Trojan.Microjoin et rogues

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85489
Inscription : 10 sept. 2005 13:57
Contact :

Trojan.Microjoin et rogues

Message par Malekal_morte » 07 mars 2010 14:44

Une page concernant l'infection Trojan.MicroJoin.
Cette infection n'est pas récente puisqu'elle existe depuis 2008, une page consacrée à cette infection est présente depuis ce lien : antivirus-2009-t12327.html#p114918
et des remontés d'url : trojan-clicker-win32-delf-acn-renos-pack-t14090.html
mioanali-com-trojan-dropper-win32-microjoin-t23771.html
gamederp-trojan-dropper-win32-microjoin-hfj-t23610.html
arraysaw-net-trojan-microjoin-t23593.html
et bien d'autres.

Cette infection est très présente via exploits sur des sites WEB conduire à l'infection bien qu'elle est aussi actuellement présente sur de faux sites de cracks. et continue à délivrer des rogues actuellement AntiMalware Defender et Dr. Guard mais par le passé Security Tool.

Cette infection est composée de Trojan.Clicker :
O4 - HKLM\..\Run: [ctfmon] C:\WINDOWS\ctfmon.exe
O4 - HKLM\..\Run: [alg] C:\WINDOWS\alg.exe
O4 - HKLM\..\Run: [netx] C:\WINDOWS\svx.exe
O4 - HKLM\..\Run: [netw] C:\WINDOWS\svw.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
Les trojan Clickers surfent en fond, généralement sur des sites pornographiques.

Image

Vous remarquerez que les noms et icones sont les mêmes depuis le début - cf ancien post : antivirus-2009-t12327.html#p114918

Image

Code : Tout sélectionner

1267963236.974   3310 192.168.1.27 TCP_MISS/200 1555947 GET http://greatarray.com/newload.php?ids=MDAC - DIRECT/188.124.9.69 application/x-msdownload
1267963284.907    222 192.168.1.27 TCP_MISS/200 933 GET http://usworldcast.com/100/cfg3.bin - DIRECT/188.124.5.106 application/octet-stream
1267963288.855   1837 192.168.1.27 TCP_MISS/200 997092 GET http://188.124.15.228/sw/9/WMIDHERE/0/fe4120e5-3a0a-41bd-8d93-b72262e690f4/0765023e-20b2-468f-8894-842e6e09b76d/s.dat - DIRECT/188.124.15.228 application/octet-stream
1267963291.903   5772 192.168.1.27 TCP_MISS/200 1756496 GET http://solaruploader.com/45.exe - DIRECT/188.124.9.56 application/x-msdownload
1267963296.878   1693 192.168.1.27 TCP_MISS/200 1204053 GET http://theinputonline.com/123.exe - DIRECT/188.124.9.69 application/x-msdownload
1267963300.757  12572 192.168.1.27 TCP_MISS/200 791759 GET http://173.83.26.26/app21.bin - DIRECT/173.83.26.26 application/octet-stream
1267963328.651   1962 192.168.1.27 TCP_MISS/200 997092 GET http://188.124.15.228/sw/9/WMIDHERE/0/fe4120e5-3a0a-41bd-8d93-b72262e690f4/c45f8e82-e032-4969-8423-e2f7ddc5b3de/s.dat - DIRECT/188.124.15.228 application/octet-stream
Les infections MicroJoin (ainsi que quelques autres rogues) sont hostés souvent sur les classes : 188.124. qui se trouve en Turquie
inetnum: 188.124.7.0 - 188.124.7.255
netname: VITAL-TR
descr: VITAL TEKNOLOJI - Dedicated Pool
country: TR
Voir les posts des remontés d'URL plus quelques remontés présentent sur Google : http://www.google.com/search?q=188.124. ... ceweasel-a


Exemple de détection du dropper :
Done !
MD5 : 7f654f327aa932a5d507ba59e8457374
Date : 2010.03.07 09:55:15 (UTC)
Results : 14/42
Virus Names : Suspicious.Insight Suspicious:W32/Malware!Gemini a variant of Win32/Kryptik.CTH
Permalink : http://www.virustotal.com/analisis/d423 ... 1267955715

The results for newload.php?ids=MDAC are :
AVG 9.0.0.787 2010.03.06 Cryptic.N
BitDefender 7.2 2010.03.07 Trojan.Generic.KD.2178
GData 19 2010.03.07 Trojan.Generic.KD.2178
Sunbelt 5778 2010.03.07 Trojan.Win32.Generic!BT
F-Secure 9.0.15370.0 2010.03.07 Suspicious:W32/Malware!Gemini
Panda 10.0.2.2 2010.03.07 Suspicious file
Microsoft 1.5502 2010.03.07 TrojanDropper:Win32/Microjoin.gen!B
Sophos 4.51.0 2010.03.07 Mal/FakeAV-BT
McAfee+Artemis 5912 2010.03.06 Artemis!7F654F327AA9
NOD32 4921 2010.03.06 a variant of Win32/Kryptik.CTH
a-squared 4.5.0.50 2010.03.07 Trojan-Dropper.Win32.Microjoin!IK
VBA32 3.12.12.2 2010.03.05 BScope.Trojan.MTA.0161
Symantec 20091.2.0.41 2010.03.07 Suspicious.Insight
Ikarus T3.1.1.80.0 2010.03.07 Trojan-Dropper.Win32.Microjoin

L'url suivante est caractérique des infections Microjoin avec un nom de fichier 123.exe et délivre un fichier d'environ 1,3Mo contenant les clikers ainsi que le dropper du rogue :

Code : Tout sélectionner

1267968025.642   4590 192.168.1.27 TCP_MISS/200 1204053 GET http://theinputonline.com/123.exe - DIRECT/188.124.9.69 application/x-msdownload
Exemple en Janvier 2009 : trojan-clicker-win32-delf-acn-renos-pac ... ml#p130404

Le domaine theinputonline.com est utilisé depuis 2008 avec exactemement la même URL.

La détection du fichier est relativement identique au dropper initial :
Done !
MD5 : 43b165e3cc7ba24a86f011fee42f35b8
Date : 2010.03.07 11:24:42 (UTC)
Results : 15/41
Virus Names : Suspicious.Insight Suspicious:W32/Malware!Gemini a variant of Win32/Kryptik.CNY
Permalink : http://www.virustotal.com/analisis/fe8d ... 1267961082

The results for 123.exe are :
BitDefender 7.2 2010.03.07 Trojan.Generic.KD.2236
AVG 9.0.0.787 2010.03.07 Generic16.CLEJ
GData 19 2010.03.07 Trojan.Generic.KD.2236
F-Secure 9.0.15370.0 2010.03.07 Suspicious:W32/Malware!Gemini
Symantec 20091.2.0.41 2010.03.07 Suspicious.Insight
Sunbelt 5779 2010.03.07 Trojan.Win32.Generic!BT
Kaspersky 7.0.0.125 2010.03.07 Trojan.Win32.FraudPack.anzl
McAfee+Artemis 5912 2010.03.06 Artemis!43B165E3CC7B
Sophos 4.51.0 2010.03.07 Mal/FakeAV-BT
Ikarus T3.1.1.80.0 2010.03.07 Trojan-Dropper.Win32.Microjoin
a-squared 4.5.0.50 2010.03.07 Trojan-Dropper.Win32.Microjoin!IK
NOD32 4921 2010.03.06 a variant of Win32/Kryptik.CNY
Panda 10.0.2.2 2010.03.07 Suspicious file
TheHacker 6.5.1.9.223 2010.03.07 Trojan/Kryptik.cny
Microsoft 1.5502 2010.03.07 TrojanDropper:Win32/Microjoin.gen!B


Vous allez voir que si le pack contient deux rogues, il installe aussi un nombre d'infections assez impressionante....

Image

regedit.exe est détecté : Trojan.Sasfis
File 4BC5907600D4540486CC028BA7E71300B6779FE1.exe received on 2010.03.05 15:12:33 (UTC)
Current status: finished

Result: 21/41 (51.22%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.03.05 Trojan.Win32.Sasfis!IK
AntiVir 8.2.1.180 2010.03.05 TR/Hijacker.Gen
Authentium 5.2.0.5 2010.03.05 W32/SecRisk-ProcessPatcher-based!Maximus
AVG 9.0.0.730 2010.03.05 Small.BSP
BitDefender 7.2 2010.03.05 Trojan.Inject.IA
DrWeb 5.0.1.12222 2010.03.05 Trojan.Inject.8184
eTrust-Vet 35.2.7341 2010.03.05 -
F-Prot 4.5.1.85 2010.03.04 W32/SecRisk-ProcessPatcher-based!Maximus
F-Secure 9.0.15370.0 2010.03.05 Trojan.Inject.IA
GData 19 2010.03.05 Trojan.Inject.IA
Ikarus T3.1.1.80.0 2010.03.05 Trojan.Win32.Sasfis
Jiangmin 13.0.900 2010.03.05 Trojan/Sasfis.fsg
Kaspersky 7.0.0.125 2010.03.05 Trojan.Win32.Sasfis.aaek
McAfee-GW-Edition 6.8.5 2010.03.05 Heuristic.BehavesLike.Win32.CodeInjection.H
Microsoft 1.5502 2010.03.05 Backdoor:Win32/Hostil.F
NOD32 4918 2010.03.05 a variant of Win32/Injector.ALK
Norman 6.04.08 2010.03.05 W32/Malware
Panda 10.0.2.2 2010.03.04 Generic Malware
Sunbelt 5759 2010.03.05 RiskTool.Win32.ProcessPatcher.Nor!cobra (v)
Symantec 20091.2.0.41 2010.03.05 Suspicious.Cloud
VBA32 3.12.12.2 2010.03.05 Trojan.Win32.Sasfis.aaek
ViRobot 2010.3.5.2214 2010.03.05 Trojan.Win32.Sasfis.164864
VirusBuster 5.0.27.0 2010.03.05 -
Additional information
File size: 165376 bytes
MD5 : 8ede3bd523b89ab4d4817f13182577f7
SHA1 : 54fe1c6842ff7fd6d1f0b60aaa4a8ff649f65f71
File hv9n9.dll received on 2010.03.06 11:28:48 (UTC)
Current status: finished

Result: 12/42 (28.57%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.03.06 Trojan.Win32.Ertfor!IK
Avast 4.8.1351.0 2010.03.05 Win32:Ertfor
Avast5 5.0.332.0 2010.03.05 Win32:Ertfor
AVG 9.0.0.787 2010.03.06 Generic16.CIVN
Ikarus T3.1.1.80.0 2010.03.06 Trojan.Win32.Ertfor
McAfee+Artemis 5911 2010.03.05 Artemis!EDD7FC9A8AFC
Microsoft 1.5502 2010.03.06 Trojan:Win32/Ertfor.B
Prevx 3.0 2010.03.06 High Risk Fraudulent Security Program
Sophos 4.51.0 2010.03.06 Mal/Generic-A
Sunbelt 5768 2010.03.06 BehavesLike.Win32.Malware (v)
Additional information
File size: 20000 bytes
MD5 : edd7fc9a8afc13467b8332f1480bd9f7
SHA1 : c41f70a9d2a192b6a257a36ffa9a052e670199ee
Trojan.Alureon est dans la place (il vient avec Dr. Guard en fait).

Image

Les autres infections du pack au moment où sont écrites ces lignes. Les infections peuvent changer au cours du temps (si une nouvelle famille apparaît demain elle sera certainement dedans) mais bien de montrer que ce pack contient une multitude de malwares une fois installés:
Voici une vidéo avec l'infection en action et les multiples alertes des rogues.

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85489
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Microjoin et rogues

Message par Malekal_morte » 10 mars 2010 14:12

Un nouveau avec icone valise orange/marron qui lance des instances de svchost.exe
O4 - HKLM\..\Run: [SyncMan] C:\WINDOWS\system32\SyncMan.exe
File 079D0270305BB0CCA6840008E4D3AA0083555FB4.exe received on 2010.03.09 17:15:26 (UTC)
Current status: finished

Result: 19/42 (45.24%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.03.09 Trojan-Downloader.Win32.Mutant!IK
AhnLab-V3 5.0.0.2 2010.03.08 -
AntiVir 8.2.1.180 2010.03.09 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.03.09 -
Authentium 5.2.0.5 2010.03.09 W32/Downloader.BE.gen!Eldorado
Avast 4.8.1351.0 2010.03.09 -
Avast5 5.0.332.0 2010.03.09 -
AVG 9.0.0.787 2010.03.09 -
BitDefender 7.2 2010.03.09 Trojan.Kobcka.IW
CAT-QuickHeal 10.00 2010.03.09 -
ClamAV 0.96.0.0-git 2010.03.09 -
Comodo 4091 2010.02.28 -
DrWeb 5.0.1.12222 2010.03.09 Trojan.DownLoad1.39248
eSafe 7.0.17.0 2010.03.09 -
eTrust-Vet 35.2.7348 2010.03.09 -
F-Prot 4.5.1.85 2010.03.09 W32/Downloader.BE.gen!Eldorado
F-Secure 9.0.15370.0 2010.03.09 Trojan.Kobcka.IW
Fortinet 4.0.14.0 2010.03.07 -
GData 19 2010.03.09 Trojan.Kobcka.IW
Ikarus T3.1.1.80.0 2010.03.09 Trojan-Downloader.Win32.Mutant
Jiangmin 13.0.900 2010.03.09 -
K7AntiVirus 7.10.993 2010.03.09 -
Kaspersky 7.0.0.125 2010.03.09 -
McAfee 5914 2010.03.08 -
McAfee+Artemis 5915 2010.03.09 -
McAfee-GW-Edition 6.8.5 2010.03.09 Heuristic.LooksLike.Win32.NewMalware.A
Microsoft 1.5502 2010.03.09 -
NOD32 4929 2010.03.09 a variant of Win32/Kryptik.CSE
Norman 6.04.08 2010.03.08 -
nProtect 2009.1.8.0 2010.03.09 Trojan-Downloader/W32.Mutant.42544
Panda 10.0.2.2 2010.03.09 Trj/Spammer.AOK
PCTools 7.0.3.5 2010.03.09 -
Prevx 3.0 2010.03.09 High Risk Cloaked Malware
Rising 22.38.01.04 2010.03.09 -
Sophos 4.51.0 2010.03.09 Sus/UnkPack-C
Sunbelt 5803 2010.03.09 -
Symantec 20091.2.0.41 2010.03.09 Suspicious.Insight
TheHacker 6.5.2.0.226 2010.03.09 -
TrendMicro 9.120.0.1004 2010.03.09 TROJ_SHGRAY.SM
VBA32 3.12.12.2 2010.03.09 Trojan-Dropper.Win32.Agent.bqjk
ViRobot 2010.3.9.2218 2010.03.09 Trojan.Win32.Downloader.42544
VirusBuster 5.0.27.0 2010.03.09 -
Additional information
File size: 42544 bytes
MD5 : b723a415ae72dcebeb773602037ef1f5
SHA1 : 1b48d4152edd6d7b1595ff48cabab1f77778dd4a
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités