Malekal's forum

[Malekal_morte]

Antivirus XP 2008 est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware Files-server pour soit disant désinfecter votre ordinateur.

Le rogue s'installe via le Trojan-Downloader.Win32.FraudLoad

[Malekal_morte]

Quelques exemples de captures des Fausses pages de scan/alerte de sécurité

[Malekal_morte]

L'infection Trojan.FraudLoad téléchargeant Antivirus XP 2008 avec le fond d'écran bleu "Warning! Spyware detected on your computer!" a été modifié.



Le fond d'écran est maintenant blanc avec une fausse alerte thème Vista.
Le message "Warning! Spyware detected on your computer!" est toujours présent avec des infections mentionnées Win32/Adware.Virtumonde et Win32/PrivacyRemover.M64




Les fausses alertes de sécurité imitent des popups du centre de sécurité. Cette fois-ci avec la soit disante infection Trojan-Spy.Win32.Keylogger.aa



Vous pouvez en autre obtenir ces alertes :

A buffer overrun has been detected which has corrupted the program's
internal state. The program cannot safely continue execution and must
now be terminated.
Buffer overrun detected!

A security error of unknown cause has been detected which has
corrupted the program's internal state. The program cannot safely
continue execution and must now be terminated.
Unknown security failure detected!

Due to insecure Internet browsing your PC can easily get infected with viruses, worms and trojans
without your knowledge, and that can lead to system slowdown, freezes and crashes.<br>
Also insecure Internet activity can result in revealing your personal information.<br>
To get full advanced real-time protection for PC and Internet activity, register your antivirus software.

We recommend you to protect your PC now and continue safe Internet browsing.

Alert! Windows has been detected malware installation attempt from <a href=\"#\">"+document.location.hostname+"</a>. Please click this bar to register your antivirus software."

Enfin comme c'était le cas avec d'autres rogues déjà, vos recherchers sur les moteurs de recherches, clics sur lien peuvent être renvoyés vers des pages
"Insecure Activity. Threat of virus attack."

[Malekal_morte]

Nouvelle infection venant des domaines ath.cx (91.203.92.103), ces domaines sont déjà connus avec des packages d'infections depuis deux mois environ :
hxxp://99pictures.ath.cx
hxxp://allforums.ath.cx
hxxp://bloghost.ath.cx
hxxp://callbackonly.ath.cx
hxxp://counter.ath.cx
hxxp://fireflame.ath.cx
hxxp://forum4all.ath.cx
hxxp://gto5000.ath.cx
hxxp://picturehost.ath.cx

Ces infections utilisent des Class Java pour s'installer, l'utilisation de logiciels tiers et non l'attaque direct du navigateur commence à devenir courante (se reporter à la page Infections : exploitation SWF/PDF et Java)

L'infection modifie le fond d'écran avec une fausse erreur Active Desktop et toujours le fameux message "WARNING! SPYWARE DETECTED ON YOUR COMPUTER"


L'infection installe le rogue Antivirus XP 2008 et ouvre de multiples popups d'alertes ayant pour titre Windows Security Center.
La fréquence est très basse, une popup toutes les 5s... ce qui peut être très énervant.









Voici une liste des faux messages d'alertes :

Access Denied. Windows has detected multiple Viruses in the System. Run antivirus immediately to prevent loss of the information!

Windows Security Center Recommend the Following Software to Fix this problem

Access forbidden! Multiple Mal ware detected in your system. Opening this file may cause loss of the information.

Attention! System Overload. Multiple Malware detected in your System. It might damage your computer hardware such as Hard Drive or CPU.

Access forbidden to prevent loss of the vital information. Harmful Malware detected in your System and might cause fatal System crash and hardware damage!

Cette infection ajoute aussi des restrictions (ce qui commence à devenir monnaie courante), notamment dans le menu Démarrer, le bouton exécuter a disparu ainsi que le bouton Arreter (l'utilisateur infecté risque donc d'avoir du mal à arreter son PC).

Le gestionnaire de tâches et regedit sont innaccessibles.
Le bouton options des dossiers a disparu du menu Outils.
etc.

et surtout impossible d'utiliser Internet Explorer, le programme est constamment arreté par l'infection pour ouvrir une fausse popup d'alerte.
L'internaute ne pourra alors pas se faire désinfecter via des forums d'entre-aide.


Rapport HijackThis avec les lignes infectieuses :

O2 - BHO: C:\WINDOWS\system32\djfgj93jkd.dll - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\djfgj93jkd.dll
O4 - HKLM\..\Run: [lphc1obj0ena9] C:\WINDOWS\system32\lphc1obj0ena9.exe
O4 - HKLM\..\Run: [jkfdjg9e4rgfgfdgftdf] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\winlogan.exe
O4 - HKCU\..\Run: [jkfdjg9e4rgfgfdgftdf] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\winlogan.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\csrssc.exe
O4 - HKCU\..\Run: [WorkgroupContent] C:\WINDOWS\system32\ncat.exe 5
O4 - HKUS\S-1-5-18\..\Run: [Jnskdfmf9eldfd] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Jnskdfmf9eldfd] C:\WINDOWS\TEMP\csrssc.exe (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O22 - SharedTaskScheduler: uj38ehfh7efefefds98jkefn - {C5AF49A2-94F3-42BD-F434-3604812C897D} - C:\WINDOWS\system32\djfgj93jkd.dll
O23 - Service: Virtual Memory Dispatcher - Unknown owner - C:\WINDOWS\iedr.exe

L'infection installe aussi deux rootkits Pandex/CulWail qui est maintenant habituel, l'ordinateur infecté envoie alors des mails de SPAM.
et le rootkit tcpsr (pas d'info).

Le driver semble chargé au démarrage puis le fichier du driver est supprimé.
Export de la clef du service :

Code: Tout sélectionner

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr]
"Type"=dword:00000001
"Start"=dword:00000003
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\System32\drivers\tcpsr.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr\Security]
"Security"=hex:01,00,14,80,90,00,00,00 etc.

Le fichier Trojan.FrauLoad est assez mal détecté.

Fichier scan.exe reçu le 2008.08.24 11:55:25 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 6/36 (16.67%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.22 -
AntiVir 7.8.1.23 2008.08.23 -
Authentium 5.1.0.4 2008.08.24 -
Avast 4.8.1195.0 2008.08.23 -
AVG 8.0.0.161 2008.08.23 Downloader.FraudLoad
BitDefender 7.2 2008.08.24 -
CAT-QuickHeal 9.50 2008.08.22 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.24 -
DrWeb 4.44.0.09170 2008.08.24 -
eSafe 7.0.17.0 2008.08.21 Suspicious File
eTrust-Vet 31.6.6044 2008.08.23 -
Ewido 4.0 2008.08.23 -
F-Prot 4.4.4.56 2008.08.24 -
F-Secure 7.60.13501.0 2008.08.24 -
Fortinet 3.14.0.0 2008.08.24 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.24 -
K7AntiVirus 7.10.427 2008.08.23 -
Kaspersky 7.0.0.125 2008.08.24 -
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.24 TrojanDownloader:Win32/Renos.gen!AU
NOD32v2 3382 2008.08.23 a variant of Win32/TrojanDownloader.FakeAlert.HC
Norman 5.80.02 2008.08.22 -
Panda 9.0.0.4 2008.08.23 -
PCTools 4.4.2.0 2008.08.23 -
Prevx1 V2 2008.08.24 -
Rising 20.58.52.00 2008.08.24 -
Sophos 4.32.0 2008.08.24 -
Sunbelt 3.1.1575.1 2008.08.23 -
Symantec 10 2008.08.24 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.23 -
VBA32 3.12.8.4 2008.08.23 Malware-Cryptor.Win32.Rp
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.23 -
Webwasher-Gateway 6.6.2 2008.08.24 -
Information additionnelle
File size: 195072 bytes
MD5...: 5a1327cd8dfed950e83933d013283cad
SHA1..: 78e4fc50c5414780ee39147566091a205b689549

Fichier iedr.exe reçu le 2008.08.24 04:05:56 (CET)
Situation actuelle: terminé
Résultat: 8/36 (22.22%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - TR/Dldr.Agent.gzt.2
Authentium - - -
Avast - - Win32:Agent-XKO
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - Win32:Agent-XKO
Ikarus - - Backdoor.Hamweq.B
K7AntiVirus - - -
Kaspersky - - Heur.Invader
McAfee - - -
Microsoft - - -
NOD32v2 - - probably a variant of Win32/AutoRun.KS
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - W32.SillyFDC
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Dldr.Agent.gzt.2
Information additionnelle
MD5: d8f2e1098c3bb307651f2f5ea1106334
SHA1: fe2a61253e1a56ecdd4eaf4a86bc443a58dc9419

C'est le processus ncat qui est à l'origine des fausses popups d'alerte
Celui-ci est assez bien détecté.

Fichhier ncat.exe reçu le 2008.08.22 16:41:17 (CET)
Situation actuelle: terminé
Résultat: 21/36 (58.33%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - PCK/FSG
Authentium - - W32/Heuristic-245!Eldorado
Avast - - -
AVG - - Generic11.LUU
BitDefender - - BehavesLike:Trojan.RegistryDisabler
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - W32/Heuristic-245!Eldorado
F-Secure - - Suspicious_F.gen
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - Heur.Trojan.Generic
McAfee - - -
Microsoft - - Trojan:Win32/Rundis.gen!A
NOD32v2 - - probably unknown NewHeur_PE virus
Norman - - Suspicious_F.gen
Panda - - Suspicious file
PCTools - - Packed/FSG
Prevx1 - - Suspicious
Rising - - -
Sophos - - Mal/Packer
Sunbelt - - VIPRE.Suspicious
Symantec - - -
TheHacker - - -
TrendMicro - - PAK_Generic.001
VBA32 - - suspected of Win32 Shadow AutoStart Install
ViRobot - - -
VirusBuster - - Packed/FSG
Webwasher-Gateway - - Packer.FSG
Information additionnelle
MD5: c91bc11710aff3d72e00e9652d3e7fe5
SHA1: bb3f552e02767a2922ee790a9cf8e9632fb25a75