Trojan.Alureon / Trojan.Tdss

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85007
Inscription : 10 sept. 2005 13:57
Contact :

Trojan.Alureon / Trojan.Tdss

Message par Malekal_morte » 19 oct. 2009 18:18

Pour supprimer TDSS/Trojan.Alureon :
[/b]

Les infections Trojan.Alureon/Trojan.Tdss sont des infections utilisant la technologie rootkit. Ce sont des rootkit kernel-mode ce qui signifie qu'ils se chargent très bas dans le système ce qui les rend difficile à détecter et à éradiquer.
Généralement les antivirus (même avec un scanneur rootkit) sont incapable de les détecter et supprimer.

Voir les pages relatives à Trojan.Tdss et Trojan.Alureon sur le forum/site :
https://www.malekal.com/TDSSServ_TDSServ.php
trojan-dnschanger-trojan-win32-alureon- ... 11252.html
https://www.malekal.com/rootkit_seneka.php

Il existe donc plusieurs variantes - mais tous ont plus ou moins la même structure de fichier à savoir un .sys, des fichiers .dll et fichiers .dat - tous les fichiers sont invisibles dans l'explorateur de fichiers :

Exemple avec la variante gasfky (la terminaison des fichiers est ensuite aléatoires) :
c:\windows\system32\drivers\gasfkyqmoygowb.sys
c:\windows\system32\gasfkyefwpydjm.dll
c:\windows\system32\gasfkyihxtqdnm.dll
c:\windows\system32\gasfkymydtmdwi.dat
c:\windows\system32\gasfkyoyjyakck.dll
c:\windows\system32\gasfkytpaiyoyx.dat
La variante gasfky fait succession à une ancien infection du nom de Trojan.DNSChanger, se reporter à la page suivante : trojan-dnschanger-trojan-win32-alureon- ... 11252.html
Cette variante a pour but de générer des redirections lors des recherches Google, les autres variante (UACd.sys, seneka.sys ou tdssserv.sys) peuvent aussi générer des redirections.
NOTE : la variante tdssserv.sys ne semble plus être en circulation supplanté par la variante UACd.sys).

La vidéo suivante montre les problèmes occasionnées et les redirections Google générées :


Cette infection peut voler des informations comme les mots de passe et donner le contrôle de l'ordinateur infecté (notion de PC Zombis / botnet)

Les variantes UACd.sys et Tdssserv.sys) sont aussi plus problématique car elles possèdent des systèmes de défense à savoir la possibilité de terminer des processus (GMER et catchme, Combofix et Malwarebyte Anti-Malware sont visés).
Enfin ces variantes peuvent aussi bloquer l'accès à certains sites de mises à jour antivirus ou forum de sécurité.
NOTE : dans le cas de GMER, la version avec le nom aléatoire fonctionne.

A noter enfin, qu'il existe deux nouvelles variantes qui patche le fichier atapi.sys, voir le sujet suivant : infection-atapi-ferme-t21400.html et la vidéo suivante :


Plus d'information sur cette variante : rootkit-tdss-tmp-tmp-t22604.html

Informations sur la variante UACd.sys - exemple d'un scan VirusTotal :
File 123-v302.exe received on 2009.10.19 15:31:50 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 7/41 (17.08%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.19 Packed.Win32.Tdss!IK
AhnLab-V3 5.0.0.2 2009.10.19 -
AntiVir 7.9.1.35 2009.10.19 -
Antiy-AVL 2.0.3.7 2009.10.19 -
Authentium 5.1.2.4 2009.10.19 -
Avast 4.8.1351.0 2009.10.18 -
AVG 8.5.0.420 2009.10.19 -
BitDefender 7.2 2009.10.19 -
CAT-QuickHeal 10.00 2009.10.18 -
ClamAV 0.94.1 2009.10.19 -
Comodo 2658 2009.10.19 -
DrWeb 5.0.0.12182 2009.10.19 -
eSafe 7.0.17.0 2009.10.19 Suspicious File
eTrust-Vet 35.1.7074 2009.10.19 -
F-Prot 4.5.1.85 2009.10.18 -
F-Secure 9.0.15300.0 2009.10.16 -
Fortinet 3.120.0.0 2009.10.19 -
GData 19 2009.10.19 -
Ikarus T3.1.1.72.0 2009.10.19 Packed.Win32.Tdss
Jiangmin 11.0.800 2009.10.19 -
K7AntiVirus 7.10.874 2009.10.19 -
Kaspersky 7.0.0.125 2009.10.19 -
McAfee 5775 2009.10.18 -
McAfee+Artemis 5775 2009.10.18 -
McAfee-GW-Edition 6.8.5 2009.10.19 Heuristic.BehavesLike.Win32.Packed.C
Microsoft 1.5101 2009.10.19 Trojan:Win32/Alureon.gen!J
NOD32 4522 2009.10.19 a variant of Win32/Kryptik.ASV
Norman 6.03.02 2009.10.19 -
nProtect 2009.1.8.0 2009.10.19 -
Panda 10.0.2.2 2009.10.18 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.19 -
Rising 21.52.04.00 2009.10.19 -
Sophos 4.46.0 2009.10.19 Sus/UnkPacker
Sunbelt 3.2.1858.2 2009.10.18 -
Symantec 1.4.4.12 2009.10.19 -
TheHacker 6.5.0.2.047 2009.10.19 -
TrendMicro 8.950.0.1094 2009.10.19 -
VBA32 3.12.10.11 2009.10.18 -
ViRobot 2009.10.19.1993 2009.10.19 -
VirusBuster 4.6.5.0 2009.10.19 -
Additional information
File size: 145408 bytes
MD5...: eada28eb7e3b6e0a17c1d9e60b36d613
SHA1..: 52b67f29e48496b53f999e66cb8c1bca898247c7
et un rapport de scan GMER :
GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-10-19 08:50:51
Windows 5.1.2600 Service Pack 2
Running: i8d29epn.exe; Driver: C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\fwrcyaog.sys


---- System - GMER 1.0.15 ----

Code 81089860 ZwEnumerateKey
Code 8108D0D8 ZwFlushInstructionCache
Code 810897FE IofCallDriver
Code 8108964E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!IofCallDriver 804EDE00 5 Bytes JMP 81089803
.text ntkrnlpa.exe!IofCompleteRequest 804EDE90 5 Bytes JMP 81089653
PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805AA912 5 Bytes JMP 8108D0DC
PAGE ntkrnlpa.exe!ZwEnumerateKey 80619412 5 Bytes JMP 81089864

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Internet Explorer\Iexplore.exe[1556] WININET.dll!HttpAddRequestHeadersA 771C54CA 5 Bytes JMP 00C2000C
.text C:\Program Files\Internet Explorer\Iexplore.exe[1556] WININET.dll!HttpAddRequestHeadersW 771D5E41 5 Bytes JMP 00D2000A
.text C:\Program Files\Internet Explorer\Iexplore.exe[1556] WS2_32.dll!connect 71AB406A 5 Bytes JMP 1000A9CE
.text C:\Program Files\Internet Explorer\Iexplore.exe[1556] WS2_32.dll!send 71AB428A 5 Bytes JMP 1000A9B6
.text C:\Program Files\Internet Explorer\Iexplore.exe[1556] WS2_32.dll!closesocket 71AB9639 5 Bytes JMP 1000AB0B

---- Modules - GMER 1.0.15 ----

Module \systemroot\system32\drivers\UACdjnttfrmup.sys (*** hidden *** ) F8733000-F876D000 (237568 bytes)
---- Processes - GMER 1.0.15 ----

Library \\?\globalroot\systemroot\system32\UACbqbfurrmvx.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1028] 0x10000000
Library \\?\globalroot\systemroot\system32\UACbqbfurrmvx.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1136] 0x10000000
Library \\?\globalroot\systemroot\system32\UACbqbfurrmvx.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1300] 0x10000000
Library \\?\globalroot\systemroot\system32\UACbqbfurrmvx.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1420] 0x10000000
Library \\?\globalroot\systemroot\system32\UACpvepjvxeih.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1516] 0x00A50000
Library \\?\globalroot\systemroot\system32\UACpvepjvxeih.dll (*** hidden *** ) @ C:\Program Files\Internet Explorer\Iexplore.exe [1556] 0x00B80000

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACdjnttfrmup.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACdjnttfrmup.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UAClvbuyxwskd.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACbbr \\?\globalroot\systemroot\system32\UACbqbfurrmvx.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@UACsr \\?\globalroot\systemroot\system32\UACdoreqiolvk.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACpvepjvxeih.dll
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@imagepath \systemroot\system32\drivers\UACdjnttfrmup.sys
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACd \\?\globalroot\systemroot\system32\drivers\UACdjnttfrmup.sys
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACc \\?\globalroot\systemroot\system32\UAClvbuyxwskd.dll
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACbbr \\?\globalroot\systemroot\system32\UACbqbfurrmvx.dll
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@UACsr \\?\globalroot\systemroot\system32\UACdoreqiolvk.dat
Reg HKLM\SYSTEM\ControlSet002\Services\UACd.sys\modules@uacserf \\?\globalroot\systemroot\system32\UACpvepjvxeih.dll
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore@Count 14

---- Files - GMER 1.0.15 ----

File C:\Documents and Settings\Malekal_morte\Local Settings\Temp\UAC4230.tmp 121344 bytes executable
File C:\Documents and Settings\Malekal_morte\Local Settings\Temp\UAC427e.tmp 343040 bytes executable
File C:\WINDOWS\system32\drivers\UACdjnttfrmup.sys 102912 bytes executable
File C:\WINDOWS\system32\UACbqbfurrmvx.dll 59392 bytes
File C:\WINDOWS\system32\UACdoreqiolvk.dat 705 bytes
File C:\WINDOWS\system32\uacinit.dll 17805 bytes
File C:\WINDOWS\system32\UAClvbuyxwskd.dll 81408 bytes executable
File C:\WINDOWS\system32\UACpvepjvxeih.dll 19968 bytes executable

---- EOF - GMER 1.0.15 ----
En plus des outils "habituels", Combofix et Malwarebyte's Anti-Malware, vous pouvez éventuellement utiliser TDSS Remover
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85007
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Alureon / Trojan.Tdss

Message par Malekal_morte » 20 oct. 2009 22:55

Ajout d'une vidéo sur la version Trojan.Alureon / Trojan.Tdss qui patche le fichier atapi.sys.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85007
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Alureon / Trojan.Tdss

Message par Malekal_morte » 01 nov. 2009 20:11

Ajout du lien pour TDSS remover
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85007
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Alureon / Trojan.Tdss

Message par Malekal_morte » 28 déc. 2009 01:46

Variante Trojan.TDSS H8SRT* avec le rogue Malware Defense :
c:\windows\system32\drivers\H8SRTvkkltfnxjm.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\H8SRTiunapybcdd.dll
c:\windows\system32\H8SRTtabaiyuydq.dll
c:\windows\system32\H8SRTvdpyavpkty.dat
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85007
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Alureon / Trojan.Tdss

Message par Malekal_morte » 29 janv. 2010 20:28

Variante Trojan.TDSS est passé avec le radical _VOID* avec le rogue Malware Defense :
File C:\WINDOWS\system32\drivers\_VOIDiylidmecrd.sys 40448 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\system32\_VOIDbuwbxittqf.dll 40960 bytes executable
File C:\WINDOWS\system32\_VOIDpalkixnssw.dll 26624 bytes executable
File C:\WINDOWS\system32\_VOIDshsyst.dll 524 bytes
File C:\WINDOWS\system32\_VOIDuxvnxvivcf.dat 47 bytes
File C:\WINDOWS\system32\_VOIDvmqsxyrdba.dll 19456 bytes executable
File C:\WINDOWS\system32\_VOIDwqisqweaxj.dll 40960 bytes executable
File C:\WINDOWS\Temp\_VOIDdb93.tmp 48 bytes
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85007
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Alureon / Trojan.Tdss

Message par Malekal_morte » 28 févr. 2010 15:29

Autre variante avec le radical 4DW4R3 :
%System%\4DW4R3rnvUCQUADp.dll
%System%\drivers\4DW4R3hFPInCMEvO.sys

# [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\4DW4R3]
* ImagePath = "%System%\drivers\4DW4R3hFPInCMEvO.sys"
* Type = 0x00000001
* Start = 0x00000001
* group = "file system"
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85007
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Alureon / Trojan.Tdss

Message par Malekal_morte » 10 avr. 2010 23:22

Autre radical PRAGMA qui vient entre autre avec le rogue Digital Protection :
---- Services - GMER 1.0.15 ----

Service system32\drivers\PRAGMAwvggikhclt.sys (*** hidden *** ) [SYSTEM] PRAGMAd.sys <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys@imagepath \systemroot\system32\drivers\PRAGMAwvggikhclt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys\modules@PRAGMAc \\?\globalroot\systemroot\system32\PRAGMAbaitqwijol.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys\modules@PRAGMAd \\?\globalroot\systemroot\system32\drivers\PRAGMAwvggikhclt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys\modules@PRAGMAsrcr \\?\globalroot\systemroot\system32\PRAGMAjnbbqsiarw.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys\modules@pragmaserf \\?\globalroot\systemroot\system32\PRAGMAqopumtxidl.dll
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités