Streaming Video Playback Error

Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec
Infections liés aux rogues et affichant de fausses alertes de sécurité.
Malekal_morte
Messages : 116304
Inscription : 10 sept. 2005 13:57

Streaming Video Playback Error

par Malekal_morte »

Un peu de changement au pays des faux codecs, en temps normal, les propositions de téléchargement de faux codec portent le nom de Video ActiveX Object Codec.

Aujourd'hui, c'est une erreur Streaming Video Playback Error, disant que le player ne peut lire la vidéo qui utilise une compression spécial... proposant alors de télécharger un faux codecs..
Image

Une fois le setup lancé... c'est l'infection Trojan.DNS (kdxxxxx.exe rootkité) qui s'installe.. occasionnant des redirections lors des recherches Google
Image

Scan du fichier...
Fichier kdfdh.exe reçu le 2007.12.15 21:30:05 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 5/32 (15.63%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.12.15.10 2007.12.14 -
AntiVir 7.6.0.45 2007.12.14 HEUR/Crypted
Authentium 4.93.8 2007.12.15 -
Avast 4.7.1098.0 2007.12.15 -
AVG 7.5.0.503 2007.12.15 DNSChanger.G
BitDefender 7.2 2007.12.15 -
CAT-QuickHeal 9.00 2007.12.15 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.12.15 -
DrWeb 4.44.0.09170 2007.12.15 -
eSafe 7.0.15.0 2007.12.13 -
eTrust-Vet 31.3.5377 2007.12.15 -
Ewido 4.0 2007.12.15 -
FileAdvisor 1 2007.12.15 -
Fortinet 3.14.0.0 2007.12.15 -
F-Prot 4.4.2.54 2007.12.14 -
F-Secure 6.70.13030.0 2007.12.14 -
Ikarus T3.1.1.15 2007.12.15 -
Kaspersky 7.0.0.125 2007.12.15 Heur.Trojan.Generic
McAfee 5186 2007.12.14 -
Microsoft 1.3109 2007.12.15 -
NOD32v2 2723 2007.12.14 -
Norman 5.80.02 2007.12.13 -
Panda 9.0.0.4 2007.12.15 -
Prevx1 V2 2007.12.15 -
Rising 20.22.41.00 2007.12.14 -
Sophos 4.24.0 2007.12.15 -
Sunbelt 2.2.907.0 2007.12.15 -
Symantec 10 2007.12.15 -
TheHacker 6.2.9.160 2007.12.14 -
VBA32 3.12.2.5 2007.12.15 -
VirusBuster 4.3.26:9 2007.12.15 -
Webwasher-Gateway 6.6.2 2007.12.15 Heuristic.Crypted
Information additionnelle
File size: 73792 bytes
MD5: cd8e5b6a8472ce713725ad8e8caef557
SHA1: 6bc239406d52c1ca4975f7df02d22b9cfbab93ff
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116304
Inscription : 10 sept. 2005 13:57

Trojan.Kibik.b et Streaming Video Playback Error

par Malekal_morte »

Un autre faux codec qui installe une infection le Trojan Kibik.

Toujours le même principe, une erreur s'affiche signalant que la vidéo ne peut être visualisée.
Vous devez installer un codec pour pouvoir visualiser la vidéo.
Image

Cette fois, c'est un fichier ok.exe qui est proposé en téléchargement et non un nom de fichier avec le mot codec comme on a d'habitude.

Image

L'infection ajoute deux DLL Msip32.dll & FaxMessage.dll
mais surtout remplace le fichier légitime Winlogon.exe par une version infectée.
La date du fichier Winlogon.exe change.

Image


Beaucoup de différences dans cette infection par rapport à ce que l'on retrouve tradionnellement dans les infections issues de faux codecs.
Les sites proposant de faux codec continuant eux à propager les infections "habituelles". On peut spéculer sur la réutilisation du principe d'infection par faux codecs par un autre groupe (chinois?) pour propager l'infection ?

Scan des fichiers :
Fichier ok.exe reçu le 2008.01.04 12:02:27 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 9/32 (28.13%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.4.11 2008.01.04 -
AntiVir 7.6.0.46 2008.01.03 -
Authentium 4.93.8 2008.01.04 -
Avast 4.7.1098.0 2008.01.03 -
AVG 7.5.0.516 2008.01.03 -
BitDefender 7.2 2008.01.04 -
CAT-QuickHeal 9.00 2008.01.03 (Suspicious) - DNAScan
ClamAV 0.91.2 2008.01.04 -
DrWeb 4.44.0.09170 2008.01.03 -
eSafe 7.0.15.0 2008.01.03 -
eTrust-Vet 31.3.5430 2008.01.04 -
Ewido 4.0 2008.01.03 -
FileAdvisor 1 2008.01.04 -
Fortinet 3.14.0.0 2008.01.04 W32/Kibik!tr
F-Prot 4.4.2.54 2008.01.04 W32/Hupigon.G.gen!Eldorado
F-Secure 6.70.13030.0 2008.01.04 W32/Malware.BKJJ
Ikarus T3.1.1.15 2008.01.04 -
Kaspersky 7.0.0.125 2008.01.04 -
McAfee 5199 2008.01.03 W32/Kibik.dr
Microsoft 1.3109 2008.01.04 -
NOD32v2 2765 2008.01.04 -
Norman 5.80.02 2008.01.03 W32/Malware.BKJJ
Panda 9.0.0.4 2008.01.03 Suspicious file
Prevx1 V2 2008.01.04 -
Rising 20.25.42.00 2008.01.04 -
Sophos 4.24.0 2008.01.04 -
Sunbelt 2.2.907.0 2008.01.04 VIPRE.Suspicious
Symantec 10 2008.01.04 -
TheHacker 6.2.9.180 2008.01.04 -
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.03 -
Webwasher-Gateway 6.6.2 2008.01.04 Win32.Malware.gen (suspicious)
Information additionnelle
File size: 410112 bytes
MD5: 772352e4c82af8bba4d65d3a71c8db88
SHA1: fbfaf1433a94dbcb58562a4744a41c16f2b1d3d6
PEiD: ASProtect v1.23 RC1
packers: PE_Patch

Fichier Winlogon.exe reçu le 2008.01.04 11:59:08 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 2/32 (6.25%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.4.11 2008.01.04 -
AntiVir 7.6.0.46 2008.01.03 -
Authentium 4.93.8 2008.01.04 -
Avast 4.7.1098.0 2008.01.03 -
AVG 7.5.0.516 2008.01.03 -
BitDefender 7.2 2008.01.04 -
CAT-QuickHeal 9.00 2008.01.03 -
ClamAV 0.91.2 2008.01.04 -
DrWeb 4.44.0.09170 2008.01.03 -
eSafe 7.0.15.0 2008.01.03 -
eTrust-Vet 31.3.5430 2008.01.04 -
Ewido 4.0 2008.01.03 -
FileAdvisor 1 2008.01.04 -
Fortinet 3.14.0.0 2008.01.04 -
F-Prot 4.4.2.54 2008.01.04 -
F-Secure 6.70.13030.0 2008.01.04 -
Ikarus T3.1.1.15 2008.01.04 -
Kaspersky 7.0.0.125 2008.01.04 -
McAfee 5199 2008.01.03 W32/Kibik.b
Microsoft 1.3109 2008.01.04 -
NOD32v2 2764 2008.01.03 -
Norman 5.80.02 2008.01.03 -
Panda 9.0.0.4 2008.01.03 -
Prevx1 V2 2008.01.04 -
Rising 20.25.42.00 2008.01.04 -
Sophos 4.24.0 2008.01.04 -
Sunbelt 2.2.907.0 2008.01.04 -
Symantec 10 2008.01.04 -
TheHacker 6.2.9.180 2008.01.04 -
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.03 -
Webwasher-Gateway 6.6.2 2008.01.04 Trojan.Keylogger.Win32.Malware.gen (suspicious)
Information additionnelle
File size: 502272 bytes
MD5: bce5cae2d37b36ca92f83b85ecf0154c
SHA1: 667688644031f311a2ef50edece485b3cc8a9092

Fichier Msip32.dll reçu le 2008.01.04 11:59:12 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 9/32 (28.13%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.4.11 2008.01.04 -
AntiVir 7.6.0.46 2008.01.03 BDS/RCServ.N.1
Authentium 4.93.8 2008.01.04 -
Avast 4.7.1098.0 2008.01.03 -
AVG 7.5.0.516 2008.01.03 Potentially harmful program HackTool.DEI
BitDefender 7.2 2008.01.04 -
CAT-QuickHeal 9.00 2008.01.03 Backdoor.RCServ.n
ClamAV 0.91.2 2008.01.04 -
DrWeb 4.44.0.09170 2008.01.03 -
eSafe 7.0.15.0 2008.01.03 -
eTrust-Vet 31.3.5430 2008.01.04 -
Ewido 4.0 2008.01.03 -
FileAdvisor 1 2008.01.04 -
Fortinet 3.14.0.0 2008.01.04 W32/Kibik.N!tr.bdr
F-Prot 4.4.2.54 2008.01.04 -
F-Secure 6.70.13030.0 2008.01.04 Backdoor.Win32.RCServ.n
Ikarus T3.1.1.15 2008.01.04 Backdoor.Win32.RCServ.n
Kaspersky 7.0.0.125 2008.01.04 Backdoor.Win32.RCServ.n
McAfee 5199 2008.01.03 W32/Kibik.dll
Microsoft 1.3109 2008.01.04 -
NOD32v2 2764 2008.01.03 -
Norman 5.80.02 2008.01.03 -
Panda 9.0.0.4 2008.01.03 -
Prevx1 V2 2008.01.04 -
Rising 20.25.42.00 2008.01.04 -
Sophos 4.24.0 2008.01.04 -
Sunbelt 2.2.907.0 2008.01.04 -
Symantec 10 2008.01.04 -
TheHacker 6.2.9.180 2008.01.04 -
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.03 -
Webwasher-Gateway 6.6.2 2008.01.04 Trojan.Backdoor.RCServ.N.1
Information additionnelle
File size: 99840 bytes
MD5: 16fc60b3b19b4d99c182b5e5ca8e4992
SHA1: 5a70b6886f624b49d6ac5c061b4a22ff351b1cb0
PEiD: ASPack v2.12 -> Alexey Solodovnikov
packers: Aspack

Fichier FaxMessage.dll reçu le 2008.01.04 11:59:25 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 7/32 (21.88%)


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.4.11 2008.01.04 -
AntiVir 7.6.0.46 2008.01.03 HEUR/Crypted
Authentium 4.93.8 2008.01.04 -
Avast 4.7.1098.0 2008.01.03 -
AVG 7.5.0.516 2008.01.03 -
BitDefender 7.2 2008.01.04 -
CAT-QuickHeal 9.00 2008.01.03 -
ClamAV 0.91.2 2008.01.04 -
DrWeb 4.44.0.09170 2008.01.03 DLOADER.Trojan
eSafe 7.0.15.0 2008.01.03 -
eTrust-Vet 31.3.5430 2008.01.04 -
Ewido 4.0 2008.01.03 -
FileAdvisor 1 2008.01.04 -
Fortinet 3.14.0.0 2008.01.04 -
F-Prot 4.4.2.54 2008.01.04 -
F-Secure 6.70.13030.0 2008.01.04 -
Ikarus T3.1.1.15 2008.01.04 -
Kaspersky 7.0.0.125 2008.01.04 -
McAfee 5199 2008.01.03 W32/Kibik.dll
Microsoft 1.3109 2008.01.04 -
NOD32v2 2764 2008.01.03 -
Norman 5.80.02 2008.01.03 -
Panda 9.0.0.4 2008.01.03 Suspicious file
Prevx1 V2 2008.01.04 Generic.Malware
Rising 20.25.42.00 2008.01.04 -
Sophos 4.24.0 2008.01.04 -
Sunbelt 2.2.907.0 2008.01.04 -
Symantec 10 2008.01.04 -
TheHacker 6.2.9.180 2008.01.04 -
VBA32 3.12.2.5 2008.01.02 suspected of Win32.Trojan.Downloader
VirusBuster 4.3.26:9 2008.01.03 -
Webwasher-Gateway 6.6.2 2008.01.04 Heuristic.Crypted
Information additionnelle
File size: 32768 bytes
MD5: 21a771b3989767b8622cc49752f7c37d
SHA1: eef428eb60d5cac36381700bec08c7e987f83cf4
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec »