Win32/Tedroo.I / Email-Worm.Win32.Joleee / Win32:Walivun

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84528
Inscription : 10 sept. 2005 13:57
Contact :

Win32/Tedroo.I / Email-Worm.Win32.Joleee / Win32:Walivun

Message par Malekal_morte » 16 mai 2009 18:30

Win32/Tedroo.I / Email-Worm.Win32.Joleee est une famille de Trojan SpamBot qui se propage beaucoup par des exploits sur sites WEB dont voici quelques remontés :
91.212.41.119
viewtopic.php?f=62&t=15039&p=116561&hil ... oo#p116561
viewtopic.php?f=62&t=17538&p=139427&hil ... oo#p139427
viewtopic.php?f=62&t=17773&p=141659&hil ... oo#p141659
viewtopic.php?f=62&t=17844&p=142258&hil ... oo#p142258
viewtopic.php?f=62&t=18339

L'infection droppe un fichier services.exe dans le dossier %windir% (en général C:\Windows)
Voici la clef Run ajoutée afin de se lancer à chaque démarrage.
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Services" = "%WinDir%\services.exe"
Une fois infecté, le PC rejoint le [url=les-zombis-botnet-t1020.html]botnet[url] et est ensuite utilisé pour envoyer des mails de Spam très souvent pour des campagnes de Viagra :

Image

Image

Ce sont des mails avec les sujets du type :
RE: SALE 77% 0FF on Pfizer !
et comme expéditeur :
VIAGRA ? Official Site
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84528
Inscription : 10 sept. 2005 13:57
Contact :

Re: Win32/Tedroo.I / Email-Worm.Win32.Joleee

Message par Malekal_morte » 11 juin 2009 12:05

Autre variante avec :
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84528
Inscription : 10 sept. 2005 13:57
Contact :

Re: Win32/Tedroo.I / Email-Worm.Win32.Jolee

Message par Malekal_morte » 11 nov. 2009 23:31

Email-Worm.Win32.Joleee va maintenant par des ADS :
O4 - HKCU\..\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe
O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe
~~
File hyzue2.exe-1 received on 2009.11.05 02:12:32 (UTC)
Current status: finished
Result: 25/41 (60.98%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.05 Email-Worm.Win32.Joleee!IK
AhnLab-V3 5.0.0.2 2009.11.04 -
AntiVir 7.9.1.53 2009.11.04 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2009.11.04 Worm/Win32.Joleee.gen
Authentium 5.2.0.5 2009.11.05 -
Avast 4.8.1351.0 2009.11.04 Win32:Rootkit-gen
AVG 8.5.0.423 2009.11.05 -
BitDefender 7.2 2009.11.05 -
CAT-QuickHeal 10.00 2009.11.04 I-Worm.Joleee.efa
ClamAV 0.94.1 2009.11.04 -
Comodo 2841 2009.11.04 Heur.Suspicious
DrWeb 5.0.0.12182 2009.11.05 Trojan.Spambot.5349
eSafe 7.0.17.0 2009.11.04 Win32.TRDropper
eTrust-Vet 35.1.7103 2009.11.04 -
F-Prot 4.5.1.85 2009.11.04 -
F-Secure 9.0.15370.0 2009.11.04 -
Fortinet 3.120.0.0 2009.11.04 W32/Joleee.EFA@mm
GData 19 2009.11.05 Win32:Rootkit-gen
Ikarus T3.1.1.74.0 2009.11.05 Email-Worm.Win32.Joleee
Jiangmin 11.0.800 2009.11.04 -
K7AntiVirus 7.10.888 2009.11.04 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.11.05 Email-Worm.Win32.Joleee.efa
McAfee 5792 2009.11.04 Generic Dropper.jk
McAfee+Artemis 5792 2009.11.04 Generic Dropper.jk
McAfee-GW-Edition 6.8.5 2009.11.04 Heuristic.LooksLike.Win32.PasswordStealer.A
Microsoft 1.5202 2009.11.04 Spammer:Win32/Tedroo.AB
NOD32 4574 2009.11.04 Win32/SpamTool.Tedroo.AB
Norman 6.03.02 2009.11.04 -
nProtect 2009.1.8.0 2009.11.04 -
Panda 10.0.2.2 2009.11.04 W32/Joleee.U.worm
PCTools 7.0.3.5 2009.11.04 -
Prevx 3.0 2009.11.05 Medium Risk Malware
Rising 21.54.24.00 2009.11.04 Trojan.Win32.Spammer.aet
Sophos 4.47.0 2009.11.05 -
Sunbelt 3.2.1858.2 2009.11.05 Trojan.Win32.Generic!SB.0
Symantec 1.4.4.12 2009.11.05 Hacktool.Spammer
TheHacker 6.5.0.2.061 2009.11.05 -
TrendMicro 9.0.0.1003 2009.11.04 -
VBA32 3.12.10.11 2009.11.04 Email-Worm.Win32.Joleee.efa
ViRobot 2009.11.5.2022 2009.11.05 -
VirusBuster 4.6.5.0 2009.11.04 I-Worm.Joleee.BXS
Additional information
File size: 22016 bytes
MD5 : dae8fd07edc8722e0863abde450dcef9
SHA1 : d9874aec975d56649dc1b82fb54f22f60d003e04
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84528
Inscription : 10 sept. 2005 13:57
Contact :

Re: Win32/Tedroo.I / Email-Worm.Win32.Joleee / Win32:Walivun

Message par Malekal_morte » 22 déc. 2009 10:41

Juste pour rajouter la détection Win32:Walivun d'Avast! dans le post.
La détection peut aussi s'appliquer aux rogues de la famille suivante : est-que-les-rogues-scareware-t589.html#p161616 dont les packers sont les mêmes que Tedroo (possible même groupe derrière ?).
MD5 : d9d90382e2be5cf1130da9040d5575af
Date : 2009.12.22 08:31:20 (UTC)
Results : 9/40
Virus Names : probably unknown NewHeur_PE Spammer:Win32/Tedroo.gen!B Win32:Walivun
Permalink : http://www.virustotal.com/analisis/093c ... 1261470680

The results for update.php?id=6 are :
GData 19 2009.12.22 Win32:Walivun
Microsoft 1.5302 2009.12.22 Spammer:Win32/Tedroo.gen!B
McAfee+Artemis 5839 2009.12.21 Artemis!D9D90382E2BE
PCTools 7.0.3.5 2009.12.22 RogueAntiSpyware.SecurityToolFraud
Comodo 3329 2009.12.22 Heur.Packed.Unknown
Avast 4.8.1351.0 2009.12.22 Win32:Walivun
NOD32 4707 2009.12.21 probably unknown NewHeur_PE
VBA32 3.12.12.0 2009.12.22 Malware-Cryptor.Win32.General.3
Panda 10.0.2.2 2009.12.15 Suspicious file
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84528
Inscription : 10 sept. 2005 13:57
Contact :

Re: Win32/Tedroo.I / Email-Worm.Win32.Joleee / Win32:Walivun

Message par Malekal_morte » 03 mai 2010 22:55

Le malware est maintenant détecté en Trojan.Win32.Siscos

Exemple de scan VirusTotal :
Scan VirusTotal :
MD5 : 699843a030cc1e03fbb95b6a46eb34fb
First received : 2010.05.03 20:18:16 UTC
Date : 2010.05.03 20:18:16 UTC [<1D]
Results : 13/40
Permalink : http://www.virustotal.com/analisis/ca4e ... 1272917896
SHA1 : 613594cfc3580f843298ac36684db9c89a5c62d1
SHA256 : : ca4e0beaf4b8f110cb9938764b5743a5b8e15c518052bd17018bf5b745599c76

AVG 9.0.0.787 2010.05.03 SHeur3.UZJ
F-Secure 9.0.15370.0 2010.05.03 Trojan.Generic.KD.10071
ClamAV 0.96.0.3-git 2010.05.03 Trojan.FakeAV-3267
GData 21 2010.05.03 Trojan.Generic.KD.10071
Kaspersky 7.0.0.125 2010.05.03 Packed.Win32.Katusha.l
BitDefender 7.2 2010.05.03 Trojan.Generic.KD.10071
Sophos 4.53.0 2010.05.03 Mal/FakeAV-DH
NOD32 5083 2010.05.03 Win32/TrojanDownloader.FakeAlert.AXN
Avast 4.8.1351.0 2010.05.03 Win32:Trojan-gen
Comodo 4753 2010.05.03 Heur.Packed.Unknown
F-Prot 4.5.1.85 2010.05.03 W32/Trojan3.BTN
Authentium 5.2.0.5 2010.05.03 W32/Trojan3.BTN
Avast5 5.0.332.0 2010.05.03 Win32:Trojan-gen
http-kerrimckeetq-info-load-php-t25288.html#p208705
http-mazatrafa2-sfdef4-load-php-spl-mdac-t24921.html
http-onotolexx-sfdef4-load-php-spl-mdac-t24584.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 5 invités