SHARE
TWEET

#MalwareMustDie! Recent Upatre downloads encrypted Zbot/GMO

MalwareMustDie Mar 14th, 2014 700 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. // #MalwareMustDie
  2. // Today's Zeus gameover (GM)
  3. // Campaign: Malvertisement via Spambot (Cutwail template)
  4. // [0x00000000:0x00400000]> !date
  5. // Sat Mar 15 12:40:42 JST 2014
  6.  
  7. Pic: http://goo.gl/dxvb8p
  8.  
  9. #BLOCK THESE URL!!
  10. h00p://sienashops.it/image_data/al2602.nub
  11. h00p://theeventroom.co.uk/Images/al2602.nub
  12. h00p://gobemall.com/img/p/1/0/1/1203a.ton
  13. h00p://gobehost.info/images/headers/13003UKp.ton
  14. h00p://creativemindsplanet.com/images/headers/a.ssa
  15. h00p://mpbp.org/images/banners/1203UKp.ssa
  16.  
  17. //Typical headers in requested URL to block
  18. ---snips----
  19. Accept: text/*, application/*
  20. User-Agent: Updates downloader
  21. ---- end snips----
  22.  
  23. ============
  24. Sample1
  25. ============
  26. MD5    : 4c643c7aa58203e2aa2f82297fd2f71c
  27. SHA256 : 539f168f1e79a98f6e2d642c3464a9913fee1e4bf56696dbf8c963145eda66fa
  28. URL    : https://www.virustotal.com/latest-scan/539f168f1e79a98f6e2d642c3464a9913fee1e4bf56696dbf8c963145eda66fa
  29.  
  30. F-Secure                 : Trojan:W32/Agent.DUTV
  31. DrWeb                    : Trojan.DownLoad3.28161
  32. F-Prot                   : W32/Trojan2.ODQM
  33. VIPRE                    : Win32.Malware!Drop
  34. Commtouch                : W32/Trojan.DDGP-1880
  35. McAfee-GW-Edition        : Downloader-FSH!4C643C7AA582
  36. ESET-NOD32               : Win32/TrojanDownloader.Waski.A
  37. TrendMicro-HouseCall     : TROJ_GEN.F0D1H00CE14
  38. MicroWorld-eScan         : Trojan.GenericKD.1605898
  39. Avast                    : Win32:Trojan-gen
  40. Sophos                   : Troj/DwnLdr-LKT
  41. GData                    : Trojan.GenericKD.1605898
  42. Kaspersky                : Trojan.Win32.Bublik.ccdg
  43. BitDefender              : Trojan.GenericKD.1605898
  44. McAfee                   : Downloader-FSH!4C643C7AA582
  45. Malwarebytes             : Trojan.Downloader.RRE
  46. Panda                    : Generic Malware
  47. Ikarus                   : Trojan-Spy.Zbot
  48. AntiVir                  : TR/Yarwi.B.214
  49. Ad-Aware                 : Trojan.GenericKD.1605898
  50. Emsisoft                 : Trojan-Downloader.Win32.Waski (A)
  51.  
  52. Malvertisement:
  53. Spam zip attachment
  54.  
  55.  
  56. Downloads: Zbot/GMO
  57. h00p://sienashops.it/image_data/al2602.nub
  58. h00p://theeventroom.co.uk/Images/al2602.nub
  59.  
  60. Header:
  61.  
  62. GET /image_data/al2602.nub HTTP/1.1
  63. Accept: text/*, application/*
  64. User-Agent: Updates downloader
  65. Host: sienashops.it
  66. Cache-Control: no-cache
  67.  
  68. GET /Images/al2602.nub HTTP/1.1
  69. Accept: text/*, application/*
  70. User-Agent: Updates downloader
  71. Host: theeventroom.co.uk
  72. Cache-Control: no-cache
  73.  
  74. download/decrypted: N/A
  75.  
  76. ============
  77. Sample2
  78. ============
  79. MD5    : d4de8bbd2bdee1211ae97d0bb79ab65f
  80. SHA256 : 809154e0402366e7dfb272ea1620cc4a7b1d03ea0c6880835d394d117608fda9
  81. URL    : https://www.virustotal.com/latest-scan/809154e0402366e7dfb272ea1620cc4a7b1d03ea0c6880835d394d117608fda9
  82.  
  83. TotalDefense             : Win32/Zbot.VXNPJB
  84. MicroWorld-eScan         : Trojan.GenericKD.1604712
  85. nProtect                 : Trojan.GenericKD.1604712
  86. McAfee                   : RDN/Downloader.a!pl
  87. Malwarebytes             : Trojan.Downloader.RRE
  88. K7AntiVirus              : Trojan-Downloader ( 0048f6391 )
  89. K7GW                     : Trojan-Downloader ( 0048f6391 )
  90. F-Prot                   : W32/Trojan2.ODQJ
  91. Symantec                 : Downloader.Upatre
  92. Norman                   : Kryptik.CDLW
  93. ESET-NOD32               : Win32/TrojanDownloader.Waski.A
  94. TrendMicro-HouseCall     : TROJ_UPATRE.YYJN
  95. Avast                    : Win32:Trojan-gen
  96. Kaspersky                : Trojan.Win32.Bublik.cbrd
  97. BitDefender              : Trojan.GenericKD.1604712
  98. NANO-Antivirus           : Trojan.Win32.Kryptik.cuogqk
  99. Ad-Aware                 : Trojan.GenericKD.1604712
  100. Sophos                   : Troj/Upatre-AF
  101. F-Secure                 : Trojan.GenericKD.1604712
  102. DrWeb                    : Trojan.DownLoad3.32271
  103. VIPRE                    : Trojan.Win32.Generic.pak!cobra
  104. AntiVir                  : TR/Yarwi.B.210
  105. TrendMicro               : TROJ_UPATRE.YYJN
  106. McAfee-GW-Edition        : Downloader-FSH!D4DE8BBD2BDE
  107. Emsisoft                 : Trojan.GenericKD.1604712 (B)
  108. Kingsoft                 : Win32.Troj.Bublik.cb.(kcloud)
  109. Microsoft                : TrojanDownloader:Win32/Upatre.O
  110. ViRobot                  : Trojan.Win32.Downloader.20600.B
  111. GData                    : Trojan.GenericKD.1604712
  112. Commtouch                : W32/Trojan.KVED-7604
  113. AhnLab-V3                : Spyware/Win32.Zbot
  114. Panda                    : Trj/Zbot.M
  115. Ikarus                   : Trojan-Spy.Agent
  116. Fortinet                 : W32/Upatre.A!tr
  117. AVG                      : Luhe.Fiha.A
  118. Baidu-International      : Trojan.Win32.Bublik.AduA
  119.  
  120.  
  121. Malvertisement:
  122. Spam zip attachment
  123.  
  124. Downloads: Zbot/GMO
  125. h00p://gobemall.com/img/p/1/0/1/1203a.ton
  126. h00p://gobehost.info/images/headers/13003UKp.ton
  127.  
  128. Header:
  129.  
  130. GET /img/p/1/0/1/1203a.ton HTTP/1.1
  131. Accept: text/*, application/*
  132. User-Agent: Updates downloader
  133. Host: gobemall.com
  134. Cache-Control: no-cache
  135.  
  136. GET /images/headers/13003UKp.ton HTTP/1.1
  137. Accept: text/*, application/*
  138. User-Agent: Updates downloader
  139. Host: gobehost.info
  140. Cache-Control: no-cache
  141.  
  142. download/decrypted:
  143.  
  144. 1203a.ton      03f2135d7dbd41c5ac617a6128f17cf6  403,086
  145. 13003UKp.ton   498962f2564a7d5de0664a9fd15abb0e  479,858
  146. dmpal.exe      2c059b381eaca3085b2f1cc28acbf580  452,096
  147. fmpal.exe      80ce7e4ddab8e95b0c82b80c85179d0a  500,224
  148.  
  149. // components:
  150. aplib.dll      7fe2b0b3fc2078130f20070a05daf8d5   11,264
  151. aplib64.dll    3f4fe60b6d1e05144f6efa098ac381a8   12,800
  152. client.dll     35c7b7eebe35bc4db0d01965b1193823  228,864
  153. zlib1.dll      80e41408f6d641dc1c0f5353a0cc8125   59,904
  154.  
  155.  
  156. ============
  157. Sample3
  158. ============
  159. MD5    : edcb08d296a68e5f84f69fd14e66cf00
  160. SHA256 : 130c95f8fd548d4246b5fe045cbe8572da70fcae9006a7aaeec3e4da18104d10
  161. URL    : https://www.virustotal.com/latest-scan/130c95f8fd548d4246b5fe045cbe8572da70fcae9006a7aaeec3e4da18104d10
  162.  
  163. MicroWorld-eScan         : Trojan.GenericKD.1603804
  164. nProtect                 : Trojan.GenericKD.1603804
  165. CAT-QuickHeal            : TrojanDownloader.Upatre.A4
  166. McAfee                   : RDN/Generic.bfr!gg
  167. Malwarebytes             : Trojan.Email.FakeDoc
  168. K7AntiVirus              : Trojan-Downloader ( 0040f7931 )
  169. K7GW                     : Trojan-Downloader ( 0040f7931 )
  170. F-Prot                   : W32/Trojan3.HSW
  171. Symantec                 : Downloader.Upatre
  172. Norman                   : Upatre.BD
  173. ESET-NOD32               : Win32/TrojanDownloader.Waski.A
  174. TrendMicro-HouseCall     : TROJ_GEN.F0D1H00CC14
  175. Avast                    : Win32:Malware-gen
  176. Kaspersky                : Trojan.Win32.Bublik.cbqm
  177. BitDefender              : Trojan.GenericKD.1603804
  178. Ad-Aware                 : Trojan.GenericKD.1603804
  179. Sophos                   : Mal/Upatre-A
  180. Comodo                   : TrojWare.Win32.UMal.~A
  181. F-Secure                 : Trojan:W32/Agent.DUTS
  182. DrWeb                    : Trojan.DownLoad3.28161
  183. VIPRE                    : Trojan.Win32.Generic!SB.0
  184. AntiVir                  : TR/Yarwi.B.209
  185. TrendMicro               : TROJ_UPATRE.SMBB
  186. McAfee-GW-Edition        : RDN/Generic.bfr!gg
  187. Emsisoft                 : Trojan-Downloader.Win32.Agent (A)
  188. Microsoft                : TrojanDownloader:Win32/Upatre.O
  189. GData                    : Trojan.GenericKD.1603804
  190. Commtouch                : W32/Trojan.IKAD-3051
  191. TotalDefense             : Win32/Upatre.dGDRDS
  192. Panda                    : Generic Malware
  193. Rising                   : PE:Malware.XPACK/RDM!5.1
  194. Ikarus                   : Trojan-Spy.Zbot
  195. Fortinet                 : W32/Waski.A!tr.dldr
  196. AVG                      : Zbot.GHA
  197. Baidu-International      : Trojan.Win32.Bublik.axUl
  198. Qihoo-360                : Win32/Trojan.255
  199.  
  200. Malvertisement:
  201. Spam zip attachment
  202.  
  203.  
  204. Downloads: Zbot/GMO
  205. h00p://creativemindsplanet.com/images/headers/a.ssa
  206. h00p://mpbp.org/images/banners/1203UKp.ssa
  207.  
  208. Header:
  209.  
  210. GET /images/headers/a.ssa HTTP/1.1
  211. Accept: text/*, application/*
  212. User-Agent: Updates downloader
  213. Host: creativemindsplanet.com
  214. Cache-Control: no-cache
  215.  
  216. GET /images/banners/1203UKp.ssa HTTP/1.1
  217. Accept: text/*, application/*
  218. User-Agent: Updates downloader
  219. Host: mpbp.org
  220. Cache-Control: no-cache
  221.  
  222. download/decrypted:
  223.  
  224. a.ssa          908be60bc13fe0869dbd6bffe49bda29  269,603
  225. 1203UKp.ssa    3add040d3f079e06503f5a7ea6a0953e  479,952
  226. deget.exe      5b396ac3e013b991773f64c9d0f2d4ab  499,200
  227. igbyv.exe      4401e509fd2a1592bfc6a7fc3aa7a5df  499,200
  228. beget.exe      d5f7d4fe99ccff10178b6d770e1d4f3a  340,992
  229.  
  230. // components:
  231. aplib.dll      7fe2b0b3fc2078130f20070a05daf8d5  11,264
  232. aplib64.dll    3f4fe60b6d1e05144f6efa098ac381a8  12,800
  233. client.dll     4dfde38ff8e1df866e863261f9ba2c07  228,864
  234. zlib1.dll      80e41408f6d641dc1c0f5353a0cc8125  59,904
  235.  
  236.  
  237. ---
  238. #MalwareMustDie!
RAW Paste Data
Top