Avatar 2009C30 -
Fake PayPal EmailLa simple visualisation du message fait rentrer un virus : W32.Chir.B@mm
Le message :
Extraits des Headers :
Return-path: <service@pay-pal.fr>
Received: from smtp20.orange.fr (unverified [193.252.22.29]) by mail.e-zone.fr
(Rockliffe SMTPRA 8.0.5) with ESMTP id <B0085531329@mail.e-zone.fr> for <admin@[removed].com>;
Sun, 29 Mar 2009 22:02:01 +0200
Expéditeur : jocker.hosting24.com.au (125.214.64.230)
- Web24 Pty Ltd, Virtual and Dedicated server colocation provider, Mulgrave, Victoria, AustraliaAu sujet de la bestiole : W32.Chir.B@mm - Une "Virus Alert" chez Microsoft.
Le virus utilise une faille de Outlook
Express afin de s'executer automatiquement
: Yacapa
Il ajoute la valeur : Runonce (C:\Windows\System\Runouce.exe) à la clé de
registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Pour envoyer des emails, il utilise le serveur btamail.net.cn. Le ver recherche
les adresses emails dans le carnet d'adresse de microsoft outlook (.wab) et dans
les fichiers de type .htm, .html, .exe, et .scr
Ensuite, il infecte les fichiers html a la maniere du virus Nimda : pour cela,
il crée tout d'abord un fichier .eml qui contient le corps du message envoyé par
email. Ensuite, il modifie le fichier html afin que celui-ci ouvre le fichier
.eml a chaque visualisation de ce fichier html.
Avatar 2009C26 - Banking Services
1/ le message sur un compte email professionnel
Headers (extraits)
Received: from mail[removed].be by mail[removed]be (Postfix) with ESMTP id 59E04120082 for <vinosoft@[removed]>; Thu, 26 Mar 2009 12:42:00 +0100 (CET)
Received: from
ns.coopersulca.com.br (HELO
mail.arrozfazenda.com.br) ([200.180.29.130])
by [removed]be with ESMTP; 26 Mar 2009 12:41:59 +0100
Received: from localhost (localhost.localdomain [127.0.0.1]) by
mail.arrozfazenda.com.br (Postfix) with ESMTP id 72F52228176 for <vinosoft@[removed]>;
Thu, 26 Mar 2009 06:43:47 -0300 (BRT)
Received: from mail.arrozfazenda.com.br ([127.0.0.1]) by localhost (general
[127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 01620-08 for <vinosoft@[removed]>;
Thu, 26 Mar 2009 06:43:47 -0300 (BRT)
Received: by mail.arrozfazenda.com.br (Postfix, from userid 108) id B7BB016E24;
Thu, 26 Mar 2009 03:06:32 -0300 (BRT)
Subject: Abbey Online Banking Security
From: security@abbey.com
To: vinosoft@[removed]
Message-Id: <2009032606[removed]016E24@mail.arrozfazenda.com.br>
Date: Thu, 26 Mar 2009 03:06:32 -0300 (BRT)
X-Virus-Scanned: by amavisd-new at arrozfazenda.com.br
href="http:// www .thuiszorgrespect.nl/abbey/security/upv1121.exe">http:// www .abbey.com/security/upv1121.exe</A></FONT></P>
Expéditeur du message : ns.arrozfazenda.com.br (200.180.29.130) = COOPERATIVA REGIONAL AGROPECUÁRIA SUL CATARINENSE - Brazil
Normalement, le destinataire du message s'arrête là :
1/ pas de compte chez Abbey Bank, dans notre cas
2/ jamais un fichier.exe en temps qu'URL
3/ surtout si il y a un camouflage : www .thuiszorgrespect.nl se cache derrière le nom du site de la banque www .abbey.com
2/ Pour tester, nous cliquons, cela devient :
http:// www .abbey.com/csgs/ContentServer?appID=abbey.internet.Abbeycom&c=Page&canal=CABBEYCOM&cid=1210607007773&empr=Abbeycom&leng=en_GB&pagename=Abbeycom%2FPage%2FWC_ACOM_TemplateA2/upv1121.exe :
"The requested page was not found."
Test de http ://www .thuiszorgrespect.nl/abbey/security -> "You don't have permission to access /abbey/security/ on this server"
Test de http:// www .thuiszorgrespect.nl/abbey/security/upv1121.exe ->
Aucune alerte de notre antivirus résident (Nod32) ni lors de l'enregistrement du fichier ni lors d'un scan manuel du fichier.
Aucune alerte de Malwarebyte UpToDate :
Aucune alerte de TrojanRemover UpToDate :
Nous soumettons alors le fichier à un service en ligne :
Voici les renseignements fournis par Virus Total, étape par étape de l'analyse :
|
|
Nous demandons une ré-analayse :
Qui confirme celle qui était déjà disponible :
Il s'agit bien d'un cheval de Troie (trojan), de type "Banker" non reconnu par Nod32
Avatar 2009C09, même type que le "2009C05" ci-dessous
1/ demande de conseil de notre Cliente :
2/ ouverture du message suspect transmis par notre Cliente (joint à son message) :
Headers :
X-Account-Key: account2 X-Mozilla-Keys: Received: from (mailfilter01.pcextreme.nl [89.18.190.60]) by <removed> with ESMTP id n294lWa7021999 for <removed>; Mon, 9 Mar 2009 05:47:32 +0100 Received: from web07.nl01.pcextreme.nl (unknown [10.0.1.66]) by mailfilter01.pcextreme.nl (Postfix) with ESMTP id 7C9513561 for <removed>; Mon, 9 Mar 2009 04:26:40 +0100 (CET) Received: by web07.nl01.pcextreme.nl (Postfix, from userid 28632) id 678053E6508; Mon, 9 Mar 2009 04:25:20 +0100 (CET) To: dm104689@scarlet.be Subject: Veuillez retablir rapidement un acces complet !!! From: PaypaI service <support@contact.fr> MIME-Version: 1.0 Content-Type: text/html Message-Id: <removed.pcextreme.nl> Date: Mon, 9 Mar 2009 04:25:20 +0100 (CET) Content-Transfer-Encoding: quoted-printable
Expéditeur : mailfilter01.pcextreme.nl = 89.18.190.60 = PCextreme BV - Londensekaai 1, 4331JG Middelburg - The Netherlands
3a/ click sur Verifier Votre compte paypal
3b/ Goto HomePage du "soit-disant" site PayPal :
Il ne s'agit pas du site PayPal.
next-udapteinfo.me = 81.169.145.87 = Strato Rechenzentrum, Berlin, Germany
Aucune investigation supplémentaire n'est nécessaire (vu le caractère de dangerosité rencontré dans l'analyse précédente [Win32/Nimda.A worm]).
C'est du phishing comme celui de l'avatar précédent, rapporté ci-dessous.
Avatar 2009C05
Une belle saloperie "2 en 1" : phishing + virus.
1/ demande de conseil de notre Cliente :
2/ ouverture du message suspect transmis par notre Cliente (joint à son message) :
3/ Analyse des HEDAERS :
X-Account-Key: account2
X-Mozilla-Keys:
Received: from (smtpgate01.nexlink.ch [80.86.198.161]) by
removed with ESMTP id removed for <removed@provider.be>;
Thu, 5 Mar 2009 11:42:18 +0100
Message-Id: <removed>
Received: from 162.29.65-86.rev.gaoland.net ([86.65.29.162] helo=User) by
mail05.nexlink.ch with esmtpa (Exim 4.69) (envelope-from
<Lloyds@securesuite.net>) id 1LfB1h-00045k-01; Thu, 05 Mar 2009 11:42:05 +0100
From: "service paypal"<Lloyds@securesuite.net>
Subject: Notre systeme a detecte des debits inhabituels sur une carte de credit
associee a votre compte PayPal.
Date: Thu, 5 Mar 2009 11:42:05 +0100 - ... X-Priority: 3 - X-MSMail-Priority:
Normal - X-Mailer: Microsoft Outlook Express 6.00.2600.0000
L'expéditeur est français : 162.29.65-86.rev.gaoland.net = 86.65.29.162 - Internet Services - CARNET-DE-VOL - 06515 Carros - France
Clic sur : Veuillez rétablir l'accès à votre compte = http:// coul-onges-com.site-preview.net/administrator/
Première vérification : demande à TinyURL de nous réduire la taille du lien amené :
C'est clair : on peut s'attendre à des soucis.
Qui est coul-onges-com.site-preview.net ? A-t-il un rapport avec PayPal ? La réponse est "peu probable"
coul-onges-com.site-preview.net = 80.86.198.13
green.ch AG, Brugg, Switzerland - Shared Hosting - green.ch AG Network Operations - 5200 Brugg - Switzerland
4/ On y va quand-même :
Page suivante. On y encode les renseignements que le Phisher a besoin :-)
"J'accepte" et bonjour la bestiole :
Merci Nod32 d'avoir effectué "connection terminated" qui nous aurait amené le Win32/Nimda.A worm
Une belle saloperie datant de septembre 2001:
Nimda is a mass mailing email worm. This worm
will infect Windows systems as well as computers installed with IIS servers.
Nimda also spreads over network shares.
The worm arrives with a random subject carrying an invisible attachment
readme.exe. The content of the mail will be blank. When the infected mail is
opened or previewed under Microsoft Outlook or Microsoft Outlook Express, the
worm gets activated and tries to propagate in different modes.
The worm copies itself into Windows System folder as LOAD.EXE. Later on the worm
modifies SYSTEM.INI by adding a line Shell=explore.exe load.exe -dontrunold to
activate itself during next windows startup. It copies itself as ADMIN.DLL under
root of windows installed drive. The worm then modifies .HTM, .HTML., and .ASP
files on the local drives with JavaScript that causes readme.eml, created by the
worm to be loaded by Internet Explorer(ver. 5.1 or above) and Outlook Express.
The worm overwrites MMC.EXE with itself and infects the exe files, entries
present under the following registry key:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
It replaces the original Riched20.DLL file with worm infected riched20.dll. The
worm gets executed whenever Microsoft Word application is activated.
After this the worm tries to spread through the network shares by infecting .EXE
files and by overwriting .NWS and .EML files. It creates a network share with no
password on all the local drives of the infected computer. This would allow easy
propagation of worm across network.
It mails itself to email addresses present in .HTM and .HTML files of local
computer, it also spreads using email addresses under MAPI messages of Microsoft
Outlook and Microsoft Outlook Express.
This worm is also known as W32/Minda@MM, Troj_Nimda, Code Rainbow, Minda, Nimbda
Tags : VinoSoft Selection Computers Brussels Bruxelles Europe Montana & Kentucky@1140 - Tous nos transports par BMS Delivery - Serrurerie, une seule adresse : Symulak - Opticien-Visagiste : "La Boîte à Lunettes" - Worthington Distributor : Gestimed - Electricien (et câblage réseau) : "Engineering Office Associated - Ces&Co" - Rénovation des bâtiments : Top Renove sprl (Miroslaw Przychodzien, Stéphane Dardenne, Alain Rouhard) - Internet : création de sites (cohérence graphique) et présentations Powerpoint (TriPod WebDesign, Christophe Van Wambeke) - Internet : hébergement et stratégies marketing (Boberlin, Benjamin Bobon) - Culture : Café Théatre "des 2 gares" - Artistes Peintres : Michèle Kumps & Jacques Kumps - Auteur Compositeur de musique celtique : Alain Herickx - VinoPlanet - VinoWeb - MiniZoo - ACWeb - Kine-online - Amis des Oiseaux : Charlotte Webmaster - Elevage familial de bergers belges : les loups de la nuit (à Lillois)
