Alias Trojan.Botnetlog.x chez Dr.Web
Ceci n'est pas une nouvelle infection puisque déjà présente depuis quelques mois.
Par exemple en décembre : http://forum.malekal.com/viewtopic.php? ... 26#p124397
Néanmoins, cette semaine beaucoup de variantes sont présentes en téléchargement depuis des exploits sur site WEB, comme en témoigne ces liens depuis 1 semaine :
http://forum.malekal.com/viewtopic.php?f=62&t=17204
http://forum.malekal.com/viewtopic.php?f=62&t=17184
http://forum.malekal.com/viewtopic.php?f=62&t=17174
http://forum.malekal.com/viewtopic.php?f=62&t=17172
http://forum.malekal.com/viewtopic.php?f=62&t=17150
http://forum.malekal.com/viewtopic.php?f=62&t=17013
Créé les fichiers suivants sur le système :
%System%\digeste.dll (le légitime est digest.dll sans le "e")
%Windir%\wiaserviv.log
La taille de digeste.dll varie entre ~ 24k à ~26k (voir les tailles dans les liens précédents)
Pour charger digeste.dll, le registre Windows est modifié comme suit :
Le trojan se connecte ensuite à une adresse WEB pour recevoir les "ordres".o [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SecurityProviders]
+ SecurityProviders = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, digeste.dll"
o [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders]
+ SecurityProviders = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, digeste.dll"
Si vous êtes infecté, suivez la Procédure de désinfection des Trojans/Backdoor