Malekal's forum

[Malekal_morte]

Pour supprimer Security Tool, suivre la procédure de désinfection de cette page : http://www.malekal.com/SecurityTool.php

Security Tool est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware pour soit disant désinfecter votre ordinateur.

[Malekal_morte]

Security Tool tend à remplacer Total Security, Security Tool est capable de bloquer l'exécution de programmes (fix, antivirus etc) en affichant le message : Application cannot be executed. the file xxxxx.exe is infected. Please active your antivirus software..

En outre la désinfection est un peu plus compliqué car il n'est plus possible de renommer les fichiers avec une suite de chiffres comme c'était le cas précédement avec Total Security.

Voici la page de désinfection pour Security Tool : http://www.malekal.com/SecurityTool.php

[Malekal_morte]

Encore très présent - via infections Trojan.MicroJoin, voir :
antivirus-2009-t12327.html#p114918
trojan-clicker-win32-delf-acn-renos-pack-t14090.html#p107973
mais Trojan.MicroJoin peut aussi donner du Windows Police Pro

et avec restore64_a.exe (voir ci-dessus)

Lignes ajoutées sur HijackThis :

O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe
O4 - HKLM\..\Run: [94495031] C:\DOCUME~1\ALLUSE~1\APPLIC~1\94495031\94495031.exe
O4 - HKLM\..\Run: [restorer64_a] C:\WINDOWS\system32\restorer64_a.exe
O4 - HKCU\..\Run: [restorer64_a] C:\Documents and Settings\Malekal_morte\restorer64_a.exe

File _ex-08.exe received on 2009.10.21 14:15:51 (UTC)
Current status: finished
Result: 14/41 (34.15%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.21 -
AhnLab-V3 5.0.0.2 2009.10.20 -
AntiVir 7.9.1.42 2009.10.21 ADSPY/Adware.Gen
Antiy-AVL 2.0.3.7 2009.10.21 -
Authentium 5.1.2.4 2009.10.21 -
Avast 4.8.1351.0 2009.10.20 -
AVG 8.5.0.420 2009.10.20 SHeur2.BMXN
BitDefender 7.2 2009.10.21 -
CAT-QuickHeal 10.00 2009.10.21 Win32.Packed.Krap.x.4
ClamAV 0.94.1 2009.10.21 -
Comodo 2679 2009.10.21 Heur.Suspicious
DrWeb 5.0.0.12182 2009.10.21 Trojan.Spambot.4331
eSafe 7.0.17.0 2009.10.21 -
eTrust-Vet 35.1.7077 2009.10.21 -
F-Prot 4.5.1.85 2009.10.20 -
F-Secure 9.0.15300.0 2009.10.20 -
Fortinet 3.120.0.0 2009.10.21 -
GData 19 2009.10.21 -
Ikarus T3.1.1.72.0 2009.10.21 -
Jiangmin 11.0.800 2009.10.21 -
K7AntiVirus 7.10.875 2009.10.20 -
Kaspersky 7.0.0.125 2009.10.21 Packed.Win32.Krap.x
McAfee 5777 2009.10.20 -
McAfee+Artemis 5777 2009.10.20 Artemis!589627027700
McAfee-GW-Edition 6.8.5 2009.10.21 Heuristic.BehavesLike.Win32.Obfuscated.C
Microsoft 1.5101 2009.10.21 Trojan:Win32/Waledac.gen!A
NOD32 4529 2009.10.21 Win32/Waledac
Norman 6.03.02 2009.10.21 -
nProtect 2009.1.8.0 2009.10.21 -
Panda 10.0.2.2 2009.10.20 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.21 Medium Risk Malware
Rising 21.52.24.00 2009.10.21 -
Sophos 4.46.0 2009.10.21 Mal/EncPk-KY
Sunbelt 3.2.1858.2 2009.10.20 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.10.21 -
TheHacker 6.5.0.2.049 2009.10.20 -
TrendMicro 8.950.0.1094 2009.10.21 -
VBA32 3.12.10.11 2009.10.20 -
ViRobot 2009.10.21.1999 2009.10.21 -
VirusBuster 4.6.5.0 2009.10.20 Adware.Adware.CM
Additional information
File size: 404992 bytes
MD5 : 589627027700e1c580e7795ed7d3fff1
SHA1 : f57c6b38070f5b8fef5c0315895f29839f85008e

File wpv201255137485.exe received on 2009.10.21 12:21:16 (UTC)
Current status: finished
Result: 12/41 (29.27%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.21 Trojan-Downloader.Win32.Mutant!IK
AhnLab-V3 5.0.0.2 2009.10.20 -
AntiVir 7.9.1.42 2009.10.21 -
Antiy-AVL 2.0.3.7 2009.10.21 Trojan/Win32.Mutant.gen
Authentium 5.1.2.4 2009.10.21 -
Avast 4.8.1351.0 2009.10.20 -
AVG 8.5.0.420 2009.10.20 -
BitDefender 7.2 2009.10.21 -
CAT-QuickHeal 10.00 2009.10.21 -
ClamAV 0.94.1 2009.10.21 -
Comodo 2678 2009.10.21 -
DrWeb 5.0.0.12182 2009.10.21 Trojan.Fakealert.5794
eSafe 7.0.17.0 2009.10.19 -
eTrust-Vet 35.1.7077 2009.10.21 -
F-Prot 4.5.1.85 2009.10.20 -
F-Secure 9.0.15300.0 2009.10.20 -
Fortinet 3.120.0.0 2009.10.21 -
GData 19 2009.10.21 -
Ikarus T3.1.1.72.0 2009.10.21 Trojan-Downloader.Win32.Mutant
Jiangmin 11.0.800 2009.10.21 -
K7AntiVirus 7.10.875 2009.10.20 -
Kaspersky 7.0.0.125 2009.10.21 Trojan-Downloader.Win32.Mutant.fus
McAfee 5777 2009.10.20 -
McAfee+Artemis 5777 2009.10.20 Artemis!C404D75F8238
McAfee-GW-Edition 6.8.5 2009.10.21 -
Microsoft 1.5101 2009.10.21 VirTool:Win32/Injector.gen!Z
NOD32 4528 2009.10.21 a variant of Win32/Injector.ADT
Norman 6.03.02 2009.10.21 W32/DLoader.AATAR
nProtect 2009.1.8.0 2009.10.21 -
Panda 10.0.2.2 2009.10.20 Trj/CI.A
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.21 High Risk Cloaked Malware
Rising 21.52.23.00 2009.10.21 -
Sophos 4.46.0 2009.10.21 Troj/Inject-KE
Sunbelt 3.2.1858.2 2009.10.20 -
Symantec 1.4.4.12 2009.10.21 -
TheHacker 6.5.0.2.049 2009.10.20 -
TrendMicro 8.950.0.1094 2009.10.21 -
VBA32 3.12.10.11 2009.10.20 -
ViRobot 2009.10.21.1999 2009.10.21 -
VirusBuster 4.6.5.0 2009.10.20 -
Additional information
File size: 58217 bytes
MD5 : c404d75f82388c31ad768b3cd58aaed6
SHA1 : e552d1f42adaa9e07c6adf39fe82cb6bf2dd59e2

File wpv781255562528.exe received on 2009.10.21 12:21:07 (UTC)
Current status: finished
Result: 7/41 (17.07%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.21 -
AhnLab-V3 5.0.0.2 2009.10.20 -
AntiVir 7.9.1.42 2009.10.21 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.10.21 -
Authentium 5.1.2.4 2009.10.21 -
Avast 4.8.1351.0 2009.10.20 -
AVG 8.5.0.420 2009.10.20 -
BitDefender 7.2 2009.10.21 -
CAT-QuickHeal 10.00 2009.10.21 Win32.Packed.Krap.x.4
ClamAV 0.94.1 2009.10.21 -
Comodo 2678 2009.10.21 -
DrWeb 5.0.0.12182 2009.10.21 -
eSafe 7.0.17.0 2009.10.19 -
eTrust-Vet 35.1.7077 2009.10.21 -
F-Prot 4.5.1.85 2009.10.20 -
F-Secure 9.0.15300.0 2009.10.20 -
Fortinet 3.120.0.0 2009.10.21 -
GData 19 2009.10.21 -
Ikarus T3.1.1.72.0 2009.10.21 -
Jiangmin 11.0.800 2009.10.21 -
K7AntiVirus 7.10.875 2009.10.20 -
Kaspersky 7.0.0.125 2009.10.21 Packed.Win32.Krap.x
McAfee 5777 2009.10.20 -
McAfee+Artemis 5777 2009.10.20 -
McAfee-GW-Edition 6.8.5 2009.10.21 Trojan.Crypt.ZPACK.Gen
Microsoft 1.5101 2009.10.21 TrojanDownloader:Win32/Waledac.C
NOD32 4528 2009.10.21 a variant of Win32/Kryptik.AVV
Norman 6.03.02 2009.10.21 -
nProtect 2009.1.8.0 2009.10.21 -
Panda 10.0.2.2 2009.10.20 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.21 Medium Risk Malware
Rising 21.52.23.00 2009.10.21 -
Sophos 4.46.0 2009.10.21 -
Sunbelt 3.2.1858.2 2009.10.20 -
Symantec 1.4.4.12 2009.10.21 -
TheHacker 6.5.0.2.049 2009.10.20 -
TrendMicro 8.950.0.1094 2009.10.21 -
VBA32 3.12.10.11 2009.10.20 -
ViRobot 2009.10.21.1999 2009.10.21 -
VirusBuster 4.6.5.0 2009.10.20 -
Additional information
File size: 13312 bytes
MD5 : 0e1a2a1b1d0e1194719135cf14a136c0
SHA1 : 5a346dbf03d25237e54e1f707573d40b8e4a03ea

[Malekal_morte]

Toujours très actif...

Code: Tout sélectionner

1256584681.940   1626 192.168.1.63 TCP_MISS/200 37151 GET http://bro-gals.com//getexe.php?spl=mdac - DIRECT/188.130.176.246 application/octet-stream

Détection du dropper initial :

File load_13_.exe received on 2009.10.26 17:41:29 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 11/41 (26.83%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.26 Trojan.Crypt!IK
AhnLab-V3 5.0.0.2 2009.10.26 -
AntiVir 7.9.1.44 2009.10.26 TR/Crypt.FKM.Gen
Antiy-AVL 2.0.3.7 2009.10.26 -
Authentium 5.1.2.4 2009.10.26 -
Avast 4.8.1351.0 2009.10.25 -
AVG 8.5.0.423 2009.10.26 -
BitDefender 7.2 2009.10.26 -
CAT-QuickHeal 10.00 2009.10.26 -
ClamAV 0.94.1 2009.10.26 -
Comodo 2740 2009.10.26 -
DrWeb 5.0.0.12182 2009.10.26 -
eSafe 7.0.17.0 2009.10.25 Suspicious File
eTrust-Vet 35.1.7083 2009.10.26 -
F-Prot 4.5.1.85 2009.10.26 -
F-Secure 9.0.15370.0 2009.10.22 Suspicious:W32/Malware!Gemini
Fortinet 3.120.0.0 2009.10.26 -
GData 19 2009.10.26 -
Ikarus T3.1.1.72.0 2009.10.26 Trojan.Crypt
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.879 2009.10.24 -
Kaspersky 7.0.0.125 2009.10.26 -
McAfee 5782 2009.10.25 Suspect-02!87E5CB8DC496
McAfee+Artemis 5782 2009.10.25 Suspect-02!87E5CB8DC496
McAfee-GW-Edition 6.8.5 2009.10.26 Heuristic.LooksLike.Win32.Suspicious.A
Microsoft 1.5202 2009.10.26 -
NOD32 4544 2009.10.26 -
Norman 6.03.02 2009.10.26 -
nProtect 2009.1.8.0 2009.10.26 -
Panda 10.0.2.2 2009.10.26 Suspicious file
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.26 -
Rising 21.53.04.00 2009.10.26 -
Sophos 4.46.0 2009.10.26 Mal/Behav-210
Sunbelt 3.2.1858.2 2009.10.26 -
Symantec 1.4.4.12 2009.10.26 Downloader
TheHacker 6.5.0.2.053 2009.10.24 -
TrendMicro 8.950.0.1094 2009.10.26 -
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.26.2005 2009.10.26 -
VirusBuster 4.6.5.0 2009.10.26 -
Additional information
File size: 36864 bytes
MD5...: 87e5cb8dc49674e649ea15095dbb77d8
SHA1..: e93265a03f1db419c52bbecfd0c6bb234f4182d6

Les lignes HiJackThis relatives à l'infection :

O4 - HKLM\..\Run: [15585630] C:\DOCUME~1\ALLUSE~1\APPLIC~1\15585630\15585630.exe
O4 - HKCU\..\Run: [mscj.exe] C:\Documents and Settings\Malekal_morte\Application Data\MSA\mscj.exe
O4 - HKCU\..\Run: [fff.exe] C:\Documents and Settings\Malekal_morte\Application Data\MSA\fff.exe
O4 - HKCU\..\Run: [w2_0.exe] C:\Documents and Settings\Malekal_morte\Application Data\MSA\w2_0.exe

C:\DOCUME~1\ALLUSE~1\APPLIC~1\15585630\15585630.exe = Le rogue Security Tools

File 15585630.exe received on 2009.10.26 17:56:12 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 18/41 (43.91%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.26 -
AhnLab-V3 5.0.0.2 2009.10.26 -
AntiVir 7.9.1.44 2009.10.26 TR/PCK.Krap.X.404
Antiy-AVL 2.0.3.7 2009.10.26 -
Authentium 5.1.2.4 2009.10.26 -
Avast 4.8.1351.0 2009.10.25 Win32:MalOb-Z
AVG 8.5.0.423 2009.10.26 Generic15.OBH
BitDefender 7.2 2009.10.26 -
CAT-QuickHeal 10.00 2009.10.26 -
ClamAV 0.94.1 2009.10.26 -
Comodo 2740 2009.10.26 -
DrWeb 5.0.0.12182 2009.10.26 Trojan.Packed.10700
eSafe 7.0.17.0 2009.10.25 -
eTrust-Vet 35.1.7083 2009.10.26 Win32/RogueSecurity!generic
F-Prot 4.5.1.85 2009.10.26 W32/FakeAlert.DR.gen!Eldorado
F-Secure 9.0.15370.0 2009.10.22 -
Fortinet 3.120.0.0 2009.10.26 -
GData 19 2009.10.26 Win32:MalOb-Z
Ikarus T3.1.1.72.0 2009.10.26 -
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.879 2009.10.24 -
Kaspersky 7.0.0.125 2009.10.26 Packed.Win32.Krap.x
McAfee 5782 2009.10.25 FakeAlert-DZ
McAfee+Artemis 5782 2009.10.25 FakeAlert-DZ
McAfee-GW-Edition 6.8.5 2009.10.26 Heuristic.BehavesLike.Win32.Downloader.H
Microsoft 1.5202 2009.10.26 Trojan:Win32/Winwebsec
NOD32 4544 2009.10.26 -
Norman 6.03.02 2009.10.26 W32/Crypt.LDD
nProtect 2009.1.8.0 2009.10.26 -
Panda 10.0.2.2 2009.10.26 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.26 Medium Risk Malware
Rising 21.53.04.00 2009.10.26 -
Sophos 4.46.0 2009.10.26 Mal/FakeAV-AD
Sunbelt 3.2.1858.2 2009.10.26 FraudTool.Win32.RogueSecurity (v)
Symantec 1.4.4.12 2009.10.26 Trojan.FakeAV!gen6
TheHacker 6.5.0.2.053 2009.10.24 -
TrendMicro 8.950.0.1094 2009.10.26 Mal_FakeAV-17
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.26.2005 2009.10.26 -
VirusBuster 4.6.5.0 2009.10.26 -
Additional information
File size: 1051682 bytes
MD5...: 724860c9e424a2c7d9f4462295b460f5
SHA1..: a71441c5e8443762db20b48af973e5cd0e4b73d4
SHA256: 8bda77cdabab463337845857a0f082f4b477eef54682af46afb8d445ceeee711
ssdeep: 24576:IhNLbNaPAtgxaEp6nrqv4B1S5td7JDpjuWp:Ih25M1rqv4rS5tlXuA

Les autres lignes étaient d'autres malwares et notamment des Trojan.Cliker qui se connectent à beaucoup de sites et notamment pornographiques en fond :

File fff.exe received on 2009.10.21 00:52:21 (UTC)
Current status: finished

Result: 26/41 (63.41%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.20 Trojan-Downloader.Win32.FakeMSA!IK
AhnLab-V3 5.0.0.2 2009.10.20 Win-Trojan/Xema.variant
AntiVir 7.9.1.35 2009.10.20 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2009.10.20 -
Authentium 5.1.2.4 2009.10.21 W32/Agent.ICR
Avast 4.8.1351.0 2009.10.20 Win32:Trojan-gen
AVG 8.5.0.420 2009.10.20 Generic14.AJPC
BitDefender 7.2 2009.10.21 Trojan.Generic.2509678
CAT-QuickHeal 10.00 2009.10.20 Trojan.Agent.ATV
ClamAV 0.94.1 2009.10.20 -
Comodo 2672 2009.10.21 TrojWare.Win32.Downloader.VB.~AQ
DrWeb 5.0.0.12182 2009.10.21 -
eSafe 7.0.17.0 2009.10.19 Suspicious File
eTrust-Vet 35.1.7075 2009.10.19 Win32/FakeMSA.I
F-Prot 4.5.1.85 2009.10.20 W32/Agent.ICR
F-Secure 9.0.15300.0 2009.10.20 Trojan.Generic.2509678
Fortinet 3.120.0.0 2009.10.20 PossibleThreat
GData 19 2009.10.21 Trojan.Generic.2509678
Ikarus T3.1.1.72.0 2009.10.20 Trojan-Downloader.Win32.FakeMSA
Jiangmin 11.0.800 2009.10.20 -
K7AntiVirus 7.10.875 2009.10.20 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.10.21 -
McAfee 5777 2009.10.20 Generic.dx!fgy
McAfee+Artemis 5777 2009.10.20 Generic.dx!fgy
McAfee-GW-Edition 6.8.5 2009.10.20 Trojan.Crypt.XPACK.Gen
Microsoft 1.5101 2009.10.20 -
NOD32 4527 2009.10.20 Win32/PSW.VB.NDH
Norman 6.03.02 2009.10.20 W32/Smalltroj.RMGE
nProtect 2009.1.8.0 2009.10.20 -
Panda 10.0.2.2 2009.10.20 Suspicious file
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.21 Medium Risk Malware
Rising 21.52.14.00 2009.10.20 -
Sophos 4.46.0 2009.10.21 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.10.20 -
Symantec 1.4.4.12 2009.10.21 Trojan Horse
TheHacker 6.5.0.2.049 2009.10.20 -
TrendMicro 8.950.0.1094 2009.10.20 -
VBA32 3.12.10.11 2009.10.20 -
ViRobot 2009.10.20.1996 2009.10.20 -
VirusBuster 4.6.5.0 2009.10.20 -
Additional information
File size: 24576 bytes
MD5 : 231142fce0a48428bbb30c786a23d2fa
SHA1 : 3a475ad989f107b9484a6254b9d1515a7a45475e

Fichier w2_0.exe reçu le 2009.10.26 17:54:11 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 2/41 (4.88%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.26 -
AhnLab-V3 5.0.0.2 2009.10.26 -
AntiVir 7.9.1.44 2009.10.26 -
Antiy-AVL 2.0.3.7 2009.10.26 -
Authentium 5.1.2.4 2009.10.26 -
Avast 4.8.1351.0 2009.10.25 -
AVG 8.5.0.423 2009.10.26 -
BitDefender 7.2 2009.10.26 -
CAT-QuickHeal 10.00 2009.10.26 -
ClamAV 0.94.1 2009.10.26 -
Comodo 2740 2009.10.26 -
DrWeb 5.0.0.12182 2009.10.26 -
eSafe 7.0.17.0 2009.10.25 -
eTrust-Vet 35.1.7083 2009.10.26 -
F-Prot 4.5.1.85 2009.10.26 -
F-Secure 9.0.15370.0 2009.10.22 -
Fortinet 3.120.0.0 2009.10.26 -
GData 19 2009.10.26 -
Ikarus T3.1.1.72.0 2009.10.26 -
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.879 2009.10.24 -
Kaspersky 7.0.0.125 2009.10.26 -
McAfee 5782 2009.10.25 -
McAfee+Artemis 5782 2009.10.25 -
McAfee-GW-Edition 6.8.5 2009.10.26 Heuristic.BehavesLike.Win32.Suspicious.B
Microsoft 1.5202 2009.10.26 -
NOD32 4544 2009.10.26 -
Norman 6.03.02 2009.10.26 -
nProtect 2009.1.8.0 2009.10.26 -
Panda 10.0.2.2 2009.10.26 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.26 High Risk Fraudulent Security Program
Rising 21.53.04.00 2009.10.26 -
Sophos 4.46.0 2009.10.26 -
Sunbelt 3.2.1858.2 2009.10.26 -
Symantec 1.4.4.12 2009.10.26 -
TheHacker 6.5.0.2.053 2009.10.24 -
TrendMicro 8.950.0.1094 2009.10.26 -
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.26.2005 2009.10.26 -
VirusBuster 4.6.5.0 2009.10.26 -
Information additionnelle
File size: 69632 bytes
MD5...: 8cdfeef9ff6fe8e5fdd2ec1819d7e61f
SHA1..: 85e760105a844c3da4b10c04a070a60bcde3790b

File mscj.exe received on 2009.10.26 17:53:10 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 11/41 (26.83%)
Loading server information...

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.26 Trojan-Downloader.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.10.26 -
AntiVir 7.9.1.44 2009.10.26 TR/ATRAPS.Gen
Antiy-AVL 2.0.3.7 2009.10.26 -
Authentium 5.1.2.4 2009.10.26 -
Avast 4.8.1351.0 2009.10.25 -
AVG 8.5.0.423 2009.10.26 -
BitDefender 7.2 2009.10.26 -
CAT-QuickHeal 10.00 2009.10.26 -
ClamAV 0.94.1 2009.10.26 -
Comodo 2740 2009.10.26 -
DrWeb 5.0.0.12182 2009.10.26 -
eSafe 7.0.17.0 2009.10.25 Suspicious File
eTrust-Vet 35.1.7083 2009.10.26 -
F-Prot 4.5.1.85 2009.10.26 -
F-Secure 9.0.15370.0 2009.10.22 Suspicious:W32/Malware!Gemini
Fortinet 3.120.0.0 2009.10.26 -
GData 19 2009.10.26 -
Ikarus T3.1.1.72.0 2009.10.26 Trojan-Downloader.Win32.VB
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.879 2009.10.24 -
Kaspersky 7.0.0.125 2009.10.26 -
McAfee 5782 2009.10.25 -
McAfee+Artemis 5782 2009.10.25 -
McAfee-GW-Edition 6.8.5 2009.10.26 Trojan.ATRAPS.Gen
Microsoft 1.5202 2009.10.26 -
NOD32 4544 2009.10.26 a variant of Win32/TrojanClicker.VB.NKZ
Norman 6.03.02 2009.10.26 -
nProtect 2009.1.8.0 2009.10.26 -
Panda 10.0.2.2 2009.10.26 Suspicious file
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.26 Low Risk Adware
Rising 21.53.04.00 2009.10.26 -
Sophos 4.46.0 2009.10.26 Mal/Behav-024
Sunbelt 3.2.1858.2 2009.10.26 -
Symantec 1.4.4.12 2009.10.26 -
TheHacker 6.5.0.2.053 2009.10.24 -
TrendMicro 8.950.0.1094 2009.10.26 PAK_Generic.001
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.26.2005 2009.10.26 -
VirusBuster 4.6.5.0 2009.10.26 -
Additional information
File size: 37376 bytes
MD5...: 07d9b92a8d5ff5be5c574d9ca5263b5f
SHA1..: 2231ce4b232740cf33260632f62c3c0c50e1b2a8

[Malekal_morte]

Autre infection faisant la promotion du rogue avec le fichier : _ex-08.exe

Code: Tout sélectionner

1256644432.438   1628 192.168.1.26 TCP_MISS/200 12817 GET http://mdn.crabdance.com/eleon/getexe.php?spl=DirectX_DS - DIRECT/210.51.166.238 application/octet-stream
1256644533.216   1022 192.168.1.26 TCP_MISS/200 1050963 GET http://95.211.8.216/pr/pic/vasyab_b.exe - DIRECT/95.211.8.216 application/octet-stream
1256644554.750    383 192.168.1.26 TCP_MISS/504 1368 POST http://98.218.38.151/ - DIRECT/98.218.38.151 text/html
1256644562.655    388 192.168.1.26 TCP_MISS/302 281 GET http://electronicwebbilling.com/in.php?affid=84500&url=5 - DIRECT/95.143.207.16 text/html
1256644562.918    178 192.168.1.26 TCP_MISS/302 280 GET http://electronicwebbilling.com/in.php?url=1&affid=84500 - DIRECT/95.143.207.16 text/html

Lignes HiJackThis relatives à l'infection :

O4 - HKLM\..\Run: [28422624] C:\DOCUME~1\ALLUSE~1\APPLIC~1\28422624\28422624.exe
O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe

Détection du dropper initial :

File svchost.exe received on 2009.10.27 09:39:08 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 4/41 (9.76%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.27 -
AhnLab-V3 5.0.0.2 2009.10.26 -
AntiVir 7.9.1.44 2009.10.27 -
Antiy-AVL 2.0.3.7 2009.10.27 -
Authentium 5.1.2.4 2009.10.27 -
Avast 4.8.1351.0 2009.10.26 -
AVG 8.5.0.423 2009.10.26 Win32/Heur
BitDefender 7.2 2009.10.27 -
CAT-QuickHeal 10.00 2009.10.27 -
ClamAV 0.94.1 2009.10.27 -
Comodo 2744 2009.10.27 -
DrWeb 5.0.0.12182 2009.10.27 -
eSafe 7.0.17.0 2009.10.25 -
eTrust-Vet 35.1.7084 2009.10.26 -
F-Prot 4.5.1.85 2009.10.26 -
F-Secure 9.0.15370.0 2009.10.22 -
Fortinet 3.120.0.0 2009.10.26 -
GData 19 2009.10.27 -
Ikarus T3.1.1.72.0 2009.10.27 -
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.879 2009.10.24 -
Kaspersky 7.0.0.125 2009.10.27 Packed.Win32.Krap.w
McAfee 5783 2009.10.26 -
McAfee+Artemis 5783 2009.10.26 -
McAfee-GW-Edition 6.8.5 2009.10.27 -
Microsoft 1.5202 2009.10.27 TrojanDownloader:Win32/Waledac.C
NOD32 4546 2009.10.27 -
Norman 6.03.02 2009.10.26 -
nProtect 2009.1.8.0 2009.10.27 -
Panda 10.0.2.2 2009.10.27 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.27 -
Rising 21.53.12.00 2009.10.27 -
Sophos 4.46.0 2009.10.27 -
Sunbelt 3.2.1858.2 2009.10.26 Trojan.Win32.Bredolab.Gen.1 (v)
Symantec 1.4.4.12 2009.10.27 -
TheHacker 6.5.0.2.054 2009.10.26 -
TrendMicro 8.950.0.1094 2009.10.27 -
VBA32 3.12.10.11 2009.10.26 -
ViRobot 2009.10.27.2006 2009.10.27 -
VirusBuster 4.6.5.0 2009.10.26 -
Additional information
File size: 18432 bytes
MD5...: d03e7f881c0dc6e5e08b37038ace6a3a
SHA1..: 1a82cf7073f707a6f1810fcdd07640ef322ea035

~~

Détection de _ex-08.exe

File _ex-08.exe received on 2009.10.27 09:43:57 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 6/41 (14.64%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.27 -
AhnLab-V3 5.0.0.2 2009.10.26 -
AntiVir 7.9.1.44 2009.10.27 -
Antiy-AVL 2.0.3.7 2009.10.27 -
Authentium 5.1.2.4 2009.10.27 -
Avast 4.8.1351.0 2009.10.26 -
AVG 8.5.0.423 2009.10.26 -
BitDefender 7.2 2009.10.27 -
CAT-QuickHeal 10.00 2009.10.27 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.10.27 -
Comodo 2744 2009.10.27 -
DrWeb 5.0.0.12182 2009.10.27 -
eSafe 7.0.17.0 2009.10.25 -
eTrust-Vet 35.1.7084 2009.10.26 -
F-Prot 4.5.1.85 2009.10.26 -
F-Secure 9.0.15370.0 2009.10.22 Suspicious:W32/Malware!Gemini
Fortinet 3.120.0.0 2009.10.26 -
GData 19 2009.10.27 -
Ikarus T3.1.1.72.0 2009.10.27 -
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.879 2009.10.24 -
Kaspersky 7.0.0.125 2009.10.27 Packed.Win32.Krap.w
McAfee 5783 2009.10.26 -
McAfee+Artemis 5783 2009.10.26 -
McAfee-GW-Edition 6.8.5 2009.10.27 Heuristic.BehavesLike.Win32.Packed.C
Microsoft 1.5202 2009.10.27 Trojan:Win32/Waledac.gen!A
NOD32 4546 2009.10.27 a variant of Win32/Waledac.KQ
Norman 6.03.02 2009.10.26 -
nProtect 2009.1.8.0 2009.10.27 -
Panda 10.0.2.2 2009.10.27 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.27 -
Rising 21.53.12.00 2009.10.27 -
Sophos 4.46.0 2009.10.27 -
Sunbelt 3.2.1858.2 2009.10.26 -
Symantec 1.4.4.12 2009.10.27 -
TheHacker 6.5.0.2.054 2009.10.26 -
TrendMicro 8.950.0.1094 2009.10.27 -
VBA32 3.12.10.11 2009.10.26 -
ViRobot 2009.10.27.2006 2009.10.27 -
VirusBuster 4.6.5.0 2009.10.26 -
Additional information
File size: 410624 bytes
MD5...: c550325926fb91289a4065a3789fca9d
SHA1..: a25e086f6c389718a1fe260634f3c6d63b190107

[Malekal_morte]

_ex-08.exe est aussi connu sous le nom de Email-Worm.Win32.Iksmas

On vois bien les connexions SMTP établies par le malwares :



Voici deux samples de SPAM envoyés, les campagnes sont essentiellement pour des pillules viagra Canadian pharmacy.





Encore un exemple de détection VirusTotal :

Result: 12/38 (31.58%)
Loading server information...
Your file is queued in position: 1.

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.08 Email-Worm.Win32.Iksmas!IK
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.06 -
Antiy-AVL 2.0.3.7 2009.11.05 -
Authentium 5.2.0.5 2009.11.08 -
Avast 4.8.1351.0 2009.11.07 -
BitDefender 7.2 2009.11.08 DeepScan:Generic.Malware.G!SFMg.7D7E7440
CAT-QuickHeal 10.00 2009.11.07 -
ClamAV 0.94.1 2009.11.08 -
Comodo 2882 2009.11.08 -
eTrust-Vet 35.1.7108 2009.11.06 -
F-Prot 4.5.1.85 2009.11.07 -
F-Secure 9.0.15370.0 2009.11.04 -
Fortinet 3.120.0.0 2009.11.08 W32/Waledac.XY.gen!tr
GData 19 2009.11.08 DeepScan:Generic.Malware.G!SFMg.7D7E7440
Ikarus T3.1.1.74.0 2009.11.08 Email-Worm.Win32.Iksmas
Jiangmin 11.0.800 2009.11.08 -
K7AntiVirus 7.10.891 2009.11.07 -
Kaspersky 7.0.0.125 2009.11.08 Email-Worm.Win32.Iksmas.frg
McAfee 5795 2009.11.07 -
McAfee+Artemis 5795 2009.11.07 -
McAfee-GW-Edition 6.8.5 2009.11.08 Heuristic.LooksLike.Trojan.Dropper.C
Microsoft 1.5202 2009.11.08 Trojan:Win32/Waledac.gen!A
NOD32 4583 2009.11.08 a variant of Win32/Kryptik.AOL
Norman 6.03.02 2009.11.06 W32/FakeAV.Q!genr
nProtect 2009.1.8.0 2009.11.08 -
Panda 10.0.2.2 2009.11.07 -
PCTools 7.0.3.5 2009.11.06 -
Prevx 3.0 2009.11.08 -
Rising 21.54.62.00 2009.11.08 -
Sophos 4.47.0 2009.11.08 -
Sunbelt 3.2.1858.2 2009.11.08 -
Symantec 1.4.4.12 2009.11.08 Packed.Generic.265
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.08 -
VBA32 3.12.10.11 2009.11.07 -
ViRobot 2009.11.6.2025 2009.11.06 -
VirusBuster 4.6.5.0 2009.11.07 Trojan.Fraudload.Gen!Pac.5
Additional information
File size: 418304 bytes
MD5...: caf7d376ca5084f458178af8364cdafa
SHA1..: 2fbd035ca18fa4b3ed771295ebd2b2e0951a3e72

[Malekal_morte]

exe-msa-exe-t20027.html

Ajoute la ligne suivante sur lHiJackThis

O4 - HKLM\..\Run: [lsdefrag] C:\Users\xxx\AppData\Local\Temp\omnweasrxc.exe
O4 - HKLM\..\Run: [02928526] C:\DOCUME~1\ALLUSE~1\APPLIC~1\02928526\02928526.exe

Le fichier avec la suite de chiffre étant bien sûr Security Tool.

fichiers aussi créés :

c:\WINDOWS\msa.exe
Date: 11/9/2009 12:15 AM
Size: 153 088 bytes
c:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
Date: 11/9/2009 12:18 AM
Size: 256 bytes

Pour msa.exe ne pas confondre avec l'infectio nde type b.exe / msa.exe

Les détections :

Détection du dropper original :

File b3bd512b23d7328b50f2007ce2bff60055f2490d.EXE received on 2009.11.07 15:40:34 (UTC)
Current status: finished
Result: 20/40 (50.00%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.07 Backdoor.Win32.Bredavi!IK
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.06 BDS/Bredavi.ard
Antiy-AVL 2.0.3.7 2009.11.05 -
Authentium 5.2.0.5 2009.11.07 -
Avast 4.8.1351.0 2009.11.07 Win32:Trojan-gen
AVG 8.5.0.423 2009.11.07 Packed.Revolt
BitDefender 7.2 2009.11.07 -
CAT-QuickHeal 10.00 2009.11.07 Win32.Packed.Krap.w.4
ClamAV 0.94.1 2009.11.07 -
Comodo 2873 2009.11.07 Heur.Suspicious
DrWeb 5.0.0.12182 2009.11.07 Trojan.DownLoad.58335
eTrust-Vet 35.1.7108 2009.11.06 -
F-Prot 4.5.1.85 2009.11.07 -
F-Secure 9.0.15370.0 2009.11.04 Suspicious:W32/Malware!Gemini
Fortinet 3.120.0.0 2009.11.07 W32/Bredavi.ARD!tr.bdr
GData 19 2009.11.07 Win32:Trojan-gen
Ikarus T3.1.1.74.0 2009.11.07 Backdoor.Win32.Bredavi
Jiangmin 11.0.800 2009.11.07 -
K7AntiVirus 7.10.891 2009.11.07 -
Kaspersky 7.0.0.125 2009.11.07 Backdoor.Win32.Bredavi.ard
McAfee 5794 2009.11.06 -
McAfee+Artemis 5794 2009.11.06 Artemis!0D3A292CB9D7
McAfee-GW-Edition 6.8.5 2009.11.07 Heuristic.LooksLike.Trojan.Backdoor.Bredavi.H
Microsoft 1.5202 2009.11.07 TrojanDownloader:Win32/Harnig.gen!Q
NOD32 4581 2009.11.07 Win32/Kryptik.BAK.gen
Norman 6.03.02 2009.11.06 -
nProtect 2009.1.8.0 2009.11.07 -
Panda 10.0.2.2 2009.11.07 -
PCTools 7.0.3.5 2009.11.06 -
Prevx 3.0 2009.11.07 -
Rising 21.54.52.00 2009.11.07 -
Sophos 4.47.0 2009.11.07 Mal/BredoPk-B
Sunbelt 3.2.1858.2 2009.11.06 Trojan.Win32.Bredolab.Gen.1 (v)
Symantec 1.4.4.12 2009.11.07 SecurityRisk.Downldr
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.07 -
VBA32 3.12.10.11 2009.11.06 -
ViRobot 2009.11.6.2025 2009.11.06 -
VirusBuster 4.6.5.0 2009.11.07 Backdoor.Bredavi.JP
Additional information
File size: 20515 bytes
MD5 : 0d3a292cb9d7a6dceb4590677236ffd2
SHA1 : 19ea3ff057f0c47a926f0267cfae4e18842eb737

~~

File 50553.exe received on 2009.11.09 08:16:19 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 10/40 (25%)


Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.09 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.08 -
Antiy-AVL 2.0.3.7 2009.11.09 -
Authentium 5.2.0.5 2009.11.08 W32/SuspPack.AZ.gen!Eldorado
Avast 4.8.1351.0 2009.11.08 Win32:MalOb-V
AVG 8.5.0.423 2009.11.08 -
BitDefender 7.2 2009.11.09 -
CAT-QuickHeal 10.00 2009.11.07 Win32.Packed.Krap.ag.4
ClamAV 0.94.1 2009.11.09 -
Comodo 2892 2009.11.09 -
DrWeb 5.0.0.12182 2009.11.09 -
eTrust-Vet 35.1.7111 2009.11.09 -
F-Prot 4.5.1.85 2009.11.08 W32/SuspPack.AZ.gen!Eldorado
F-Secure 9.0.15370.0 2009.11.09 -
Fortinet 3.120.0.0 2009.11.09 -
GData 19 2009.11.09 Win32:MalOb-V
Ikarus T3.1.1.74.0 2009.11.09 -
Jiangmin 11.0.800 2009.11.09 -
K7AntiVirus 7.10.891 2009.11.07 -
Kaspersky 7.0.0.125 2009.11.09 -
McAfee 5796 2009.11.08 -
McAfee+Artemis 5796 2009.11.08 -
McAfee-GW-Edition 6.8.5 2009.11.09 -
Microsoft 1.5202 2009.11.09 TrojanDownloader:Win32/Renos.JM
NOD32 4586 2009.11.09 a variant of Win32/Kryptik.BBF
Norman 6.03.02 2009.11.06 -
nProtect 2009.1.8.0 2009.11.09 -
Panda 10.0.2.2 2009.11.08 Suspicious file
PCTools 7.0.3.5 2009.11.09 -
Prevx 3.0 2009.11.09 -
Rising 22.21.00.03 2009.11.09 -
Sophos 4.47.0 2009.11.09 Mal/Krap-A
Sunbelt 3.2.1858.2 2009.11.08 Trojan.Win32.FraudPack.gen (v)
Symantec 1.4.4.12 2009.11.09 -
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.09 -
VBA32 3.12.10.11 2009.11.09 -
ViRobot 2009.11.9.2026 2009.11.09 -
VirusBuster 4.6.5.0 2009.11.08 -
Additional information
File size: 153088 bytes
MD5...: dd05f2e31ea60c60d6deb25e96023922
SHA1..: 9a4467723c6970d558923687799b1f85700397a6

File st14651.exe received on 2009.11.09 08:16:47 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 11/40 (27.5%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.09 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.08 -
Antiy-AVL 2.0.3.7 2009.11.09 -
Authentium 5.2.0.5 2009.11.08 -
Avast 4.8.1351.0 2009.11.08 -
AVG 8.5.0.423 2009.11.08 -
BitDefender 7.2 2009.11.09 -
CAT-QuickHeal 10.00 2009.11.07 -
ClamAV 0.94.1 2009.11.09 -
Comodo 2892 2009.11.09 -
DrWeb 5.0.0.12182 2009.11.09 -
eTrust-Vet 35.1.7111 2009.11.09 Win32/RogueSecurity!generic
F-Prot 4.5.1.85 2009.11.08 -
F-Secure 9.0.15370.0 2009.11.09 -
Fortinet 3.120.0.0 2009.11.09 -
GData 19 2009.11.09 -
Ikarus T3.1.1.74.0 2009.11.09 -
Jiangmin 11.0.800 2009.11.09 -
K7AntiVirus 7.10.891 2009.11.07 -
Kaspersky 7.0.0.125 2009.11.09 Trojan.Win32.FraudPack.zse
McAfee 5796 2009.11.08 FakeAlert-DZ
McAfee+Artemis 5796 2009.11.08 FakeAlert-DZ
McAfee-GW-Edition 6.8.5 2009.11.09 -
Microsoft 1.5202 2009.11.09 -
NOD32 4586 2009.11.09 a variant of Win32/Kryptik.BBB
Norman 6.03.02 2009.11.06 W32/FakeAV.AC!genr
nProtect 2009.1.8.0 2009.11.09 -
Panda 10.0.2.2 2009.11.08 Adware/TotalSecurity2009
PCTools 7.0.3.5 2009.11.09 -
Prevx 3.0 2009.11.09 -
Rising 22.21.00.03 2009.11.09 Trojan.Win32.FakeAV.all
Sophos 4.47.0 2009.11.09 Mal/FakeAV-AD
Sunbelt 3.2.1858.2 2009.11.08 FraudTool.Win32.RogueSecurity (v)
Symantec 1.4.4.12 2009.11.09 -
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.09 Mal_FakeAV-17
VBA32 3.12.10.11 2009.11.09 -
ViRobot 2009.11.9.2026 2009.11.09 -
VirusBuster 4.6.5.0 2009.11.08 -
Additional information
File size: 1278497 bytes
MD5...: 9bc4bf29a042946ae1bee8db9c5c7268
SHA1..: 61d603d5ef332f54abe7e2837ddb0cba8e68c1b3

[Malekal_morte]

Beaucoup de sites conduisant à de fausses alertes de sécurité présent sur Google (voir SEO empoisonnement : redirections recherches Google

Exemple avec :

Code: Tout sélectionner

1259171608.682   3345 192.168.1.26 TCP_MISS/200 1209808 GET http://securitytoolnow.com/downloader.php?affid=92800 - DIRECT/78.129.166.11 application/octet-stream

File downloader.php_affid_92800 received on 2009.11.25 15:41:58 (UTC)
Current status: finished
Result: 14/41 (34.15%)

The results for downloader.php?affid=92800 are :
Prevx 3.0 2009.11.25 Medium Risk Malware
Norman 6.03.02 2009.11.25 W32/FakeAV.AM!genr
PCTools 7.0.3.5 2009.11.25 Application.Maybe_RogueAV
F-Secure 9.0.15370.0 2009.11.24 Gen:Trojan.Heur.Hype.jrX@a8TWV9ei
Kaspersky 7.0.0.125 2009.11.25 Packed.Win32.Krap.ai
Sunbelt 3.2.1858.2 2009.11.25 FraudTool.Win32.RogueSecurity (v)
GData 19 2009.11.25 Trojan.FakeAlert.BRG
NOD32 4636 2009.11.25 a variant of Win32/Kryptik.BEY
McAfee-GW-Edition 6.8.5 2009.11.25 Heuristic.LooksLike.Trojan.PCK.Krap.H
BitDefender 7.2 2009.11.25 Trojan.FakeAlert.BRG
Sophos 4.47.0 2009.11.25 Mal/FakeAV-AD
TrendMicro 9.0.0.1003 2009.11.25 TROJ_FAKEAV.SMF
eTrust-Vet 35.1.7141 2009.11.25 Win32/RogueSecurity!generic
Microsoft 1.5302 2009.11.25 Trojan:Win32/Winwebsec

File size: 1209405 bytes
MD5 : 884f9b56cfd37a57f97cc09ec164eb15
SHA1 : f15771b44b5b3064f655154cbaab2bceac8b0d7b
SHA256: 1f3b3e31b4e6253bcb244c7011f8bef63e2d918f19f8c18dd7d18d8c34fa44e0

[Malekal_morte]

Security Tool était très actif via de fausses alertes de sécurité en utilisant le SEO empoisonnement.

L'actualité est utilisé pour redirigé les internautes qui font des recherches sur le tremblement de terre à Haïti, voir : haiti-tremblement-terre-soe-empoisonnement-t22811.html

[Malekal_morte]

Voir ce sujet : rkit-kryptic-763904-t22824.html

C:\Documents and Settings\xxxx\Menu Démarrer\Programmes\Démarrage\siszyd32.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.wfc

siszyd32.exe qui se copie dans le dossier Démarrage peut faire penser à PWS-Win32.Daurso mais en réalité c'est un trojan downloader qui va chercher et installe l'infection Security Tool / C:\WINDOWS\Temp\_ex-08.exe et Trojan.Bredolab amdk7.sys

Dans le cas du sujet de désinfection, l'internaute a été infecté via une exploits sur des sites WEB, le fichier load.exe est identique à siszyd32.exe qui est ensuite copié sous ce nom dans C:\Documents and Settings\xxxx\Menu Démarrer\Programmes\Démarrage\

La détection du fichier :

File siszyd32.exe received on 2010.01.16 12:51:17 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 7/40 (17.5%)

Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.01.16 -
AhnLab-V3 5.0.0.2 2010.01.16 -
AntiVir 7.9.1.142 2010.01.15 TR/Dldr.Agent.wfc
Antiy-AVL 2.0.3.7 2010.01.12 -
Authentium 5.2.0.5 2010.01.16 -
Avast 4.8.1351.0 2010.01.16 -
AVG 9.0.0.730 2010.01.16 -
BitDefender 7.2 2010.01.16 -
CAT-QuickHeal 10.00 2010.01.16 -
ClamAV 0.94.1 2010.01.16 -
Comodo 3603 2010.01.16 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.1.12222 2010.01.16 -
eSafe 7.0.17.0 2010.01.14 -
eTrust-Vet 35.2.7240 2010.01.15 -
F-Prot 4.5.1.85 2010.01.15 -
F-Secure 9.0.15370.0 2010.01.16 Suspicious:W32/Riskware!Online
Fortinet 4.0.14.0 2010.01.16 -
GData 19 2010.01.16 -
Ikarus T3.1.1.80.0 2010.01.16 -
Jiangmin 13.0.900 2010.01.16 -
K7AntiVirus 7.10.948 2010.01.15 -
Kaspersky 7.0.0.125 2010.01.16 Trojan.Win32.Agent2.cnfz
McAfee 5862 2010.01.15 -
McAfee+Artemis 5862 2010.01.15 -
McAfee-GW-Edition 6.8.5 2010.01.16 Trojan.Dldr.Agent.wfc
Microsoft 1.5302 2010.01.16 -
NOD32 4777 2010.01.16 -
Norman 6.04.03 2010.01.16 -
nProtect 2009.1.8.0 2010.01.16 -
Panda 10.0.2.2 2010.01.15 Trj/CI.A
PCTools 7.0.3.5 2010.01.16 -
Prevx 3.0 2010.01.16 Medium Risk Malware
Rising 22.30.05.03 2010.01.16 -
Sophos 4.49.0 2010.01.16 -
Sunbelt 3.2.1858.2 2010.01.16 -
Symantec 20091.2.0.41 2010.01.16 -
TheHacker 6.5.0.4.153 2010.01.16 -
TrendMicro 9.120.0.1004 2010.01.16 -
ViRobot 2010.1.16.2140 2010.01.16 -
VirusBuster 5.0.21.0 2010.01.15 -
Additional information
File size: 23040 bytes
MD5...: 3fef463a4c49ca232bb595bc1b84e1b3
SHA1..: eb2d8ff94458242946620c1c22251fecda3bd200