PWS:Win32/Chyup / Trojan-PSW.Win32.FTPasso - rasadhlp.dll

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85528
Inscription : 10 sept. 2005 13:57
Contact :

PWS:Win32/Chyup / Trojan-PSW.Win32.FTPasso - rasadhlp.dll

Message par Malekal_morte » 14 févr. 2010 01:28

PWS:Win32/Chyup / Trojan-PSW.Win32.FTPasso est un malware de type Stealer qui a pour but de voler des informations (mot de passe, etc).
Ce malware peut se propager via des exploits sur des sites WEB ou être téléchargé par d'autres malwares notamment Trojan.Sasfis Trojan.Win32.Oficla Backdoor.Bredavi

Il est très en vogue à l'heure où ces lignes sont écrites.

Voici un exemple de détection d'un dropper :
File setup.exe received on 2010.02.13 11:11:25 (UTC)
Current status: finished

Result: 22/41 (53.66%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.13 Trojan-PWS.Win32.FTPasso!IK
AhnLab-V3 5.0.0.2 2010.02.13 -
AntiVir 7.9.1.160 2010.02.12 TR/PSW.FTPasso.M
Antiy-AVL 2.0.3.7 2010.02.13 -
Authentium 5.2.0.5 2010.02.13 W32/Pws.CCKD
Avast 4.8.1351.0 2010.02.13 -
AVG 9.0.0.730 2010.02.12 BackDoor.Generic12.AHAN.dropper
BitDefender 7.2 2010.02.13 -
CAT-QuickHeal 10.00 2010.02.13 -
ClamAV 0.96.0.0-git 2010.02.13 -
Comodo 3921 2010.02.13 TrojWare.Win32.PSW.FTPasso.m
DrWeb 5.0.1.12222 2010.02.13 Trojan.PWS.Multi.129
eSafe 7.0.17.0 2010.02.11 -
eTrust-Vet 35.2.7300 2010.02.12 -
F-Prot 4.5.1.85 2010.02.12 W32/Pws.CCKD
F-Secure 9.0.15370.0 2010.02.13 Suspicious:W32/Riskware!Online
Fortinet 4.0.14.0 2010.02.13 -
GData 19 2010.02.13 -
Ikarus T3.1.1.80.0 2010.02.13 Trojan-PWS.Win32.FTPasso
Jiangmin 13.0.900 2010.02.08 -
K7AntiVirus 7.10.972 2010.02.12 -
Kaspersky 7.0.0.125 2010.02.13 Trojan-PSW.Win32.FTPasso.m
McAfee 5890 2010.02.12 Generic Dropper!cip
McAfee+Artemis 5890 2010.02.12 Generic Dropper!cip
McAfee-GW-Edition 6.8.5 2010.02.13 Heuristic.LooksLike.Win32.Suspicious.A!90
Microsoft 1.5406 2010.02.13 TrojanDropper:Win32/Chyup.A
NOD32 4862 2010.02.12 a variant of Win32/TrojanDropper.Agent.OKM
Norman 6.04.08 2010.02.13 -
nProtect 2009.1.8.0 2010.02.13 -
Panda 10.0.2.2 2010.02.12 -
PCTools 7.0.3.5 2010.02.13 Trojan.Generic
Prevx 3.0 2010.02.13 -
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.13 Mal/Generic-A
Sunbelt 5675 2010.02.13 Trojan-Dropper.Win32.Chyup.A (v)
Symantec 20091.2.0.41 2010.02.13 Trojan Horse
TheHacker 6.5.1.4.191 2010.02.13 Trojan/Dropper.Agent.okm
TrendMicro 9.120.0.1004 2010.02.13 PAK_Generic.001
VBA32 3.12.12.2 2010.02.12 Trojan-PSW.Win32.FTPasso.m
ViRobot 2010.2.13.2186 2010.02.13 -
VirusBuster 5.0.21.0 2010.02.12 -
Additional information
File size: 59392 bytes
MD5 : a5d3cffdf301b2da91330b217242066c
SHA1 : 166803958b8e95551b706922da9c35a10e736057

Le dropper créé un fichier aléatoire .html pour se copier au final dans C:\Program Files\Internet Explorer\rasadhlp.dll
(Par défaut ce dernier se trouve dans %system%\rasadhlp.dll)
Process:
Path: C:\Documents and Settings\Malekal_morte\Desktop\a5d3cffdf301b2da91330b217242066c.exe
PID: 1476
Registry Group: System Critical
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
Registry value: PendingFileRenameOperations
Type: REG_MULTI_SZ
Value: \??\C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\tmk3mmf2.html
!\??\C:\Program Files\Internet Explorer\rasadhlp.dll
Le fichier rasadhlp.dll est caché. voici la détection :
File rasadhlp.dll received on 2010.02.10 11:10:04 (UTC)
Current status: finished

Result: 19/41 (46.34%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.10 PWS.Win32!IK
AhnLab-V3 5.0.0.2 2010.02.09 -
AntiVir 7.9.1.160 2010.02.10 BDS/Delf.smv
Antiy-AVL 2.0.3.7 2010.02.09 -
Authentium 5.2.0.5 2010.02.10 W32/Threat-SysVenFak-based!Maximus
Avast 4.8.1351.0 2010.02.10 -
AVG 9.0.0.730 2010.02.10 -
BitDefender 7.2 2010.02.10 -
CAT-QuickHeal 10.00 2010.02.10 -
ClamAV 0.96.0.0-git 2010.02.10 -
Comodo 3885 2010.02.10 Backdoor.Win32.Delf.smv
DrWeb 5.0.1.12222 2010.02.10 Trojan.PWS.Multi.129
eSafe 7.0.17.0 2010.02.09 -
eTrust-Vet 35.2.7294 2010.02.10 Win32/FakeAlert.B!generic
F-Prot 4.5.1.85 2010.02.09 W32/Threat-SysVenFak-based!Maximus
F-Secure 9.0.15370.0 2010.02.10 -
Fortinet 4.0.14.0 2010.02.10 -
GData 19 2010.02.10 -
Ikarus T3.1.1.80.0 2010.02.10 PWS.Win32
Jiangmin 13.0.900 2010.02.08 -
K7AntiVirus 7.10.969 2010.02.08 -
Kaspersky 7.0.0.125 2010.02.10 Backdoor.Win32.Delf.smv
McAfee 5887 2010.02.09 Suspect-0B!A1BEF9443CB3
McAfee+Artemis 5887 2010.02.09 Suspect-0B!A1BEF9443CB3
McAfee-GW-Edition 6.8.5 2010.02.10 Trojan.Backdoor.Delf.smv
Microsoft 1.5406 2010.02.10 PWS:Win32/Chyup.B
NOD32 4853 2010.02.10 -
Norman 6.04.03 2010.02.10 -
nProtect 2009.1.8.0 2010.02.10 -
Panda 10.0.2.2 2010.02.09 Suspicious file
PCTools 7.0.3.5 2010.02.10 Spyware.Keylogger
Prevx 3.0 2010.02.10 -
Rising 22.34.01.02 2010.02.10 -
Sophos 4.50.0 2010.02.10 Mal/Generic-A
Sunbelt 3.2.1858.2 2010.02.10 VirTool.Win32.Obfuscator.hg!a (v)
Symantec 20091.2.0.41 2010.02.10 Spyware.Keylogger
TheHacker 6.5.1.1.186 2010.02.10 -
TrendMicro 9.120.0.1004 2010.02.10 TROJ_FAKEAL.SMDO
VBA32 3.12.12.2 2010.02.09 -
ViRobot 2010.2.10.2180 2010.02.10 -
VirusBuster 5.0.21.0 2010.02.09 -
Additional information
File size: 47616 bytes
MD5 : a1bef9443cb357c2dd1896b6b63dcd89
SHA1 : c8f6b07003b2786c188a600d870f716cabb3e087
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85528
Inscription : 10 sept. 2005 13:57
Contact :

Re: PWS:Win32/Chyup / Trojan-PSW.Win32.FTPasso - rasadhlp.dll

Message par Malekal_morte » 28 févr. 2010 12:45

Le malware vise aussi WinSCP :
c:\Program Files\WinSCP\rasadhlp.dll
Date: 2/28/2010 11:35 AM
Size: 48 640 bytes
On peux imaginer que les clients FTP sont aussi visés.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités