Un autre faux codec qui installe une infection le Trojan Kibik.
Toujours le même principe, une erreur s'affiche signalant que la vidéo ne peut être visualisée.
Vous devez installer un codec pour pouvoir visualiser la vidéo.
Cette fois, c'est un fichier ok.exe qui est proposé en téléchargement et non un nom de fichier avec le mot codec comme on a d'habitude.
L'infection ajoute deux DLL Msip32.dll & FaxMessage.dll
mais surtout remplace le fichier légitime Winlogon.exe par une version infectée.
La date du fichier Winlogon.exe change.
Beaucoup de différences dans cette infection par rapport à ce que l'on retrouve tradionnellement dans les infections issues de faux codecs.
Les sites proposant de faux codec continuant eux à propager les infections "habituelles". On peut spéculer sur la réutilisation du principe d'infection par faux codecs par un autre groupe (chinois?) pour propager l'infection ?
Scan des fichiers :
Fichier ok.exe reçu le 2008.01.04 12:02:27 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 9/32 (28.13%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.4.11 2008.01.04 -
AntiVir 7.6.0.46 2008.01.03 -
Authentium 4.93.8 2008.01.04 -
Avast 4.7.1098.0 2008.01.03 -
AVG 7.5.0.516 2008.01.03 -
BitDefender 7.2 2008.01.04 -
CAT-QuickHeal 9.00 2008.01.03 (Suspicious) - DNAScan
ClamAV 0.91.2 2008.01.04 -
DrWeb 4.44.0.09170 2008.01.03 -
eSafe 7.0.15.0 2008.01.03 -
eTrust-Vet 31.3.5430 2008.01.04 -
Ewido 4.0 2008.01.03 -
FileAdvisor 1 2008.01.04 -
Fortinet 3.14.0.0 2008.01.04 W32/Kibik!tr
F-Prot 4.4.2.54 2008.01.04 W32/Hupigon.G.gen!Eldorado
F-Secure 6.70.13030.0 2008.01.04 W32/Malware.BKJJ
Ikarus T3.1.1.15 2008.01.04 -
Kaspersky 7.0.0.125 2008.01.04 -
McAfee 5199 2008.01.03 W32/Kibik.dr
Microsoft 1.3109 2008.01.04 -
NOD32v2 2765 2008.01.04 -
Norman 5.80.02 2008.01.03 W32/Malware.BKJJ
Panda 9.0.0.4 2008.01.03 Suspicious file
Prevx1 V2 2008.01.04 -
Rising 20.25.42.00 2008.01.04 -
Sophos 4.24.0 2008.01.04 -
Sunbelt 2.2.907.0 2008.01.04 VIPRE.Suspicious
Symantec 10 2008.01.04 -
TheHacker 6.2.9.180 2008.01.04 -
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.03 -
Webwasher-Gateway 6.6.2 2008.01.04 Win32.Malware.gen (suspicious)
Information additionnelle
File size: 410112 bytes
MD5: 772352e4c82af8bba4d65d3a71c8db88
SHA1: fbfaf1433a94dbcb58562a4744a41c16f2b1d3d6
PEiD: ASProtect v1.23 RC1
packers: PE_Patch
Fichier Winlogon.exe reçu le 2008.01.04 11:59:08 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 2/32 (6.25%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.4.11 2008.01.04 -
AntiVir 7.6.0.46 2008.01.03 -
Authentium 4.93.8 2008.01.04 -
Avast 4.7.1098.0 2008.01.03 -
AVG 7.5.0.516 2008.01.03 -
BitDefender 7.2 2008.01.04 -
CAT-QuickHeal 9.00 2008.01.03 -
ClamAV 0.91.2 2008.01.04 -
DrWeb 4.44.0.09170 2008.01.03 -
eSafe 7.0.15.0 2008.01.03 -
eTrust-Vet 31.3.5430 2008.01.04 -
Ewido 4.0 2008.01.03 -
FileAdvisor 1 2008.01.04 -
Fortinet 3.14.0.0 2008.01.04 -
F-Prot 4.4.2.54 2008.01.04 -
F-Secure 6.70.13030.0 2008.01.04 -
Ikarus T3.1.1.15 2008.01.04 -
Kaspersky 7.0.0.125 2008.01.04 -
McAfee 5199 2008.01.03 W32/Kibik.b
Microsoft 1.3109 2008.01.04 -
NOD32v2 2764 2008.01.03 -
Norman 5.80.02 2008.01.03 -
Panda 9.0.0.4 2008.01.03 -
Prevx1 V2 2008.01.04 -
Rising 20.25.42.00 2008.01.04 -
Sophos 4.24.0 2008.01.04 -
Sunbelt 2.2.907.0 2008.01.04 -
Symantec 10 2008.01.04 -
TheHacker 6.2.9.180 2008.01.04 -
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.03 -
Webwasher-Gateway 6.6.2 2008.01.04 Trojan.Keylogger.Win32.Malware.gen (suspicious)
Information additionnelle
File size: 502272 bytes
MD5: bce5cae2d37b36ca92f83b85ecf0154c
SHA1: 667688644031f311a2ef50edece485b3cc8a9092
Fichier Msip32.dll reçu le 2008.01.04 11:59:12 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 9/32 (28.13%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.4.11 2008.01.04 -
AntiVir 7.6.0.46 2008.01.03 BDS/RCServ.N.1
Authentium 4.93.8 2008.01.04 -
Avast 4.7.1098.0 2008.01.03 -
AVG 7.5.0.516 2008.01.03 Potentially harmful program HackTool.DEI
BitDefender 7.2 2008.01.04 -
CAT-QuickHeal 9.00 2008.01.03 Backdoor.RCServ.n
ClamAV 0.91.2 2008.01.04 -
DrWeb 4.44.0.09170 2008.01.03 -
eSafe 7.0.15.0 2008.01.03 -
eTrust-Vet 31.3.5430 2008.01.04 -
Ewido 4.0 2008.01.03 -
FileAdvisor 1 2008.01.04 -
Fortinet 3.14.0.0 2008.01.04 W32/Kibik.N!tr.bdr
F-Prot 4.4.2.54 2008.01.04 -
F-Secure 6.70.13030.0 2008.01.04 Backdoor.Win32.RCServ.n
Ikarus T3.1.1.15 2008.01.04 Backdoor.Win32.RCServ.n
Kaspersky 7.0.0.125 2008.01.04 Backdoor.Win32.RCServ.n
McAfee 5199 2008.01.03 W32/Kibik.dll
Microsoft 1.3109 2008.01.04 -
NOD32v2 2764 2008.01.03 -
Norman 5.80.02 2008.01.03 -
Panda 9.0.0.4 2008.01.03 -
Prevx1 V2 2008.01.04 -
Rising 20.25.42.00 2008.01.04 -
Sophos 4.24.0 2008.01.04 -
Sunbelt 2.2.907.0 2008.01.04 -
Symantec 10 2008.01.04 -
TheHacker 6.2.9.180 2008.01.04 -
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.03 -
Webwasher-Gateway 6.6.2 2008.01.04 Trojan.Backdoor.RCServ.N.1
Information additionnelle
File size: 99840 bytes
MD5: 16fc60b3b19b4d99c182b5e5ca8e4992
SHA1: 5a70b6886f624b49d6ac5c061b4a22ff351b1cb0
PEiD: ASPack v2.12 -> Alexey Solodovnikov
packers: Aspack
Fichier FaxMessage.dll reçu le 2008.01.04 11:59:25 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 7/32 (21.88%)
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.4.11 2008.01.04 -
AntiVir 7.6.0.46 2008.01.03 HEUR/Crypted
Authentium 4.93.8 2008.01.04 -
Avast 4.7.1098.0 2008.01.03 -
AVG 7.5.0.516 2008.01.03 -
BitDefender 7.2 2008.01.04 -
CAT-QuickHeal 9.00 2008.01.03 -
ClamAV 0.91.2 2008.01.04 -
DrWeb 4.44.0.09170 2008.01.03 DLOADER.Trojan
eSafe 7.0.15.0 2008.01.03 -
eTrust-Vet 31.3.5430 2008.01.04 -
Ewido 4.0 2008.01.03 -
FileAdvisor 1 2008.01.04 -
Fortinet 3.14.0.0 2008.01.04 -
F-Prot 4.4.2.54 2008.01.04 -
F-Secure 6.70.13030.0 2008.01.04 -
Ikarus T3.1.1.15 2008.01.04 -
Kaspersky 7.0.0.125 2008.01.04 -
McAfee 5199 2008.01.03 W32/Kibik.dll
Microsoft 1.3109 2008.01.04 -
NOD32v2 2764 2008.01.03 -
Norman 5.80.02 2008.01.03 -
Panda 9.0.0.4 2008.01.03 Suspicious file
Prevx1 V2 2008.01.04 Generic.Malware
Rising 20.25.42.00 2008.01.04 -
Sophos 4.24.0 2008.01.04 -
Sunbelt 2.2.907.0 2008.01.04 -
Symantec 10 2008.01.04 -
TheHacker 6.2.9.180 2008.01.04 -
VBA32 3.12.2.5 2008.01.02 suspected of Win32.Trojan.Downloader
VirusBuster 4.3.26:9 2008.01.03 -
Webwasher-Gateway 6.6.2 2008.01.04 Heuristic.Crypted
Information additionnelle
File size: 32768 bytes
MD5: 21a771b3989767b8622cc49752f7c37d
SHA1: eef428eb60d5cac36381700bec08c7e987f83cf4