explor.exe / winxp.exe : VBS/Autorun.worm / VBS/Drop.Bifrose

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87300
Inscription : 10 sept. 2005 13:57
Contact :

explor.exe / winxp.exe : VBS/Autorun.worm / VBS/Drop.Bifrose

Message par Malekal_morte » 30 déc. 2009 00:18

Petite variante dans le monde des infections par disques amovibles VBS avec une variante du début de l'année (Février/Mai 2009).

Une page de désinfection et une description de l'infection sur la page : https://www.malekal.com/winxp.exe_explor ... _Solow.php

Cette variante utilise donc des scripts VBS pour se propager :
[AutOruN]
shellexecute=Wscript.exe /e:vbs image.jpg
et une clef Run :
O4 - HKLM\..\Run: [CTFMON] C:\WINDOWS\system32\wscript.exe /E:vbs C:\WINDOWS\system32\imwin.jpg
mais télécharger aussi un Trojan de type Trojan.Poison qui se charge comme d'habitude par la clef Active Setup :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{81071916-AECA-AFB7-3AB0-AB92FB4F151C} "StubPath"
Type: REG_SZ
Data: C:\WINDOWS\system32\explor.exe
ou via le fichier C:\Windows\system32\winxp.exe

A noter que l'infection amovible ajoute aussi des clefs Debugger.



USBfix supprime l'infection amovible :
############################## | UsbFix V6.068 |

User : Malekal_morte (Administrators) # PROUTCOMPUTER
Update on 28/12/2009 by El Desaparecido , C_XX & Chimay8
Start at: 13:34:21 | 29/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel Pentium III Xeon processor
Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled

A:\ -> 3 1/2 Inch Floppy Drive
C:\ -> Local Fixed Disk # 1,7 Go (115,17 Mo free) # NTFS
D:\ -> CD-ROM Disc

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 572
C:\WINDOWS\system32\csrss.exe 636
C:\WINDOWS\system32\winlogon.exe 660
C:\WINDOWS\system32\services.exe 704
C:\WINDOWS\system32\lsass.exe 716
C:\WINDOWS\system32\logonui.exe 864
C:\WINDOWS\system32\svchost.exe 900
C:\WINDOWS\system32\svchost.exe 992
C:\WINDOWS\system32\svchost.exe 1208
C:\WINDOWS\system32\userinit.exe 1276
C:\WINDOWS\Explorer.EXE 1296
C:\WINDOWS\system32\svchost.exe 1348
C:\WINDOWS\system32\svchost.exe 1392
C:\WINDOWS\system32\spoolsv.exe 1520
C:\Program Files\VMware\VMware Tools\VMwareService.exe 1752
C:\WINDOWS\system32\wbem\wmiprvse.exe 296

################## | Elements infectieux |

Supprimé ! C:\WINDOWS\System32\imwin.jpg
Supprimé ! C:\WINDOWS\System32\winxp.exe
Supprimé ! C:\image.jpg
Supprimé ! C:\autorun.inf
Supprimé ! C:\Recycler\S-1-5-21-1214440339-1454471165-682003330-1003

################## | Registre |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "explor.exe"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "regdiit"
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwtsn32.exe]
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe]
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe]

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{714ac881-48f4-11dc-975d-806d6172696f}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[12/08/2007 16:27|--a------|0] C:\AUTOEXEC.BAT
[12/08/2007 16:13|---hs----|211] C:\boot.ini
[12/08/2007 16:27|--a------|0] C:\CONFIG.SYS
[12/08/2007 16:27|-rahs----|0] C:\IO.SYS
[12/08/2007 16:27|-rahs----|0] C:\MSDOS.SYS
[03/08/2004 17:07|-rahs----|47564] C:\NTDETECT.COM
[03/08/2004 17:07|-rahs----|250032] C:\ntldr
[?|?|?] C:\pagefile.sys
[29/12/2009 13:35|--a------|3039] C:\UsbFix.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.

################## | Crack > Keygen > Serial |


################## | Upload |

Veuillez envoyer le fichier : C:\DOCUME~1\MALEKA~1\Desktop\UsbFix_Upload_Me_PROUTCOMPUTER.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.068 ! |
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités