TR/Pisux.A - Loading video...if this takes a long time

Encore un nom de domaine qui revient de l'outre tombe. Expiré au mois de juin, ré-enregistré le 26 août et déjà au travail.

   DNS: HI5PHOTOS.NET (98.136.92.79 - p6p.geo.vip.ac4.yahoo.com)
   Name Server: YNS1.YAHOO.COM
   Name Server: YNS2.YAHOO.COM
   Registrar: MELBOURNE IT, LTD. D/B/A INTERNET NAMES WORLDWIDE
   Creation: 26-aug-2009
   Updated: 26-aug-2009
   Expiration: 26-aug-2010

L'index de "hi5photos.net" contient:

Loading video...if this takes a long time try:<br>
To download a new version <a href=adobe_flash_player.exe border=0>Here</a><br>
Or download the full video <a href=bar_rafaeli.wmv.exe border=0>here</a>
<META HTTP-EQUIV="Refresh" CONTENT="3; URL=dl.php">

Le programme "adobe_flash_player.exe" est compressé UPX.
MD5: 0ca957fd81ae50c7e2cc46242fb90c6b
SHA1: 7d5b2c15342b7cf0e926f4f80226de676610c268
VT: 2009.08.27 17:56:27 (UTC) - 7/41 (17.07%)

Télécharge: http://www.hotlinkfiles.com/files/2772987_2q7bl/load.exe
MD5: ba906422af3dd4259ec4c8a7fcf2572d
SHA1: 46e22b2c9d1191843ce9dfe8a6d5a20907a73aab
Le rapport TE de cet échantillon n'est pas très bavard, celui-ci retourne une erreur.TR/Pisux.A
Les résultats VT suivant les différentes étapes de l'analyse.
- 2009.08.27 20:16:15 (UTC) - 2/41 (4.88%)
- 2009.08.27 20:16:29 (UTC) - 9/41 (21.96%)

AntiVir 7.9.1.7 2009.08.27 TR/Pisux.A

Pisux, le nom du fichier déposé dans %TMP%, quelle originalité :]

Le lien qui nous a été signalé était le suivant:
http://www.hi5photos.net/images.php?i=PICT00020090827.JPG

La page "images.php" contient:

La page "dl.php?i=" permet d'afficher le message:

<center>Now downloading: PICT00020090827.JPG<br>

La page "dl2.php" contient un exploit, une fois décodé:

La page "banner.php" va télécharger l'animation flash "98757182190.swf"

La page "dl3.php" télécharge le programme "IMG000020090825-JPG.EXE"
Packer: Microsoft CAB SFX (Suspicious)
MD5: 4fe15ad6d7170507132c6eb71fc164c1
SHA1: e4cf6f0c38a32e035f95df110e83e6481356d7e2
VT: 2009.08.27 18:19:59 (UTC) - 4/41 (9.76%)

IMG000020090825-JPG.EXE steps

Botnet: ›› S0URCE.CRKRXER.NET
Botnet: ›› NIGGER.IROXUSUX.COM
Botnet: ›› JESTER.IZTHEWIZ.NET
• 85.90.162.28:60500/TCP
• 66.225.219.106:60500/TCP
JOIN ##KAZAHKSTAN##

   Domain Name: CRKRXER.NET
   Name Server: D1.REGNAME.BIZ
   Name Server: D2.REGNAME.BIZ
   Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
   Creation: 11-jun-2009
   Updated: 12-aug-2009
   Expiration: 11-jun-2010

Spicy Nikka (thecr3w@live.com)

Rubert 5

Bolanche

Clastro,62433

TOKELAU

   DNS: IROXUSUX.COM
   Name Server: NS1.NSNOC.COM
   Name Server: NS2.NSNOC.COM
   Registrar: ENOM, INC.
   Creation: 11-jun-2009
   Updated: 12-jun-2009
   Expiration: 11-jun-2010

Azamat Bogatov (rapemybiz@gmail.com)

Kazhakstreet 5

Borat, 55363

KAZAHKSTAN

   DNS: IZTHEWIZ.NET
   Name Server: NS1.DYNADOT.COM
   Name Server: NS2.DYNADOT.COM
   Registrar: DYNADOT, LLC
   Creation: 11-jun-2009
   Updated: 11-jun-2009
   Expiration: 11-jun-2010

Nelson Mandela (rustyoldbastard@googlemail.com)

Africa 5

London, Berkshire A3ERR5

United Kingdom

Cette entrée a été postée par Matt sur Vendredi, 28 août 2009 à 08:12. Vous pouvez laisser un commentaire, ou utiliser le trackback Les commentaires seront vérifiés avant publication.

Rétroliens

Rétrolien spécifique pour ce billet

Pas de rétroliens

Commentaires

Afficher les commentaires en (Vue non groupée | Vue groupée)

Pas de commentaires

Ajouter un commentaire

Nom
Email
Site
En réponse à
Commentaire	Les adresses Email ne sont pas affichées, et sont seulement utilisées pour la communication. Pour éviter le spam par des robits automatisés (spambots), merci d'entrer les caractères que vous voyez dans l'image ci-dessous dans le champ de fomulaire prévu à cet effet. Assurez-vous que votre navigateur gère et accepte les cookies, sinon votre commentaire ne pourra pas être enregistré. Entrez le texte de l'image anti-spam ci-dessus ici:
	Enregistrer ces informations ? Souscrire à ce billet
Les commentaires postés doivent être approuvés avant d'être affichés dans le blog.