Malekal's forum

[Xaar]

Voici les messages qu'affichent le trojan suite à l'infection si cela peu aider.

[Malekal_morte]

Si vous voulez avoir un fix, il faut un dropper.
Donc soit l'envoyer.
Soit eventuellement indiquer sur quel site vous pensez avoir choppé l'infection que je tente de la récupérer.

[Pi-Wi]

Je pense avoir chopé ça sur
http://rarbg.com/torrents.php?category=18;19

a+
Pi-Wi

[Xaar]

Pour moi malheureusement je ne sais pas sur quel site on l'a attrapé, l'historique à été vidé.
La il faudrait "juste" un programme pour remplacer les deux premières lettres hexadécimales d'un doc,docx,xls,xlsx,jpeg par celles correspondants à la vraie nature du fichier

[tigzy]

Le problème c'est que sans savoir comment sont modifiés les premiers octets, on peut "juste" pas deviner quoi remettre

Merci d'envoyer quelques fichiers modifiés

[Malekal_morte]

Pas de malware sur ce site.

Vous pouvez zipper un ou deux fichiers cryptés (pas trop volumineux svp) sur http://upload.malekal.com
pour essayer.

[tigzy]

Dans le pire des cas je peux faire un programme qui regarde l'extension et vérifie la signature en relation, mais s'il y a des faux positifs ça risque de faire du dégât en faisant un recherche sur tout le disque...

Faudrait que je teste.
Merci de dresser la liste COMPLETE des extensions touchées

[Pi-Wi]

bonjour,

la liste a déjà été donné par fab :

Pour moi les fichiers touchés sont JPG, XLS, DOC XLSX etDOCX

un JPG doit avoir en 2 premier caractères FF ( les 2 ont été modifiées pour moi)

un doc ou xls : D0 (juste le D a modifier pour moi)
un docx ou xlsx : 50 (juste le 5 a modifier pour moi)

c'est assez simple pour une fois comme modification à faire et cela ne changera en rien les fichiers non "cryptés"

merci pour ton aide
Pi-Wi

[tigzy]

oui les signatures je les connait, c'est bon http://www.garykessler.net/library/file_sigs.html


Seulement j'espère juste que sur ton disque dur tu n'as pas des fichiers de ces formats qui sont "dans la mauvaise extension". Le problème n'est pas la modification de la signature, mais le fait d'automatiser un traitement sur tout le disque dur

[Xaar]

Dans la mauvaise extension?

[tigzy]

Si quelqu'un veut tester.

Merci de commencer par un petit dossier, et sans mettre le flag "-f" (qui réécrit le fichier)
Dans le cas d'un "scan", la ligne "CORRUPTED" apparait en dessous du fichier en question
dans le cas d'une réparation (avec le flag -f donc), la ligne "FIXED" apparait en dessous



http://tigzy.geekstogo.com/Tools/ExtSigChecker.exe


EDIT: il s'utilise en ligne de commande, il faut donc ouvrir une invite cmd.exe, naviguer jusqu'à l'emplacement du programme, et le lancer avec les paramètres requis (voir "usage")

EDIT2: Modification du binaire => Bug sur JPEG.
Ajout du flag -a (par défaut on affiche que les fichiers corrompus)

EDIT3: Lien officiel sur mon ftp

[Xaar]

Ça marche pour moi, merci beaucoup !

[tigzy]

Merci du retour.
Tu as passé le flag -f ?
Tu as récupéré tous tes fichiers? pas de faux positifs?

[Pi-Wi]

test en cours... tous mes fichiers excel word et jpg sont "corrupted" !

j'ai une erreur à la fin :
[.XLSX] C:WINDOWS/ShellNew/EXCEL12.XLSX
----------------[CORRUPTED]----------------
Invalid file Handle for filter 0060BBF0. Error is 5

[tigzy]

Erreur 5 = Accès refusé
C'est rien

Les documents remarchent après fix?