HSBC.Zip Alias FareIT

Et voila qui est fait, notre malware funky est FareIT (Sample 3b9b00d63b8bda442cca5c37f171d2a3). C’est donc bien un droppeur voleur de mots de passe sans aucunes autres velléités. Je l’ai désossé de bout en bout (482 Fonctions) et je doit dire qu’il a su bien m’amuser (merci messieurs). Au menu de l’anti-debug, de l’anti-dump, de l’anti-désassemblage. on verra tous ceci en détail, mais je vous livre déjà la bête “nue”.

FAREIT

Il va de soit que l’on va passer du temps à regarder chaque fonctions rigolote, promis ! La bête est plus que velue en moissonnage au final il gère le vol de mot de passe de 97 applications (Les Harv_xx dans le schéma) !!. je n’ai jamais vus cela avant, c’est exceptionnel.

Une fois de plus… les antivirus sont bien au top sur la classification ;)

Antivirus        Résultat                        Mise à jour
Agnitum          -                                20130321
AhnLab-V3        Spyware/Win32.Zbot               20130321
AntiVir          TR/PSW.Tepfer.EB.27              20130321
Antiy-AVL        -                                20130321
Avast            Win32:Malware-gen                20130321
AVG              Generic32.NCV                    20130321
BitDefender      Trojan.Generic.KDZ.11452         20130321
ByteHero         -                                20130320
CAT-QuickHeal    -                                20130321
ClamAV           -                                20130320
Commtouch        W32/Trojan.LOJP-6882             20130321
Comodo           UnclassifiedMalware              20130321
Emsisoft         Trojan.Win32.Agent.AMN (A)       20130321
eSafe            -                                20130319
ESET-NOD32       Win32/PSW.Fareit.A               20130321
F-Prot           W32/Trojan3.EYV                  20130321
F-Secure         Trojan.Generic.KDZ.11452         20130321
Fortinet         -                                20130321
GData            Trojan.Generic.KDZ.11452         20130321
Ikarus           Trojan-PWS.Fareit                20130321
Jiangmin         -                                20130321
K7AntiVirus      Trojan                           20130321
Kaspersky        Trojan-PSW.Win32.Tepfer.hise     20130321
Kingsoft         Win32.PSWTroj.Tepfer.hi.(kcloud) 20130318
Malwarebytes     Trojan.FakeMS                    20130321
McAfee           RDN/Generic PWS.y!hj             20130321
McAfee-GW-Ed     RDN/Generic PWS.y!hj             20130321
Microsoft        PWS:Win32/Fareit.gen!I           20130321
MicroWorld-eScan -                                20130321
NANO-Antivirus   -                                20130321
Norman           Kryptik.MFC                      20130321
nProtect         -                                20130321
Panda            Trj/Genetic.gen                  20130321
PCTools          Trojan.Zbot                      20130321
Sophos           Troj/Zbot-EDW                    20130321
SUPERAntiSpyware -                                20130321
Symantec         Trojan.Zbot                      20130321
TheHacker        -                                20130321
TotalDefense     -                                20130321
TrendMicro       TSPY_ZBOT.SMUA                   20130321
TrendMicro-HCall TROJ_GEN.F47V0320                20130321
ViRobot          -                                20130321

 

Je vous le livrerait commenté avec son IDB à l’occasion de son désossage.

A bientôt.

 

This entry was posted in Malware, Reverse and tagged , , . Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

AlphaOmega Captcha Classica  –  Enter Security Code