Trojan.Win32.Jorik.Skor / Trojan.Renos/Trojan.FakeAlert

Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec
Infections liés aux rogues et affichant de fausses alertes de sécurité.
Répondre
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86869
Inscription : 10 sept. 2005 13:57
Contact :

Trojan.Win32.Jorik.Skor / Trojan.Renos/Trojan.FakeAlert

Message par Malekal_morte » 11 nov. 2009 17:10

Pour supprimer cette infection, suivre la procédure de la page suivante : https://www.malekal.com/FakeAlert_FraudP ... as.dll.php

Infection existante depuis plusieurs mois se propage par des exploits sur des sites WEB, peut-être installé par d'autres infections (ex infections MSN ou enfin se propager par des infections par disques amovibles.
Mais sa voie principale sont les faux codecs pour visualiser des vidéos pornographiques et par cracks/keygens
Exemple : fake-codec-faux-codec-msxml71-dll-t19113.html

Bref, c'est une infection que l'on attrape stupidement.


C'est toujours la même technique, les domaines et les droppers sont mis à jour tous les jours afin de rendre les détections antivirales au minimal (voir plus bas) et assurer un taux d'infection élevé.

Des milliers de sites pointent vers ces nouveaux domaines via des rotators, l'internaute est casi sûr de tomber dessus.
Ces domaines proposent ensuite le fichier infectieux via de faux codecs ou via des cracks/keygens (voir aussi VideoAccessCodec/Zlob et les cracks et en détail Trojan.Win32.Jorik.Skor : Warez Blog Power).

Voici un exemple de faux sites de cracks pointant vers le domaine dataplayworld.com
Image

En version faux codecs pour visualiser des vidéos pornographiques, on obtient plus un nom de fichiers avec le mot crack mais plutôt flash-HQ-plugin.45047.exe pour un faux codecs Flash :

Image

Image

D'autres domaines malicieux sont hébergés sur la même machine que le domaine dataplayworld.com 66.96.252.134 :
clearmultimedia.com A 66.96.252.134
nextmediafile.com A 66.96.252.134
tvmediastaronline.com A 66.96.252.134
freemedialocation.com A 66.96.252.134
kingplaysoft.com A 66.96.252.134
comingmultimediafile.net A 66.96.252.134
mediastarnetwork.net A 66.96.252.134
Une fois le crack/keygen exécuté b.exe est installé sur le système :
Image

Image



Cette infection s'attrape donc de manière plus que stupide, un peu de bon sens, faites un peu attention à ce que vous téléchargez, il est plus que facile d'éviter ces infections d'autant que votre antivirus ne vous aidera que très partiellement (voir le taux de détections plus bas)


~~

Concrètement à son nom Trojan.Renos / Trojan.FakeAlert, l'infection n'affiche pas de faux alertes de sécurité mais est plutôt de type Clicker (elle surf à votre insu).

Les lignes HiJackThis ajoutées par l'infection
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O4 - HKCU\..\Run: [PopRock] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\b.exe
La ligne BHO n'est pas forcément présente.


Les fichiers ajoutés par l'infection :
c:\WINDOWS\system32\msxml71.dll
Date: 11/11/2009 5:03 AM
Size: 245 764 bytes
c:\Documents and Settings\Malekal_morte\Local Settings\Temp\a.exe
Date: 11/11/2009 5:03 AM
Size: 274 948 bytes
c:\Documents and Settings\Malekal_morte\Local Settings\Temp\b.exe
Date: 11/11/2009 5:03 AM
Size: 154 112 bytes
Enfin l'infection peut contenir le fichier C:\Windows\msa.exe (ce n'est pas systématique).

Ce dernier se lance au démarrage via une tâche planifiée :
Image


Pour ce qui est de la désinfection, Combofix ou Malwarebyte Anti-Malware se chargent très bien de cette infection.
Vous pouvez bien entendu faire le ménage manuellement (en mode sans échec par exemple).

Détection du faux setup de faux codec majoritairement en Trojan.FakeAlert ou Renos :
File setup.45107.exe received on 2009.11.11 15:03:23 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 21/41 (51.22%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.10 Trojan-Downloader.Win32.Renos!IK
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.10 TR/Agent.AG.4428
Antiy-AVL 2.0.3.7 2009.11.10 -
Authentium 5.2.0.5 2009.11.10 W32/FakeAlert.CO.gen!Eldorado
Avast 4.8.1351.0 2009.11.10 Win32:FakeAV-TU
AVG 8.5.0.423 2009.11.10 Generic15.ASMD
BitDefender 7.2 2009.11.10 Trojan.Renos.OWF
CAT-QuickHeal 10.00 2009.11.10 Win32.Packed.Krap.ag.5
ClamAV 0.94.1 2009.11.10 -
Comodo 2905 2009.11.10 -
DrWeb 5.0.0.12182 2009.11.10 Trojan.Siggen.18848
eSafe 7.0.17.0 2009.11.10 -
eTrust-Vet 35.1.7113 2009.11.10 -
F-Prot 4.5.1.85 2009.11.10 W32/FakeAlert.CO.gen!Eldorado
F-Secure 9.0.15370.0 2009.11.09 -
Fortinet 3.120.0.0 2009.11.10 W32/Krap.A
GData 19 2009.11.10 Trojan.Renos.OWF
Ikarus T3.1.1.74.0 2009.11.10 Trojan-Downloader.Win32.Renos
Jiangmin 11.0.800 2009.11.10 -
K7AntiVirus 7.10.892 2009.11.09 -
Kaspersky 7.0.0.125 2009.11.10 Packed.Win32.Krap.ag
McAfee 5797 2009.11.09 -
McAfee+Artemis 5797 2009.11.09 Artemis!57CD9C0F6777
McAfee-GW-Edition 6.8.5 2009.11.10 Trojan.Agent.AG.4428
Microsoft 1.5202 2009.11.10 TrojanDownloader:Win32/Renos.JM
NOD32 4592 2009.11.10 Win32/TrojanDownloader.FakeAlert.AOH
Norman 6.03.02 2009.11.09 -
nProtect 2009.1.8.0 2009.11.10 -
Panda 10.0.2.2 2009.11.09 Trj/CI.A
PCTools 7.0.3.5 2009.11.10 -
Prevx 3.0 2009.11.11 High Risk Cloaked Malware
Rising 22.21.01.09 2009.11.10 -
Sophos 4.47.0 2009.11.10 Mal/Krap-A
Sunbelt 3.2.1858.2 2009.11.10 Trojan.Win32.FraudPack.gen (v)
Symantec 1.4.4.12 2009.11.10 -
TheHacker 6.5.0.2.064 2009.11.09 -
TrendMicro 9.0.0.1003 2009.11.10 -
VBA32 3.12.10.11 2009.11.09 -
ViRobot 2009.11.10.2029 2009.11.10 -
VirusBuster 4.6.5.0 2009.11.09 -
Additional information
File size: 99840 bytes
MD5...: 57cd9c0f67779140e0fc20b46b14bf59
SHA1..: cbf9df3014ab8ea40e8d7baba25f8c8c50b8f5f4
Voir les détections : dvdmediahelp-com-video-plugin-45047-exe ... ml#p200984
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86869
Inscription : 10 sept. 2005 13:57
Contact :

Re: b.exe et msxml71.dll : Trojan.Renos / Trojan.FakeAlert

Message par Malekal_morte » 11 nov. 2009 17:31

En version pas bien détecté ça donne ça :

Code : Tout sélectionner

1257960854.713   2356 192.168.1.26 TCP_MISS/200 89913 GET http://mediaeldorado.com/install.48428.exe - DIRECT/95.211.8.87 application/x-msdownload
http://www.virustotal.com/analisis/6db2 ... 1257953280
File install.48428_2_.exe received on 2009.11.11 15:28:00 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 2/41 (4.88%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.11 -
AhnLab-V3 5.0.0.2 2009.11.11 -
AntiVir 7.9.1.61 2009.11.11 -
Antiy-AVL 2.0.3.7 2009.11.11 -
Authentium 5.2.0.5 2009.11.11 W32/FakeAlert.CO.gen!Eldorado
Avast 4.8.1351.0 2009.11.11 -
AVG 8.5.0.423 2009.11.11 -
BitDefender 7.2 2009.11.11 -
CAT-QuickHeal 10.00 2009.11.11 -
ClamAV 0.94.1 2009.11.11 -
Comodo 2918 2009.11.11 -
DrWeb 5.0.0.12182 2009.11.11 -
eSafe 7.0.17.0 2009.11.11 -
eTrust-Vet 35.1.7115 2009.11.11 -
F-Prot 4.5.1.85 2009.11.10 W32/FakeAlert.CO.gen!Eldorado
F-Secure 9.0.15370.0 2009.11.09 -
Fortinet 3.120.0.0 2009.11.11 -
GData 19 2009.11.11 -
Ikarus T3.1.1.74.0 2009.11.11 -
Jiangmin 11.0.800 2009.11.11 -
K7AntiVirus 7.10.893 2009.11.10 -
Kaspersky 7.0.0.125 2009.11.11 -
McAfee 5798 2009.11.10 -
McAfee+Artemis 5798 2009.11.10 -
McAfee-GW-Edition 6.8.5 2009.11.11 -
Microsoft 1.5202 2009.11.11 -
NOD32 4596 2009.11.11 -
Norman 6.03.02 2009.11.10 -
nProtect 2009.1.8.0 2009.11.11 -
Panda 10.0.2.2 2009.11.10 -
PCTools 7.0.3.5 2009.11.11 -
Prevx 3.0 2009.11.11 -
Rising 22.21.02.09 2009.11.11 -
Sophos 4.47.0 2009.11.11 -
Sunbelt 3.2.1858.2 2009.11.11 -
Symantec 1.4.4.12 2009.11.11 -
TheHacker 6.5.0.2.065 2009.11.11 -
TrendMicro 9.0.0.1003 2009.11.11 -
VBA32 3.12.10.11 2009.11.10 -
ViRobot 2009.11.11.2031 2009.11.11 -
VirusBuster 4.6.5.0 2009.11.10 -
Additional information
File size: 89600 bytes
MD5...: e2f8d115237f5dde51d08e62228df8a0
SHA1..: 42aa9b2bb0a4d2664487daf6a4b471ab0f437a66
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86869
Inscription : 10 sept. 2005 13:57
Contact :

Re: b.exe et msxml71.dll : Trojan.Renos / Trojan.FakeAlert

Message par Malekal_morte » 26 nov. 2009 10:11

Trois exemples de détections sur cette infection via de faux codecs ... si vous comptez sur votre antivirus pour vous protéger, c'est niet :

Code : Tout sélectionner

1259230575.809   9065 192.168.1.26 TCP_MISS/200 113472 GET http://mediastarnetwork.net/divxPt09.45107.exe - DIRECT/66.96.252.134 application/x-msdownload
1259230648.615   3247 192.168.1.26 TCP_MISS/200 113476 GET http://mediastarnetwork.net/flash_player.45187.exe - DIRECT/66.96.252.134 application/x-msdownload
1259231534.709   1584 192.168.1.26 TCP_MISS/200 113479 GET http://dataplayworld.com/flash-HQ-plugin.45047.exe - DIRECT/66.96.252.134 application/x-msdownload
File flash_player.45187.exe received on 2009.11.26 08:04:41 (UTC)
Current status: finished
Result: 8/41 (19.51%)

Permalink : http://www.virustotal.com/analisis/1b45 ... 1259222681

The results for flash_player.45187.exe are :
GData 19 2009.11.26 Trojan.Agent.ANXS
Microsoft 1.5302 2009.11.26 TrojanDownloader:Win32/Renos
BitDefender 7.2 2009.11.26 Trojan.Agent.ANXS
Kaspersky 7.0.0.125 2009.11.26 Packed.Win32.Krap.ag
Sophos 4.47.0 2009.11.26 Mal/FakeAV-AY
Sunbelt 3.2.1858.2 2009.11.26 Trojan.Win32.FraudPack.gen (v)
ViRobot 2009.11.26.2054 2009.11.26 Trojan.Win32.Krap.113152.R
eTrust-Vet 35.1.7142 2009.11.25 Win32/Wardunlo!generic

File size: 113152 bytes
MD5 : d093d36caa49294a4bd63881d8749c8e
SHA1 : 82b6eb7fbf6c7df1b99b6325d92d9b1889f43126
SHA256: 1b45f0f2f487a524c78272f874f25cbac6b56a352fd29b40091f3958c6a1b8a8
~~~~
File divxPt09.45107.exe received on 2009.11.26 08:03:29 (UTC)
Current status: finished
Result: 7/41 (17.07%)

Permalink : http://www.virustotal.com/analisis/ae53 ... 1259222609
The results for divxPt09.45107.exe are :
GData 19 2009.11.26 Trojan.Agent.ANXS
Microsoft 1.5302 2009.11.26 TrojanDownloader:Win32/Renos
Kaspersky 7.0.0.125 2009.11.26 Packed.Win32.Krap.ag
BitDefender 7.2 2009.11.26 Trojan.Agent.ANXS
Sunbelt 3.2.1858.2 2009.11.26 Trojan.Win32.FraudPack.gen (v)
Sophos 4.47.0 2009.11.26 Mal/FakeAV-AY
eTrust-Vet 35.1.7142 2009.11.25 Win32/Wardunlo!generic

File size: 113152 bytes
MD5 : ca92cb22c5e09a3b46e132bc67efc45b
SHA1 : 00bbb8937f25cfb0162ccd53d84469f043004d8c
SHA256: ae53d0d7c865edf9eb3c2c2c824cc4dbf09da1811d20417e650618852724fb15
~~
File flash-HQ-plugin.45047.exe received on 2009.11.26 08:19:41 (UTC)
Current status: finished
Result: 7/41 (17.07%)

Permalink : http://www.virustotal.com/analisis/7ee4 ... 1259223581

The results for flash-HQ-plugin.45047.exe are :
Microsoft 1.5302 2009.11.26 TrojanDownloader:Win32/Renos
GData 19 2009.11.26 Trojan.Agent.ANXS
Kaspersky 7.0.0.125 2009.11.26 Packed.Win32.Krap.ag
Sunbelt 3.2.1858.2 2009.11.26 Trojan.Win32.FraudPack.gen (v)
BitDefender 7.2 2009.11.26 Trojan.Agent.ANXS
Sophos 4.47.0 2009.11.26 Mal/FakeAV-AY
eTrust-Vet 35.1.7142 2009.11.25 Win32/Wardunlo!generic

File size: 113152 bytes
MD5 : dbff13e0d8659930461d68915797632f
SHA1 : a376b9bb3e618440549d981edb87896c3453cf22
SHA256: 7ee4c6990628822901f9048b850b1b796a13125a28638e7ae5781f83f2c09423
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86869
Inscription : 10 sept. 2005 13:57
Contact :

Re: b.exe et msxml71.dll : Trojan.Renos / Trojan.FakeAlert

Message par Malekal_morte » 27 nov. 2009 10:43

et parfois c'est pire... :

Code : Tout sélectionner

1259318804.067   1680 192.168.1.26 TCP_MISS/200 129850 GET http://videogadgetsite.net/install.48428.exe - DIRECT/66.96.252.134 application/x-msdownload
http://www.virustotal.com/analisis/9b3d ... 1259310965

(Voir aussi : dvdmediahelp-com-video-plugin-45047-exe ... ml#p200984 )
File install.48428.exe received on 2009.11.27 08:36:05 (UTC)
Current status: finished
Result: 0/41 (0.00%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.43 2009.11.27 -
AhnLab-V3 5.0.0.2 2009.11.27 -
AntiVir 7.9.1.79 2009.11.27 -
Antiy-AVL 2.0.3.7 2009.11.27 -
Authentium 5.2.0.5 2009.11.26 -
Avast 4.8.1351.0 2009.11.27 -
AVG 8.5.0.426 2009.11.26 -
BitDefender 7.2 2009.11.27 -
CAT-QuickHeal 10.00 2009.11.27 -
ClamAV 0.94.1 2009.11.27 -
Comodo 3053 2009.11.27 -
DrWeb 5.0.0.12182 2009.11.27 -
eSafe 7.0.17.0 2009.11.26 -
eTrust-Vet 35.1.7145 2009.11.27 -
F-Prot 4.5.1.85 2009.11.26 -
F-Secure 9.0.15370.0 2009.11.24 -
Fortinet 4.0.14.0 2009.11.27 -
GData 19 2009.11.27 -
Ikarus T3.1.1.74.0 2009.11.27 -
Jiangmin 11.0.800 2009.11.27 -
K7AntiVirus 7.10.905 2009.11.25 -
Kaspersky 7.0.0.125 2009.11.27 -
McAfee 5814 2009.11.26 -
McAfee+Artemis 5814 2009.11.26 -
McAfee-GW-Edition 6.8.5 2009.11.27 -
Microsoft 1.5302 2009.11.27 -
NOD32 4640 2009.11.26 -
Norman 6.03.02 2009.11.25 -
nProtect 2009.1.8.0 2009.11.27 -
Panda 10.0.2.2 2009.11.26 -
PCTools 7.0.3.5 2009.11.27 -
Prevx 3.0 2009.11.27 -
Rising 22.23.04.04 2009.11.27 -
Sophos 4.48.0 2009.11.27 -
Sunbelt 3.2.1858.2 2009.11.26 -
Symantec 1.4.4.12 2009.11.27 -
TheHacker 6.5.0.2.079 2009.11.26 -
TrendMicro 9.100.0.1001 2009.11.27 -
VBA32 3.12.12.0 2009.11.27 -
ViRobot 2009.11.27.2058 2009.11.27 -
VirusBuster 5.0.21.0 2009.11.26 -
Additional information
File size: 129536 bytes
MD5 : b6ec8c1fac3cb1df644a6ee8d80c6a8d
SHA1 : 6450424946fe4dbfd41ad2e0805cba391b0204c5
SHA256: 9b3d3cd564115074cfa2dcda93b2b30afc45a83fc22d019d48287847ecf9125a
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86869
Inscription : 10 sept. 2005 13:57
Contact :

Re: msa.exe b.exe et msxml71.dll : Trojan.Renos/Trojan.FakeAlert

Message par Malekal_morte » 20 déc. 2009 00:22

Code : Tout sélectionner

1261268857.455   3582 192.168.1.63 TCP_MISS/200 150336 GET http://coolmultimedia.net/divxPt09.45107.exe - DIRECT/64.120.141.5 application/x-msdownload
MD5 : 36f9c3bf4bce22dc7e4ecbb554cefa7c
Date : 2009.12.19 22:16:15 (UTC)
Results : 4/41
Virus Names : Trojan-Downloader:W32/Renos.gen!Q Trojan.Packed.706 W32/FraudPack!Generic
Permalink : http://www.virustotal.com/analisis/01ff ... 1261260975

The results for divxPt09.45107.exe are :
DrWeb 5.0.0.12182 2009.12.19 Trojan.Packed.706
F-Secure 9.0.15370.0 2009.12.19 Trojan-Downloader:W32/Renos.gen!Q
Sophos 4.49.0 2009.12.19 Mal/FakeAV-BZ
F-Prot 4.5.1.85 2009.12.19 W32/FraudPack!Generic

Nouveau fichier sshnas.dll :
c:\WINDOWS\system32\sshnas.dll
Date: 12/19/2009 2:16 PM
Size: 253 952 bytes
c:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
Date: 12/19/2009 2:16 PM
Size: 256 bytes
c:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
Date: 12/19/2009 2:16 PM
Size: 300 bytes

qui se charge via un service :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS "DisplayName"
Type: REG_SZ
Data: SSHNAS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS "ErrorControl"
Type: REG_DWORD
Data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS "ImagePath"
Type: REG_EXPAND_SZ
Data: %SystemRoot%\system32\svchost.exe -k netsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS "ObjectName"
Type: REG_SZ
Data: LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS "Start"
Type: REG_DWORD
Data: 02, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS "Type"
Type: REG_DWORD
Data: 20, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters "ServiceDll"
Type: REG_EXPAND_SZ
Data: C:\WINDOWS\system32\sshnas.dll
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS\Security "Security"
Type: REG_BINARY
Data: 01, 00, 14, 80, 90, 00, 00, 00, 9C, 00, 00, 00, 14, 00, 00, 00, 30, 00, 00, 00, 02, 00, 1C, 00, 01, 00, 00, 00, 02, 80, 14, 00, FF, 01, 0F, 00, 01, 01, 00, 00, 00, 00, 00, 01, 00, 00, 00, 00, 02, 00, 60, 00, 04, 00, 00, 00, 00, 00, 14, 00, FD, 01, 02, 00, 01, 01, 00, 00, 00, 00, 00, 05, 12, 00, 00, 00, 00, 00, 18, 00, FF, 01, 0F, 00, 01, 02, 00, 00, 00, 00, 00, 05, 20, 00, 00, 00, 20, 02, 00, 00, 00, 00, 14, 00, 8D, 01, 02, 00, 01, 01, 00, 00, 00, 00, 00, 05, 0B, 00, 00, 00, 00, 00, 18, 00, FD, 01, 02, 00, 01, 02, 00, 00, 00, 00, 00, 05, 20, 00, 00, 00, 23, 02, 00, 00, 01, 01, 00, 00, 00, 00, 00, 05, 12, 00, 00, 00, 01, 01, 00, 00, 00, 00, 00, 05, 12, 00, 00, 00
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86869
Inscription : 10 sept. 2005 13:57
Contact :

Re: msa.exe b.exe et msxml71.dll : Trojan.Renos/Trojan.FakeAlert

Message par Malekal_morte » 20 déc. 2009 00:41

Ajout d'une procédure pour supprimer l'infection : https://www.malekal.com/FakeAlert_FraudP ... as.dll.php
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86869
Inscription : 10 sept. 2005 13:57
Contact :

Re: msa.exe b.exe et msxml71.dll : Trojan.Renos/Trojan.FakeAlert

Message par Malekal_morte » 19 janv. 2010 22:40

sshnas.dll devient sshnas21.dll
Process:
Path: C:\Documents and Settings\Malekal_morte\Local Settings\Temp\Vsj.exe
PID: 248
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\SSHNAS\Parameters
Registry value: ServiceDll
Type: REG_EXPAND_SZ
Value: C:\WINDOWS\system32\sshnas21.dll
et apparition d'un fichier Temp\Vsl.exe :
O4 - HKCU\..\Run: [BMIMZMHMFM] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\Vsl.exe

Code : Tout sélectionner

1263940943.786   4278 192.168.1.26 TCP_MISS/200 115527 GET http://fastloadmedia.com/New-Video-Addon.45178.exe - DIRECT/96.9.179.85 application/x-msdownload
Trend Status : Unrated

MD5 : b3d11d88583c385669e8c28683aeac22
Date : 2010.01.19 20:31:54 (UTC)
Results : 6/41
Virus Names : Gen:Trojan.Heur.Renos.hyW@bisO8lp Gen:Trojan.Heur.Renos.hyW@bisO8lp Win32/Warduncrypt!packed
Permalink : http://www.virustotal.com/analisis/5003 ... 1263933114

The results for New-Video-Addon.45178.exe are :
GData 19 2010.01.19 Gen:Trojan.Heur.Renos.hyW@bisO8lp
Sunbelt 3.2.1858.2 2010.01.19 Trojan.Win32.FraudPack.gen.a (v)
Sophos 4.49.0 2010.01.19 Mal/Krap-I
BitDefender 7.2 2010.01.19 Gen:Trojan.Heur.Renos.hyW@bisO8lp
F-Secure 9.0.15370.0 2010.01.19 Gen:Trojan.Heur.Renos.hyW@bisO8lp
eTrust-Vet 35.2.7246 2010.01.19 Win32/Warduncrypt!packed
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86869
Inscription : 10 sept. 2005 13:57
Contact :

Re: msa.exe b.exe et msxml71.dll : Trojan.Renos/Trojan.FakeA

Message par Malekal_morte » 27 mars 2010 14:51

Un suivi de détection des droppers est dispo à cette adresse : dvdmediahelp-com-video-plugin-45047-exe ... ml#p200984
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86869
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Win32.Jorik.Skor / Trojan.Renos/Trojan.FakeAlert

Message par Malekal_morte » 03 avr. 2011 19:25

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86869
Inscription : 10 sept. 2005 13:57
Contact :

Re: Trojan.Win32.Jorik.Skor / Trojan.Renos/Trojan.FakeAlert

Message par Malekal_morte » 20 avr. 2011 18:59

Kaspersky publie un papier sur Artro botnet "The ‘Advertising’ Botnet" : http://www.securelist.com/en/analysis/2 ... ing_Botnet
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité