Malekal's forum

de **Malekal_morte** » 09 Mai 2007 15:08

Infection du moment...
Celle-ci installe beaucoup de trojans et de rootkits.

Dans la mesure du possible le formatage est conseillé.

Sinon, il est donc conseillé très vivement avant de commencer la désinfection, de faire sauvegarde les dossiers de la partition C. Selon comment.. (surtout si les fichiers légitimes Windows sont patchés) Windows peut planter et ne plus booter.

Quelques infos ici : http://www.malekal.com/Win32.Packed.Tibs.R.php
En plus de celle-ci dessous.

A la base, elle installait Bravesentry.. mais cela ne semble peut-être trop le cas (à confirmer), on l'a reconnaissait facilement grace cette ligne :
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\updater.exe 61A847B5BBF72810329B385576F901F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
Adware:Adware/Borlander Not disinfected F:\WINDOWS\updater.exe
Adware:Adware/Borlander Not disinfected F:\WINDOWS\updater.exe.tmp

On se fait une rootkit party ?
L'infection peut patcher des fichiers légitimes.. à savoir ndis.sys / tcpip.sys et Winlogon.
!!Tous les rootkits ne sont pas forcemment présents !!
regardez bien les dates des fichiers pour voir s'ils ont été patchés/ajoutés

C'est parti :
C:\WINDOWS\system32\windev-xxxy-xxy.sys - où x sont des chiffres et y des lettres.
ex :
C:\WINDOWS\system32\windev-peers.ini
C:\WINDOWS\system32\windev-784b-489a.sys
C:\WINDOWS\system32\windev-peers.ini
Nom : Win32.Packed.Tibs.R / Win32.Email-Worm.Zhelatin.CX
URL : http://secubox.aldria.com/topic-1165.html
accompagné de C:\WINDOWS\system32\3ti.exe détecté en Trojan.Peed.MF / Win32/Nuwar.Gen

C:\WINDOWS\system32\koos.exe
\??\WINDOWS\system32\poof[i]
Service associété : poof ou kprof
accompagné de :
C:\WINDOWS\system32\update45864519.exe - détecté en Proxy.Wopla.ag / Trojan.Agent.aiw
C:\WINDOWS\system32\update23209606.exe - détecté en Proxy.Wopla.ag / Trojan.Agent.aiw
C:\WINDOWS\system32\update58956977.exe - détecté en Proxy.Wopla.ag / Trojan.Agent.aiw
Nom : Trojan.Wopla
URL : http://www.geocities.jp/kiskzo/poof.html

\??\C:\WINDOWS\system32\wincom32.sys
C:\WINDOWS\system32\wincom32.ini
Service associé : wincom32
C:\WINDOWS\system32\wincom32.sys -> Dropper.Agent.bbv / Trojan.Peed.KV / Trojan.Peacom / Rootkit.Agent.dh
NOTE : lui on le retrouve un peu partout.. pas forcemment dans cette infection.

\??\C:\WINDOWS\system32\main.sys
Service associété : EXAMPLE
Nom : Rootkit/NTRootkit.AI Spy-Agent.bv.dr (McAfee), Cutwail C (CA Antispyware), Trojan.Pandex (Symantec), W32/Trojan.YKL / (F-Secure), Trojan.Win32.Agent.ady (Kaspersky)
URL : http://www.geocities.jp/kiskzo/main.sys.html & http://www.ca.com/us/securityadvisor/virus...s.aspx?id=62128

Note celui-ci peut modifier le fichier winlogon.exe : Win32/PEPatch.U / Win32/Cutwail.B
Il est accompagné de : C:\Windows\system32\wsys.dll
ainsi que l'ADS : %windir%\System32\ws2_32.dll:fork2 détecté en Trojan.Win32.Pakes

\??\C:\WINDOWS\system32\ksys.sys
Service associé : NDnet1
Nom : Rootkit.Win32.Agent.eb

<Windows>\system32\drivers\ip6fw.sys
ou : <Windows>\system32\drivers\netdtect.sys
Nom : RKIT/Agent.DQ.31.A / Rootkit.Win32.Agent.dp
URL : http://www.geocities.jp/kiskzo/ip6fw.sys.html

\??\C:\WINDOWS\System32\drivers\runtime.sys
Service associété : Runtime ou Restore
Nom :
* Rootkit.Win32.Agent.dp
* Win32/Rootkit.Agent.NAZ
* Troj/Pushu-A (Sophos) : http://www.sophos.fr/security/analyses/trojpushua.html
URL : http://www.geocities.jp/kiskzo/runtime.sys.html

\??\C:\WINDOWS\System32\drivers\runtime2.sys
Nom : Rootkit.Agent.ey

\??\C:\ntldr.sys
Service associé : ntldr.sys
Nom : Trojan.DownLoader.13290

NDIS.SYS - ATTENTION - Il peut faire planter Windows !!!!
SpamTool.Win32.Agent.u c:\windows\system32\drivers\ndis.sys
créé les fichiers (donc facilement identifiable) :
C:\cp1037.nls Infecté : SpamTool.Win32.Agent.u
C:\cp1041.nls Infecté : SpamTool.Win32.Agent.u
C:\cp1106.nls Infecté : SpamTool.Win32.Agent.u ignoré
URL : http://www.malekal.com//SpamTool.Win32.Agent.u.php

ATTENTION : il peut causer des écrans bleus et plantages
DRIVER_IRQ_NOT_LESS_OR_EQUAL
Avec en bas :
NDSIS.SYS - ADRESS F91F8244 base at F91DC000, DATESTAMP 41107ec3
NDSIS.SYS - ADRESS F91CD556 base at F91DC000, DATESTAMP 41107ec3
et surtout empécher Windows de démarrer.

Les fichiers que vous pouvez rencontrez :
Email-Worm.Win32.Zhelatin.ct / MemScan:Trojan.Peed.LZ / Packed.Win32.Tibs.r / Worm:Win32/Nuwar.gen :
Toujours par deux, ils vont... un .exe.exe et .exe
C:\WINDOWS\System32\sony.exe.exe
C:\WINDOWS\System32\mmn.exe.exe
C:\WINDOWS\System32\pdp.exe.exe
C:\WINDOWS\SYSTEM32\inst.exe.exe
C:\WINDOWS\SYSTEM32\zup.exe.exe
C:\WINDOWS\System32\sony.exe.exe
C:\WINDOWS\system32\zup.exe.exe
donc en double avec un .exe en moins!

du côté de Winsock
O10 - Unknown file in Winsock LSP: c:\windows\system32\aim.dll --> Trojan.Vqten / Trojan.Win32.Agent.afg --> http://forum.zebulon.fr/index.php?showtopi...mp;#entry984039
O10 - Unknown file in Winsock LSP: c:\windows\system32\winhealer.dll --> Backdoor.Win32.Agent.alp --> http://research.sunbelt-software.com/threa...threatid=128016
O10 - Unknown file in Winsock LSP: c:\windows\system32\msnetax.dll --> Trojan.Win32.Agent.afg --> http://www.castlecops.com/lsp-246.html
O10 - Unknown file in Winsock LSP: abcdefgh.dll -> Trojan.SexSearch --> http://www.castlecops.com/lsp-259.html

Adware:Adware/Adsmart / GenPack:Trojan.Peed.GZ / Virus:Trj/Gagar.DN :
C:\WINDOWS\system32\dlh9jkd1q1.exe Infected: Trojan-Downloader.Win32.Small.cxx skipped
C:\WINDOWS\system32\dlh9jkd1q5.exe Infected: Email-Worm.Win32.Zhelatin.bw skipped
C:\WINDOWS\system32\dlh9jkd1q6.exe Infected: Packed.Win32.Tibs.aa skipped
C:\WINDOWS\system32\dlh9jkd1q7.exe Infected: Packed.Win32.Tibs.aa skipped
C:\WINDOWS\system32\vexg3am1et3.exe
C:\WINDOWS\system32\vexg4am1et2.exe
C:\WINDOWS\system32\vexga3me2.exe
C:\WINDOWS\system32\vexga4me1.exe
C:\WINDOWS\system32\vexga5me3.exe
C:\WINDOWS\system32\temp\v3x1.g22me - Trojan-Proxy.Win32.Xorpix.ba
C:\WINDOWS\system32\temp\v4x3.ga2me - Trojan-Downloader.Win32.Agent.bls
C:\WINDOWS\system32\temp\v4x6.gam5e - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\temp\v5x2.g3ame - Trojan-Downloader.Win32.Small.erg
C:\WINDOWS\system32\temp\v5x4.ga2me - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\temp\v6xt4.game - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\vexg4am1et2.exe - Packed.Win32.Tibs.y
C:\WINDOWS\system32\vexg6ame4.exe - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\vexga1me4t1.exe - Email-Worm.Win32.Zhelatin.ee
C:\WINDOWS\system32\vexga3me2.exe - Trojan-Downloader.Win32.Small.erg
C:\WINDOWS\system32\vexga4m1et4.exe - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\vexga4me1.exe - Trojan-Proxy.Win32.Xorpix.ba
C:\WINDOWS\system32\vexga5me3.exe - Trojan-Downloader.Win32.Agent.bls
C:\WINDOWS\system32\vexga8me6.exe - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\stdrun1.exe - Trojan-Clicker.Win32.Small.cf
C:\WINDOWS\system32\stdrun10.exe - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\stdrun3.exe - not-virus:Hoax.Win32.Renos.hn
C:\WINDOWS\system32\stdrun5.exe - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\stdrun6.exe - not-virus:Hoax.Win32.Renos.hn
C:\WINDOWS\system32\stdrun7.exe - Trojan.Win32.Agent.qt
C:\WINDOWS\system32\stdrun8.exe - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\stdrun9.exe - Trojan.Win32.Agent.qt[/i]

Les fichiers que vous pouvez peut-être rencontrez :
NBe sont pas forcemment présents.
C:\WINDOWS\system32\wsys.dll - Starr[McAfee], Application/Starr.A[Panda] - ATTENTION c'est un keylogger : http://www.ca.com/us/securityadvisor/pest/pest.aspx?id=61805
C:\WINDOWS\System32\xdnvqmxa.exe
c:\svhost.exe - not-virus:Hoax.Win32.Renos.fi
c:\tskmgr.exe - Trojan-Downloader.Win32.Small.dxm
c:\adptifz.exe - Backdoor.Win32.Rbot.ciu
c:\svhost.exe - not-virus:Hoax.Win32.Renos.fi
c:\tskmgr.exe - Trojan-Downloader.Win32.Small.dxm
C:\windows\temp\a.exe - Trojan-Spy.Win32.Goldun.os
C:\Windows\system32\drivers\uzcx.exe - Trojan-Downloader.Win32.Agent.bfw
c:\windows\system32\mst1.tmp - Trojan.Win32.Agent.qt
C:\WINDOWS\system32\winlog.exe - Trojan-Downloader.Win32.Small.eqn
C:\WINDOWS\system32\sys2f.dll - Trojan-Proxy.Win32.Xorpix.ba
C:\WINDOWS\temp\retadpu58.exe - Trojan-Downloader.Win32.Agent.bls
C:\WINDOWS\system32\spoolsvv.exe - Packed.Win32.Tibs.aa[/b]
C:\WINDOWS\temp\startdrv.exe - Trojan-Dropper.Win32.Agent.bie
C:\WINDOWS\system32\ipv6mons.dll - Packed.Win32.Morphine.a[/b]
C:\WINDOWS\system32\ldcore.dll - Trojan-Downloader.Win32.Small.dxm
C:\WINDOWS\system32\winlog.exe - Trojan-Downloader.Win32.Small.eqn
C:\WINDOWS\system32\xpupdate.exe - not-virus:Hoax.Win32.Renos.fi
C:\WINDOWS\sysrlb32.exe -> Trojan.Small
C:\WINDOWS\system32\pnzbeugi.exe
C:\WINDOWS\system32\xdnvqmxa.exe
C:\WINDOWS\system32\3ti.exe - packed.tibs
C:\WINDOWS\System32\rsvp32_2.dll - Email-Worm.Win32.Zhelatin.ch skipped
C:\WINDOWS\System32\svcp.csv
C:\WINDOWS\System32\rsvp32_2.dll435
C:\WINDOWS\System32\totour.exe - Win32.Agent-ERY ou AFG ou ADY
C:\WINDOWS\System32\mmn.exe
C:\WINDOWS\d3db32.dll
F:\WINDOWS\system32\svehost.exe - Virus:Trj/Downloader.OAM
C:\WINDOWS\system32\2_exception.nls
C:\WINDOWS\system32\zys.dll - Trojan.Vqten.A
C:\WINDOWS\system32\wtv.dll - Trojan.Vqten.A
C:\WINDOWS\system32\zys.dll - Trojan.Vqten.A
C:\WINDOWS\system32\v.dll - Trojan.Vqten.A
C:\WINDOWS\system\msnntlp.exe - W32/Tilebot-JI --> http://www.sophos.com/security/analyses/w32tilebotji.html
C:\Documents and Settings\Usuario\Local Settings\Temp\71.tmp - Email-Worm.Win32.Zhelatin.dp
C:\Documents and Settings\Usuario\Local Settings\Temp\73.tmp - Email-Worm.Win32.Zhelatin.dp
C:\Documents and Settings\Usuario\Local Settings\Temp\7B.tmp - SpamTool.Win32.Agent.u
C:\Documents and Settings\Usuario\Local Settings\Temp\7C.tmp - SpamTool.Win32.Agent.u
C:\documents and settings\<user\Locals Settings\temp\maindll.dll - Trojan.Win32.Agent.pk
C:\WINDOWS\b122.exe - MaxFiles / Adware.Softomate
O2 - BHO: H - {5142FE17-20E6-4121-A925-A4C6385CDDAA} - c:\windows\system32\rem.dll - Trojan.Spy.Banker.Cnq / Trojan.Bancos-4327 / Trojan-Spy.Win32.Banker.cnq[/]
avp.exe - W32/Rbot-GCV
uzcvx.exe
abc5026def.exe [b]Trojan-Downloader.Win32.Alphabet.b / BehavesLike:Win32.AV-Killer
syn16.exe
509234.exe
abc5019def.exe
alerter_snow.exe TR/Crypt.ULPM.Gen / Trojan.Peed.Gen /
drv.sys [b] TR/Renos.5120 / Hoax.Renos.hr / Trojan.FakeAlert
kernels32.exe
syshost.exe
543031.exe
avp.exe
~.exe Win-Trojan/Nurech.7393 / Win-Trojan/Nurech.7393 / Trojan.DownLoader.22380/ W32/DLoader.CUUR
klikalka.exe
mo.com
ksys.sys
syn16.exe
xpupdate.exe
Win32:Small-ELP Win32:Small-ELP / Backdoor.Small.nz / BackDoor.Generic6.XWJ

c:\windows\smss.exe
c:\windows\lsass.exe - Trojan.Win32.Starter.z
c:\windows\winlongon.exe <--- méga bien détecté... je crois même Avast! le détecte.. c'est pour dire
C:\WINNT\msvbs32.dll
C:\WINNT\pc.exe - Trojan-PWS.Win32.Lmir.AOE
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat - Trojan.Crypt.XPACK.Gen ---> http://www.malekal.com/Trojan.Crypt.XPA ... 00.dat.php

C:\WINDOWS\system32\rpcc.exe - Win32.Trojan-Proxy.Dlena.CE / TR/Proxy.Dlena.AT
C:\WINDOWS\system32\rpcc.dll - Win32.Trojan-Proxy.Dlena.CE / TR/Proxy.Dlena.AT
--> http://www.malekal.com/Trojan-Proxy.Win32.Dlena.cb_Backdoor.Win32.Bifrose.aat.php

Combofix & SDfix gère une bonne partie de ces fichiers :
Combofix en action :
http://forums.spywareinfo.com/lofiversion/...php/t97765.html
SDFix en action :
http://forums.spywareinfo.com/lofiversion/...php/t98572.html
http://www2.malekal.com/download/SDfix.png

de **Malekal_morte** » 12 Mai 2007 19:30

Je rajoute ces trois fichiers dans la liste qui sont relativements nouveaux :

Je rajoute ces fichiers dans la liste qui sont relativements nouveaux :
c:\windows\smss.exe
c:\windows\lsass.exe - Trojan.Win32.Starter.z
c:\windows\winlongon.exe <--- méga bien détecté... je crois même Avast! le détecte.. c'est pour dire
C:\WINNT\msvbs32.dll
C:\WINNT\pc.exe - Trojan-PWS.Win32.Lmir.AOE
O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat - Trojan.Crypt.XPACK.Gen ---> http://www.malekal.com/Trojan.Crypt.XPA ... 00.dat.php

Combofix les supprime !

Voir au 9/05 : http://research.sunbelt-software.com/threa...threatid=127893

Un exemple d'infection : http://forums.spywareinfo.com/index.php?sh...=97286&st=0

Complete scanning result of "pc.exe", received in VirusTotal at 05.12.2007, 16:54:28 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.10.0 05.11.2007 no virus found
AntiVir 7.4.0.15 05.12.2007 no virus found
Authentium 4.93.8 05.11.2007 no virus found
Avast 4.7.997.0 05.11.2007 no virus found
AVG 7.5.0.467 05.11.2007 no virus found
BitDefender 7.2 05.12.2007 no virus found
CAT-QuickHeal 9.00 05.12.2007 no virus found
ClamAV devel-20070416 05.12.2007 no virus found
DrWeb 4.33 05.12.2007 no virus found
eSafe 7.0.15.0 05.10.2007 no virus found
eTrust-Vet 30.7.3628 05.11.2007 no virus found
Ewido 4.0 05.12.2007 no virus found
FileAdvisor 1 05.12.2007 No threat detected
Fortinet 2.85.0.0 05.12.2007 no virus found
F-Prot 4.3.2.48 05.11.2007 no virus found
F-Secure 6.70.13030.0 05.11.2007 no virus found
Ikarus T3.1.1.7 05.12.2007 Trojan-PWS.Win32.Lmir.AOE
Kaspersky 4.0.2.24 05.12.2007 no virus found
McAfee 5029 05.11.2007 no virus found
Microsoft 1.2503 05.12.2007 no virus found
NOD32v2 2262 05.12.2007 no virus found
Norman 5.80.02 05.11.2007 no virus found
Panda 9.0.0.4 05.12.2007 Suspicious file
Prevx1 V2 05.12.2007 no virus found
Sophos 4.17.0 05.11.2007 no virus found
Sunbelt 2.2.907.0 05.12.2007 Trojan-PWS.Win32.Lmir.AOE
Symantec 10 05.12.2007 no virus found
TheHacker 6.1.6.114 05.12.2007 no virus found
VBA32 3.12.0 05.11.2007 no virus found
VirusBuster 4.3.7:9 05.11.2007 no virus found
Webwasher-Gateway 6.0.1 05.12.2007 Riskware.Tool.ProcKill.B

Complete scanning result of "lsass.exe", received in VirusTotal at 05.12.2007, 17:03:45 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.10.0 05.11.2007 Win-Trojan/Starter.45568
AntiVir 7.4.0.15 05.12.2007 TR/Starter.Z.1
Authentium 4.93.8 05.11.2007 no virus found
Avast 4.7.997.0 05.11.2007 no virus found
AVG 7.5.0.467 05.11.2007 no virus found
BitDefender 7.2 05.12.2007 no virus found
CAT-QuickHeal 9.00 05.12.2007 no virus found
ClamAV devel-20070416 05.12.2007 no virus found
DrWeb 4.33 05.12.2007 Trojan.Starter.167
eSafe 7.0.15.0 05.10.2007 no virus found
eTrust-Vet 30.7.3628 05.11.2007 no virus found
Ewido 4.0 05.12.2007 Trojan.Starter.z
FileAdvisor 1 05.12.2007 no virus found
Fortinet 2.85.0.0 05.12.2007 no virus found
F-Prot 4.3.2.48 05.12.2007 no virus found
F-Secure 6.70.13030.0 05.11.2007 Trojan.Win32.Starter.z
Ikarus T3.1.1.7 05.12.2007 Trojan.Win32.Starter.z
Kaspersky 4.0.2.24 05.12.2007 Trojan.Win32.Starter.z
McAfee 5029 05.11.2007 no virus found
Microsoft 1.2503 05.12.2007 no virus found
NOD32v2 2262 05.12.2007 no virus found
Norman 5.80.02 05.11.2007 no virus found
Panda 9.0.0.4 05.12.2007 no virus found
Prevx1 V2 05.12.2007 Trojan.SystemPoser
Sophos 4.17.0 05.11.2007 no virus found
Sunbelt 2.2.907.0 05.12.2007 Trojan-PWS.Win32.Lmir.AOE
Symantec 10 05.12.2007 no virus found
TheHacker 6.1.6.114 05.12.2007 no virus found
VBA32 3.12.0 05.11.2007 Trojan.Win32.Starter.z
VirusBuster 4.3.7:9 05.11.2007 Trojan.Starter.AJ
Webwasher-Gateway 6.0.1 05.12.2007 Trojan.Starter.Z.1

Aditional Information
File size: 45568 bytes
MD5: f7903b227fa3668edd19f2821cc1ec6e
SHA1: dbdd807f0563b0aff94c172d052aea067ea20f86
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=e18f69232219

de **Malekal_morte** » 24 Mai 2007 20:30

Quelques nouveaux fichiers :
O2 - BHO: H - {5142FE17-20E6-4121-A925-A4C6385CDDAA} - c:\windows\system32\rem.dll - Trojan.Spy.Banker.Cnq / Trojan.Bancos-4327 / Trojan-Spy.Win32.Banker.cnq[/]
avp.exe - W32/Rbot-GCV
uzcvx.exe
abc5026def.exe [b]Trojan-Downloader.Win32.Alphabet.b / BehavesLike:Win32.AV-Killer
syn16.exe
509234.exe
abc5019def.exe
alerter_snow.exe TR/Crypt.ULPM.Gen / Trojan.Peed.Gen /
drv.sys [b] TR/Renos.5120 / Hoax.Renos.hr / Trojan.FakeAlert
kernels32.exe
syshost.exe
543031.exe
avp.exe
~.exe Win-Trojan/Nurech.7393 / Win-Trojan/Nurech.7393 / Trojan.DownLoader.22380/ W32/DLoader.CUUR
klikalka.exe
mo.com
syn16.exe
xpupdate.exe
Win32:Small-ELP Win32:Small-ELP / Backdoor.Small.nz / BackDoor.Generic6.XWJ

de **Malekal_morte** » 25 Mai 2007 13:37

Ajout/Modifications de la liste avec :

c:\svhost.exe - not-virus:Hoax.Win32.Renos.fi
c:\tskmgr.exe - Trojan-Downloader.Win32.Small.dxm
c:\adptifz.exe - Backdoor.Win32.Rbot.ciu
c:\svhost.exe - not-virus:Hoax.Win32.Renos.fi
c:\tskmgr.exe - Trojan-Downloader.Win32.Small.dxm
C:\windows\temp\a.exe - Trojan-Spy.Win32.Goldun.os
C:\Windows\system32\drivers\uzcx.exe - Trojan-Downloader.Win32.Agent.bfw
c:\windows\system32\mst1.tmp - Trojan.Win32.Agent.qt
C:\WINDOWS\system32\winlog.exe - Trojan-Downloader.Win32.Small.eqn
C:\WINDOWS\system32\sys2f.dll - Trojan-Proxy.Win32.Xorpix.ba
C:\WINDOWS\temp\retadpu58.exe - Trojan-Downloader.Win32.Agent.bls
C:\WINDOWS\system32\spoolsvv.exe - Packed.Win32.Tibs.aa
C:\WINDOWS\temp\startdrv.exe - Trojan-Dropper.Win32.Agent.bie
C:\WINDOWS\system32\ipv6mons.dll - Packed.Win32.Morphine.a
C:\WINDOWS\system32\ldcore.dll - Trojan-Downloader.Win32.Small.dxm
C:\WINDOWS\system32\winlog.exe - Trojan-Downloader.Win32.Small.eqn
C:\WINDOWS\system32\xpupdate.exe - not-virus:Hoax.Win32.Renos.fi

C:\WINDOWS\system32\dlh9jkd1q1.exe - Trojan-Downloader.Win32.Small.cxx
C:\WINDOWS\system32\dlh9jkd1q5.exe - Email-Worm.Win32.Zhelatin.bw
C:\WINDOWS\system32\dlh9jkd1q6.exe - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\dlh9jkd1q7.exe - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\vexg3am1et3.exe
C:\WINDOWS\system32\vexg4am1et2.exe
C:\WINDOWS\system32\vexga3me2.exe
C:\WINDOWS\system32\vexga4me1.exe
C:\WINDOWS\system32\vexga5me3.exe
C:\WINDOWS\system32\temp\v3x1.g22me - Trojan-Proxy.Win32.Xorpix.ba
C:\WINDOWS\system32\temp\v4x3.ga2me - Trojan-Downloader.Win32.Agent.bls
C:\WINDOWS\system32\temp\v4x6.gam5e - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\temp\v5x2.g3ame - Trojan-Downloader.Win32.Small.erg
C:\WINDOWS\system32\temp\v5x4.ga2me - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\temp\v6xt4.game - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\vexg4am1et2.exe - Packed.Win32.Tibs.y
C:\WINDOWS\system32\vexg6ame4.exe - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\vexga1me4t1.exe - Email-Worm.Win32.Zhelatin.ee
C:\WINDOWS\system32\vexga3me2.exe - Trojan-Downloader.Win32.Small.erg
C:\WINDOWS\system32\vexga4m1et4.exe - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\vexga4me1.exe - Trojan-Proxy.Win32.Xorpix.ba
C:\WINDOWS\system32\vexga5me3.exe - Trojan-Downloader.Win32.Agent.bls
C:\WINDOWS\system32\vexga8me6.exe - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\stdrun1.exe - Trojan-Clicker.Win32.Small.cf
C:\WINDOWS\system32\stdrun10.exe - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\stdrun3.exe - not-virus:Hoax.Win32.Renos.hn
C:\WINDOWS\system32\stdrun5.exe - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\stdrun6.exe - not-virus:Hoax.Win32.Renos.hn
C:\WINDOWS\system32\stdrun7.exe - Trojan.Win32.Agent.qt
C:\WINDOWS\system32\stdrun8.exe - Packed.Win32.Tibs.aa
C:\WINDOWS\system32\stdrun9.exe - Trojan.Win32.Agent.qt

Ajout du rootkit :
C:\Windows\system32\drivers\runtime2.sys - Rootkit.Agent.ey

STATUS: FINISHEDComplete scanning result of "runtime2.sys", received in VirusTotal at 05.25.2007, 13:29:18 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.24.0 05.25.2007 no virus found
AntiVir 7.4.0.27 05.25.2007 RKit/Agent.EY.7
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 05.24.2007 Win32:Small-EPJ
AVG 7.5.0.467 05.24.2007 BackDoor.Generic6.WTK
BitDefender 7.2 05.25.2007 no virus found
CAT-QuickHeal 9.00 05.24.2007 Rootkit.Agent.ey
ClamAV devel-20070416 05.25.2007 no virus found
DrWeb 4.33 05.25.2007 BackDoor.Bulknet
eSafe 7.0.15.0 05.24.2007 no virus found
eTrust-Vet 30.7.3663 05.25.2007 no virus found
Ewido 4.0 05.25.2007 Rootkit.Agent.ey
FileAdvisor 1 05.25.2007 no virus found
Fortinet 2.85.0.0 05.25.2007 W32/Agent.EY!tr.rkit
F-Prot 4.3.2.48 05.24.2007 no virus found
F-Secure 6.70.13030.0 05.25.2007 Rootkit.Win32.Agent.ey
Ikarus T3.1.1.8 05.25.2007 Rootkit.Win32.Agent.ey
Kaspersky 4.0.2.24 05.25.2007 Rootkit.Win32.Agent.ey
McAfee 5038 05.24.2007 New Malware.z
Microsoft 1.2503 05.24.2007 no virus found
NOD32v2 2291 05.25.2007 Win32/Rootkit.Agent.EY
Norman 5.80.02 05.24.2007 W32/Rootkit.ADN
Panda 9.0.0.4 05.25.2007 no virus found
Prevx1 V2 05.25.2007 no virus found
Sophos 4.17.0 05.23.2007 no virus found
Sunbelt 2.2.907.0 05.24.2007 no virus found
Symantec 10 05.25.2007 no virus found
TheHacker 6.1.6.123 05.25.2007 Trojan/Agent.ey
VBA32 3.12.0 05.25.2007 Rootkit.Win32.Agent.ey
VirusBuster 4.3.23:9 05.24.2007 no virus found
Webwasher-Gateway 6.0.1 05.25.2007 Rootkit.Agent.EY.7

Aditional Information
File size: 39296 bytes
MD5: 00ce41678b24a989dc23e7e020447d33
SHA1: 4c19417e56b3dc3383d9e37ce6c2980cd49463e3

Malekal's forum

Win32.Packed.Tibs / Win32.Email-Worm.Zhelatin

Win32.Packed.Tibs / Win32.Email-Worm.Zhelatin

Qui est en ligne