Trojan-Downloader.Win32.FraudLoad

Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec
Infections liés aux rogues et affichant de fausses alertes de sécurité.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86829
Inscription : 10 sept. 2005 13:57
Contact :

Trojan-Downloader.Win32.FraudLoad

Message par Malekal_morte » 31 juil. 2008 15:52

Supprimer Trojan-Downloader.Win32.FraudLoad / Antivirus XP 2008


Trojan-Downloader.Win32.FraudLoad est une Infection installant le rogue Antivirus XP 2008, ex : ie6-vs-ie-7-pourquoi-maintenir-son-navi ... 12405.html

L'infection se propage par divers vecteurs bien rodées :
Le procédé par mail est le même que celui de Trojan-Downloader.Win32.Exchanger : faux-codecs et mails, des mails envoyés chaque jour vous invitant à visualier des vidéos de star.
Le principe ne sera donc pas détaillé :

Image

Image

Le fichier proposé est alors video.avi.exe donc voici la détection :
ichier video.avi.exe reçu le 2008.07.31 13:01:22 (CET)
Situation actuelle: terminé
Résultat: 14/35 (40.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - TR/Dldr.FraudLoad.vati
Authentium - - -
Avast - - -
AVG - - Downloader.FraudLoad.A
BitDefender - - -
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - Trojan-Downloader.Win32.FraudLoad.vati
Fortinet - - W32/TibsPk.D!tr
GData - - Trojan-Downloader.Win32.FraudLoad.vati
Ikarus - - Trojan-Downloader.Win32.FraudLoad.vati
Kaspersky - - Trojan-Downloader.Win32.FraudLoad.vati
McAfee - - FakeAlert-AG.gen
Microsoft - - -
NOD32v2 - - Win32/TrojanDownloader.Agent.OBK
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - Malicious Software
Rising - - -
Sophos - - Mal/TibsPk-D
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - -
ViRobot - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Dldr.FraudLoad.vati
Information additionnelle
MD5: 63aaec539c2066162245dbcd401ed6dd
SHA1: 636c40e8a36b8c5148ebc155ab3507a46f9cc6b5

Capture d'un Faux Codec

Image

Image
Fichier windows_media.exe reçu le 2008.07.28 09:46:19 (CET)
Situation actuelle: terminé
Résultat: 20/35 (57.14%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.26.0 2008.07.28 -
AntiVir 7.8.1.12 2008.07.28 TR/Dldr.Small.yuy
Authentium 5.1.0.4 2008.07.28 -
Avast 4.8.1195.0 2008.07.27 Win32:Trojan-gen {Other}
AVG 8.0.0.130 2008.07.27 Downloader.FraudLoad.A
BitDefender 7.2 2008.07.28 Trojan.Peed.JPX
CAT-QuickHeal 9.50 2008.07.25 TrojanDownloader.Small.yuy
ClamAV 0.93.1 2008.07.28 -
DrWeb 4.44.0.09170 2008.07.28 Trojan.Fakealert.995
eSafe 7.0.17.0 2008.07.27 Suspicious File
eTrust-Vet 31.6.5983 2008.07.26 -
Ewido 4.0 2008.07.27 -
F-Prot 4.4.4.56 2008.07.28 -
F-Secure 7.60.13501.0 2008.07.28 Trojan-Downloader.Win32.Small.yuy
Fortinet 3.14.0.0 2008.07.26 W32/TibsPk.D!tr.dldr
GData 2.0.7306.1023 2008.07.28 Trojan-Downloader.Win32.Small.yuy
Ikarus T3.1.1.34.0 2008.07.28 Trojan.Peed.JPU
Kaspersky 7.0.0.125 2008.07.28 Trojan-Downloader.Win32.Small.yuy
McAfee 5347 2008.07.25 -
Microsoft 1.3704 2008.07.28 Trojan:Win32/Tibs.J
NOD32v2 3301 2008.07.27 -
Norman 5.80.02 2008.07.25 -
Panda 9.0.0.4 2008.07.27 -
PCTools 4.4.2.0 2008.07.27 -
Prevx1 V2 2008.07.28 Malicious Software
Rising 20.54.62.00 2008.07.27 -
Sophos 4.31.0 2008.07.28 Mal/TibsPk-D
Sunbelt 3.1.1536.1 2008.07.25 Trojan-Downloader.Win32.Small.yuy
Symantec 10 2008.07.28 Packed.Generic.174
TheHacker 6.2.96.389 2008.07.25 -
TrendMicro 8.700.0.1004 2008.07.28 TROJ_SMALL.EOM
VBA32 3.12.8.1 2008.07.27 Trojan-Downloader.Win32.Small.yuy
ViRobot 2008.7.26.1311 2008.07.28 -
VirusBuster 4.5.11.0 2008.07.27 -
Webwasher-Gateway 6.6.2 2008.07.28 Trojan.Dldr.Small.yuy
Information additionnelle
File size: 110080 bytes
MD5...: 93c37a6679c109c8537bcd141dc697ae
SHA1..: ac2408ccc00907d2336ba619d51eafe66137a22a

Enfin un scan d'un Trojan-Downloader.Win32.FraudLoad via un exploit sur site WEB.
Fichier zet.exe reçu le 2008.07.30 20:19:16 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 6/35 (17.15%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.29.1 2008.07.30 -
AntiVir 7.8.1.12 2008.07.30 HEUR/Crypted
Authentium 5.1.0.4 2008.07.30 -
Avast 4.8.1195.0 2008.07.30 -
AVG 8.0.0.130 2008.07.30 Downloader.FraudLoad.A
BitDefender 7.2 2008.07.30 -
CAT-QuickHeal 9.50 2008.07.30 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.07.30 -
DrWeb 4.44.0.09170 2008.07.30 -
eSafe 7.0.17.0 2008.07.29 Suspicious File
eTrust-Vet 31.6.5995 2008.07.30 -
Ewido 4.0 2008.07.30 -
F-Prot 4.4.4.56 2008.07.30 -
F-Secure 7.60.13501.0 2008.07.30 -
Fortinet 3.14.0.0 2008.07.30 -
GData 2.0.7306.1023 2008.07.30 -
Ikarus T3.1.1.34.0 2008.07.30 -
Kaspersky 7.0.0.125 2008.07.30 -
McAfee 5349 2008.07.29 -
Microsoft 1.3704 2008.07.28 -
NOD32v2 3311 2008.07.30 -
Norman 5.80.02 2008.07.30 -
Panda 9.0.0.4 2008.07.30 -
PCTools 4.4.2.0 2008.07.30 -
Prevx1 V2 2008.07.30 -
Rising 20.55.22.00 2008.07.30 -
Sophos 4.31.0 2008.07.30 Mal/TibsPk-D
Sunbelt 3.1.1537.1 2008.07.29 -
Symantec 10 2008.07.30 -
TheHacker 6.2.96.389 2008.07.25 -
TrendMicro 8.700.0.1004 2008.07.30 -
VBA32 3.12.8.1 2008.07.29 -
ViRobot 2008.7.30.1317 2008.07.30 -
VirusBuster 4.5.11.0 2008.07.30 -
Webwasher-Gateway 6.6.2 2008.07.30 Heuristic.Crypted
Information additionnelle
File size: 110080 bytes
MD5...: 12d2b0fcf012f8adcbbadf0fa8449e08
SHA1..: 829e799bd30827ed3ce791a0b9d3d52a47a7c637
Le scan au lendemain :
Fichier zet.exe reçu le 2008.07.31 15:39:39 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 15/35 (42.86%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.29.1 2008.07.31 -
AntiVir 7.8.1.12 2008.07.31 TR/Dldr.Small.zmv
Authentium 5.1.0.4 2008.07.31 -
Avast 4.8.1195.0 2008.07.31 -
AVG 8.0.0.156 2008.07.31 Downloader.FraudLoad.A
BitDefender 7.2 2008.07.31 -
CAT-QuickHeal 9.50 2008.07.30 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.07.31 -
DrWeb 4.44.0.09170 2008.07.31 Trojan.Fakealert.995
eSafe 7.0.17.0 2008.07.29 Suspicious File
eTrust-Vet 31.6.5998 2008.07.31 -
Ewido 4.0 2008.07.31 -
F-Prot 4.4.4.56 2008.07.30 -
F-Secure 7.60.13501.0 2008.07.31 Trojan-Downloader.Win32.Small.zmv
Fortinet 3.14.0.0 2008.07.31 W32/TibsPk.D!tr
GData 2.0.7306.1023 2008.07.31 Trojan-Downloader.Win32.Small.zmv
Ikarus T3.1.1.34.0 2008.07.31 Trojan-Downloader.Win32.Small.zmv
Kaspersky 7.0.0.125 2008.07.31 Trojan-Downloader.Win32.Small.zmv
McAfee 5350 2008.07.30 FakeAlert-AG.gen
Microsoft 1.3704 2008.07.28 -
NOD32v2 3314 2008.07.31 Win32/TrojanDownloader.Agent.OBK
Norman 5.80.02 2008.07.30 -
Panda 9.0.0.4 2008.07.31 -
PCTools 4.4.2.0 2008.07.31 -
Prevx1 V2 2008.07.31 Malicious Software
Rising 20.55.32.00 2008.07.31 -
Sophos 4.31.0 2008.07.31 Mal/TibsPk-D
Sunbelt 3.1.1537.1 2008.07.29 -
Symantec 10 2008.07.31 -
TheHacker 6.2.96.389 2008.07.25 -
TrendMicro 8.700.0.1004 2008.07.31 -
VBA32 3.12.8.1 2008.07.31 -
ViRobot 2008.7.31.1319 2008.07.31 -
VirusBuster 4.5.11.0 2008.07.30 -
Webwasher-Gateway 6.6.2 2008.07.31 Trojan.Dldr.Small.zmv
Information additionnelle
File size: 110080 bytes
MD5...: 12d2b0fcf012f8adcbbadf0fa8449e08
SHA1..: 829e799bd30827ed3ce791a0b9d3d52a47a7c637
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86829
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan-Downloader.Win32.FraudLoad

Message par Malekal_morte » 04 août 2008 15:01

Ajout d'une procédure pour supprimer : Trojan-Downloader.Win32.FraudLoad / Antivirus XP 2008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86829
Inscription : 10 sept. 2005 13:57
Contact :

Trojan-Downloader.Win32.FraudLoad : a greeting eCard

Message par Malekal_morte » 12 août 2008 08:05

Tout comme Zhelatin/Storm Worm, Trojan-Downloader.Win32.FraudLoad peux se propager via de fausses ecards par mail :

Image



Copie du mail :
Good day.
You have received an eCard

To pick up your eCard, choose from any of the following options:
Click on the following link (or copy & paste it into your web browser):

hxxp://freaky-minds.de/e-card.exe

Your card will be aviailable for pick-up beginning for the next 30 days.
Please be sure to view your eCard before the days are up!

We hope you enjoy you eCard.

Thank You!

http://www.greetingcard.org
Encore une fois, soyez vigilant, surtout si vous voyez des fichiers .exe proposés en téléchargement.

Fichier e-card.exe reçu le 2008.08.12 07:42:05 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 5/36 (13.89%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.12.0 2008.08.12 -
AntiVir 7.8.1.19 2008.08.11 -
Authentium 5.1.0.4 2008.08.12 -
Avast 4.8.1195.0 2008.08.11 -
AVG 8.0.0.156 2008.08.11 -
BitDefender 7.2 2008.08.12 -
CAT-QuickHeal 9.50 2008.08.11 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.12 -
DrWeb 4.44.0.09170 2008.08.12 -
eSafe 7.0.17.0 2008.08.11 Suspicious File
eTrust-Vet 31.6.6023 2008.08.11 -
Ewido 4.0 2008.08.11 -
F-Prot 4.4.4.56 2008.08.12 -
F-Secure 7.60.13501.0 2008.08.12 -
Fortinet 3.14.0.0 2008.08.11 -
GData 2.0.7306.1023 2008.08.12 -
Ikarus T3.1.1.34.0 2008.08.12 -
K7AntiVirus 7.10.411 2008.08.11 -
Kaspersky 7.0.0.125 2008.08.12 -
McAfee 5358 2008.08.11 -
Microsoft 1.3807 2008.08.12 TrojanDownloader:Win32/Renos.gen!AQ
NOD32v2 3347 2008.08.11 a variant of Win32/TrojanDownloader.FakeAlert.FZ
Norman 5.80.02 2008.08.11 -
Panda 9.0.0.4 2008.08.11 -
PCTools 4.4.2.0 2008.08.11 -
Prevx1 V2 2008.08.12 -
Rising 20.57.10.00 2008.08.12 -
Sophos 4.32.0 2008.08.12 Mal/EncPk-CZ
Sunbelt 3.1.1542.1 2008.08.12 -
Symantec 10 2008.08.12 -
TheHacker 6.2.96.396 2008.08.12 -
TrendMicro 8.700.0.1004 2008.08.12 -
VBA32 3.12.8.3 2008.08.11 -
ViRobot 2008.8.11.1331 2008.08.11 -
VirusBuster 4.5.11.0 2008.08.11 -
Webwasher-Gateway 6.6.2 2008.08.12 -
Information additionnelle
File size: 129536 bytes
MD5...: 70c8c6e14f35a065f5105609af4320f1
SHA1..: 7d97da5dac54468b4b6e8f2d4f71b3e5b590903b
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86829
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan-Downloader.Win32.FraudLoad

Message par Malekal_morte » 22 août 2008 16:10

Nouveau faux mailling : Private Insider
pour soit disant télécharger des DVD etc.
avec une image d'une star nue (comme d'habitude).

Image

Fichier madonna.avi.exe reçu le 2008.08.22 15:54:48 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 5/34 (14.71%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.22 -
AntiVir 7.8.1.23 2008.08.22 -
Authentium 5.1.0.4 2008.08.22 -
Avast 4.8.1195.0 2008.08.22 -
AVG 8.0.0.161 2008.08.22 Downloader.Agent.15.R
BitDefender 7.2 2008.08.22 -
CAT-QuickHeal 9.50 2008.08.21 -
ClamAV 0.93.1 2008.08.22 -
DrWeb 4.44.0.09170 2008.08.22 -
eSafe 7.0.17.0 2008.08.21 -
eTrust-Vet 31.6.6040 2008.08.22 -
Ewido 4.0 2008.08.22 -
F-Prot 4.4.4.56 2008.08.21 -
Fortinet 3.14.0.0 2008.08.22 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.22 -
K7AntiVirus 7.10.423 2008.08.21 -
Kaspersky 7.0.0.125 2008.08.22 -
McAfee 5367 2008.08.21 Downloader-BHT
Microsoft 1.3807 2008.08.22 -
NOD32v2 3380 2008.08.22 -
Panda 9.0.0.4 2008.08.22 -
PCTools 4.4.2.0 2008.08.22 -
Prevx1 V2 2008.08.22 -
Rising 20.58.42.00 2008.08.22 -
Sophos 4.32.0 2008.08.22 Mal/TibsPk-F
Sunbelt 3.1.1571.1 2008.08.22 -
Symantec 10 2008.08.22 -
TheHacker 6.3.0.6.058 2008.08.22 -
TrendMicro 8.700.0.1004 2008.08.22 -
VBA32 3.12.8.4 2008.08.22 Trojan-Downloader.Win32.Small.xxb
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.22 -
Webwasher-Gateway 6.6.2 2008.08.22 Win32.Malware.gen!88 (suspicious)
Information additionnelle
File size: 17408 bytes
MD5...: 3c60d0a53e29c6ecbf5d380ac71c64d7
SHA1..: 2d359f26992f7e52e441886438bd729b405e008b
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86829
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan-Downloader.Win32.FraudLoad

Message par Malekal_morte » 24 août 2008 19:43

Nouveau faux mail : Statement of fees 2008/09


Image


Please find attached a statement of fees as requested, this will be
posted today.

The accommodation is dealt with by another section and I have passed
your request on to them today.

Kind regards.

Rhea
La pièce jointe est un fichier Fees_2008-2009.zip contenant le fichier Fees_2008-2009.doc______________.exe
Noté l'extension .doc suivi de caractères _ pour masquer la seconde extention.


Une fois exécuté, ce dernier va chercher tous ses amis :

Code : Tout sélectionner

1219605398.208   1271 192.168.1.63 TCP_MISS/200 33682 GET http://www.wishclub.ro/img/lspr.exe - DIRECT/193.231.242.3 application/x-msdos-program
1219605413.180    296 192.168.1.63 TCP_MISS/200 33660 GET http://www.dr-mickel.de/cerec/bilder/lspr.exe - DIRECT/81.169.145.86 application/octet-stream
1219605417.640   3853 192.168.1.63 TCP_MISS/200 199572 GET http://www.wishclub.ro/img/scan.exe - DIRECT/193.231.242.3 application/x-msdos-program
1219605429.339    440 192.168.1.63 TCP_MISS/200 199550 GET http://www.dr-mickel.de/cerec/bilder/scan.exe - DIRECT/81.169.145.86 application/octet-stream
1219605444.788   1386 192.168.1.63 TCP_MISS/200 98028 GET http://209.66.122.238/40E80008826285FCC7871E086C000002096600000002760000013DEB0005306D8997A3 - DIRECT/209.66.122.238 application/octet-stream
1219605451.599    657 192.168.1.63 TCP_MISS/200 42898 GET http://www.wishclub.ro/img/kashir.exe - DIRECT/193.231.242.3 application/x-msdos-program
1219605463.796    893 192.168.1.63 TCP_MISS/200 42876 GET http://www.dr-mickel.de/cerec/bilder/kashir.exe - DIRECT/81.169.145.86 application/octet-stream
1219605559.123   1548 192.168.1.63 TCP_MISS/200 106764 GET http://216.195.55.50/40E80008826285FCC7871E086C000002096600000003760000013DEB00053072929EAB - DIRECT/216.195.55.50 application/octet-stream

On dénombre en autre :
Braviax (donc patch de beep.sys), Pandex et bien sûr Trojan.Frauload installant le rogue Antivirux XP 2008.
Le fond d'écran est modifié avec un message d'alerte "Warning! Spyware detected on your computer!" comme décrit sur la page Antivirux XP 2008

La pièce jointe est assez bien détectée.
Fichier Fees_2008-2009.doc______________. reçu le 2008.08.24 19:11:28 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 12/35 (34.29%)

Antivirus Version Dernière mise à jour Résultat
AntiVir 7.8.1.23 2008.08.23 -
Authentium 5.1.0.4 2008.08.24 W32/Trojan2.BTCW
Avast 4.8.1195.0 2008.08.23 -
AVG 8.0.0.161 2008.08.24 SHeur.CEFY
BitDefender 7.2 2008.08.24 Trojan.Downloader.Kobcka.B
CAT-QuickHeal 9.50 2008.08.22 -
ClamAV 0.93.1 2008.08.24 Trojan.Zbot-1964
DrWeb 4.44.0.09170 2008.08.24 -
eSafe 7.0.17.0 2008.08.24 -
eTrust-Vet 31.6.6044 2008.08.23 -
Ewido 4.0 2008.08.24 -
F-Prot 4.4.4.56 2008.08.24 W32/Trojan2.BTCW
F-Secure 7.60.13501.0 2008.08.24 Suspicious:W32/Malware!Gemini
Fortinet 3.14.0.0 2008.08.24 W32/Agent.ES!tr.dldr
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.24 Trojan.Win32.Emold.A
K7AntiVirus 7.10.427 2008.08.23 -
Kaspersky 7.0.0.125 2008.08.24 Worm.Win32.AutoRun.lts
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.24 -
NOD32v2 3382 2008.08.23 -
Norman 5.80.02 2008.08.22 -
Panda 9.0.0.4 2008.08.24 -
PCTools 4.4.2.0 2008.08.24 -
Prevx1 V2 2008.08.24 -
Rising 20.58.62.00 2008.08.24 -
Sophos 4.32.0 2008.08.24 Mal/EncPk-ES
Sunbelt 3.1.1575.1 2008.08.23 -
Symantec 10 2008.08.24 W32.SillyFDC
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.23 -
VBA32 3.12.8.4 2008.08.23 -
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.24 -
Webwasher-Gateway 6.6.2 2008.08.24 Win32.Malware.gen (suspicious)
Information additionnelle
File size: 32768 bytes
MD5...: 65b882fec0f2c8ccb5f3694dac0d9662
SHA1..: 198ee4d1290a0d9cdf1065d74e2501c6129d0fd2
Fichier kashir.exe reçu le 2008.08.24 19:19:28 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 13/36 (36.12%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.22 -
AntiVir 7.8.1.23 2008.08.23 SPR/Fake.AV.42496
Authentium 5.1.0.4 2008.08.24 -
Avast 4.8.1195.0 2008.08.23 -
AVG 8.0.0.161 2008.08.24 Downloader.Generic7.AHWP
BitDefender 7.2 2008.08.24 -
CAT-QuickHeal 9.50 2008.08.22 -
ClamAV 0.93.1 2008.08.24 -
DrWeb 4.44.0.09170 2008.08.24 Trojan.Packed.612
eSafe 7.0.17.0 2008.08.24 Suspicious File
eTrust-Vet 31.6.6044 2008.08.23 -
Ewido 4.0 2008.08.24 -
F-Prot 4.4.4.56 2008.08.24 -
F-Secure 7.60.13501.0 2008.08.24 Suspicious:W32/Malware!Gemini
Fortinet 3.14.0.0 2008.08.24 PossibleThreat
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.24 Win32.SuspectCrc
K7AntiVirus 7.10.427 2008.08.23 -
Kaspersky 7.0.0.125 2008.08.24 Hoax.Win32.Renos.vavh
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.24 VirTool:WinNT/Xantvi.A
NOD32v2 3382 2008.08.23 Win32/TrojanDownloader.FakeAlert.HB
Norman 5.80.02 2008.08.22 W32/Rootkit.PQL
Panda 9.0.0.4 2008.08.24 -
PCTools 4.4.2.0 2008.08.24 -
Prevx1 V2 2008.08.24 Suspicious
Rising 20.58.62.00 2008.08.24 -
Sophos 4.32.0 2008.08.24 -
Sunbelt 3.1.1575.1 2008.08.23 -
Symantec 10 2008.08.24 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.23 -
VBA32 3.12.8.4 2008.08.23 -
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.24 -
Webwasher-Gateway 6.6.2 2008.08.24 Riskware.Fake.AV.42496
Information additionnelle
File size: 42496 bytes
MD5...: 470f960ae874c9c5caa33725b495ab25
SHA1..: c0bae001855030aeb13a719b7124c373c3f39916
Fichier scan.exe reçu le 2008.08.24 19:18:16 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 5/35 (14.29%)

Antivirus Version Dernière mise à jour Résultat
AntiVir 7.8.1.23 2008.08.23 -
Authentium 5.1.0.4 2008.08.24 -
Avast 4.8.1195.0 2008.08.23 -
AVG 8.0.0.161 2008.08.24 -
BitDefender 7.2 2008.08.24 Trojan.Peed.JSB
CAT-QuickHeal 9.50 2008.08.22 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.24 -
DrWeb 4.44.0.09170 2008.08.24 -
eSafe 7.0.17.0 2008.08.24 Suspicious File
eTrust-Vet 31.6.6044 2008.08.23 -
Ewido 4.0 2008.08.24 -
F-Prot 4.4.4.56 2008.08.24 -
F-Secure 7.60.13501.0 2008.08.24 -
Fortinet 3.14.0.0 2008.08.24 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.24 -
K7AntiVirus 7.10.427 2008.08.23 -
Kaspersky 7.0.0.125 2008.08.24 -
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.24 Trojan:Win32/Tibs.HP
NOD32v2 3382 2008.08.23 -
Norman 5.80.02 2008.08.22 -
Panda 9.0.0.4 2008.08.24 -
PCTools 4.4.2.0 2008.08.24 -
Prevx1 V2 2008.08.24 Malicious Software
Rising 20.58.62.00 2008.08.24 -
Sophos 4.32.0 2008.08.24 -
Sunbelt 3.1.1575.1 2008.08.23 -
Symantec 10 2008.08.24 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.23 -
VBA32 3.12.8.4 2008.08.23 -
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.24 -
Webwasher-Gateway 6.6.2 2008.08.24 -
Information additionnelle
File size: 199168 bytes
MD5...: bb0fb8a2eb62aac66b582f546738af43
SHA1..: 4c86cfe540f1e93260f17eec0ede74d882b0f457
Fichier lspr.exe reçu le 2008.08.24 19:21:02 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 2/35 (5.72%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.22 -
AntiVir 7.8.1.23 2008.08.23 -
Authentium 5.1.0.4 2008.08.24 -
Avast 4.8.1195.0 2008.08.23 -
AVG 8.0.0.161 2008.08.24 -
BitDefender 7.2 2008.08.24 -
CAT-QuickHeal 9.50 2008.08.22 -
ClamAV 0.93.1 2008.08.24 -
DrWeb 4.44.0.09170 2008.08.24 BackDoor.Bulknet.233
eSafe 7.0.17.0 2008.08.24 -
eTrust-Vet 31.6.6044 2008.08.23 -
Ewido 4.0 2008.08.24 -
F-Prot 4.4.4.56 2008.08.24 -
Fortinet 3.14.0.0 2008.08.24 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.24 -
K7AntiVirus 7.10.427 2008.08.23 -
Kaspersky 7.0.0.125 2008.08.24 -
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.24 -
NOD32v2 3382 2008.08.23 -
Norman 5.80.02 2008.08.22 -
Panda 9.0.0.4 2008.08.24 -
PCTools 4.4.2.0 2008.08.24 -
Prevx1 V2 2008.08.24 Malicious Software
Rising 20.58.62.00 2008.08.24 -
Sophos 4.32.0 2008.08.24 -
Sunbelt 3.1.1575.1 2008.08.23 -
Symantec 10 2008.08.24 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.23 -
VBA32 3.12.8.4 2008.08.23 -
ViRobot 2008.8.22.1346 2008.08.22 -
VirusBuster 4.5.11.0 2008.08.24 -
Webwasher-Gateway 6.6.2 2008.08.24 -
Information additionnelle
File size: 33280 bytes
MD5...: ffccd0518b04354532c733674c0faa00
SHA1..: 234473c40d3cd6782cc22deb4d6063864a089ff6
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86829
Inscription : 10 sept. 2005 13:57
Contact :

Re: Free Update Windows XP,Vista

Message par Malekal_morte » 25 août 2008 17:15

Fausse mise à jour pour XP et Vista.

Image
Free Update Windows XP,Vista

About this mailing:
You are receiving this e-mail because you subscribed to MSN Featured Offers. Microsoft respects your privacy. If you do not wish to receive this MSN Featured Offers e-mail, please click the "Unsubscribe" link below. This will not unsubscribe you from e-mail communications from third-party advertisers that may appear in MSN Feature Offers. This shall not constitute an offer by MSN. MSN shall not be responsible or liable for the advertisers' content nor any of the goods or service advertised. Prices and item availability subject to change without notice.

©2008 Microsoft | Unsubscribe | More Newsletters | Privacy

Microsoft Corporation, One Microsoft Way, Redmond, WA 98052

Toujours le faux mailling MSN pour tromper les antispam.

Pour rappel les mises à jour se font pas Windows Updates : https://www.malekal.com/updates_windows.php


La détection est moyenne :
Fichier install.exe reçu le 2008.08.25 16:57:52 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 6/34 (17.65%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.25 -
AntiVir 7.8.1.23 2008.08.25 -
Authentium 5.1.0.4 2008.08.25 -
Avast 4.8.1195.0 2008.08.25 -
AVG 8.0.0.161 2008.08.25 Downloader.Agent.15.R
BitDefender 7.2 2008.08.25 -
CAT-QuickHeal 9.50 2008.08.25 -
ClamAV 0.93.1 2008.08.25 -
DrWeb 4.44.0.09170 2008.08.25 -
eSafe 7.0.17.0 2008.08.24 -
eTrust-Vet 31.6.6044 2008.08.23 -
Ewido 4.0 2008.08.25 -
F-Prot 4.4.4.56 2008.08.25 -
Fortinet 3.14.0.0 2008.08.25 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.25 -
K7AntiVirus 7.10.427 2008.08.23 -
Kaspersky 7.0.0.125 2008.08.25 -
McAfee 5368 2008.08.22 -
Microsoft 1.3807 2008.08.25 Virus:Win32/Grum.G
NOD32v2 3385 2008.08.25 a variant of Win32/TrojanDownloader.FakeAlert.FH
Panda 9.0.0.4 2008.08.25 -
PCTools 4.4.2.0 2008.08.25 -
Prevx1 V2 2008.08.25 Suspicious
Rising 20.59.00.00 2008.08.25 -
Sophos 4.32.0 2008.08.25 Mal/TibsPk-F
Sunbelt 3.1.1575.1 2008.08.23 -
Symantec 10 2008.08.25 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.25 -
VBA32 3.12.8.4 2008.08.25 Trojan-Downloader.Win32.Small.xxb
ViRobot 2008.8.25.1348 2008.08.25 -
VirusBuster 4.5.11.0 2008.08.25 -
Webwasher-Gateway 6.6.2 2008.08.25 -
Information additionnelle
File size: 17408 bytes
MD5...: ac478b55a21ae03fdf5f814163b16782
SHA1..: 1d122823f487ee19186b39652fde25641e3bd2e2
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86829
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan-Downloader.Win32.FraudLoad

Message par Malekal_morte » 28 août 2008 17:04

Trojan-Downloader.Win32.FraudLoad propose maintenant des liens avec des fichiers SWF (fichiers flash) dans les mails de SPAM.
Les liens sont de la forme hxxp://img504.imageshack.us/img504/5453/1282238rm4.swf

Image

En cliquant dessus, on est redirigé vers la proposition de téléchargement du Trojan-Downloader.Win32.Exchanger.

Le principe de ces swf n'est pas nouveau, j'en avais eu quelques uns (peut être des tests).
On va très certaintement voir plus de ces SWF à l'avenir.

La capture ci-dessous montre que la page est en test... suite de lettres aléatoires etc..
On peux parier qu'à l'avenir, on aura une belle page à thème pour tromper l'internaute... : faux codec, page de star etc.

Image

Le fichier n'est pas encore détecté par les AV, vous n'aurez donc aucune alerte jusqu'au moment de l'ouverture du fichier proposé si et seulement si votre antivirus détecte l'infection.
Fichier 12875168rm4.swf reçu le 2008.08.27 19:18:03 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/36 (0%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.27.1 2008.08.27 -
AntiVir 7.8.1.23 2008.08.27 -
Authentium 5.1.0.4 2008.08.27 -
Avast 4.8.1195.0 2008.08.27 -
AVG 8.0.0.161 2008.08.27 -
BitDefender 7.2 2008.08.27 -
CAT-QuickHeal 9.50 2008.08.26 -
ClamAV 0.93.1 2008.08.27 -
DrWeb 4.44.0.09170 2008.08.27 -
eSafe 7.0.17.0 2008.08.26 -
eTrust-Vet 31.6.6050 2008.08.26 -
Ewido 4.0 2008.08.27 -
F-Prot 4.4.4.56 2008.08.27 -
F-Secure 7.60.13501.0 2008.08.27 -
Fortinet 3.14.0.0 2008.08.26 -
GData 2.0.7306.1023 2008.08.27 -
Ikarus T3.1.1.34.0 2008.08.27 -
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.27 -
McAfee 5370 2008.08.26 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3393 2008.08.27 -
Norman 5.80.02 2008.08.27 -
Panda 9.0.0.4 2008.08.26 -
PCTools 4.4.2.0 2008.08.27 -
Prevx1 V2 2008.08.27 -
Rising 20.59.21.00 2008.08.27 -
Sophos 4.33.0 2008.08.27 -
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.27 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.27 -
VBA32 3.12.8.4 2008.08.27 -
ViRobot 2008.8.27.1352 2008.08.27 -
VirusBuster 4.5.11.0 2008.08.27 -
Webwasher-Gateway 6.6.2 2008.08.27 -
Information additionnelle
File size: 3240 bytes
MD5...: ed104e3720cdcec8c3b702a9c0989ccb
SHA1..: 689af13492c1d13bac751940fb9a599e43cbf3db

EDIT : Le SWF a été ajouté en Trojan-Downloader.SWF.Agent.i par Kaspersky.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86829
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan-Downloader.Win32.FraudLoad

Message par Malekal_morte » 28 août 2008 17:08

Faux Mail de création de compte après l'achat d'un billet d'avion.
Ces faux mails existaient déjà et proposait Trojan.Zbot (voir cette discussion : viewtopic.php?f=12&t=13104&p=100590&hil ... et#p100543)

Cette fois la pièce jointe installe une infection FraudLoad.
Le fichier est du même style que Statement of fees 2008/09

Image
Good morning,
Thank you for using our new service "Buy airplane ticket Online" on our website.
Your account has been created:

Your login: mailling@xxxxx
Your password: passKFLO

Your credit card has been charged for $679.16.
We would like to remind you that whenever you order tickets on our website you get a discount of 10%!
Attached to this message is the purchase Invoice and the airplane ticket.
To use your ticket, simply print it on a color printed, and you are set to take off for the journey!

Kind regards,
US Airways
Fichier eTicket_N832.doc.exe reçu le 2008.08.28 16:44:19 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 5/36 (13.89%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.29.0 2008.08.28 -
AntiVir 7.8.1.23 2008.08.28 -
Authentium 5.1.0.4 2008.08.28 W32/Downldr2.DIJH
Avast 4.8.1195.0 2008.08.27 -
AVG 8.0.0.161 2008.08.28 SHeur.CFFK
BitDefender 7.2 2008.08.28 -
CAT-QuickHeal 9.50 2008.08.26 -
ClamAV 0.93.1 2008.08.28 Trojan.Agent-43132
DrWeb 4.44.0.09170 2008.08.28 -
eSafe 7.0.17.0 2008.08.27 -
eTrust-Vet 31.6.6054 2008.08.28 -
Ewido 4.0 2008.08.28 -
F-Prot 4.4.4.56 2008.08.28 -
F-Secure 7.60.13501.0 2008.08.28 -
Fortinet 3.14.0.0 2008.08.28 -
GData 19 2008.08.28 -
Ikarus T3.1.1.34.0 2008.08.28 Trojan.Win32.Emold.C
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.28 -
McAfee 5371 2008.08.27 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3395 2008.08.28 -
Norman 5.80.02 2008.08.28 -
Panda 9.0.0.4 2008.08.27 -
PCTools 4.4.2.0 2008.08.28 -
Prevx1 V2 2008.08.28 -
Rising 20.59.31.00 2008.08.28 -
Sophos 4.33.0 2008.08.28 Mal/EncPk-CZ
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.28 -
TheHacker 6.3.0.6.064 2008.08.27 -
TrendMicro 8.700.0.1004 2008.08.28 -
VBA32 3.12.8.4 2008.08.28 -
ViRobot 2008.8.28.1353 2008.08.28 -
VirusBuster 4.5.11.0 2008.08.28 -
Webwasher-Gateway 6.6.2 2008.08.28 -
Information additionnelle
File size: 31232 bytes
MD5...: e24a4a95745aee0a1d40e8222cf79614
SHA1..: 695ca4afb825749198d5d635a65238b6ec8e307c

En plus du rogue Antivurux XP 2008, cette infection installe aussi braviax qui télécharge et installe le rogue XP SecurityCenter

On notera encore l'utilisation de site hacké pour héberger les malwares.

Code : Tout sélectionner

1219943092.643    862 192.168.1.63 TCP_MISS/200 459 GET http://aaszxr.ru/loadx/ld.php?v=1&rs=1353422705&n=1 - DIRECT/211.95.79.241 text/html
1219943092.654    872 192.168.1.63 TCP_MISS/200 453 GET http://aaszxr.ru/loadx/ld.php?v=1&rs=1353422705&n=1 - DIRECT/211.95.79.241 text/html
1219943092.873     16 192.168.1.63 TCP_HIT/200 204190 GET http://www.wishclub.ro/img/scan.exe - NONE/- application/x-msdos-program
1219943092.914     40 192.168.1.63 TCP_HIT/200 45980 GET http://www.wishclub.ro/img/kashir.exe - NONE/- application/x-msdos-program
1219943093.057    414 192.168.1.63 TCP_MISS/200 453 GET http://aaszxr.ru/loadx/ld.php?v=1&rs=1353422705&n=1 - DIRECT/211.95.79.241 text/html
1219943093.066      9 192.168.1.63 TCP_HIT/200 33692 GET http://www.wishclub.ro/img/lspr.exe - NONE/- application/x-msdos-program
1219943095.112      1 192.168.1.63 TCP_MEM_HIT/200 704 GET http://www.dr-mickel.de/cerec/bilder/lspr.exe - NONE/- text/html
1219943095.128     15 192.168.1.63 TCP_MEM_HIT/200 704 GET http://www.dr-mickel.de/cerec/bilder/kashir.exe - NONE/- text/html
1219943095.132      2 192.168.1.63 TCP_MEM_HIT/200 704 GET http://www.dr-mickel.de/cerec/bilder/scan.exe - NONE/- text/html
1219943096.164   1032 192.168.1.63 TCP_MISS/200 334 GET http://aaszxr.ru/loadx/ld.php?v=1&id=12183&rs=1353422705&cc=0 - DIRECT/211.95.79.241 text/html
1219943096.371    910 192.168.1.63 TCP_MISS/200 334 GET http://aaszxr.ru/loadx/ld.php?v=1&id=12183&rs=1353422705&cc=0 - DIRECT/211.95.79.241 text/html
1219943096.382    848 192.168.1.63 TCP_MISS/200 333 GET http://aaszxr.ru/loadx/ld.php?v=1&id=12183&rs=1353422705&cc=0 - DIRECT/211.95.79.241 text/html
1219943096.776   1390 192.168.1.63 TCP_MISS/200 109435 GET http://209.66.122.238/40E80008826285FCC7871E086C000002096600000002760000013DEB000530A4BF0A18 - DIRECT/209.66.122.238 application/octet-stream
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité