winavxmy.exe et alertes WinAntivirus Pro 2007

[Malekal_morte]

Pour supprimer cette infection, se rendre à l'adresse : http://www.malekal.com/WinAntiVirusPro2007_winavxmy.php


Après l'infection winntify.exe qui affiche une alerte via une icône avec un rong barré, ceci afin de vous faire faire télécharger le rogue WinAntiSpyware 2007 & Privacy Protector



C'est au tour du rogue WinAntivirus Pro 2007 d'avoir son infection.

Cette infection ajoute le aussi une icône avec un triangle jaune qui affiche des alertes.



L'alerte se fait à travers le fichier : winavxmy.exe
Si vous cliquez sur l'icône vous arrivez sur des sites qui affichent de fausses alertes afin de vous faire télécharger/acheter WinAntivirus Pro 2007

Par exemple :




L'infection ajoute les lignes suivantes sur HijackThis

O2 - BHO: CIEIntegrator Object - {2178F3FB-2560-458F-BDEE-631E2FE0DFE4} - C:\Program Files\WinAntiVirus Pro 2007\winpgi.dll
O2 - BHO: IEFW Object - {B5141620-C2B2-4D95-9F0F-134D99C87AB0} - C:\Program Files\WinAntiVirus Pro 2007\IEFWBHO.dll
O4 - HKLM\..\Run: [WinAntiSpyware 2006 Free] "C:\Program Files\WinAntiSpyware 2006 Free\was6.exe" /min
O4 - HKLM\..\Run: [uwas6cw] "C:\Program Files\WinAntiSpyware 2006 Free\uwas6cw.exe" -c
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvX.exe
O4 - HKLM\..\Run: [uwa7pcw] "C:\Program Files\Common Files\WinAntiVirus Pro 2007\uwa7pcw.exe" -c
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\WinAntiVirus Pro 2007\mav_startupmon.exe"
O4 - HKLM\..\Run: [rtasks] C:\Program Files\WinAntiVirus Pro 2007\rtasks.exe
O4 - HKLM\..\Run: [WinAntiVirus Pro 2007] C:\Program Files\WinAntiVirus Pro 2007\WinAv.exe /min
O4 - HKLM\..\RunOnce: [fat.exe] "C:\Program Files\WinAntiVirus Pro 2007\fat.exe"
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvX.exe
O4 - HKCU\..\Run: [uwa7pcw] "C:\Program Files\Common Files\WinAntiVirus Pro 2007\uwa7pcw.exe" -c
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfsm.dat
O23 - Service: Background Intelligent Transfer Service BITSUPS (BITSUPS) - Unknown owner - C:\WINDOWS\system32\amcompatx.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\perfsm.dat is probably a variant of O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat est une variante de perfc000.dat/trojan.crypt.xpack.gen

- L'infection désactive l'éditeur du registre, en lançant regedit.exe vous pouvez obtenir le message "L'édition du registre a été désactivée par votre administrateur"
- L'infection désactive le gestionnaire de tâches, en appuyant sur CTRL+ALT+Suppr vous pouvez obtenir le message "Le gestionnaire des tâches a été désactivé par l'administrateur"
- Lors de l'installation de l'infection, si vous utilisez Process Explorer, ceclui-ci a pu être supprimé.

Notez que vous pouvez rétablir le gestionnaire de tâches & éditeur du registre comme ceci, néanmoins il convient de nettoyer l'infection au préalable :
- Télécharge Activer_regedit_taskmgr.reg
- Désactive tous les logiciels de protection : AVG Anti-Spyware, Doctor Spyware, SpySweeper etc..
- Double-clic sur Activer_regedit_taskmgr.reg et accepte l'inscription des données
- Redémarre l'ordinateur

Le fichier HOSTS de Windows est modifié afin de ne plus pouvoir se rendre sur les sites des éditeurs d'antivirus mais surtout empécher les mises à jour de votre Antivirus.

192.168.200.3 ad.doubleclick.net
192.168.200.3 ad.fastclick.net
192.168.200.3 ads.fastclick.net
192.168.200.3 ar.atwola.com
192.168.200.3 atdmt.com
192.168.200.3 avp.ch
192.168.200.3 avp.com
192.168.200.3 avp.ru
192.168.200.3 awaps.net
192.168.200.3 banner.fastclick.net
192.168.200.3 banners.fastclick.net
192.168.200.3 ca.com
192.168.200.3 click.atdmt.com
192.168.200.3 clicks.atdmt.com
192.168.200.3 customer.symantec.com
192.168.200.3 dispatch.mcafee.com
192.168.200.3 download.mcafee.com
192.168.200.3 downloads-us1.kaspersky-labs.com
192.168.200.3 downloads-us2.kaspersky-labs.com
192.168.200.3 downloads-us3.kaspersky-labs.com
192.168.200.3 downloads1.kaspersky-labs.com
192.168.200.3 downloads2.kaspersky-labs.com
192.168.200.3 downloads3.kaspersky-labs.com
192.168.200.3 downloads4.kaspersky-labs.com
192.168.200.3 engine.awaps.net
192.168.200.3 f-secure.com
192.168.200.3 fastclick.net
192.168.200.3 ftp.avp.ch
192.168.200.3 ftp.downloads1.kaspersky-labs.com
192.168.200.3 ftp.downloads2.kaspersky-labs.com
192.168.200.3 ftp.downloads3.kaspersky-labs.com
192.168.200.3 ftp.f-secure.com
192.168.200.3 ftp.kasperskylab.ru
192.168.200.3 ftp.sophos.com
192.168.200.3 ids.kaspersky-labs.com
192.168.200.3 kaspersky-labs.com
192.168.200.3 kaspersky.com
192.168.200.3 liveupdate.symantec.com
192.168.200.3 liveupdate.symantecliveupdate.com
192.168.200.3 mast.mcafee.com
192.168.200.3 mcafee.com
192.168.200.3 media.fastclick.net
192.168.200.3 my-etrust.com
192.168.200.3 nai.com
192.168.200.3 networkassociates.com
192.168.200.3 norton.com
192.168.200.3 phx.corporate-ir.net
192.168.200.3 rads.mcafee.com
192.168.200.3 secure.nai.com
192.168.200.3 securityresponse.symantec.com
192.168.200.3 service1.symantec.com
192.168.200.3 sophos.com
192.168.200.3 spd.atdmt.com
192.168.200.3 symantec.com
192.168.200.3 trendmicro.com
192.168.200.3 update.symantec.com
192.168.200.3 updates.symantec.com
192.168.200.3 updates1.kaspersky-labs.com
192.168.200.3 updates2.kaspersky-labs.com
192.168.200.3 updates3.kaspersky-labs.com
192.168.200.3 updates4.kaspersky-labs.com
192.168.200.3 updates5.kaspersky-labs.com
192.168.200.3 us.mcafee.com
192.168.200.3 vil.nai.com
192.168.200.3 viruslist.com
192.168.200.3 viruslist.ru
192.168.200.3 virusscan.jotti.org
192.168.200.3 virustotal.com
192.168.200.3 http://www.avp.ch
192.168.200.3 http://www.avp.com
192.168.200.3 http://www.avp.ru
192.168.200.3 http://www.awaps.net
192.168.200.3 http://www.ca.com
192.168.200.3 http://www.f-secure.com
192.168.200.3 http://www.fastclick.net
192.168.200.3 http://www.grisoft.com
192.168.200.3 http://www.kaspersky-labs.com
192.168.200.3 http://www.kaspersky.com
192.168.200.3 http://www.kaspersky.ru
192.168.200.3 http://www.mcafee.com
192.168.200.3 http://www.my-etrust.com
192.168.200.3 http://www.nai.com
192.168.200.3 http://www.networkassociates.com
192.168.200.3 http://www.sophos.com
192.168.200.3 http://www.symantec.com
192.168.200.3 http://www.symantec.com
192.168.200.3 http://www.trendmicro.com
192.168.200.3 http://www.viruslist.com
192.168.200.3 http://www.viruslist.ru
192.168.200.3 http://www.virustotal.com
192.168.200.3 www3.ca.com

Enfin voici un scan des fichiers au 14 Juillet :

Vous pouvez constater qu'Avast! ne détecte pas les fichiers.
En conséquence, voici pourquoi je recommande plutôt Antivir qu'Avast!, voir les deux sujets :

* Avast! VS Antivir
* Un point sur les antivirus

File winavx.exe received on 07.14.2007 12:56:19 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.39 2007.07.13 HEUR/Malware
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.13 no virus found
BitDefender 7.2 2007.07.14 Generic.Malware.SP!DYVd!wdldspg.2119ABBC
CAT-QuickHeal 9.00 2007.07.14 no virus found
ClamAV devel-20070416 2007.07.14 no virus found
DrWeb 4.33 2007.07.14 no virus found
eSafe 7.0.15.0 2007.07.10 suspicious Trojan/Worm
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.14 no virus found
Fortinet 2.91.0.0 2007.07.14 no virus found
F-Prot 4.3.2.48 2007.07.13 W32/NewMalware-Rootkit-PX-based!Maximus
Ikarus T3.1.1.8 2007.07.14 no virus found
Kaspersky 4.0.2.24 2007.07.14 no virus found
McAfee 5074 2007.07.13 New Malware
Microsoft 1.2704 2007.07.14 no virus found
NOD32v2 2398 2007.07.14 no virus found
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.13 Suspicious file
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 no virus found
Symantec 10 2007.07.14 no virus found
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.13 no virus found
Webwasher-Gateway 6.0.1 2007.07.14 Heuristic.Malware
Aditional information
File size: 18944 bytes
MD5: 9c74faf97efede878de8f34952a36b04
SHA1: 583fcd99ceac4ee8a4be2951295b7a4dcc103cf1

File perfsm.dat received on 07.14.2007 12:56:34 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 Win-Trojan/Agent.6144.BP
AntiVir 7.4.0.39 2007.07.13 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.13 no virus found
BitDefender 7.2 2007.07.14 no virus found
CAT-QuickHeal 9.00 2007.07.14 no virus found
ClamAV devel-20070416 2007.07.14 no virus found
DrWeb 4.33 2007.07.14 Trojan.Proxy.1939
eSafe 7.0.15.0 2007.07.10 Suspicious Trojan/Worm
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.14 no virus found
Fortinet 2.91.0.0 2007.07.14 no virus found
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.14 no virus found
Kaspersky 4.0.2.24 2007.07.14 Trojan.Win32.Agent.ali
McAfee 5074 2007.07.13 no virus found
Microsoft 1.2704 2007.07.14 no virus found
NOD32v2 2398 2007.07.14 no virus found
Norman 5.80.02 2007.07.13 W32/Agent.BVLY
Panda 9.0.0.4 2007.07.13 Suspicious file
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 no virus found
Symantec 10 2007.07.14 Trojan.Perfcoo
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.13 no virus found
Webwasher-Gateway 6.0.1 2007.07.14 Trojan.Crypt.XPACK.Gen
Aditional information
File size: 6144 bytes
MD5: c6a79ce192fb02f6c136d92c76fad13a
SHA1: d01bc02d0a3a7201be7033b8ccc7fc15d9bbe92d

Les drivers utilisés par WinAntivirus Pro 2007 :
%windir%\system32\drivers\fopn.sys
%windir%\system32\drivers\uwasfsd.sys

File uwasfsd.sys received on 07.14.2007 13:41:20 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.39 2007.07.13 no virus found
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.13 no virus found
BitDefender 7.2 2007.07.14 Application.Winfixer.BF
CAT-QuickHeal 9.00 2007.07.14 no virus found
ClamAV devel-20070416 2007.07.14 no virus found
DrWeb 4.33 2007.07.14 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.14 no virus found
Fortinet 2.91.0.0 2007.07.14 Misc/WinFixer
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.14 no virus found
Kaspersky 4.0.2.24 2007.07.14 no virus found
McAfee 5074 2007.07.13 potentially unwanted program Winfixer
Microsoft 1.2704 2007.07.14 Program:Win32/WinSoftware.WinAntiSpyware
NOD32v2 2399 2007.07.14 no virus found
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.13 Generic Malware
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 WinAntiSpyware
Symantec 10 2007.07.14 WinAntiSpyware
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.13 no virus found
Webwasher-Gateway 6.0.1 2007.07.14 Win32.Malware.gen!80 (suspicious)
Aditional information
File size: 11776 bytes
MD5: c3663c9d9a3b81d6781f92ae20fd05c9
SHA1: 892d486d9c361afb9d0a4f96c0d7c0b40e613659
Sunbelt info: WinAntiSpyware is a rogue antis-pyware product which pesters users with scareware tactics to purchase the product.

File fopn.sys received on 07.14.2007 13:40:21 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.14.0 2007.07.14 no virus found
AntiVir 7.4.0.39 2007.07.13 APPL/Winfixer.46592
Authentium 4.93.8 2007.07.13 no virus found
Avast 4.7.997.0 2007.07.13 no virus found
AVG 7.5.0.476 2007.07.13 Potentially harmful program WinFixer.IV
BitDefender 7.2 2007.07.14 Adware.Winantivirus.L
CAT-QuickHeal 9.00 2007.07.14 no virus found
ClamAV devel-20070416 2007.07.14 no virus found
DrWeb 4.33 2007.07.14 no virus found
eSafe 7.0.15.0 2007.07.10 no virus found
eTrust-Vet 30.8.3784 2007.07.14 no virus found
Ewido 4.0 2007.07.14 no virus found
FileAdvisor 1 2007.07.14 no virus found
Fortinet 2.91.0.0 2007.07.14 Misc/WinFixer
F-Prot 4.3.2.48 2007.07.13 no virus found
Ikarus T3.1.1.8 2007.07.14 no virus found
Kaspersky 4.0.2.24 2007.07.14 no virus found
McAfee 5074 2007.07.13 potentially unwanted program Winfixer
Microsoft 1.2704 2007.07.14 Program:Win32/Winfixer
NOD32v2 2399 2007.07.14 no virus found
Norman 5.80.02 2007.07.13 no virus found
Panda 9.0.0.4 2007.07.13 Generic Malware
Sophos 4.19.0 2007.07.06 no virus found
Sunbelt 2.2.907.0 2007.07.14 WinSoftware Corporation, Inc. (v)
Symantec 10 2007.07.14 WinFixer
TheHacker 6.1.6.146 2007.07.13 no virus found
VBA32 3.12.0.2 2007.07.13 no virus found
VirusBuster 4.3.23:9 2007.07.13 no virus found
Webwasher-Gateway 6.0.1 2007.07.14 Riskware.Winfixer.46592
Aditional information
File size: 52432 bytes
MD5: a72576b9eb1c4e950e45cae0d91c3a02
SHA1: 63178366e402e93db036dbc04f6b504263a18ae9

[Malekal_morte]

Une nouvelle petite variante assez récente...
On retrouve les mêmes caractérisques que précédent.

L'infection ajoute toujours une icône en bas à droite à côté de l'horloge :


L'infection provoque des redirection vers le site amaena.com avec comme titre "Error Detected"
--> hxxp://amaena.com/securityworm5/



L'infection ouvre aussi des popups :



L'infection ajoute les lignes suivantes sur HijackThis

REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O20 - AppInit_DLLs: hrum.txt

Vous pouvez supprimer les fichiers C:\WINDOWS\system32\WinAvXX.exe & C:\WINDOWS\system32\printer.exe en mode sans échec, si vous avez besoin d'aide pour désinfecter votre ordinateur. Créez un sujet dans la partie VIRUS.
L'inf
Vous noterez le changement de fichier.. on passe de C:\WINDOWS\system32\WinAvX.exe à C:\WINDOWS\system32\WinAvXX.exe

L'infection désactive Windows Update ainsi que l'accès au panneau de cnofiguration, vous pouvez recevoir un message disant que l'accès au panneau de configuration est interdit suite à des restrictions.
Vous pouvez restaurer l'accès en faisant ces manipulations :

- Télécharge Activer_regedit_taskmgr.reg
- Désactive tous les logiciels de protection : AVG Anti-Spyware, Doctor Spyware, SpySweeper etc..
- Double-clic sur Activer_regedit_taskmgr.reg et accepte l'inscription des données
- Redémarre l'ordinateur

____

File WinAvXX.exe received on 08.05.2007 14:15:52 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 8/32 (25%)

Antivirus Version Last Update Result
AhnLab-V3 2007.8.3.0 2007.08.03 -
AntiVir 7.4.0.57 2007.08.03 HEUR/Crypted
Authentium 4.93.8 2007.08.03 -
Avast 4.7.1029.0 2007.08.05 -
AVG 7.5.0.476 2007.08.04 -
BitDefender 7.2 2007.08.05 Generic.Malware.SDYd!wsp.A951E53A
CAT-QuickHeal 9.00 2007.08.04 -
ClamAV 0.91 2007.08.05 -
DrWeb 4.33 2007.08.05 -
eSafe 7.0.15.0 2007.07.31 suspicious Trojan/Worm
eTrust-Vet 31.1.5032 2007.08.04 -
Ewido 4.0 2007.08.03 -
FileAdvisor 1 2007.08.05 -
Fortinet 2.91.0.0 2007.08.05 -
F-Prot 4.3.2.48 2007.08.03 -
F-Secure 6.70.13030.0 2007.08.03 -
Ikarus T3.1.1.8 2007.08.05 -
Kaspersky 4.0.2.24 2007.08.05 -
McAfee 5090 2007.08.03 potentially unwanted program Winfixer
Microsoft 1.2704 2007.08.05 -
NOD32v2 2438 2007.08.05 -
Norman 5.80.02 2007.08.03 -
Panda 9.0.0.4 2007.08.05 Adware/WinAntiVirus2007
Prevx1 V2 2007.08.05 Generic.Malware
Rising 19.34.40.00 2007.08.03 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.04 -
Symantec 10 2007.08.05 Trojan.KillAV
TheHacker 6.1.7.162 2007.08.04 -
VBA32 3.12.2.2 2007.08.04 -
VirusBuster 4.3.26:9 2007.08.04 -
Webwasher-Gateway 6.0.1 2007.08.03 Heuristic.Crypted
Additional information
File size: 14848 bytes
MD5: d30a87cea893e96556da5652c0a942ca
SHA1: 0d5b38f5b26fd061a255d9dddd8b05c6a0ca93aa
packers: UPX

[Malekal_morte]

Nouvelle variante, les noms des fichiers ont changés avec maintenant les lignes suivantes sur HijackThis :

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe
O4 - HKLM\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - HKCU\..\Run: [Undefined] C:\WINDOWS\system32\winter.exe
O4 - Startup: infos.exe
O4 - Global Startup: autos.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\skuns.dat

[Malekal_morte]

Les variantes continuent..


Initialement, l'infection ajoute les fichiers suivants :

* %System%\user32.dat
* %Windir%\medichi.exe
* %Windir%\medichi2.exe
* %Windir%\murka.dat

Sur HijackThis, on obtient :

O4 - HKLM\..\Run: [Medichi] medichi.exe
O4 - HKLM\..\Run: [Medichi2] medichi2.exe
O20 - AppInit_DLLs: murka.dat

la dernière variante ajoute les fichiers :

* %Windir%\mustafx.exe
* %Windir%\mustafx2.exe
* %Windir%\system32\murka.dat
* %Windir%\system32\mustafx.exe
* %Windir%\system32\mustafx2.exe
* %Windir%\system32\users32.dat

La nouvelle infection est plus complexe puisqu'elle :
* patche le driver légitime beep.sys
* patche des fichiers légitime qui se lance au démarrage de l'ordinateur pour charger le fichier users32.dat

Détection de users32.dat

File users32.dat received on 01.01.2008 23:06:57 (CET)
Result: 6/32 (18.75%)

Avast 4.7.1098.0 2008.01.01 Win32:Agent-PDP
AVG 7.5.0.516 2008.01.01 Adware Generic2.ZKV
BitDefender 7.2 2008.01.01 Trojan.Agent.AGHH
CAT-QuickHeal 9.00 2007.12.31 AdWare.Agent.zb (Not a Virus)
Ikarus T3.1.1.15 2008.01.01 not-a-virus:AdWare.Win32.Agent.zb
Kaspersky 7.0.0.125 2008.01.01 not-a-virus:AdWare.Win32.Agent.zb

L'outil SDFix liste les fichiers patchés de cette manière :

Below files have been patched to load users32.dat and should be replaced:

D:\WINDOWS\UpdReg.exe
D:\Program Files\D-Tools\daemon.exe
D:\WINDOWS\system32\NeroCheck.exe
D:\Program Files\Video\QuickTime Alternative\qttask.exe
D:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
D:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

L'outil ComboFix les liste de cette manière :

Files Infected - Win32.Agent.zb
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe
C:\Program Files\Dell\Media Experience\PCMService.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Common Files\Dell\EUSW\Support.exe
C:\Program Files\Linksys\Wireless-N Network Monitor\WPC300N.exe
C:\Program Files\PCSecurityShield\Common\Base\VRMONNT.EXE
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Documents and Settings\Kris\Application Data\yktww.exe

Plus d'informations :
Chez Symantec, ces infections sont nommés Trojan.Virantix :
http://www.symantec.com/security_respon ... 99&tabid=2
http://www.symantec.com/business/securi ... 99&tabid=2

[Malekal_morte]

Autre variante :

O4 - HKLM\..\Run: [bolenja] bolenja.exe
O4 - HKLM\..\Run: [bolenjx] bolenjx.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - AppInit_DLLs: kus109.dat

Scan des fichiers :

Fichier kus109.dat reçu le 2008.01.23 13:22:17 (CET)
Situation actuelle: terminé
Résultat: 16/32 (50.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - TR/Crypt.XPACK.Gen
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - Trojan.Agent.ebj
ClamAV - - -
DrWeb - - Trojan.Proxy.1739
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - Trojan.Win32.Agent.ebj
Ikarus - - Virus.Trojan.Win32.Agent.ebj
Kaspersky - - Trojan.Win32.Agent.ebj
McAfee - - -
Microsoft - - TrojanDownloader:Win32/Eldycow.gen!A
NOD32v2 - - Win32/TrojanProxy.Agent.NDH
Norman - - W32/Smalltroj.CJUV
Panda - - Suspicious file
Prevx1 - - -
Rising - - -
Sophos - - Mal/EncPk-BB
Sunbelt - - -
Symantec - - Trojan.Perfcoo
TheHacker - - Trojan/Agent.ebj
VBA32 - - Trojan.Win32.Agent.ebj
VirusBuster - - -
Webwasher-Gateway - - Trojan.Crypt.XPACK.Gen
Information additionnelle
MD5: a3b359f9bcfd3c3e0350c0763a7a8d0e
SHA1: cf6599a6cbf673dd60b51d4b395bbe2d029bdc2f

Fichier bolenjx.exe reçu le 2008.01.21 23:51:13 (CET)
Situation actuelle: terminé
Résultat: 13/32 (40.62%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - TR/Agent.14848.55
Authentium - - -
Avast - - -
AVG - - Downloader.Small.BLM
BitDefender - - DeepScan:Generic.Malware.FYddld!.989A467B
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - Win32.SuspectCrc
Kaspersky - - not-a-virus:AdWare.Win32.Agent.zo
McAfee - - -
Microsoft - - -
NOD32v2 - - Win32/TrojanDownloader.Small.NZN
Norman - - W32/Agent.DYJQ
Panda - - Suspicious file
Prevx1 - - TROJAN.AGENT.GEN
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - Trojan.Dropper
TheHacker - - -
VBA32 - - AdWare.Win32.Agent.abn
VirusBuster - - -
Webwasher-Gateway - - Trojan.Agent.14848.55
Information additionnelle
MD5: 6fe7a7e343d59f5b7bb8a1655b76c40b
SHA1: 5db79fda17f2a52d37968ac805b154013cc237a8

Fichier multikz.exe reçu le 2008.01.23 13:17:49 (CET)
Situation actuelle: terminé
Résultat: 11/32 (34.38%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - ADSPY/Agent.abn.1
Authentium - - -
Avast - - -
AVG - - Adware Generic2.AAMW
BitDefender - - -
CAT-QuickHeal - - AdWare.Agent.abn (Not a Virus)
ClamAV - - -
DrWeb - - -
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - Adware/Agent
F-Prot - - -
F-Secure - - -
Ikarus - - -
Kaspersky - - not-a-virus:AdWare.Win32.Agent.abn
McAfee - - -
Microsoft - - -
NOD32v2 - - Win32/TrojanDownloader.Small.NZN
Norman - - -
Panda - - Suspicious file
Prevx1 - - Heuristic: Suspicious File With Bad Parent Associations
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - AdWare.Win32.Agent.abn
VirusBuster - - -
Webwasher-Gateway - - Ad-Spyware.Agent.abn.1
Information additionnelle
MD5: 763b5a33a78a5076af51a3a5fbfa9932
SHA1: 1d1ab91f155ab3167f43c176ab5ace0eb45deb95

Fichier bolenja.exe reçu le 2008.01.23 13:20:55 (CET)
Situation actuelle: terminé
Résultat: 12/32 (37.50%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - Generic.Malware.DYd!sp!.2A86D3CD
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - Trojan-Downloader.Win32.Agent.hmm
Ikarus - - Trojan-Downloader.Win32.Agent.hmm
Kaspersky - - Trojan-Downloader.Win32.Agent.hmm
McAfee - - -
Microsoft - - Trojan:Win32/Wantvi.B
NOD32v2 - - probably unknown NewHeur_PE virus
Norman - - W32/Malware
Panda - - Suspicious file
Prevx1 - - Generic.Malware
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - Trojan-Downloader.Win32.Agent.hmm
VirusBuster - - -
Webwasher-Gateway - - Win32.ModifiedUPX.gen (suspicious)
Information additionnelle
MD5: b8df10e3f31dc542a49f61382e452266
SHA1: 91a16b669efd18958d1c5dd8aa8444db79d83a2b

Fichier beep.sys reçu le 2008.01.23 13:22:16 (CET)
Situation actuelle: terminé
Résultat: 7/32 (21.88%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - Generic.Malware.P!.E4C4ADFF
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - -
DrWeb - - Trojan.MulDrop.origin
eSafe - - -
eTrust-Vet - - Win32/Eldycow!generic
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - Win32.SuspectCrc
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - Heuristic: Suspicious File With Anti-Security Technology
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Win32.Malware.gen!80 (suspicious)
Information additionnelle
MD5: 918286678e4b6dcd6836e0abc285f18c
SHA1: 2970d1caa559c01628e233b81fe827a05c6e1dd5
SHA256: c9edcc773a24fcd5e2244a7963ed8769b0cb0bd39082a13b17baf33fc281191a

[Malekal_morte]

Nouvelle variante :

O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKUS\S-1-5-18\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe (User 'Default user')
O20 - AppInit_DLLs: cru629.dat

Les scans VirusTotal sont disponibles à cette adresse : viewtopic.php?f=62&t=8248