Mon mail HSBC, Hoo encore un Malware

Hsbc Mail

Evidemment dans le mail que j’ai reçu il y avait un ZIP ;) dans ce ZIP, un Executable PE avec look and feel de PDF Russe.

PDF RusseEt bien en fait c’est pas un vrai PDF figurez vous .. si si …

Bon je ne sais pas encore quel malware c’est vraiment ( MD5 3b9b00d63b8bda442cca5c37f171d2a3 ) Il est packé semble t’il en utilisant un packer qui Utilise aPLib assez visible

$ peentro.py message_zdm.exe 
Section Entropy Bytes   Size    MD5                                     Remark
.text   7.44    8       107328  1a3465a3f270bbd128a8202e454a5e5d        High Entropy
.text   5.17    6       3891    3c116b3fb8f16dfedf0ba5eff9596797
.rdata  5.17    6       1530    36d737d4e452aba945f82f48a72cf377
.data   0.62    1       140     97a0c8b703ed297b12412ac3b2e6016a
.rdata4 -0.00   0       1000    0f343b0931126a20f133d67c2b018a3b        Unusal Segment
.rdata3 -0.00   0       1000    0f343b0931126a20f133d67c2b018a3b        Unusal Segment
.rdata2 -0.00   0       1000    0f343b0931126a20f133d67c2b018a3b        Unusal Segment
.rsrc   4.29    5       12616   de12c9c486b3869517202636f87596d3
aPLib v1.01  -  the smaller the better :)
Copyright (c) 1998-2009 by Joergen Ibsen, All Rights Reserved.
More information: http://www.ibsensoftware.com/

Ce qui veut dire  que je suis pas sortis du bois pour l’avoir propre ;)

Quoi qu’il en soit çà m’a énervé, je l’ai dumpé (Je sais c’est pas beau) Voici les premiers C&C à download et les autres exécutables qu’il tente d’attraper.

http://www.rpc-ea.com:8080/ponyb/gate.php
http://213.186.47.54:8080/ponyb/gate.php
http://84.38.66.46:8080/ponyb/gate.php
http://24.bodytitehidef.com/ponyb/gate.php
http://www.5th3rd.com/HYKtQe.exe
http://216.119.115.113/ddBH20.exe
http://correctrxpharmacy.com/edZ.exe
http://bensonfarms.com/KezD.exe
http://entrepreneurnavigator.com/TEM2.exe

La Bestiole va aussi aller pécher les crédentials dans les fichiers/registre de configuration de CoffeeCup Software, Directory Opus, FlashFXP, FileZilla, Total Commander, Bullet Proof FTP, TurboFTP, LeapFTP, SecureFX, FireFTP, 3DFTP, SoftX FTP Client, BlazeFTP, FTP Now, Far Manager, Cute FTP, Fling,  Expandrive, Opera, FireFox, K-Meleon, Chrome et Ersatzs en ‘ium’, IncredibleMail, Pocomail, Becky Internet Mail, The Bat!, WinMail, WindowsLiveMail… (Impressionnant hein). Elle fera des requêtes HTTP, Bref tout ce qu’on espère d’un Malware. Mais je vois pas de VNC ce coup ci.

Et pour finir, voici la liste des 254 mots de passe qu’il ne faut VRAIMENT pas utiliser car ils sont inclus dans ce malware pour le grand public ;)

000000
1111
11111
111111
11111111
112233
123123
123321
1234
12345
123456
1234567
12345678
123456789
1234567890
123abc
123qwe
1q2w3e
1q2w3e4r
222222
55555
654321
666666
7777
7777777
aaaaaa
abc123
adidas
admin
amanda
andrew
angel
angel1
angels
anthony
apple
asdf
asdfasdf
asdfgh
ashley
asshole
austin
baby
bailey
banana
bandit
baseball
batman
benjamin
billgates
biteme
blabla
blahblah
blessed
blessing
blink182
bubbles
buster
canada
cassie
charlie
cheese
chelsea
chicken
chris
christ
church
cocacola
compaq
computer
cookie
cool
corvette
creative
dakota
dallas
daniel
danielle
david
destiny
dexter
diamond
digital
dragon
eminem
emmanuel
enter
faith
flower
foobar
football
football1
forever
forum
freedom
friend
friends
fuckoff
fuckyou
fuckyou1
gates
gateway
genesis
george
gfhjkm
ghbdtn
ginger
google
grace
green
guitar
hahaha
hallo
hannah
happy
hardcore
harley
heaven
hello
hello1
helpme
hockey
hope
hotdog
hunter
ilovegod
iloveyou
iloveyou!
iloveyou1
iloveyou2
internet
james
jasmine
jason
jasper
jennifer
jessica
jesus
jesus1
john
john316
jordan
jordan23
joseph
joshua
junior
justin
killer
kitten
knight
letmein
london
looking
love
lovely
loving
lucky
maggie
master
matrix
matthew
maverick
maxwell
merlin
michael
michelle
mickey
microsoft
mike
monkey
mother
muffin
mustang
mustdie
mylove
myspace1
nathan
nicole
nintendo
none
nothing
onelove
online
orange
pass
passw0rd
password
password1
peace
peaches
peanut
pepper
phpbb
pokemon
poop
power
praise
prayer
prince
princess
purple
qazwsx
qwert
qwerty
qwerty1
rachel
rainbow
red123
richard
robert
rotimi
samantha
sammy
samuel
saved
scooby
scooter
secret
shadow
shalom
silver
single
slayer
smokey
snoopy
soccer
soccer1
sparky
spirit
startrek
starwars
stella
summer
sunshine
superman
rainbow
red123
richard
robert
rotimi
samantha
sammy
samuel
saved
scooby
scooter
secret
shadow
shalom
silver
single
slayer
smokey
snoopy
soccer
soccer1
sparky
spirit
startrek
starwars
stella
summer
sunshine
superman
taylor
test
testing
testtest
thomas
thunder
tigger
trinity
trustno1
victory
viper
welcome
whatever
william
windows
winner
wisdom
zxcvbnm

Allez creusons ;)

This entry was posted in Malware, Reverse and tagged , , , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

AlphaOmega Captcha Classica  –  Enter Security Code