Trojan-Dropper.Win32.Agent.ere/ winlogon.exe

par **Malekal_morte** » 23 févr. 2008 19:27

Se propage par l'adresse :

hxxp://msn-photos.isuisse.com/?photo=abc.moi

Ajoute la ligne suivante sur HijackThis :

O4 - HKLM\..\Run: [Flash Driver] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\winlogon.exe

Ajoute les fichiers :

%Temp%\winlogon.exe 59,145 bytes 0x9FAC7F15CEA120A900BAA486A9B46B9C
2 %System%\image.jpg 2,563 bytes 0xC34AA20C47333760DA9660ADF868F47F
3 %System%\real.txt 0 bytes 0xD41D8CD98F00B204E9800998ECF8427E
4 [file and pathname of the sample #1] 80,136 bytes 0x663A2E8A79C8282618CB05A6B1F16E32

Scan du fichier :

File trend_cafe-photo12.com received on 02.23.2008 18:40:20 (CET)
Current status: finished
Result: 10/31 (32.26%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
AhnLab-V3 2008.2.22.0 2008.02.22 -
AntiVir 7.6.0.67 2008.02.22 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.02.23 -
Avast 4.7.1098.0 2008.02.22 -
AVG 7.5.0.516 2008.02.22 -
BitDefender 7.2 2008.02.23 BehavesLike:Win32.ExplorerHijack
CAT-QuickHeal 9.50 2008.02.22 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.02.23 -
DrWeb 4.44.0.09170 2008.02.23 -
eSafe 7.0.15.0 2008.02.21 Suspicious File
eTrust-Vet 31.3.5557 2008.02.23 -
Ewido 4.0 2008.02.23 -
FileAdvisor 1 2008.02.23 -
Fortinet 3.14.0.0 2008.02.23 -
F-Prot 4.4.2.54 2008.02.22 -
F-Secure 6.70.13260.0 2008.02.22 -
Ikarus T3.1.1.20 2008.02.23 -
Kaspersky 7.0.0.125 2008.02.23 Heur.Trojan.Generic
McAfee 5236 2008.02.22 -
Microsoft 1.3204 2008.02.23 -
NOD32v2 2898 2008.02.23 a variant of Win32/IRCBot.AAL
Norman 5.80.02 2008.02.22 -
Panda 9.0.0.4 2008.02.23 Suspicious file
Prevx1 V2 2008.02.23 -
Rising 20.32.52.00 2008.02.23 -
Sophos 4.26.0 2008.02.23 Sus/UnkPacker
Sunbelt 3.0.893.0 2008.02.23 VIPRE.Suspicious
Symantec 10 2008.02.23 -
TheHacker 6.2.9.228 2008.02.23 -
VirusBuster 4.3.26:9 2008.02.22 -
Webwasher-Gateway 6.6.2 2008.02.23 Trojan.Crypt.XPACK.Gen
Additional information
File size: 80136 bytes
MD5: 663a2e8a79c8282618cb05a6b1f16e32
SHA1: bcc1b9055cb4e1602b89bdce87ad14af990eb2c3
PEiD: -
packers: Yoda

EDIT : Ajoute en Trojan-Dropper.Win32.Agent.ere par Kaspersky

par **Malekal_morte** » 01 mars 2008 16:18

Scan au 27/02 :

File winlogon.exe received on 02.27.2008 16:08:44 (CET)
Current status: finished
Result: 14/32 (43.75%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - TR/Crypt.XPACK.Gen
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - Backdoor.IRCBot.ABNI
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - Trojan.Win32.Restarter.f
Ikarus - - Virus.Trojan.Win32.Restarter.f
Kaspersky - - Trojan.Win32.Restarter.f
McAfee - - -
Microsoft - - Trojan:Win32/AgentBypass.gen!G
NOD32v2 - - Win32/IRCBot.AAL
Norman - - -
Panda - - Suspicious file
Prevx1 - - SystemPoser:Trojan-All Variants
Rising - - -
Sophos - - Mal/Basine-C
Sunbelt - - VIPRE.Suspicious
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Crypt.XPACK.Gen
Additional information
MD5: 35f1330abf75c757cc734e3b038883bf
SHA1: 43fbe0f2e46e6585462963dd72f211aa57ad5684
SHA256: 293124e568d8280380116582df9e9f2e3697598863c651c98c57dd459feb7002
SHA512: 0e59b256cf466300dc3dccaca761233a782392efb03d8e99d6440bcf1584018d 44e2d26cfe31ddbdafd64fcedda5f565a4023ac91ac64ef7b7b4cf7587936ae0

par **Malekal_morte** » 01 mars 2008 16:26

Scan au 01/03 :

File winlogon.exe received on 03.01.2008 16:17:10 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 15/32 (46.88%)

Antivirus Version Last Update Result
AhnLab-V3 2008.2.29.1 2008.02.29 -
AntiVir 7.6.0.73 2008.02.29 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.03.01 -
Avast 4.7.1098.0 2008.03.01 -
AVG 7.5.0.516 2008.02.29 -
BitDefender 7.2 2008.03.01 Backdoor.IRCBot.ABNI
CAT-QuickHeal 9.50 2008.03.01 Trojan.Restarter.f
ClamAV 0.92.1 2008.03.01 -
DrWeb 4.44.0.09170 2008.03.01 -
eSafe 7.0.15.0 2008.02.28 Suspicious File
eTrust-Vet 31.3.5574 2008.02.29 -
Ewido 4.0 2008.03.01 -
FileAdvisor 1 2008.03.01 -
Fortinet 3.14.0.0 2008.03.01 -
F-Prot 4.4.2.54 2008.02.29 -
F-Secure 6.70.13260.0 2008.03.01 Trojan.Win32.Restarter.f
Ikarus T3.1.1.20 2008.03.01 Virus.Trojan.Win32.Restarter.f
Kaspersky 7.0.0.125 2008.03.01 Trojan.Win32.Restarter.f
McAfee 5242 2008.02.29 W32/IRCbot.gen.a
Microsoft 1.3301 2008.03.01 Trojan:Win32/AgentBypass.gen!G
NOD32v2 2913 2008.03.01 Win32/IRCBot.AAL
Norman 5.80.02 2008.02.29 -
Panda 9.0.0.4 2008.03.01 Suspicious file
Prevx1 V2 2008.03.01 Generic.Malware
Rising 20.33.52.00 2008.03.01 -
Sophos 4.27.0 2008.03.01 Mal/Basine-C
Sunbelt 3.0.906.0 2008.02.28 VIPRE.Suspicious
Symantec 10 2008.03.01 -
TheHacker 6.2.9.229 2008.02.25 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.02.29 -
Webwasher-Gateway 6.6.2 2008.03.01 Trojan.Crypt.XPACK.Gen
Additional information
File size: 59124 bytes
MD5: 35f1330abf75c757cc734e3b038883bf
SHA1: 43fbe0f2e46e6585462963dd72f211aa57ad5684
PEiD: -
packers: Yoda

par **Malekal_morte** » 04 mars 2008 17:12

Nouvelle variante, le fichier winlogon.exe et remplacé par services.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\xxxx\LOCALS~1\Temp\services.exe
O4 - HKLM\..\Run: [Flash Media] C:\DOCUME~1\xxxx\LOCALS~1\Temp\services.exe

Le scan au 04/03 à 11h:

File _arnaudbocquillon-photo5.com received on 03.04.2008 11:13:21 (CET)
Current status: finished
Result: 9/32 (28.12%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
AhnLab-V3 2008.3.4.0 2008.03.04 -
AntiVir 7.6.0.73 2008.03.04 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.03.04 -
Avast 4.7.1098.0 2008.03.04 -
AVG 7.5.0.516 2008.03.03 -
BitDefender 7.2 2008.03.04 -
CAT-QuickHeal 9.50 2008.03.03 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.03.04 -
DrWeb 4.44.0.09170 2008.03.04 -
eSafe 7.0.15.0 2008.02.28 Suspicious File
eTrust-Vet 31.3.5585 2008.03.04 -
Ewido 4.0 2008.03.03 -
FileAdvisor 1 2008.03.04 -
Fortinet 3.14.0.0 2008.03.04 -
F-Prot 4.4.2.54 2008.03.03 -
F-Secure 6.70.13260.0 2008.03.04 -
Ikarus T3.1.1.20 2008.03.04 -
Kaspersky 7.0.0.125 2008.03.04 Heur.Trojan.Generic
McAfee 5243 2008.03.03 -
Microsoft 1.3301 2008.03.03 -
NOD32v2 2920 2008.03.04 a variant of Win32/IRCBot.AAL
Norman 5.80.02 2008.03.03 -
Panda 9.0.0.4 2008.03.03 Suspicious file
Prevx1 V2 2008.03.04 -
Rising 20.34.11.00 2008.03.04 -
Sophos 4.27.0 2008.03.04 Sus/UnkPacker
Sunbelt 3.0.906.0 2008.02.28 VIPRE.Suspicious
Symantec 10 2008.03.04 -
TheHacker 6.2.92.232 2008.03.04 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.03.03 -
Webwasher-Gateway 6.6.2 2008.03.04 Trojan.Crypt.XPACK.Gen
Additional information
File size: 89755 bytes
MD5: 9779008cdf0bbabf48163dcb83ad61d5
SHA1: d02b02ad40321657ca6fce494cbe11585d4d07dd

par **Malekal_morte** » 04 mars 2008 17:22

Le scan 6h après (17h), la plus part des antivirus l'ont intégré sauf comme d'habitude Avast!, Norton et McAfee.
Or ce sont les antivirus les plus utilisés, la sortie régulière de nouvelle variante permet l'infection d'énormément d'ordinateurs puisque certains antivirus mettent de temps à intégrer de nouvelles variantes et sont toujours en retard.

C'est entre autre pour cela que ce site ne conseille pas l'utilisation d'Avast!, McAfee et Norton.
Voir la page : Avast! VS Antivir

File kikujiro-photo5.com received on 03.04.2008 17:10:49 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 13/32 (40.63%)

Antivirus Version Last Update Result
AhnLab-V3 2008.3.4.0 2008.03.04 -
AntiVir 7.6.0.73 2008.03.04 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.03.04 -
Avast 4.7.1098.0 2008.03.04 -
AVG 7.5.0.516 2008.03.04 -
BitDefender 7.2 2008.03.04 Win32.Worm.IRC.PIH
CAT-QuickHeal 9.50 2008.03.04 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.03.04 -
DrWeb 4.44.0.09170 2008.03.04 -
eSafe 7.0.15.0 2008.02.28 Suspicious File
eTrust-Vet 31.3.5585 2008.03.04 -
Ewido 4.0 2008.03.04 -
FileAdvisor 1 2008.03.04 -
Fortinet 3.14.0.0 2008.03.04 -
F-Prot 4.4.2.54 2008.03.03 -
F-Secure 6.70.13260.0 2008.03.04 Trojan-Dropper.Win32.Agent.fbh
Ikarus T3.1.1.20 2008.03.04 Trojan.Crypt.XPACK
Kaspersky 7.0.0.125 2008.03.04 Trojan-Dropper.Win32.Agent.fbh
McAfee 5243 2008.03.03 -
Microsoft 1.3301 2008.03.04 -
NOD32v2 2921 2008.03.04 Win32/TrojanDropper.Agent.NIN
Norman 5.80.02 2008.03.04 -
Panda 9.0.0.4 2008.03.03 Suspicious file
Prevx1 V2 2008.03.04 Heuristic: Suspicious File With Anti-Security Technology
Rising 20.34.12.00 2008.03.04 -
Sophos 4.27.0 2008.03.04 Sus/UnkPacker
Sunbelt 3.0.906.0 2008.02.28 VIPRE.Suspicious
Symantec 10 2008.03.04 -
TheHacker 6.2.92.232 2008.03.04 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.03.04 -
Webwasher-Gateway 6.6.2 2008.03.04 Trojan.Crypt.XPACK.Gen
Additional information
File size: 89755 bytes
MD5: 9779008cdf0bbabf48163dcb83ad61d5
SHA1: d02b02ad40321657ca6fce494cbe11585d4d07dd
PEiD: -

par **Malekal_morte** » 05 mars 2008 22:27

Scan au 05/03.
Symantec (Norton) le détecte, toujours pas le cas pour Avast! et McAfee.
Le % de détection passe de 40.63% à 56,25%

File kikujiro-photo5.com received on 03.05.2008 22:17:06 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 18/32 (56.25%)

Antivirus Version Last Update Result
AhnLab-V3 2008.3.4.0 2008.03.05 -
AntiVir 7.6.0.73 2008.03.05 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.03.04 -
Avast 4.7.1098.0 2008.03.05 -
AVG 7.5.0.516 2008.03.05 -
BitDefender 7.2 2008.03.05 Win32.Worm.IRC.PIH
CAT-QuickHeal 9.50 2008.03.05 TrojanDropper.Agent.fbh
ClamAV 0.92.1 2008.03.05 Trojan.Dropper-5128
DrWeb 4.44.0.09170 2008.03.05 -
eSafe 7.0.15.0 2008.02.28 Suspicious File
eTrust-Vet 31.3.5590 2008.03.05 -
Ewido 4.0 2008.03.05 -
FileAdvisor 1 2008.03.05 -
Fortinet 3.14.0.0 2008.03.05 W32/IRCBot.GKV!tr
F-Prot 4.4.2.54 2008.03.04 -
F-Secure 6.70.13260.0 2008.03.05 Trojan-Dropper.Win32.Agent.fbh
Ikarus T3.1.1.20 2008.03.05 Trojan.Crypt.XPACK
Kaspersky 7.0.0.125 2008.03.05 Trojan-Dropper.Win32.Agent.fbh
McAfee 5245 2008.03.05 -
Microsoft 1.3301 2008.03.05 -
NOD32v2 2924 2008.03.05 Win32/TrojanDropper.Agent.NIN
Norman 5.80.02 2008.03.05 W32/Smalltroj.DAHD
Panda 9.0.0.4 2008.03.05 Suspicious file
Prevx1 V2 2008.03.05 TROJAN.IRCBOT.DH
Rising 20.34.22.00 2008.03.05 -
Sophos 4.27.0 2008.03.05 Troj/Agent-GRD
Sunbelt 3.0.930.0 2008.03.05 VIPRE.Suspicious
Symantec 10 2008.03.05 W32.IRCBot.Gen
TheHacker 6.2.92.233 2008.03.04 -
VBA32 3.12.6.2 2008.03.05 -
VirusBuster 4.3.26:9 2008.03.05 Worm.IRCBot.WDT
Webwasher-Gateway 6.6.2 2008.03.05 Trojan.Crypt.XPACK.Gen
Additional information
File size: 89755 bytes
MD5: 9779008cdf0bbabf48163dcb83ad61d5
SHA1: d02b02ad40321657ca6fce494cbe11585d4d07dd
PEiD: -

par **Malekal_morte** » 06 mars 2008 22:57

Le scan du 06/03
On passe de Result: 18/32 (56.25%) à Result: 19/32 (59.38%)
Avast! et McAfee toujours à la masse et dans les derniers.

File kikujiro-photo5.com received on 03.06.2008 21:59:24 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 19/32 (59.38%)

Antivirus Version Last Update Result
AhnLab-V3 2008.3.4.0 2008.03.06 -
AntiVir 7.6.0.73 2008.03.06 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.03.06 -
Avast 4.7.1098.0 2008.03.06 -
AVG 7.5.0.516 2008.03.06 -
BitDefender 7.2 2008.03.06 Win32.Worm.IRC.PIH
CAT-QuickHeal 9.50 2008.03.06 TrojanDropper.Agent.fbh
ClamAV 0.92.1 2008.03.06 Trojan.Dropper-5128
DrWeb 4.44.0.09170 2008.03.06 -
eSafe 7.0.15.0 2008.03.06 Suspicious File
eTrust-Vet 31.3.5591 2008.03.06 -
Ewido 4.0 2008.03.06 -
FileAdvisor 1 2008.03.06 -
Fortinet 3.14.0.0 2008.03.06 W32/IRCBot.GKV!tr
F-Prot 4.4.2.54 2008.03.05 -
F-Secure 6.70.13260.0 2008.03.06 Trojan-Dropper.Win32.Agent.fbh
Ikarus T3.1.1.20 2008.03.06 Trojan.Crypt.XPACK
Kaspersky 7.0.0.125 2008.03.06 Trojan-Dropper.Win32.Agent.fbh
McAfee 5246 2008.03.06 -
Microsoft 1.3301 2008.03.06 Worm:Win32/Pakabot.D
NOD32v2 2928 2008.03.06 Win32/TrojanDropper.Agent.NIN
Norman 5.80.02 2008.03.06 W32/Smalltroj.DAHD
Panda 9.0.0.4 2008.03.06 Trj/Agent.IGC
Prevx1 V2 2008.03.06 TROJAN.IRCBOT.DH
Rising 20.34.32.00 2008.03.06 -
Sophos 4.27.0 2008.03.06 Troj/Agent-GRD
Sunbelt 3.0.930.0 2008.03.05 VIPRE.Suspicious
Symantec 10 2008.03.06 W32.IRCBot.Gen
TheHacker 6.2.92.233 2008.03.04 -
VBA32 3.12.6.2 2008.03.05 -
VirusBuster 4.3.26:9 2008.03.06 Worm.IRCBot.WDT
Webwasher-Gateway 6.6.2 2008.03.06 Trojan.Crypt.XPACK.Gen
Additional information
File size: 89755 bytes
MD5: 9779008cdf0bbabf48163dcb83ad61d5
SHA1: d02b02ad40321657ca6fce494cbe11585d4d07dd
PEiD: -

par **Malekal_morte** » 07 mars 2008 15:23

En pleine infection.... 2 000 000 de réponses sur Google, ce qui montre l'étendu des dégâts.
Voila ce qu'on obtient quand les trois antivirus les plus répandus ne sont pas les plus réactifs sur une infection touchant des utilisateurs non avertis sur les menaces.
Et pourtant, ce n'est pas la première vague de virus MSN, puisque la première grosse infection est de Juin 2007.

Une capture d'un forum de désinfection... où l'on voit casi que des sujets de virus MSN

par **Malekal_morte** » 09 mars 2008 02:57

Quelques autres scans...

Notre fichier est maintenant détecté à 68,75%...

File kikujiro-photo5.com received on 03.09.2008 01:42:09 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 22/32 (68.75%)

Antivirus Version Last Update Result
AhnLab-V3 2008.3.4.0 2008.03.07 -
AntiVir 7.6.0.73 2008.03.07 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.03.07 -
Avast 4.7.1098.0 2008.03.08 -
AVG 7.5.0.516 2008.03.08 -
BitDefender 7.2 2008.03.09 Win32.Worm.IRC.PIH
CAT-QuickHeal 9.50 2008.03.08 TrojanDropper.Agent.fbh
ClamAV 0.92.1 2008.03.08 Trojan.Dropper-5128
DrWeb 4.44.0.09170 2008.03.08 -
eSafe 7.0.15.0 2008.03.06 Suspicious File
eTrust-Vet 31.3.5597 2008.03.07 -
Ewido 4.0 2008.03.08 -
FileAdvisor 1 2008.03.09 -
Fortinet 3.14.0.0 2008.03.08 W32/IRCBot.GKV!tr
F-Prot 4.4.2.54 2008.03.08 W32/Backdoor2.OWM
F-Secure 6.70.13260.0 2008.03.08 Trojan-Dropper.Win32.Agent.fbh
Ikarus T3.1.1.20 2008.03.09 Trojan.Crypt.XPACK
Kaspersky 7.0.0.125 2008.03.09 Trojan-Dropper.Win32.Agent.fbh
McAfee 5247 2008.03.07 Generic.dx
Microsoft 1.3301 2008.03.07 Worm:Win32/Pakabot.D
NOD32v2 2932 2008.03.09 Win32/TrojanDropper.Agent.NIN
Norman 5.80.02 2008.03.07 W32/Smalltroj.DAHD
Panda 9.0.0.4 2008.03.08 Trj/Agent.IGC
Prevx1 V2 2008.03.09 TROJAN.IRCBOT.DH
Rising 20.34.52.00 2008.03.08 -
Sophos 4.27.0 2008.03.08 Troj/Agent-GRD
Sunbelt 3.0.930.0 2008.03.05 VIPRE.Suspicious
Symantec 10 2008.03.09 W32.IRCBot.Gen
TheHacker 6.2.92.238 2008.03.08 Trojan/Dropper.Agent.fbh
VBA32 3.12.6.2 2008.03.05 -
VirusBuster 4.3.26:9 2008.03.08 Worm.IRCBot.WDT
Webwasher-Gateway 6.6.2 2008.03.08 Trojan.Crypt.XPACK.Gen
Additional information
File size: 89755 bytes
MD5: 9779008cdf0bbabf48163dcb83ad61d5
SHA1: d02b02ad40321657ca6fce494cbe11585d4d07dd
PEiD: -

Voici le scan d'une autre variante du fichier déposant l'infection.
Ce fichier est un peu plus récent.. variante .gil chez Kaspersky, la précédente était .fbh (voir scan ci-dessus).
Le scan tombe à 59,38%

On notera que ce sont tjrs les mm AV qui ne détectent pas les droppers.

File pseudo-photo5.com received on 03.09.2008 01:47:52 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 19/32 (59.38%)

Antivirus Version Last Update Result
AhnLab-V3 2008.3.4.0 2008.03.07 Win-Trojan/Agent.89755
AntiVir 7.6.0.73 2008.03.07 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.03.07 -
Avast 4.7.1098.0 2008.03.08 -
AVG 7.5.0.516 2008.03.08 -
BitDefender 7.2 2008.03.09 Trojan.Agent.AHFE
CAT-QuickHeal 9.50 2008.03.08 Trojan.Agent.gil
ClamAV 0.92.1 2008.03.08 Trojan.Agent-14154
DrWeb 4.44.0.09170 2008.03.08 -
eSafe 7.0.15.0 2008.03.06 Suspicious File
eTrust-Vet 31.3.5597 2008.03.07 -
Ewido 4.0 2008.03.08 -
FileAdvisor 1 2008.03.09 -
Fortinet 3.14.0.0 2008.03.08 -
F-Prot 4.4.2.54 2008.03.08 W32/Backdoor2.OWE
F-Secure 6.70.13260.0 2008.03.08 W32/Smalltroj.CZOS
Ikarus T3.1.1.20 2008.03.09 Trojan.Crypt.XPACK
Kaspersky 7.0.0.125 2008.03.09 Trojan.Win32.Agent.gil
McAfee 5247 2008.03.07 Generic.dx
Microsoft 1.3301 2008.03.07 Worm:Win32/Pakabot.C
NOD32v2 2932 2008.03.09 Win32/TrojanDropper.Agent.NIN
Norman 5.80.02 2008.03.07 W32/Smalltroj.CZOS
Panda 9.0.0.4 2008.03.08 W32/IRCbot.BUY.worm
Prevx1 V2 2008.03.09 Trojan.DoS.Win32.Opdos
Rising 20.34.52.00 2008.03.08 -
Sophos 4.27.0 2008.03.08 Mal/Generic-A
Sunbelt 3.0.930.0 2008.03.05 VIPRE.Suspicious
Symantec 10 2008.03.09 -
TheHacker 6.2.92.238 2008.03.08 -
VBA32 3.12.6.2 2008.03.05 -
VirusBuster 4.3.26:9 2008.03.08 -
Webwasher-Gateway 6.6.2 2008.03.08 Trojan.Crypt.XPACK.Gen
Additional information
File size: 89755 bytes
MD5: 140692282c6fd894877169e327b68c30
SHA1: f5d4bce3a4f4f7b507e09999b9c6bb251790da28
PEiD: -

Le scan du fichier services.exe...
Pour info, ce scan est pas significatif, pourquoi ?
car l'infection utilise la technologie rootkit + des mécanismes pour se réinstaller.
En gros, une fois installé, casi aucun antivirus ne peuvent supprimer l'infection.
Il faut donc empécher l'installation de l'infection en détectant le dropper (scans ci-dessus). Tout ceci est expliqué sur la page Un point sur les antivirus

File services.exe received on 03.09.2008 02:22:47 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 15/32 (46.88%)

Antivirus Version Last Update Result
AhnLab-V3 2008.3.4.0 2008.03.07 Win-Trojan/Pakes.64156
AntiVir 7.6.0.73 2008.03.07 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.03.07 -
Avast 4.7.1098.0 2008.03.08 -
AVG 7.5.0.516 2008.03.08 -
BitDefender 7.2 2008.03.09 Trojan.Agent.AHFE
CAT-QuickHeal 9.50 2008.03.08 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.03.08 -
DrWeb 4.44.0.09170 2008.03.08 -
eSafe 7.0.15.0 2008.03.06 Suspicious File
eTrust-Vet 31.3.5597 2008.03.07 -
Ewido 4.0 2008.03.08 -
FileAdvisor 1 2008.03.09 -
Fortinet 3.14.0.0 2008.03.08 -
F-Prot 4.4.2.54 2008.03.08 -
F-Secure 6.70.13260.0 2008.03.08 Trojan.Win32.Pakes.cgr
Ikarus T3.1.1.20 2008.03.09 Virus.Trojan.Win32.Pakes.cgr
Kaspersky 7.0.0.125 2008.03.09 Trojan.Win32.Pakes.cgr
McAfee 5247 2008.03.07 -
Microsoft 1.3301 2008.03.07 Worm:Win32/Pakabot.C
NOD32v2 2932 2008.03.09 Win32/IRCBot.AAL
Norman 5.80.02 2008.03.07 -
Panda 9.0.0.4 2008.03.08 Trj/Pakes.DS
Prevx1 V2 2008.03.09 Trojan.DoS.Win32.Opdos
Rising 20.34.52.00 2008.03.08 -
Sophos 4.27.0 2008.03.08 Mal/Basine-C
Sunbelt 3.0.930.0 2008.03.05 Worm.Win32.Pakabot.B
Symantec 10 2008.03.09 -
TheHacker 6.2.92.238 2008.03.08 -
VBA32 3.12.6.2 2008.03.05 -
VirusBuster 4.3.26:9 2008.03.08 -
Webwasher-Gateway 6.6.2 2008.03.08 Trojan.Crypt.XPACK.Gen
Additional information
File size: 64156 bytes
MD5: 4e5ff4e6268796b2c305b7d37ba93d78
SHA1: ed16085b282080f47e807630d9754000c67e93dc
PEiD: -

par **Malekal_morte** » 16 mars 2008 20:11

Nouvelle variante, nouvelles vagues d'infection...
On repart à zéro au niveau des détections, voir : http://forum.malekal.com/viewtopic.php?f=57&t=9364

par **Malekal_morte** » 22 avr. 2008 12:43

Autre variante : http://msnfix.changelog.fr/index.php/20 ... rsion-1709

File W_____W______W_W___WWWW__WWW__WW. received on 04.22.2008 00:30:04 (CET)
Current status: finished
Result: 11/32 (34.38%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
AhnLab-V3 2008.4.22.0 2008.04.21 -
AntiVir 7.8.0.8 2008.04.21 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.04.22 -
Avast 4.8.1169.0 2008.04.21 -
AVG 7.5.0.516 2008.04.21 -
BitDefender 7.2 2008.04.21 Packer.Malware.NaN.A
CAT-QuickHeal 9.50 2008.04.21 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.04.22 -
DrWeb 4.44.0.09170 2008.04.22 -
eSafe 7.0.15.0 2008.04.21 Suspicious File
eTrust-Vet 31.3.5720 2008.04.21 -
Ewido 4.0 2008.04.21 -
F-Prot 4.4.2.54 2008.04.21 -
F-Secure 6.70.13260.0 2008.04.22 -
FileAdvisor 1 2008.04.22 -
Fortinet 3.14.0.0 2008.04.21 -
Ikarus T3.1.1.26 2008.04.21 -
Kaspersky 7.0.0.125 2008.04.22 Heur.Invader
McAfee 5278 2008.04.21 -
Microsoft 1.3408 2008.04.21 VirTool:Win32/Obfuscator.Z
NOD32v2 3044 2008.04.21 a variant of Win32/IRCBot.AAL
Norman 5.80.02 2008.04.21 -
Panda 9.0.0.4 2008.04.21 Suspicious file
Prevx1 V2 2008.04.22 -
Rising 20.41.02.00 2008.04.21 -
Sophos 4.28.0 2008.04.21 Mal/Behav-164
Sunbelt 3.0.1056.0 2008.04.17 VIPRE.Suspicious
Symantec 10 2008.04.21 -
TheHacker 6.2.92.286 2008.04.21 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.21 -
Webwasher-Gateway 6.6.2 2008.04.21 Trojan.Crypt.XPACK.Gen
Additional information
File size: 64650 bytes
MD5...: 46151be3e90a090eb29ffe488931cb68
SHA1..: 3c1130d391fcaf8d80f6c41af0dee9af72ccf499

par **Malekal_morte** » 25 avr. 2008 17:56

http://www.threatexpert.com/report.aspx ... 96fcf39619

Fichier photo0019851.jpg.com reçu le 2008.04.25 17:33:18 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 17/31 (54.84%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.25.2 2008.04.25 -
AntiVir 7.8.0.10 2008.04.25 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.04.25 -
Avast 4.8.1169.0 2008.04.24 -
AVG 7.5.0.516 2008.04.25 BackDoor.Ircbot.7.AP
BitDefender 7.2 2008.04.25 Packer.Malware.NaN.A
CAT-QuickHeal 9.50 2008.04.25 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.04.25 -
DrWeb 4.44.0.09170 2008.04.25 -
eSafe 7.0.15.0 2008.04.21 Suspicious File
eTrust-Vet 31.3.5733 2008.04.25 -
Ewido 4.0 2008.04.25 -
F-Prot 4.4.2.54 2008.04.24 -
F-Secure 6.70.13260.0 2008.04.25 Trojan-Dropper.Win32.Agent.qsd
FileAdvisor 1 2008.04.25 -
Fortinet 3.14.0.0 2008.04.25 -
Ikarus T3.1.1.26 2008.04.25 Packer.Malware.NaN.A
Kaspersky 7.0.0.125 2008.04.25 Trojan-Dropper.Win32.Agent.qsd
McAfee 5281 2008.04.24 -
Microsoft 1.3408 2008.04.22 VirTool:Win32/Obfuscator.Z
NOD32v2 3055 2008.04.25 a variant of Win32/TrojanDropper.Agent.NIN
Norman 5.80.02 2008.04.25 W32/Smalltroj.ECEH
Panda 9.0.0.4 2008.04.25 Suspicious file
Prevx1 V2 2008.04.25 BackDoor.Ircbot.7.AP
Rising 20.41.42.00 2008.04.25 -
Sophos 4.28.0 2008.04.25 Mal/TibsPak
Sunbelt 3.0.1056.0 2008.04.17 VIPRE.Suspicious
TheHacker 6.2.92.291 2008.04.24 Trojan/Dropper.Agent.qsd
VBA32 3.12.6.5 2008.04.24 -
VirusBuster 4.3.26:9 2008.04.25 -
Webwasher-Gateway 6.6.2 2008.04.25 Trojan.Crypt.XPACK.Gen
Information additionnelle
File size: 91291 bytes
MD5...: 83229ec118860a3d3ba9f44339cbe264
SHA1..: fa29d70aa28a88f7b267cd67fdf2902648c104bd

Malekal.com forum

Trojan-Dropper.Win32.Agent.ere/ winlogon.exe

Trojan-Dropper.Win32.Agent.ere/ winlogon.exe

Trojan.Win32.Restarter.f

Re: Trojan-Dropper.Win32.Agent.ere/ winlogon.exe

Re: Trojan-Dropper.Win32.Agent.ere/ winlogon.exe

Re: Trojan-Dropper.Win32.Agent.ere/ winlogon.exe

Re: Trojan-Dropper.Win32.Agent.ere/ winlogon.exe

Re: Trojan-Dropper.Win32.Agent.ere/ winlogon.exe

Re: Trojan-Dropper.Win32.Agent.ere/ winlogon.exe

Re: Trojan-Dropper.Win32.Agent.ere/ winlogon.exe

Re: Trojan-Dropper.Win32.Agent.ere/ winlogon.exe

Re: Trojan-Dropper.Win32.Agent.ere/ winlogon.exe

Re: Trojan-Dropper.Win32.Agent.ere/ winlogon.exe