Bienvenu(e)! Identification


http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html

https://www.ghacks.net/2017/09/21/ccleaner-malware-second-payload-discovered/

https://www.ghacks.net/2017/09/18/ccleaner-compromised-better-check-your-pc/

5.33.6162

(heureusement pour moi je désactive tjs la maj automatique d'un CCLEANER que j'installe car il s'est surtout propagé de cette manière). La version 5.33 n'ayant été que qques jours/semaines en ligne. Elle a été mise en ligne le 15 Août 2017 et une nouvelle la remplacée aux alentours du 12 ou 15 septembre.

il suffit de rechercher des entrées ds la base de registre et qques fichiers ... pas bien méchant, il comportait en fait plusieurs niveau d'exécution ... le premier constituait une base de données d'info sur les PCs infectés ... la seconde phase consistait à implanter le bon trojan pour prendre le contrôle du PC ... ensuite le but était soit de faire du DDOS ou des attaques contre de grands groupes ... mais il semble qu'ils n'ont pas eu le tps ... il reste que des PCs restent "infectés". Un ptit nettoyage avec une future version de CCLEANER ? :p

Clés de registre:

HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\001
HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\002
HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\003
HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\004
HKLM\Software\Microsoft\Windows NT\VersionCurrentVersion\WbemPerf\HBP

Fichiers:

GeeSetup_x86. dl (Hash: dc9b5e8e8aa6ec86db86db8af0a7aaa897ca897ca61db3e5f3d2e0942e319074db1aaccfdc83)
EFACli64. dll (Hash: 128aca58be325174f0220bd7ca6030e4e206b4378796e82da46da460055733bb6f4f)
TSMSISrv. dll (Hash: 07fb252d2d2e853a9b1b32f30ede411f2efbb9f01e4a7782db5eacf3f55cf34902)



Modifié 1 fois. Dernière modification le 21/09/17 23:52 par iznogoud.
Seuls les utilisateurs enregistrés peuvent poster des messages dans ce forum.

Cliquez ici pour vous connecter