Trojan Gootkit / Wonton / Xswkit

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Site Admin
Site Admin
Messages : 103907
Inscription : 10 sept. 2005 13:57
Contact :

Trojan Gootkit / Wonton / Xswkit

Message par Malekal_morte »

Trend-Micro a publié un bulletin sur une campagne de mails malicieux active en France.
http://blog.trendmicro.com/trendlabs-se ... authority/

Gootkit est un banker de type "filess" ( lire Malware 'FileLess' : PoweLiks, Kovter, Gootkit.

Ce dernier utilise des courriels se faisant passer pour le ministère de la Justice.
Copy du jugement (translated to: “Copy of judgment”)
L’information sur la comptabilité (translated to: “The information on accounting”)
Paiement (translated to: “Payment”)
Urgent
La pièce jointe est un document Microsoft Word avec un scan d'un document officiel :
Gootkit / Wonton / Xswkit
Gootkit / Wonton / Xswkit
Le document Word embarque une macro malveillante chargée de télécharger et d'exécuter le malware sur Windows ( lire : Documents XLS malveillants : macros-commandes VBA+PowerShell ).

La partie intéressante est qu'il exécute "explorer.exe" avec le paramètre "issdb" afin de spécifier le nom d'un fichier SDB ( Application Compatibility Database ) dans le but de télécharger Gootkit.

La méthode de désinfection de Gootkit / Wonton est sur supprimer-virus.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 103907
Inscription : 10 sept. 2005 13:57
Contact :

Re: Gootkit et campagne de mail Justice

Message par Malekal_morte »

Une mise à jour a été publiée pour bloquer l'évalation de privilèges sur sdbinst.exe décrite dans le message précédent.

#KB3045645 removes AutoElevation from sdbinst.exe for all supported versions below win10 (already removed here). Goodbye #Gootkit methods ;)
KB3045645 Gootkit
KB3045645 Gootkit
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 19:39

Xswkit / Gootkit Analysis

Message par ѠOOT »

Bonjour,

Simplement pour signaler aux lecteurs avisés la présence de travaux techniques de qualité. Une excellente analyse sur les mécanismes de persistance "Analyzing Gootkit's persistence mechanism (new ASEP inside!)" publiée par le CERT de la Société Générale ainsi que la reconstruction partielle fournie par EP_X0FF du forum Kernelmode concernant la méthode de contournement de l'UAC utilisée par Gootkit. Le billet "Gootkit banking Trojan jumps the Channel" de Proofpoint publié le 22 décembre 2015. En mai 2016, la section e-crime du groupe espagnol S21sec propose une ingénierie inverse de Xswkit / Gootkit.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Malekal_morte
Site Admin
Site Admin
Messages : 103907
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan Gootkit

Message par Malekal_morte »

Plusieurs campagnes Malvertising poussent Trojan Gootkit notamment par Nuclear Exploit Kit.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Malekal_morte
Site Admin
Site Admin
Messages : 103907
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan Gootkit / Wonton / Xswkit

Message par Malekal_morte »

Les campagnes pour ce Trojan continuent.
> Trojan Gootkit.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Actualité & News Informatique »