Trojan.Win32.Scar / Email-Worm.Win32.Gibon : msxslt3.exe

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84997
Inscription : 10 sept. 2005 13:57
Contact :

Trojan.Win32.Scar / Email-Worm.Win32.Gibon : msxslt3.exe

Message par Malekal_morte » 06 nov. 2009 11:55

Trojan.Win32.Scar est un trojan-downloader qui installe un pack infection, dans l'exemple ci-dessous est une lié à celui-ci : restorer64_a.exe / restorer32_a.exe : Backdoor.Win32.HareBot
Bien entendu le malware Trojan.Win32.Scar peut apparaître avec d'autres packs d'infection contenant notamment des rogues.

Trojan.Win32.Scar télécharge le pack de malwares à partir des urls suivantes :

Code : Tout sélectionner

1257507861.914    381 192.168.1.26 TCP_MISS/200 188759 GET http://cammaru.cn/cp/tasksz.php?load=da7fe5e6f15fa4e955d0c4638046bef8&id=19 - DIRECT/91.213.126.92 application/x-msdownload
1257507862.803    382 192.168.1.26 TCP_MISS/200 188759 GET http://cammaru.cn/cp/tasksz.php?load=e2a7e5bfb2eea396e0da217d4ad3c685&id=7 - DIRECT/91.213.126.92 application/x-msdownload
1257507863.813    329 192.168.1.26 TCP_MISS/200 118615 GET http://cammaru.cn/cp/tasksz.php?load=fe17d132a6ca1da4243dabff5c515720&id=17 - DIRECT/91.213.126.92 application/x-msdownload
1257507865.909    355 192.168.1.26 TCP_MISS/200 153431 GET http://cammaru.cn/cp/tasksz.php?load=fdd315585b31803443081517f57d0a31&id=29 - DIRECT/91.213.126.92 application/x-msdownload
1257507866.689    204 192.168.1.26 TCP_MISS/200 31062 GET http://cammaru.cn/cp/tasksz.php?load=b130c1f3b2186e82c047854137212ccc&id=3 - DIRECT/91.213.126.92 application/x-msdownload
On notera que cammaru.cn est sur la même classe IP que analitikall.cn 91.213.126.* évoqué dans le post précédent.

Cela se traduit par des fichiers tmpxxxx.tmp dans C:\Windows\temp où x peut-être une lettre ou un chiffre :

Image

Image

On obtient alors les lignes suivantes HiJackThis :
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\msupdt.exe,
O4 - HKLM\..\Run: [MsXSLT] C:\WINDOWS\system32\msxslt3.exe
O4 - HKLM\..\Run: [notviz] C:\WINDOWS\system32\winhelp.exe
O4 - Startup: sysupd32.exe
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
Le rootkit win32x.sys est aussi présent avec le patch userinit.exe comme évoqué précédemment dans la page : restorer64_a.exe / restorer32_a.exe : Backdoor.Win32.HareBot

et comme "d'habitude" : PWS-Win32.Daurso.A
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\msupdt.exe
est détecté en Backdoor.Win32.Isnup, on ne s'étendra pas dessus.

Trojan.Win32.Scar est donc copié en C:\Windows\system32\msxslt3.exe et se lance à chaque démarrage

La détection VirusTotal :
File svchost.exe received on 2009.11.06 07:36:21 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 17/40 (42.5%)
Loading server information...

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.06 Trojan.Win32.Scar!IK
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.59 2009.11.05 TR/Scar.akmm
Antiy-AVL 2.0.3.7 2009.11.05 -
Authentium 5.2.0.5 2009.11.06 -
Avast 4.8.1351.0 2009.11.06 Win32:Rootkit-gen
AVG 8.5.0.423 2009.11.05 -
BitDefender 7.2 2009.11.06 -
CAT-QuickHeal 10.00 2009.11.06 -
ClamAV 0.94.1 2009.11.06 PUA.Packed.ASPack212
Comodo 2856 2009.11.06 -
DrWeb 5.0.0.12182 2009.11.06 Trojan.DownLoad.49872
eTrust-Vet None 2009.11.05 -
F-Prot 4.5.1.85 2009.11.05 -
F-Secure 9.0.15370.0 2009.11.04 -
Fortinet 3.120.0.0 2009.11.05 W32/Scar.AKMM!tr
GData 19 2009.11.06 Win32:Rootkit-gen
Ikarus T3.1.1.74.0 2009.11.06 Trojan.Win32.Scar
Jiangmin 11.0.800 2009.11.06 -
K7AntiVirus 7.10.889 2009.11.05 -
Kaspersky 7.0.0.125 2009.11.06 Trojan.Win32.Scar.akmm
McAfee 5793 2009.11.05 -
McAfee+Artemis 5793 2009.11.05 Artemis!D80C6111D7D3
McAfee-GW-Edition 6.8.5 2009.11.06 Trojan.Scar.akmm
Microsoft 1.5202 2009.11.05 -
NOD32 4577 2009.11.05 Win32/TrojanDownloader.Agent.PLS
Norman 6.03.02 2009.11.05 -
nProtect 2009.1.8.0 2009.11.06 -
Panda 10.0.2.2 2009.11.05 -
PCTools 7.0.3.5 2009.11.06 Downloader.Generic
Prevx 3.0 2009.11.06 Medium Risk Malware
Rising 21.54.41.00 2009.11.06 -
Sophos 4.47.0 2009.11.06 -
Sunbelt 3.2.1858.2 2009.11.06 -
Symantec 1.4.4.12 2009.11.06 Downloader
TheHacker 6.5.0.2.062 2009.11.05 -
TrendMicro 9.0.0.1003 2009.11.06 PAK_Generic.001
VBA32 3.12.10.11 2009.11.06 -
ViRobot 2009.11.6.2024 2009.11.06 -
VirusBuster 4.6.5.0 2009.11.05 Trojan.ZPACK.FIS
Additional information
File size: 24064 bytes
MD5...: d80c6111d7d3ac31ba675132b88eb32e
SHA1..: 5131ed729eb36435bad162eda466a69d211517bf

La ligne :
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
est relative au malware Email-Worm.Win32.Gibon qui créé aussi les fichiers suivants :

c:\WINDOWS\system32\svshost.dll
Date: 11/5/2009 11:43 PM
Size: 2 560 bytes
c:\WINDOWS\system32\wininet.exe
Date: 11/5/2009 11:43 PM
Size: 118 272 bytes
c:\WINDOWS\system32\winint.exe
Date: 11/5/2009 11:43 PM
Size: 94 208 bytes
Bien entendu le nom de fichier wininet/winint peut changer avec d'autres variantes de Email-Worm.Win32.Gibon

La détection VirusTotal :
File tmpEF16.tmp received on 2009.11.06 07:36:39 (UTC)
Current status: finished
Result: 6/40 (15.00%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.06 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.59 2009.11.05 TR/Drop.Agent.OA
Antiy-AVL 2.0.3.7 2009.11.05 -
Authentium 5.2.0.5 2009.11.06 -
Avast 4.8.1351.0 2009.11.06 -
AVG 8.5.0.423 2009.11.05 -
BitDefender 7.2 2009.11.06 -
CAT-QuickHeal 10.00 2009.11.06 -
ClamAV 0.94.1 2009.11.06 -
Comodo 2856 2009.11.06 -
DrWeb 5.0.0.12182 2009.11.06 Trojan.MulDrop.35985
eTrust-Vet 35.1.7106 2009.11.05 -
F-Prot 4.5.1.85 2009.11.05 -
F-Secure 9.0.15370.0 2009.11.04 -
Fortinet 3.120.0.0 2009.11.05 -
GData 19 2009.11.06 -
Ikarus T3.1.1.74.0 2009.11.06 -
Jiangmin 11.0.800 2009.11.06 -
K7AntiVirus 7.10.889 2009.11.05 -
Kaspersky 7.0.0.125 2009.11.06 Email-Worm.Win32.Gibon.bj
McAfee 5793 2009.11.05 -
McAfee+Artemis 5793 2009.11.05 -
McAfee-GW-Edition 6.8.5 2009.11.06 Trojan.Drop.Agent.OA
Microsoft 1.5202 2009.11.05 -
NOD32 4577 2009.11.05 Win32/Agent.WPW
Norman 6.03.02 2009.11.05 -
nProtect 2009.1.8.0 2009.11.06 -
Panda 10.0.2.2 2009.11.05 -
PCTools 7.0.3.5 2009.11.06 -
Prevx 3.0 2009.11.06 Medium Risk Malware
Rising 21.54.41.00 2009.11.06 -
Sophos 4.47.0 2009.11.06 -
Sunbelt 3.2.1858.2 2009.11.06 -
Symantec 1.4.4.12 2009.11.06 -
TheHacker 6.5.0.2.062 2009.11.05 -
TrendMicro 9.0.0.1003 2009.11.06 -
VBA32 3.12.10.11 2009.11.06 -
ViRobot 2009.11.6.2024 2009.11.06 -
VirusBuster 4.6.5.0 2009.11.05 -
Additional information
File size: 118272 bytes
MD5 : 011d403b345672adc29846074e717865
SHA1 : 1048ccc8d1ac75a22376fc12cfd2b70d17b3da74
On voit très bien les connexions SMTP établies par Email-Worm.Win32.Gibon dont voici un sample de mail de SPAM :

Image

Sujet du mail :
Y0ung, Y0unger, the Y0ungest... Fresh y0ung cut|es 0n-ly!
Corps du mail :
H e y G u y !

T|red of bull sh|t webs|tes? Try our offer
and vve'|| make y0u happy!
We very g|ad to present new S|TE
w|th very y o u n g mode|s!
They making i n c r e d i b I e things and going crazy... D() y()u want see fresh y()ung c u t l e s?
VVe have a l0t 0f vlds and plx wlth har dc 0re acts.

Y()UNG CUTlES WAlTlNG F()R Y()U:
hxxp://sites.google.com/site/dizkut/

Just see ()ur v|d s & enj()y |t!
Have a nlce day.
Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84997
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Win32.Scar / Email-Worm.Win32.Gibon : msxslt3.exe

Message par Malekal_morte » 19 janv. 2010 13:38

Autre exemple de Trojan.Scar

Code : Tout sélectionner

1263906912.307   1884 192.168.1.120 TCP_MISS/200 24593 GET http://ghostsection.com/expl/getexe.php?spl=mdac - DIRECT/122.115.63.6 application/octet-stream
1263908582.979    711 192.168.1.26 TCP_MISS/200 346 GET http://ghostsection.com/load/doit.php?v=3&id=50ab9771-55274-642-6999986-23789 - DIRECT/122.115.63.6 text/html
1263908585.234    709 192.168.1.26 TCP_MISS/404 696 GET http://ghostsection.com/load/hide.dll - DIRECT/122.115.63.6 text/html
File reload.exe received on 2010.01.19 11:44:56 (UTC)
Current status: finished
Result: 3/41 (7.32%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.01.19 Trojan-Dropper!IK
AhnLab-V3 5.0.0.2 2010.01.19 -
AntiVir 7.9.1.142 2010.01.19 -
Antiy-AVL 2.0.3.7 2010.01.19 -
Authentium 5.2.0.5 2010.01.19 -
Avast 4.8.1351.0 2010.01.19 -
AVG 9.0.0.730 2010.01.19 -
BitDefender 7.2 2010.01.19 -
CAT-QuickHeal 10.00 2010.01.19 -
ClamAV 0.94.1 2010.01.19 -
Comodo 3636 2010.01.19 -
DrWeb 5.0.1.12222 2010.01.19 -
eSafe 7.0.17.0 2010.01.18 -
eTrust-Vet 35.2.7245 2010.01.19 -
F-Prot 4.5.1.85 2010.01.18 -
F-Secure 9.0.15370.0 2010.01.19 -
Fortinet 4.0.14.0 2010.01.19 -
GData 19 2010.01.19 -
Ikarus T3.1.1.80.0 2010.01.19 Trojan-Dropper
Jiangmin 13.0.900 2010.01.19 -
K7AntiVirus 7.10.950 2010.01.18 -
Kaspersky 7.0.0.125 2010.01.19 -
McAfee 5865 2010.01.18 -
McAfee+Artemis 5865 2010.01.18 -
McAfee-GW-Edition 6.8.5 2010.01.19 -
Microsoft 1.5302 2010.01.19 -
NOD32 4785 2010.01.19 -
Norman 6.04.03 2010.01.19 -
nProtect 2009.1.8.0 2010.01.19 -
Panda 10.0.2.2 2010.01.18 -
PCTools 7.0.3.5 2010.01.19 -
Prevx 3.0 2010.01.19 Medium Risk Malware Dropper
Rising 22.31.01.04 2010.01.19 -
Sophos 4.49.0 2010.01.19 -
Sunbelt 3.2.1858.2 2010.01.19 -
Symantec 20091.2.0.41 2010.01.19 -
TheHacker 6.5.0.6.156 2010.01.19 -
TrendMicro 9.120.0.1004 2010.01.19 -
VBA32 3.12.12.1 2010.01.19 -
ViRobot 2010.1.19.2144 2010.01.19 -
VirusBuster 5.0.21.0 2010.01.18 -
Additional information
File size: 24228 bytes
MD5 : 12d2564e6e7efccff54cd476691a3bd1
SHA1 : 6d5cc2f450c4c4e8fdcdbef867d47a5bc817af3a

Ajoute les fichiers suivants :
c:\Documents and Settings\Malekal_morte\Application Data\b2.exe
Date: 1/19/2010 3:28 AM
Size: 7 168 bytes
c:\Documents and Settings\Malekal_morte\Desktop\reload.exe
Date: 1/19/2010 3:28 AM
Size: 24 228 bytes
c:\Documents and Settings\Malekal_morte\Local Settings\Temp\25f3b.dll
Date: 1/19/2010 3:29 AM
Size: 359 bytes
c:\Documents and Settings\Malekal_morte\Local Settings\Temp\explore.exe

et la ligne suivante sur HiJackThis
O4 - HKCU\..\Run: [Win32load] C:\Documents and Settings\Malekal_morte\Application Data\b2.exe -lds

Détection :
File 9142.exe received on 2010.01.18 01:55:14 (UTC)
Current status: finished

Result: 27/41 (65.85%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.01.18 -
AhnLab-V3 5.0.0.2 2010.01.16 Win-Trojan/Xema.variant
AntiVir 7.9.1.142 2010.01.17 TR/Downloader.Gen
Antiy-AVL 2.0.3.7 2010.01.12 -
Authentium 5.2.0.5 2010.01.16 W32/Downloader-Tir!Eldorado
Avast 4.8.1351.0 2010.01.17 -
AVG 9.0.0.730 2010.01.17 Generic16.YLS
BitDefender 7.2 2010.01.18 Generic.Malware.SYddld!!.B10003D3
CAT-QuickHeal 10.00 2010.01.16 Trojan.Scar.c
ClamAV 0.94.1 2010.01.17 -
Comodo 3618 2010.01.18 TrojWare.Win32.TrojanDownloader.Agent.PAY0
DrWeb 5.0.1.12222 2010.01.18 Trojan.DownLoad.35952
eSafe 7.0.17.0 2010.01.17 -
eTrust-Vet 35.2.7240 2010.01.15 -
F-Prot 4.5.1.85 2010.01.17 W32/Downloader-Tir!Eldorado
F-Secure 9.0.15370.0 2010.01.17 -
Fortinet 4.0.14.0 2010.01.18 -
GData 19 2010.01.17 Generic.Malware.SYddld!!.B10003D3
Ikarus T3.1.1.80.0 2010.01.18 -
Jiangmin 13.0.900 2010.01.17 Trojan/Scar.abb
K7AntiVirus 7.10.949 2010.01.16 -
Kaspersky 7.0.0.125 2010.01.18 Trojan.Win32.Scar.c
McAfee 5864 2010.01.17 -
McAfee+Artemis 5864 2010.01.17 Artemis!D34C22B69C5C
McAfee-GW-Edition 6.8.5 2010.01.17 Heuristic.LooksLike.Win32.Suspicious.H
Microsoft 1.5302 2010.01.17 TrojanDownloader:Win32/Wadolin.A
NOD32 4780 2010.01.17 Win32/TrojanDownloader.Agent.PAY
Norman 6.04.03 2010.01.17 -
nProtect 2009.1.8.0 2010.01.17 -
Panda 10.0.2.2 2010.01.17 Trj/Sinowal.WIX
PCTools 7.0.3.5 2010.01.18 Downloader.Generic
Prevx 3.0 2010.01.18 Medium Risk Malware Downloader
Rising 22.31.00.01 2010.01.18 Trojan.DL.Win32.Mnless.fwa
Sophos 4.49.0 2010.01.18 Mal/Dloadr-S
Sunbelt 3.2.1858.2 2010.01.17 Trojan-Downloader.Win32.Tiny!cobra (v)
Symantec 20091.2.0.41 2010.01.18 Downloader
TheHacker 6.5.0.6.154 2010.01.18 Trojan/Scar.c
TrendMicro 9.120.0.1004 2010.01.17 Mal_DLDER
VBA32 3.12.12.1 2010.01.17 Trojan.Win32.Scar.c
ViRobot 2010.1.16.2140 2010.01.16 Trojan.Win32.Scar.7168
VirusBuster 5.0.21.0 2010.01.17 -
Additional information
File size: 7168 bytes
MD5 : d34c22b69c5c36e8120b5cd2c9848a42
SHA1 : 282aed38db7e1d89c9d6ad1439b7a8e2dbb867f0
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité