TR\Vilsel.aejm, Trojan-Clicker.Win32.Cycler Whistler Bootkit

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86867
Inscription : 10 sept. 2005 13:57
Contact :

TR\Vilsel.aejm, Trojan-Clicker.Win32.Cycler Whistler Bootkit

Message par Malekal_morte » 24 mai 2010 19:34

Pour une vision plus globale des infections touchant le MBR se reporter à la page suivante : mbr-malwares-comment-detecter-supprimer-t29519.html

Se reporter à cette page de désinfection : your-protection-t25834.html

Trojan-Clicker.Win32.Cycler est un Trojan.Cliker (surf à votre insu et peut éventuellement ouvrir des popups de publicités) qui se charge dans un sous-dossier de System Volume Information
C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe Infected: Trojan-Clicker.Win32.Cycler.ajnt
C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe Infected: Trojan-Clicker.Win32.Cycler.ajnt
ou
c:\system volume information\Whistler\smss.exe
c:\system volume information\Whistler\svchost.exe
(L'emplacement peux bien entendu évoluer dans le temps selon les variantes).
File smss.exe received on 2010.05.23 11:16:41 (UTC)
Current status: finished
Result: 19/41 (46.34%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.23.00 2010.05.22 -
AntiVir 8.2.1.242 2010.05.21 TR/Vilsel.aejm
Antiy-AVL 2.0.3.7 2010.05.21 Trojan/Win32.Cycler.gen
Authentium 5.2.0.5 2010.05.23 -
Avast 4.8.1351.0 2010.05.23 Win32:Unruy-G
Avast5 5.0.332.0 2010.05.23 Win32:Unruy-G
AVG 9.0.0.787 2010.05.23 Crypt.VUB
BitDefender 7.2 2010.05.23 Trojan.Generic.3947515
CAT-QuickHeal 10.00 2010.05.21 -
ClamAV 0.96.0.3-git 2010.05.22 -
Comodo 4920 2010.05.23 -
DrWeb 5.0.2.03300 2010.05.23 Trojan.Siggen1.30114
eSafe 7.0.17.0 2010.05.20 -
eTrust-Vet 35.2.7503 2010.05.21 -
F-Prot 4.6.0.103 2010.05.23 -
F-Secure 9.0.15370.0 2010.05.23 Trojan.Generic.3947515
Fortinet 4.1.133.0 2010.05.23 -
GData 21 2010.05.23 Trojan.Generic.3947515
Ikarus T3.1.1.84.0 2010.05.23 -
Jiangmin 13.0.900 2010.05.22 TrojanClicker.Cycler.lt
Kaspersky 7.0.0.125 2010.05.23 Trojan-Clicker.Win32.Cycler.ajnt
McAfee 5.400.0.1158 2010.05.23 -
McAfee-GW-Edition 2010.1 2010.05.23 -
Microsoft 1.5802 2010.05.23 TrojanDownloader:Win32/Unruy.D
NOD32 5138 2010.05.22 a variant of Win32/TrojanDownloader.Unruy.BR
Norman 6.04.12 2010.05.23 -
nProtect 2010-05-23.01 2010.05.23 Trojan.Generic.3947515
Panda 10.0.2.7 2010.05.23 -
PCTools 7.0.3.5 2010.05.23 -
Prevx 3.0 2010.05.23 High Risk Cloaked Malware
Rising 22.48.06.04 2010.05.23 -
Sophos 4.53.0 2010.05.23 Troj/Agent-NGU
Sunbelt 6341 2010.05.23 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.05.23 -
TheHacker 6.5.2.0.285 2010.05.23 -
TrendMicro 9.120.0.1004 2010.05.23 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.23 -
VBA32 3.12.12.5 2010.05.22 Trojan-Clicker.Win32.Cycler.sfy
ViRobot 2010.5.20.2326 2010.05.22 -
VirusBuster 5.0.27.0 2010.05.22 Trojan.DL.Unruy.HQ
Additional information
File size: 57986 bytes
MD5 : d5b5634245a6687107bc0d7c84a8c1a7
SHA1 : 6859d88ad16d69689522cdd1295e383ce8de5ed5
File svchost.exe received on 2010.05.23 11:45:31 (UTC)
Current status: finished
Result: 18/41 (43.90%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.23.00 2010.05.22 -
AntiVir 8.2.1.242 2010.05.21 TR/Vilsel.aejm
Antiy-AVL 2.0.3.7 2010.05.21 Trojan/Win32.Cycler.gen
Authentium 5.2.0.5 2010.05.23 -
Avast 4.8.1351.0 2010.05.23 Win32:Unruy-G
Avast5 5.0.332.0 2010.05.23 Win32:Unruy-G
AVG 9.0.0.787 2010.05.23 Crypt.VUB
BitDefender 7.2 2010.05.23 Trojan.Generic.3947515
CAT-QuickHeal 10.00 2010.05.21 -
ClamAV 0.96.0.3-git 2010.05.22 -
Comodo 4920 2010.05.23 -
DrWeb 5.0.2.03300 2010.05.23 Trojan.Siggen1.30114
eSafe 7.0.17.0 2010.05.20 -
eTrust-Vet 35.2.7503 2010.05.21 -
F-Prot 4.6.0.103 2010.05.23 -
F-Secure 9.0.15370.0 2010.05.23 Trojan.Generic.3947515
Fortinet 4.1.133.0 2010.05.23 -
GData 21 2010.05.23 Trojan.Generic.3947515
Ikarus T3.1.1.84.0 2010.05.23 -
Jiangmin 13.0.900 2010.05.22 TrojanClicker.Cycler.lt
Kaspersky 7.0.0.125 2010.05.23 Trojan-Clicker.Win32.Cycler.ajnt
McAfee 5.400.0.1158 2010.05.23 -
McAfee-GW-Edition 2010.1 2010.05.23 -
Microsoft 1.5802 2010.05.23 -
NOD32 5138 2010.05.22 a variant of Win32/TrojanDownloader.Unruy.BR
Norman 6.04.12 2010.05.23 -
nProtect 2010-05-23.01 2010.05.23 Trojan.Generic.3947515
Panda 10.0.2.7 2010.05.23 -
PCTools 7.0.3.5 2010.05.23 -
Prevx 3.0 2010.05.23 High Risk Cloaked Malware
Rising 22.48.06.04 2010.05.23 -
Sophos 4.53.0 2010.05.23 Troj/Agent-NGU
Sunbelt 6341 2010.05.23 Trojan.Win32.Generic!BT
Symantec 20101.1.0.89 2010.05.23 -
TheHacker 6.5.2.0.285 2010.05.23 -
TrendMicro 9.120.0.1004 2010.05.23 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.23 -
VBA32 3.12.12.5 2010.05.22 Trojan-Clicker.Win32.Cycler.sfy
ViRobot 2010.5.20.2326 2010.05.22 -
VirusBuster 5.0.27.0 2010.05.22 Trojan.DL.Unruy.HQ
Additional information
File size: 51916 bytes
MD5 : 14b70f3a3949e94a8e3eacd3120b132e
SHA1 : 62e04ea3679570b29908bd281dec81d92e203c53
La partie intéressante et que ces deux malwares n'ont aucun point de chargement dans le registre et surtout, si on tente de supprimer le malware, ce dernier revient comme le montre la page de désinfection : your-protection-t25834.html
L'infection est en fait réinstaller par un rootkit qui est logé dans le MBR qui a comme d'où nom "Whistler Bootkit".
C'est donc le second Rootkit MBR après PSW-Sinowal, Backdoor.MaosBoot Trojan.Mebroot.

Le programme suivant permet de détecter ce malware et de le supprimer : http://www.esagelab.com/files/bootkit_remover.rar

Lorsqu'un élément est détecté on obtient le message :
Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
http://www.esagelab.com/
\\.\C: ->
\\.\PhysicalDrive0
MD5: 274955059efe9236c07688c5ff9242b2
Size Device
Name MBR Status
--------------------------------------------
74 GB
\\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on
some of your physical disks.
To inspect the boot code manually, dump the
master boot sector:remover.exe dump [output_file]
To disinfect
the master boot sector, use the following command:remover.exe fix
Image


Pour supprimer :
Sauvegarde tes données importantes car on est pas à l'abri d'un plantage.

Ouvre le bloc-note et copie/colle ce qu'il y a ci-dessous :
@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
EXIT
* Enregistre le fichier sur ton bureau sous le nom fixi.bat (le .bat à la fin est important)
* Double clic sur fix.Bat, ça doit ouvrir une fenetre noir qui va se refermer.

Ce qui doit donner ensuite :

Image


Il est ensuite possible de supprimer le Trojan.Cliker via The Avenger ou Combofix qui ne devrait plus revenir.
Se reporter à cette page : your-protection-t25834-15.html#p212511

On peux s'attendre par la suite que Whistler Bootkit charge d'autres malwares qu'un "simple" Trojan.Clicker

Un grand merci à myrtille pour m'avoir donné le lien suivant : http://antimalwarehelp.blogspot.com/201 ... otkit.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86867
Inscription : 10 sept. 2005 13:57
Contact :

Re: TR\Vilsel.aejm, Trojan-Clicker.Win32.Cycler Whistler Boo

Message par Malekal_morte » 10 juil. 2010 11:33

Il semblerait que les fichiers Trojan.Cycler ne soit plus présent dans le répertoire des points de restauration.

Toute l'infection semble être présente dans le MBR, au lancement de Windows, des processus Internet Explorer lancé par SYSTEM sont présents et les pubs s'affichent (ce n'est pas spécifique à cette infection, d'autres infections peuvent lancer le processus Internet Explorer par l'utilisation SYSTEM avec en sous processus svchost.exe)

Tuer le processus Internet Explorer et il revient.

Quelques exemples de sujets :
publicites-processus-iexplorer-t27187.html
lancemant-intempestif-internet-explorer-t27186-15.html

des captures :

Image

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité