MALWARE REPORT - VINOSOFT COMPUTERS MAY 2009

Toutes menaces confondues, c’est aux Etats-Unis que l’activité malveillante est la plus forte (23% de cette activité en 2008); dans le domaine du spam, les Américains arrivent en 3e position, derrière le Brésil et l’Allemagne. Outre l’étude de la cybercriminalité, Symantec a analysé la promptitude des éditeurs de navigateurs Web à corriger les vulnérabilités de leur logiciel. A ce jeu, Mozilla est le meilleur en 2008. La fenêtre d’exposition est ainsi inférieure à un jour. Cela signifie qu’entre la publication d’un code d’exploitation d’une faille de Firefox et la sortie d’un correctif, il s’est écoulé en moyenne moins de 24 heures.

Nous rencontrons de nombreuses configurations où les Utilisateurs ont désactivé les options des navigateurs du type "rechercher automatiquement les mises à jour" comme :

The biggest advertising serving program in the world, Google's AdSense, jeopardizes people's security {met en danger la sécurité}, by offering them "malvertizements" - ads that, when clicked, lead users to websites that host malware, rogue security products or other threatening applications.

Novembre 2009K01 : spam "facebook team" usurpé + virus

1/ les messages : "Facebook account update" & "new login system"

2/ Lien du bouton "update" :

www dot facebook.com.lllujioj.eu/globaldirectory/LoginFacebook.php?ref=54386...2454187&email=alphonsine@phishers.com

N° de référence et adresse email modifiés, of course :-)

3/ Clik on "updatetool.exe" ->

www dot facebook.com.lllujioj.eu/globaldirectory/updatetool.exe : a variant of Win32/Spy.Zbot.VM trojan

Peut-on télécharger une image au format jpg qui contienne un virus ?

Oui.

8/11/2009 AMON file 42_0091.jpg a variant of Win32/Sality virus quarantined - deleted.
8/11/2009 AMON file 897_0068.jpg a variant of Win32/Sality virus quarantined - deleted.
8/11/2009 AMON file 238_0114.jpg a variant of Win32/Sality virus quarantined - deleted.

Le fichier est envoyé à l'excellent service gratuit VirusTotal : confirmation Win32/Sality.AA

Win32/Sality.AA also known as: W32/Sality (McAfee), Virus.Win32.Sality.aa (Kaspersky), W32.Sality.AE (Symantec), Virus:Win32/Sality.AM (MS OneCare), PE_SALITY.EM (Trend)

Method of Distribution 1 : via File Infection : Win32/Sality.AA is a polymorphic virus that attempts to spread by file infection. It looks for Win32 PE executable files with .EXE or .SCR file extensions, and infects any such files found on the system by appending the virus body to the host file. Method of Distribution 1 : via Networks/Removable Drives : The virus also attempts to propagate by copying itself with a random filename to network drives, including all removable disk drives. Sality.AA also creates an "autorun.inf" file in these drives so that the virus executes when it is accessed.

Method of Infection : when executed, Win32/Sality.AA drops a malicious component file to : %System%\drivers\<random filename>.sys
This component is a device driver that acts as a 'rootkit' at kernel level; it allows the virus to hide itself in the compromised system by changing data structures in the kernel and hiding its malicious activity. This 'rootkit' method only functions on Windows NT-based operating systems, such as NT/2000/XP/2003.
Sality.AA also adds the following registry entry as a part of the device driver installation routine : HKLM\SYSTEM\CurrentControlSet\Services\abp470n5
It adds the following text to the "system.ini" file located in the %Windows% directory : [MCIDRV_VER] - DEVICEMB=<random number>
It also adds the following registry key with numerous random subkeys and entries needed for its malicious routine : HKCU\Software\<computer name><3 random numbers>
Autre variante : W32/Sality-AA est un virus qui fait aussi office d'enregistreur de touches; il crée le fichier <dossier système Windows>\vcmgcd32.dll. Ce fichier est aussi détecté sous le nom de W32/Sality-AA. Le virus enregistre des frappes de touches dans certaines fenêtres, ainsi que des informations sur l'ordinateur infecté. Ces données enregistrées sont périodiquement soumises à un site Web distant.

Juin 2009 : rootkit (pc rongé jusqu'à la moelle).

Suite à la navigation sur un site internet piègé, un répertoire a été créé avec implications dans le registry, dont :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\...

...RunOnce\ApprovedByRegRun2\AntiRepl\10]
"Operation"=dword:00000001
"Target"="C:\\PROGRA~1\\THUNMAIL\\TESTABD.DLL"
"Source"=""

Nous avons compressé les deux fichiers de ce répertoire

(TESTABD.DLL et .EXE) et les avons conservé.

Nous envoyons l'archive.rar chez VirusTotal : résultats dans cet encadré.

Voici la capture d'écran transmise par notre Client au moment de la découverte de l'infection :

L'infection précédente met en cause : 212.117.174.14/service-466.exe & 212.117.174.14/glsetup.exe

ip-212-117-174-14.server.lu : root eSolutions - Steinsel - Luxembourg

Au départ de cet historique : Rootkit.Podnuha.NCB.trojan

Septembre 2009i16 : spam + plugin + phishing (fraude) + virus (trojan)

1/ le message de Bradesco [atendimento@bradesco.com.br]

Download le "Plugin de Atualização" ->

a variant of Win32/Spy.Banker.PBS trojan

http:// mstsc.sitebrasil.org/www/bradesco.com.br/PluginAtu_windows.v1.017.exe

mstsc.sitebrasil.org = 201.33.17.125 = DataCorpore Serviços e Representações, Brazil Virus

Nod32 supprime le fichier vérolé avant la fin du download par firefox.

Norton Antivirus n'a pas la même attitude et laisse le téléchargement se terminer.

Nous effectuons un "manual scan" avec Symantec NAV après LiveUpdate : aucune alerte.

Le fichier est alors tranmis à VirusTotal pour analyse, confirmant que Symantec ne détecte rien :

De l'intérêt d'avoir deux antivirus (lorsque la puissance de la machine le tolère sans perdre trop de convivialité de travail) !

Sur un bon P4, nous estimons devoir concéder 5% de vitesse de travail pour obtenir cette double protection.

NAV aurait du trouver un "PWSteal.Banker"

The Win32/Spy.Banker.PBS Trojan spy program is designed to steal confidential financial information. It also has a backdoor function.

The Trojan scans all accessible network and Internet resources for links to banking and other financial information and resources, harbests this information and uploads it to an Internet site.

Banker.u has a backdoor function, which provides a malicious remote user with full access to the infected machine, and makes it possible to download files from the Internet and execute them.

Headers du message (extraits) :

X-SID-PRA: Bradesco <atendimento@bradesco.com.br>
X-Message-Info: R00BdL5giqptu8fPx2YnP9J1QKEitFh9GPk1fqxuxpgRhGl1k2MCR+qJlc3IrgL/J3IYdYxsLLM7FfFMJiQI+fPISWA+MIim
Received: from lists.levonline.com ([217.70.33.37]) by [removed] with Microsoft SMTPSVC(6.0.3790.3959); Tue, 15 Sep 2009 18:20:21 -0700
Received: from localhost (localhost.localdomain [127.0.0.1]) by lists.levonline.com (Postfix) with ESMTP id 09F7529C18A for <vinosoft[removed]>; Wed, 16 Sep 2009 03:20:21 +0200 (CEST)
X-Virus-Scanned: By http://levonline.com - free virus scanning for all customers
Received: from lists.levonline.com ([127.0.0.1]) by localhost (lists.levonline.com [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id XkeUBtnbwaig for <vinosoft[removed]>
Received: from truck2.fordonnet.levonline.com (gw-uu-virtual.levonline.com [217.70.32.2]) by lists.levonline.com (Postfix) with ESMTP id EF76529C152 for <vinosoft[removed]>

Expéditeur suédois : gw-uu-virtual.levonline.com (217.70.32.2) - Stockholm

Received: from truck2.fordonnet.levonline.com (localhost.localdomain [127.0.0.1]) by truck2.fordonnet.levonline.com (8.12.11.20060308/8.12.11) with ESMTP id n8G1KKRY031968 (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO) for <vinosoft[removed]>; Wed, 16 Sep 2009 03:20:20 +0200
Received: (from nobody@localhost) by truck2.fordonnet.levonline.com (8.12.11.20060308/8.12.11/Submit) id n8G1KKSj031956; Wed, 16 Sep 2009 03:20:20 +0200
Date: Wed, 16 Sep 2009 03:20:20 +0200
Message-Id: <200909160120.n8G1KKSj031956@truck2.fordonnet.levonline.com>
X-Authentication-Warning: truck2.fordonnet.levonline.com: nobody set sender to c0914500@levonline.com using -f
X-Origin-Levonline: /home/userC/c0914500/public_html/paxter.net/images

Octobre 2009, résultat d'une recherche sur Google

On "tombe" sur des sites de type : www.telecharger-avast.be/malwares-et-rootkits.php, www.telecharger-avast.be/mort-les-performances.php ...

au contenu plutôt inattendu :

ENTRER ->

SORTIR ->

Avec ENTER, vous pouvez tchater avec papillone ... alors que vous vouliez un antivirus gratuit ... !!!

telecharger-avast.be (213.186.33.4) = OVH SAS - Roubaix - France

secret-laly.com (85.118.38.14) = Dreamnex allocated, Ielo Administration - Marseille - France

logicielsfr.com (64.38.244.27) = g1@euromarketsolutions.com = CWIE, LLC - Tempe - Arizona - USA

Septembre 2009, en cherchant un pilote VIA/S3 pour Vista sur Google, on tombe sur slashlegal.com

-> Microsoft Antivirus = VirTool:Win32/Obfuscator.ER

Septembre 2009 : Microsoft a déposé plainte contre DirectAd Solutions, Soft Solutions, qiweroqw.com, ote2008.info et ITmeter, cinq éditeurs qu'il accuse de répandre sur la toile de faux messages d'alertes de sécurité ressemblant à ceux de Windows pour pousser les internautes à acquérir leurs logiciels malveillants et faux antivirus. Les scarewares sont en effet souvent cachés sur de faux sites internet, où le consommateur risque également de se faire dérober des informations bancaires ou bien se faire infecter réellement l'ordinateur à coups de malwares et autres pop ups.

Avatar entre Collègues : nous prêtons une clé USB à un Informaticien de nos Connaissances avec les pilotes pour un USB WiFi Dongle à installer chez un de ses Clients.

Nicolas nous rend la clé USB après usage; en confiance nous la branchons dans un de nos PC's -> VIRUS -> infection généralisée -> réparation !

Pour se débarasser de cette saloperie, nous utilisons un autre OS que Windows -> Mac :

Virus autorunme.exe - virscan.org/report

Phishing - PayPal, mai 2009 :

1/ le message :

2/ Cliquez ici ... ->

L'URL doit normalement vous mettre la puce à l'oreille : Paypal sur

webcammyguide.com/paypal.fr/webscr.php?cmd=_login-run&dispatch= 5885... : c'est peu vraisemblable.

Etape suivante :

Etape suivante : tout est en ordre

Le souci est que toutes les données encodées sont maintenant à la disposition d'un pirate car ce n'était pas le site de PayPal !

Où est le site qui a récupéré les données :

Voici le "vrai" site webcammyguide.com, qui héberge le faux formulaire PayPal (webcammyguide.com/paypal.fr)

Notes :

- bizarrement, aucun lien n'est actif sur cette page

- selon Google, ce nom de domaine est associé a "suspected phishing".

Headers du message d'origine :

Return-path: <service@paypal.fr>
X-Spam-Score: 7
Received: from waikiki.ops.eusc.inter.net (unverified [84.23.254.155]) by mail10.e-zone.net (Rockliffe SMTPRA 9.0.1) with ESMTP id <B0004153944@mail10.e-zone.net> for <vinosoft...>; Sun, 10 May 2009 09:43:05 +0200
...

Received: from waikiki.ops.eusc.inter.net ([10.155.10.22] helo=localhost) by waikiki.ops.eusc.inter.net with esmtpa (Exim 4.69) id 1M338d-000K1k-To for vinosoft...; Sun, 10 May 2009 09:07:56 +0200
From: "paypal" <service@paypal.fr>
Subject: Chers membres PayPal: Attention Votre compte PayPal a =?ISO-8859-1?Q?=E9te?= limite !

Expéditeur : 84.23.254.155 = waikiki.ops.eusc.inter.net = Inter.net Germany GmbH - D-10719 Berlin - Germany

SUIVI :

- le 10/05/2009, nous avons signalé nos soupçons de dangerosité du site à www.phishtank.com

- le 14/05/2009, le site webcammyguide.com n'est plus accessible.