab Botnet?