Un petit topo rapide sur ce pack qui perdure depuis quelques semaines :
viewtopic.php?f=62&t=14090&p=114916#p114916Le coktail habituel, modifications du fond d'écran (très colorés cette fois...), icones ballon dans le systray affichant
de fausses alertes...
hop popupland faisant la promotion
du rogue Antivirus 2009
Les messages d'alertes possibles ... :
Windows Security Center has detected spyware/adware infection!
It is strongly recommended to use special antispyware tools to prevent data loss.
Your computer is in Danger!
Warning! Spyware files: Win32.Banker.FS
Trojan.SpyAgent.DA and other detected on your computer! It
s highly recommended to scan the system immediately to remove all spyware and adware programs.
Warning! Security report
Your computer is infected! It is recommended to start spyware cleaner tool.
Windows Security Center
System files and register changing are detected.
Your PC is under the threat of loss of the data! It is recommended to start the guard scanner.
System Crashed
CRITICAL ERROR! System halted as a result of the critical kernel error.
Windows has detected spyware on your PC.
It is recommended to remove spyware immediately to prevent your data and files from deleting.
Driver disk.sys is out of memory
Error accessing memory at address 00000009:00000000
System Error
Access violation at address 00000000:00F754D2
Le responsable de ces alertes est la DLL wndutl32.dll (le nom peut être différents mais de la forme wn*32.dll).
L'infection télécharge par la suite des amis... notez que c'est les processus svchost.exe qui effectue le téléchargement histoire de pouvoir bypasser les firewall mal configurés.
... beaucoup d'amis..
Ces derniers effectuent des connexions....
...vraiment beaucoup de connexions
Ces fichiers sont de types Trojan.Clicker, ces derniers surfent à votre insu (aucune fenêtre de surf s'ouvre) ceci afin d'augmenter les hits, ranks des sites WEB.
Gagner des $ via les publicités de ces sites etc..
Comme vous pouvez le voir, les sites visités sont à caractères pornographiques en général...
Exemple de lignes ajoutées par nos amis sur HijackThis (les noms de fichiers étant aléatoires) :
O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\system32\algt.exe
O4 - HKLM\..\Run: [runsql] C:\WINDOWS\runsql.exe
O4 - HKLM\..\Run: [netsv32] C:\WINDOWS\sv.exe
O4 - HKLM\..\Run: [netzip] C:\WINDOWS\svzip.exe
O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe
O4 - HKLM\..\Run: [vlc] C:\WINDOWS\vlc.exe
O4 - HKLM\..\Run: [wdmon] C:\WINDOWS\wdmon.exe
O4 - HKLM\..\Run: [netx] C:\WINDOWS\svx.exe
O4 - HKLM\..\Run: [netw] C:\WINDOWS\svw.exe
O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe
O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\system32\algt.exe
O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\system32\algt.exe
O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\system32\algt.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)
O22 - SharedTaskScheduler: Windows Installer Class - {020487CC-FC04-4B1E-863F-D9801796230B} - C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\wndutl32.dll
Notez que l'infection désactive regedit (éditeur du registre) et taskmgr (gestionnaire de tâches).
Quelques exemples de détections, vous en trouverez plus sur la page suivante :
viewtopic.php?f=62&t=14090&p=114916#p114916 File dropper_286962.exe received on 10.28.2008 13:55:55 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 8/36 (22.23%)
Antivirus Version Last Update Result
AhnLab-V3 2008.10.27.3 2008.10.28 -
AntiVir 7.9.0.9 2008.10.28 -
Authentium 5.1.0.4 2008.10.27 -
Avast 4.8.1248.0 2008.10.28 -
AVG 8.0.0.161 2008.10.28 -
BitDefender 7.2 2008.10.28 Packer.Malware.Lighty.O
CAT-QuickHeal 9.50 2008.10.28 -
ClamAV 0.93.1 2008.10.28 -
DrWeb 4.44.0.09170 2008.10.28 Trojan.Packed.1208
eSafe 7.0.17.0 2008.10.27 Suspicious File
eTrust-Vet 31.6.6177 2008.10.28 -
Ewido 4.0 2008.10.28 -
F-Prot 4.4.4.56 2008.10.27 -
F-Secure 8.0.14332.0 2008.10.28 -
Fortinet 3.117.0.0 2008.10.28 -
GData 19 2008.10.28 Packer.Malware.Lighty.O
Ikarus T3.1.1.44.0 2008.10.28 -
K7AntiVirus 7.10.510 2008.10.28 -
Kaspersky 7.0.0.125 2008.10.28 -
McAfee 5416 2008.10.28 -
Microsoft 1.4005 2008.10.28 TrojanDownloader:Win32/Renos
NOD32 3562 2008.10.28 -
Norman 5.80.02 2008.10.27 -
Panda 9.0.0.4 2008.10.28 -
PCTools 4.4.2.0 2008.10.28 -
Prevx1 V2 2008.10.28 Cloaked Malware
Rising 21.01.11.00 2008.10.28 -
SecureWeb-Gateway 6.7.6 2008.10.28 Trojan.Crypt.LooksLike.XPACK
Sophos 4.35.0 2008.10.28 -
Sunbelt 3.1.1760.1 2008.10.27 -
Symantec 10 2008.10.28 Trojan.Virantix.C
TheHacker 6.3.1.1.132 2008.10.28 -
TrendMicro 8.700.0.1004 2008.10.28 -
VBA32 3.12.8.8 2008.10.27 -
ViRobot 2008.10.28.1440 2008.10.28 -
VirusBuster 4.5.11.0 2008.10.27 -
Additional information
File size: 44024 bytes
MD5...: a965abef3acd30de51895a88460ba5d9
SHA1..: a3b47755450a421251e7fb73a1b80779a14e4bac
File 60325cahp25cag.exe received on 10.28.2008 13:57:03 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 7/36 (19.45%)
Antivirus Version Last Update Result
AhnLab-V3 2008.10.27.3 2008.10.28 -
AntiVir 7.9.0.9 2008.10.28 -
Authentium 5.1.0.4 2008.10.27 -
Avast 4.8.1248.0 2008.10.28 -
AVG 8.0.0.161 2008.10.28 -
BitDefender 7.2 2008.10.28 Packer.Malware.Lighty.O
CAT-QuickHeal 9.50 2008.10.28 -
ClamAV 0.93.1 2008.10.28 -
DrWeb 4.44.0.09170 2008.10.28 Trojan.Packed.1208
eSafe 7.0.17.0 2008.10.27 -
eTrust-Vet 31.6.6177 2008.10.28 -
Ewido 4.0 2008.10.28 -
F-Prot 4.4.4.56 2008.10.27 -
F-Secure 8.0.14332.0 2008.10.28 -
Fortinet 3.117.0.0 2008.10.28 -
GData 19 2008.10.28 Packer.Malware.Lighty.O
Ikarus T3.1.1.44.0 2008.10.28 -
K7AntiVirus 7.10.510 2008.10.28 -
Kaspersky 7.0.0.125 2008.10.28 -
McAfee 5416 2008.10.28 -
Microsoft 1.4005 2008.10.28 VirTool:Win32/Obfuscator.DF
NOD32 3562 2008.10.28 -
Norman 5.80.02 2008.10.27 -
Panda 9.0.0.4 2008.10.28 -
PCTools 4.4.2.0 2008.10.28 -
Prevx1 V2 2008.10.28 Cloaked Malware
Rising 21.01.12.00 2008.10.28 -
SecureWeb-Gateway 6.7.6 2008.10.28 -
Sophos 4.35.0 2008.10.28 -
Sunbelt 3.1.1760.1 2008.10.27 -
Symantec 10 2008.10.28 Trojan.Virantix.C
TheHacker 6.3.1.1.132 2008.10.28 -
TrendMicro 8.700.0.1004 2008.10.28 -
VBA32 3.12.8.8 2008.10.27 -
ViRobot 2008.10.28.1441 2008.10.28 Backdoor.Win32.UltimateDefender.10240.E
VirusBuster 4.5.11.0 2008.10.27 -
Additional information
File size: 231424 bytes
MD5...: 924d307001503a9ad9c8a999d5f31172
SHA1..: c36deaf0cf153595ad2332ecf710e12e327d2ea9
File 60325cahp25cap.exe received on 10.28.2008 13:58:49 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 6/36 (16.67%)
Antivirus Version Last Update Result
AhnLab-V3 2008.10.27.3 2008.10.28 -
AntiVir 7.9.0.9 2008.10.28 -
Authentium 5.1.0.4 2008.10.27 -
Avast 4.8.1248.0 2008.10.28 -
AVG 8.0.0.161 2008.10.28 -
BitDefender 7.2 2008.10.28 Packer.Malware.Lighty.O
CAT-QuickHeal 9.50 2008.10.28 -
ClamAV 0.93.1 2008.10.28 -
DrWeb 4.44.0.09170 2008.10.28 Trojan.Packed.1208
eSafe 7.0.17.0 2008.10.27 -
eTrust-Vet 31.6.6177 2008.10.28 -
Ewido 4.0 2008.10.28 -
F-Prot 4.4.4.56 2008.10.27 -
F-Secure 8.0.14332.0 2008.10.28 -
Fortinet 3.117.0.0 2008.10.28 -
GData 19 2008.10.28 Packer.Malware.Lighty.O
Ikarus T3.1.1.44.0 2008.10.28 -
K7AntiVirus 7.10.510 2008.10.28 -
Kaspersky 7.0.0.125 2008.10.28 -
McAfee 5416 2008.10.28 -
Microsoft 1.4005 2008.10.28 VirTool:Win32/Obfuscator.DF
NOD32 3562 2008.10.28 -
Norman 5.80.02 2008.10.27 -
Panda 9.0.0.4 2008.10.28 -
PCTools 4.4.2.0 2008.10.28 -
Prevx1 V2 2008.10.28 -
Rising 21.01.12.00 2008.10.28 -
SecureWeb-Gateway 6.7.6 2008.10.28 -
Sophos 4.35.0 2008.10.28 -
Sunbelt 3.1.1760.1 2008.10.27 -
Symantec 10 2008.10.28 Trojan.Virantix.C
TheHacker 6.3.1.1.132 2008.10.28 -
TrendMicro 8.700.0.1004 2008.10.28 -
VBA32 3.12.8.8 2008.10.27 -
ViRobot 2008.10.28.1441 2008.10.28 Backdoor.Win32.UltimateDefender.10240.E
VirusBuster 4.5.11.0 2008.10.27 -
Additional information
File size: 279552 bytes
MD5...: e19cd15c33e0ecc78e358157b5be8a09
SHA1..: 2cbbd383a623e457f31f3fdfea2a04927e022a0f
