Trojan Bedep - ADFraud à 150 millions de hits / jour

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94574
Inscription : 10 sept. 2005 13:57
Contact :

Trojan Bedep - ADFraud à 150 millions de hits / jour

Message par Malekal_morte » 01 sept. 2015 22:57

Trojan.Bedep est une menace informatique de type trojan et plus particulièrement de type Trojan Clicker / AdFraud. C'est à dire qu'il va charger de manière masquée "en tâche de fond" des pubs afin de gagner de l'argent avec celles-ci.
Malwarebytes Anti-Malware détecte ce dernier en Backdoor.LuminosityLink.

Il se propage essentiellement par des WEB exploits poussés par des malvertising

Voici une analyse qui présente le fonctionnement :
bedep_trojan_schema.png
bedep trojan schéma
( image: Sentrant / Ara Labs © )

Le trojan ne charge pas directement des publicités mais charge d'abord des régies de publicités permettant de générer du traffic. Des sites payent ces régies afin de récupérer ce traffic, une fois arrivés sur ces sites, le trojan remplace les publicités par les siennes ce qui permet de dégager des gains. Cette sophistication complique le suivi des publicités générées par le botnet.

Le malware simule un navigateur et retire tous les sons des vidéos de publicités.

L'estimation est de 150 millions de hits par jour, pour 80 000 bots, ce qui est loin d'être négligeable.

Source: Exposing the Mechanics Behind 153.6M Defrauded Ad Impressions A Day

~~

Voici une capture d'un des WEB exploits menant au Trojan.Bedep à travers l'infection du board pour adultes planetsuzy.org :

Image

Bedep charge une DLL, dans mon cas :
CustomCLSID: HKU\S-1-5-21-2568215945-4132293836-1244343729-1000_Classes\CLSID\{56CBD3CF-BF99-4DF5-851F-F5B9B57496A1}\InprocServer32 -> C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4}\xrWCtmg2.dll (Microsoft Corporation)
Le dossier Guid dans ProgramData est typique du Trojan Bedep.

Image

puis va injecter des processus Windows pour effectuer les connexions nécessaires, voir le dossier : Injection de code (PE/DLL injection) et dropper

Image

En Orange les connexions au serveur de contrôle.
Puis contacte un serveur de pubs pour effectuer les connexions "AdFraud".
Image

Voici un résume en vidéo :


Il faut savoir que le Trojan Bedep est actif en mode sans échec :

Image

Enfin voici un exemple de blocage du Trojan Bedep, à travers une règle qui empêche l'établissement de connexion TCP vers le 80 avec le pare-feu de Windows (voir : Tutoriel pare-feu Windows).
Ainsi le Trojan ne peut recevoir les ordres depuis le serveur de contrôle.



Enfin dans la vidéo suivante, comment détecter une injection de DLL non signée provenant de Trojan Bedep.


Dans le même style avec des injections d'explorer.exe, vous avez Trojan Sathurbot


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94574
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan Bedep - ADFraud à 150 millions de hits / jour

Message par Malekal_morte » 25 sept. 2015 14:53

Autre actualité liée à Bedep où le site porno xhamster conduit à l'ExploitKit Angler : Malvertising xhamster.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94574
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan Bedep - ADFraud à 150 millions de hits / jour

Message par Malekal_morte » 15 avr. 2016 10:27

Microsoft vient d'ajouter le Trojan Bedep au MSRT, ce dernier est détecté par la firme en Backdoor:Win32/Bedep.A ou Backdoor:Win64/Bedep.A.

Dans son bulletin Microsoft prévient que le Trojan Bedep télécharge aussi des Trojan Banker et stealer comme : Quelques chiffres :
BedepGeoDist1.png
Trojan Bedep
La France représente 3% des pays touchés :
BedepPie.png
Trojan Bedep
Comme nous l'évoquions, Bedep est poussé par l'ExploitKit Angler.

Kaffeine a d'ailleurs publié une actualité sur Bedep : http://malware.dontneedcoffee.com/2016/ ... ntiVM.html
Des malvertising visant l'Australie et incorporant un Anti-VM.

Un malware toujours d'actualité donc.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94574
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan Bedep - ADFraud à 150 millions de hits / jour

Message par Malekal_morte » 29 avr. 2016 09:19

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94574
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan Bedep - ADFraud à 150 millions de hits / jour

Message par Malekal_morte » 04 mai 2016 13:42

Message initial édité pour ajouter un exemple d'une infection Bedep avec une vidéo.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94574
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan Bedep - ADFraud à 150 millions de hits / jour

Message par Malekal_morte » 09 mai 2016 20:51

Une malvertising sur le site pour adultes xhamster mène à un Web Exploit et au trojan Bedep:
Xhamster_WebExploit_Trojan_Bedep.png
Trojan Bedep via un WebExploit sur Xhamster
SHA256: f7dd6a242eb25308639ca64b94170c3e7cbb5a88fb4ec5351ec7d9e924cbc92b
Detection ratio: 28 / 57
Analysis date: 2016-05-09 18:20:08 UTC ( 6 minutes ago )

Antivirus Result Update
ALYac Gen:Variant.Barys.50433 20160509
AVG MSIL_c.QSU 20160509
AVware Trojan.Win32.Generic!BT 20160509
Ad-Aware Gen:Variant.Barys.50433 20160509
AegisLab Troj.W32.Gen.lZYM 20160509
AhnLab-V3 Trojan/Win32.Skeeyah 20160509
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20160509
Arcabit Trojan.Barys.DC501 20160509
Avast MSIL:Agent-BAO [Trj] 20160509
BitDefender Gen:Variant.Barys.50433 20160509
Bkav W32.SkeeyahAgentD.Trojan 20160509
DrWeb Trojan.DownLoader20.49288 20160509
ESET-NOD32 a variant of MSIL/Agent.AIU 20160509
Emsisoft Gen:Variant.Barys.50433 (B) 20160503
F-Secure Gen:Variant.Barys.50433 20160509
GData Gen:Variant.Barys.50433 20160509
Ikarus Trojan.MSIL.Agent 20160509
Kaspersky HEUR:Trojan.Win32.Generic 20160509
Malwarebytes Backdoor.LuminosityLink 20160509
McAfee-GW-Edition BehavesLike.Win32.Backdoor.gc 20160509
eScan Gen:Variant.Barys.50433 20160509
Microsoft Trojan:Win32/Skeeyah.A!rfn 20160509
Qihoo-360 QVM03.0.Malware.Gen 20160509
Sophos Mal/MsilKlog-D 20160509
TrendMicro-HouseCall HT_AGENT_FD1101AD.UVPM 20160509
VIPRE Trojan.Win32.Generic!BT 20160509
Yandex Trojan.Agent!mw+l1v3mQHw 20160508
Zillya Trojan.Agent.Win32.672307 20160508


Bedep has raised its game vs Bot Zombies
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Actualité & News Informatique »