Evidemment dans le mail que j’ai reçu il y avait un ZIP ;) dans ce ZIP, un Executable PE avec look and feel de PDF Russe.
Et bien en fait c’est pas un vrai PDF figurez vous .. si si …
Bon je ne sais pas encore quel malware c’est vraiment ( MD5 3b9b00d63b8bda442cca5c37f171d2a3 ) Il est packé semble t’il en utilisant un packer qui Utilise aPLib assez visible
$ peentro.py message_zdm.exe Section Entropy Bytes Size MD5 Remark .text 7.44 8 107328 1a3465a3f270bbd128a8202e454a5e5d High Entropy .text 5.17 6 3891 3c116b3fb8f16dfedf0ba5eff9596797 .rdata 5.17 6 1530 36d737d4e452aba945f82f48a72cf377 .data 0.62 1 140 97a0c8b703ed297b12412ac3b2e6016a .rdata4 -0.00 0 1000 0f343b0931126a20f133d67c2b018a3b Unusal Segment .rdata3 -0.00 0 1000 0f343b0931126a20f133d67c2b018a3b Unusal Segment .rdata2 -0.00 0 1000 0f343b0931126a20f133d67c2b018a3b Unusal Segment .rsrc 4.29 5 12616 de12c9c486b3869517202636f87596d3
aPLib v1.01 - the smaller the better :) Copyright (c) 1998-2009 by Joergen Ibsen, All Rights Reserved. More information: http://www.ibsensoftware.com/
Ce qui veut dire que je suis pas sortis du bois pour l’avoir propre ;)
Quoi qu’il en soit çà m’a énervé, je l’ai dumpé (Je sais c’est pas beau) Voici les premiers C&C à download et les autres exécutables qu’il tente d’attraper.
http://www.rpc-ea.com:8080/ponyb/gate.php http://213.186.47.54:8080/ponyb/gate.php http://84.38.66.46:8080/ponyb/gate.php http://24.bodytitehidef.com/ponyb/gate.php http://www.5th3rd.com/HYKtQe.exe http://216.119.115.113/ddBH20.exe http://correctrxpharmacy.com/edZ.exe http://bensonfarms.com/KezD.exe http://entrepreneurnavigator.com/TEM2.exe
La Bestiole va aussi aller pécher les crédentials dans les fichiers/registre de configuration de CoffeeCup Software, Directory Opus, FlashFXP, FileZilla, Total Commander, Bullet Proof FTP, TurboFTP, LeapFTP, SecureFX, FireFTP, 3DFTP, SoftX FTP Client, BlazeFTP, FTP Now, Far Manager, Cute FTP, Fling, Expandrive, Opera, FireFox, K-Meleon, Chrome et Ersatzs en ‘ium’, IncredibleMail, Pocomail, Becky Internet Mail, The Bat!, WinMail, WindowsLiveMail… (Impressionnant hein). Elle fera des requêtes HTTP, Bref tout ce qu’on espère d’un Malware. Mais je vois pas de VNC ce coup ci.
Et pour finir, voici la liste des 254 mots de passe qu’il ne faut VRAIMENT pas utiliser car ils sont inclus dans ce malware pour le grand public ;)
000000 1111 11111 111111 11111111 112233 123123 123321 1234 12345 123456 1234567 12345678 123456789 1234567890 123abc 123qwe 1q2w3e 1q2w3e4r 222222 55555 654321 666666 7777 7777777 aaaaaa abc123 adidas admin amanda andrew angel angel1 angels anthony apple asdf asdfasdf asdfgh ashley asshole austin baby bailey banana bandit baseball batman benjamin billgates biteme blabla blahblah blessed blessing blink182 bubbles buster canada cassie charlie cheese chelsea chicken chris christ church cocacola compaq computer cookie cool corvette creative dakota dallas daniel danielle david destiny dexter diamond digital dragon eminem emmanuel enter faith flower foobar football football1 forever forum freedom friend friends fuckoff fuckyou fuckyou1 gates gateway genesis george gfhjkm ghbdtn ginger google grace green guitar hahaha hallo hannah happy hardcore harley heaven hello hello1 helpme hockey hope hotdog hunter ilovegod iloveyou iloveyou! iloveyou1 iloveyou2 internet james jasmine jason jasper jennifer jessica jesus jesus1 john john316 jordan jordan23 joseph joshua junior justin killer kitten knight letmein london looking love lovely loving lucky maggie master matrix matthew maverick maxwell merlin michael michelle mickey microsoft mike monkey mother muffin mustang mustdie mylove myspace1 nathan nicole nintendo none nothing onelove online orange pass passw0rd password password1 peace peaches peanut pepper phpbb pokemon poop power praise prayer prince princess purple qazwsx qwert qwerty qwerty1 rachel rainbow red123 richard robert rotimi samantha sammy samuel saved scooby scooter secret shadow shalom silver single slayer smokey snoopy soccer soccer1 sparky spirit startrek starwars stella summer sunshine superman rainbow red123 richard robert rotimi samantha sammy samuel saved scooby scooter secret shadow shalom silver single slayer smokey snoopy soccer soccer1 sparky spirit startrek starwars stella summer sunshine superman taylor test testing testtest thomas thunder tigger trinity trustno1 victory viper welcome whatever william windows winner wisdom zxcvbnm
Allez creusons ;)