Et voila qui est fait, notre malware funky est FareIT (Sample 3b9b00d63b8bda442cca5c37f171d2a3). C’est donc bien un droppeur voleur de mots de passe sans aucunes autres velléités. Je l’ai désossé de bout en bout (482 Fonctions) et je doit dire qu’il a su bien m’amuser (merci messieurs). Au menu de l’anti-debug, de l’anti-dump, de l’anti-désassemblage. on verra tous ceci en détail, mais je vous livre déjà la bête “nue”.
Il va de soit que l’on va passer du temps à regarder chaque fonctions rigolote, promis ! La bête est plus que velue en moissonnage au final il gère le vol de mot de passe de 97 applications (Les Harv_xx dans le schéma) !!. je n’ai jamais vus cela avant, c’est exceptionnel.
Une fois de plus… les antivirus sont bien au top sur la classification ;)
Antivirus Résultat Mise à jour Agnitum - 20130321 AhnLab-V3 Spyware/Win32.Zbot 20130321 AntiVir TR/PSW.Tepfer.EB.27 20130321 Antiy-AVL - 20130321 Avast Win32:Malware-gen 20130321 AVG Generic32.NCV 20130321 BitDefender Trojan.Generic.KDZ.11452 20130321 ByteHero - 20130320 CAT-QuickHeal - 20130321 ClamAV - 20130320 Commtouch W32/Trojan.LOJP-6882 20130321 Comodo UnclassifiedMalware 20130321 Emsisoft Trojan.Win32.Agent.AMN (A) 20130321 eSafe - 20130319 ESET-NOD32 Win32/PSW.Fareit.A 20130321 F-Prot W32/Trojan3.EYV 20130321 F-Secure Trojan.Generic.KDZ.11452 20130321 Fortinet - 20130321 GData Trojan.Generic.KDZ.11452 20130321 Ikarus Trojan-PWS.Fareit 20130321 Jiangmin - 20130321 K7AntiVirus Trojan 20130321 Kaspersky Trojan-PSW.Win32.Tepfer.hise 20130321 Kingsoft Win32.PSWTroj.Tepfer.hi.(kcloud) 20130318 Malwarebytes Trojan.FakeMS 20130321 McAfee RDN/Generic PWS.y!hj 20130321 McAfee-GW-Ed RDN/Generic PWS.y!hj 20130321 Microsoft PWS:Win32/Fareit.gen!I 20130321 MicroWorld-eScan - 20130321 NANO-Antivirus - 20130321 Norman Kryptik.MFC 20130321 nProtect - 20130321 Panda Trj/Genetic.gen 20130321 PCTools Trojan.Zbot 20130321 Sophos Troj/Zbot-EDW 20130321 SUPERAntiSpyware - 20130321 Symantec Trojan.Zbot 20130321 TheHacker - 20130321 TotalDefense - 20130321 TrendMicro TSPY_ZBOT.SMUA 20130321 TrendMicro-HCall TROJ_GEN.F47V0320 20130321 ViRobot - 20130321
Je vous le livrerait commenté avec son IDB à l’occasion de son désossage.
A bientôt.