Trojan.Bamital (aka de son nom générique Trojan.Patched)

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85552
Inscription : 10 sept. 2005 13:57
Contact :

Trojan.Bamital (aka de son nom générique Trojan.Patched)

Message par Malekal_morte » 09 oct. 2010 22:36

Trojan.Bamital (aka de son nom générique Trojan.Patched) est un malware qui patch (modifie) les fichiers systèmes Windows afin de rajouter (ou charger) du code malicieux.
Les fichiers systèmes visés sont :
  • C:\Windows\explorer.exe
  • C:\Windows\system32\winlogon.exe
  • C:\Windows\system32\wininit.exe
Le malware provoque des redirections lors des recherches Google

Un scan virustotal permet de vérifier si les fichiers ont été patchés.
L'infection est éradiquée lorsque vous avez pu restaurer les fichiers systèmes originaux.

Vous pouvez vous reporter à la page : Restauration de fichiers systèmes

Une autre méthode consiste à :
  • identifier des fichiers systèmes alternatifs
  • les restaurer à partir du CD Live CD Live Malekal
Voici un exemple de sujet résolu avec ce malware : Trojan.Bamital : wininit.exe et explorer.exe infectés

Je vous ressors ici le rapport OTLPE qui donne les hash des différents fichiers explorer.exe présent sur la machine de la personne infectée.
NOTE : le programme SystemLook permet de faire une recherche des fichiers présents sur le système en donnant leur hash avec l'option :filefind - exemple sur ce topic : Antimalware Doctor : Redirection des pages internet ).

Les différents fichiers présents (notamment ceux dans les répertoires winsxs qui contient plusieurs versions différentes d'un même fichier système).

En gras et couleurs, vous trouverez le fichier patché et donc malicieux C:\Windows\explorer.exe
et celui qu'il faut restaurer :

< MD5 for: EXPLORER.EXE >
[2008/10/29 02:20:29 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=37440D09DEAE0B672A04DCCF7ABF06BE -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_4f83bb287ccdb7e3\explorer.exe
[2008/10/29 02:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=4F554999D7D5F05DAAEBBA7B5BA1089D -- C:\explorer.exe
[2008/10/29 02:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=4F554999D7D5F05DAAEBBA7B5BA1089D -- C:\Windows\explorer.exe
[2008/10/29 02:29:41 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=4F554999D7D5F05DAAEBBA7B5BA1089D -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18164_none_5177ca9879e978e8\explorer.exe
[2008/10/29 23:59:17 | 002,927,616 | ---- | M] (Microsoft Corporation) MD5=50BA5850147410CDE89C523AD3BC606E -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_51e4f8c7931bd1e1\explorer.exe
[2008/10/27 22:15:02 | 002,923,520 | ---- | M] (Microsoft Corporation) MD5=E7156B0B74762D9DE0E66BDCDE06E5FB -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20947_none_5033cb5995cd990b\explorer.exe
[2008/01/20 22:24:24 | 002,927,104 | ---- | M] (Microsoft Corporation) MD5=FFA764631CB70A30065C12EF8E174F9F -- C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe

La démarche consiste à prendre de préférence un des fichiers systèmes de même taille (en gras) mais de hash (MD5) différents.
Si le hash est identique, cela signifie que le fichier est aussi malicieux (puisqu'il est identique), le fichier système de même taille mais d'un hash différent permet d'assurer un fichier assez proche de celui avant patch (voir peut-être identifique) et non malicieux.

Une fois que le fichier à restaurer est identifié, il vous suffit de redémarrer sur OTLPE afin de copier le fichier à son emplacement d'origine.
Dans notre exemple, il faut donc copier C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe vers C:\Windows\explorer.exe ce qui a été demandé dans le topic de désinfection.

~~

Combofix peut éventuellement faire le job si des fichiers systèmes de secours sont présents sur votre système.
ComboFix 10-10-19.04 - Mak 20/10/2010 19:45:31.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.511.335 [GMT 2:00]
Lancé depuis: c:\docume~1\Mak\LOCALS~1\Temp\scp44859\tmp\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Documents\Server\admin.txt
c:\documents and settings\All Users\Documents\Server\server.dat
c:\documents and settings\Mak\Application Data\download2
c:\documents and settings\Mak\Application Data\download2\svcnost.exe
c:\program files\Internet Explorer\dmlconf.dat
c:\program files\Microsoft\DesktopLayer.exe
c:\program files\WinPCap
c:\program files\WinPCap\rpcapd.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\lowsec
c:\windows\system32\lowsec\local.ds
c:\windows\system32\lowsec\user.ds
c:\windows\system32\Packet.dll
c:\windows\system32\pthreadVC.dll
c:\windows\system32\sdra64.exe
c:\windows\system32\WanPacket.dll
c:\windows\system32\wpcap.dll
c:\windows\Temp\_ex-08.exe
c:\windows\Temp\_ex-68.exe

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\explorer.exe

Une copie infectée de c:\windows\system32\winlogon.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ServicePackFiles\i386\winlogon.exe


.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_npf
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85552
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Bamital (aka de son nom générique Trojan.Patched

Message par Malekal_morte » 14 oct. 2010 13:26

Code : Tout sélectionner

1287055259.105    221 192.168.1.27 TCP_MISS/302 407 GET http://xconnect.cz.cc/21.php - DIRECT/95.169.190.96 text/html
1287055259.869    419 192.168.1.27 TCP_MISS/200 12727 GET http://wenobeb.co.cc/02/vuekv.php - DIRECT/77.78.240.27 text/html
1287055260.141    341 192.168.1.27 TCP_MISS/200 3242 GET http://wenobeb.co.cc/02/jfff.js - DIRECT/77.78.240.27 application/javascript
1287055266.417    536 192.168.1.27 TCP_MISS/200 37380 GET http://wenobeb.co.cc/02/r/hvoy.php - DIRECT/77.78.240.27 application/octet-stream
1287055272.079    383 192.168.1.27 TCP_MISS/200 12141 GET http://wenobeb.co.cc/02/wyzy/fjkdtw.pdf - DIRECT/77.78.240.27 application/pdf
1287055272.080    281 192.168.1.27 TCP_MISS/200 4664 GET http://wenobeb.co.cc/02/wyzy/lvkp.pdf - DIRECT/77.78.240.27 application/pdf
1287055315.945    693 192.168.1.27 TCP_MISS/
z303 546 POST http://www.virustotal.com/vt/en/consultamd5 - DIRECT/74.53.201.162 text/html
Le dropper fait un suspend du processus explorer.exe en contrôlant spoolsv.exe
Process:
Path: C:\WINDOWS\system32\spoolsv.exe
PID: 1624
Information: Spooler SubSystem App (Microsoft Corporation)
Object:
Path: C:\WINDOWS\explorer.exe
Information: Explorateur Windows (Microsoft Corporation)
Le remplacement du processus système se fait à traver les PendingFileRename.
Les fichiers systèmes malicieux patchés sont stockés dans C:\Windows\temp (explorer.dat / winlogon.dat etc).
Process:
Path: C:\WINDOWS\system32\spoolsv.exe
PID: 1624
Information: Spooler SubSystem App (Microsoft Corporation)
Registry Group: System Critical
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
Registry value: PendingFileRenameOperations
New value:
Type: REG_MULTI_SZ
Value: \??\C:\DOCUME~1\Mak\LOCALS~1\Temp\~nsu.tmp\Au_.exe

\??\C:\DOCUME~1\Mak\LOCALS~1\Temp\~nsu.tmp\Au_.exe

\??\C:\WINDOWS\TEMP\explorer.dat

Previous value:
Type: REG_MULTI_SZ
Value: \??\C:\DOCUME~1\Mak\LOCALS~1\Temp\~nsu.tmp\Au_.exe

\??\C:\DOCUME~1\Mak\LOCALS~1\Temp\~nsu.tmp\Au_.exe


Scan VirusTotal :
File name: explorer.exe
Submission date: 2010-10-14 11:13:21 (UTC)
Current status: queued queued analysing finished


Result: 9/ 43 (20.9%)
VT Community

not reviewed
Safety score: -

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.10.14.01 2010.10.14 -
AntiVir 7.10.12.211 2010.10.14 -
Antiy-AVL 2.0.3.7 2010.10.14 -
Authentium 5.2.0.5 2010.10.14 -
Avast 4.8.1351.0 2010.10.14 -
Avast5 5.0.594.0 2010.10.14 -
AVG 9.0.0.851 2010.10.14 -
BitDefender 7.2 2010.10.14 Gen:Trojan.Heur.TP.@q0@buioeej
CAT-QuickHeal 11.00 2010.10.14 -
ClamAV 0.96.2.0-git 2010.10.14 -
Comodo 6386 2010.10.14 -
DrWeb 5.0.2.03300 2010.10.14 Win32.Dat.10
Emsisoft 5.0.0.50 2010.10.14 -
eSafe 7.0.17.0 2010.10.12 -
eTrust-Vet 36.1.7911 2010.10.14 -
F-Prot 4.6.2.117 2010.10.13 -
F-Secure 9.0.15370.0 2010.10.14 Gen:Trojan.Heur.TP.@q0@buioeej
Fortinet 4.2.249.0 2010.10.14 -
GData 21 2010.10.14 Gen:Trojan.Heur.TP.@q0@buioeej
Ikarus T3.1.1.90.0 2010.10.14 -
Jiangmin 13.0.900 2010.10.14 -
K7AntiVirus 9.65.2742 2010.10.13 -
Kaspersky 7.0.0.125 2010.10.14 -
McAfee 5.400.0.1158 2010.10.14 -
McAfee-GW-Edition 2010.1C 2010.10.14 -
Microsoft 1.6201 2010.10.14 Virus:Win32/Bamital.F
NOD32 5530 2010.10.14 -
Norman 6.06.07 2010.10.13 -
nProtect 2010-10-14.01 2010.10.14 Virus/W32.Bamital
Panda 10.0.2.7 2010.10.13 -
PCTools 7.0.3.5 2010.10.14 -
Prevx 3.0 2010.10.14 -
Rising 22.69.03.01 2010.10.14 -
Sophos 4.58.0 2010.10.14 Troj/Patched-O
Sunbelt 7055 2010.10.14 Virus.Win32.Bamital.c (v)
SUPERAntiSpyware 4.40.0.1006 2010.10.14 -
Symantec 20101.2.0.161 2010.10.14 Suspicious.Mystic
TheHacker 6.7.0.1.057 2010.10.14 -
TrendMicro 9.120.0.1004 2010.10.14 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.14 -
VBA32 3.12.14.1 2010.10.13 -
ViRobot 2010.9.25.4060 2010.10.14 -
VirusBuster 12.68.1.0 2010.10.13 -
Additional informationShow all
MD5 : 69b7107dfd0792eca97abb0bc641b837
SHA1 : b896b502796be4bc4b11d6c4a2119126239ba6da
SHA256: 78ab899096b70906cc410028254f038ffd3671c0c7d5c1b96aec2da7b90f0bb3
ssdeep: 12288:7zEut4RuAwMgc7fNuIEGpPa0BVa/oXqoJpaz/g/J/v+nX:7zEuAwV2fNuI/a0BEoXJaz/
g/J/SX
File size : 1036288 bytes
First seen: 2010-10-14 11:13:21
Last seen : 2010-10-14 11:13:21
TrID:
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. Tous droits r_serv_s.
product......: Syst_me d_exploitation Microsoft_ Windows_
description..: Explorateur Windows
original name: EXPLORER.EXE
internal name: explorer
file version.: 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x1E24E
timedatestamp....: 0x41107ECE (Wed Aug 04 06:14:38 2004)
machinetype......: 0x14c (I386)

[[ 4 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
.text, 0x1000, 0x447C4, 0x44800, 6.39, cba62092103dfc6b34ab17cc8cfe71c5
.data, 0x46000, 0x1D90, 0x1800, 1.29, d0b87d8ce5a34731be197efb73b5d7bf
.rsrc, 0x48000, 0xB3280, 0xB3400, 6.63, cca4388b3a05d3aeb335c2a2d22cceb1
.reloc, 0xFC000, 0x36DC, 0x3800, 6.75, a115866f3e859e183414d8654491cf3e


ExifTool:
file metadata
CharacterSet: Unicode
CodeSize: 280576
CompanyName: Microsoft Corporation
EntryPoint: 0x1e24e
FileDescription: Explorateur Windows
FileFlagsMask: 0x003f
FileOS: Windows NT 32-bit
FileSize: 1012 kB
FileSubtype: 0
FileType: Win32 EXE
FileVersion: 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
FileVersionNumber: 6.0.2900.2180
ImageVersion: 5.1
InitializedDataSize: 754688
InternalName: explorer
LanguageCode: French
LegalCopyright: Microsoft Corporation. Tous droits r serv s.
LinkerVersion: 187.7
MIMEType: application/octet-stream
MachineType: Intel 386 or later, and compatibles
OSVersion: 5.1
ObjectFileType: Executable application
OriginalFilename: EXPLORER.EXE
PEType: PE32
ProductName: Syst me d'exploitation Microsoft Windows
ProductVersion: 6.00.2900.2180
ProductVersionNumber: 6.0.2900.2180
Subsystem: Windows GUI
SubsystemVersion: 4.1
TimeStamp: 2004:08:04 08:14:38+02:00
UninitializedDataSize: 0
Warning: Possibly corrupt Version resource

VT Community

GMER montre bien les hooks sur les sections et notamment celles de ws2_32.dll qui permettent les redirections lors des recherches Google.
---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[1428] kernel32.dll!WaitForSingleObject 7C802530 5 Bytes JMP 7C882E90 C:\WINDOWS\system32\kernel32.dll (DLL du client API BASE Windows NT/Microsoft Corporation)
.text C:\WINDOWS\Explorer.EXE[1428] kernel32.dll!CreateProcessInternalW 7C8191EB 5 Bytes JMP 027B75CB
.text C:\Program Files\Internet Explorer\iexplore.exe[1812] kernel32.dll!CreateProcessInternalW 7C8191EB 5 Bytes JMP 001475DE
.text C:\Program Files\Internet Explorer\iexplore.exe[1812] ws2_32.dll!send 719F428A 5 Bytes JMP 00145F60
.text C:\Program Files\Internet Explorer\iexplore.exe[1812] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 00146138
.text C:\Program Files\Internet Explorer\iexplore.exe[1812] ws2_32.dll!recv 719F615A 5 Bytes JMP 00145FD3
.text C:\Program Files\Internet Explorer\iexplore.exe[1812] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 0014609E
.text C:\Program Files\Internet Explorer\iexplore.exe[1812] ws2_32.dll!closesocket 719F9639 5 Bytes JMP 00146367
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85552
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Bamital (aka de son nom générique Trojan.Patched

Message par Malekal_morte » 19 oct. 2010 13:39

Beaucoup de posts sur les forums pour des redirections Gomeo!

Le responsable semble être Trojan.Bamital à travers ses redirections Google :

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85552
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Bamital (aka de son nom générique Trojan.Patched

Message par Malekal_morte » 12 déc. 2010 12:47

La détection de Dr Web : Trojan.Hottrend / Win32.Dat.15 est du Bamital

Les détections de Microsoft Trojan:Win32/Tiptuf - aucune information disponible et Symantec en Trojan.Kordeef peuvent être lié à du Bamital.

Voir la page : http-cozemu7-pisko-forum-php-mdac-key-9 ... ml#p239626
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85552
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Bamital (aka de son nom générique Trojan.Patched

Message par Malekal_morte » 09 oct. 2015 10:29

Je fais remonter ce sujet de 2010 car il y a ces temps-ci beaucoup de détections Trojan.Patched, notamment sur le fichier dnsapi.dll. Si dernièrement vous avez ces détections, ça n'a rien à voir avec le Trojan.Bamital. Il y a de grande chance que vous ayez une infection par l'adware v-bates (patch dnsapi.dll)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 3 invités