Trojan-Downloader.Win32.Exchanger : faux-codecs et mails

par **Malekal_morte** » 21 juil. 2008 10:03

Pour supprimer cette infection, suivre la procédure de la page : https://www.malekal.com/Trojan-Download ... hanger.php

Une page consacrée à l'infection Trojan-Downloader.Win32.Exchanger.
L'infection n'est pas nouvelle puisque j'avais déjà posté des droppers depuis avril Trojan-Downloader.Win32.Exchanger et ici : http://forum.malekal.com/viewtopic.php?f=62&t=11564
En sachant que la toute première variante, la variante .A doit dater de février 2008.
L'infection installe le rogue AntiSpySpider

Tous les jours de nouvelles mails avec de nouveaux droppers arrivés, j'avais donc arrété de poster les détections... mais depuis deux semaines, une recrudescence des mails est constaté... cela mérite donc une page.

L'infection se propage par mail... la thématique des mails est différentes, mais en général, deux thèmes sont exploités, soit un évènement médiathique qui peut attirer votre attention (principe déjà utilisé par notre ami Zhelatin/Storm Worm

Soit plus généralement, des propositions de vidéos pour des célébrités : Angelina joli (avec des fautes dans le nom), Christina Aguilera, Cameron Diaz, etc...

Certains mails contiennent des messages suivants afin de tromper les programmes anti-spam, le but étant de faire croire que le mail vient d'une mailling connu et légitime :

About this mailing:

You are receiving this e-mail because you subscribed to MSN Featured Offers. Microsoft respects your privacy. If you do not wish to receive this MSN Featured Offers e-mail, please click the "Unsubscribe" link below. This will not unsubscribe you from e-mail communications from third-party advertisers that may appear in MSN Feature Offers. This shall not constitute an offer by MSN. MSN shall not be responsible or liable for the advertisers' content nor any of the goods or service advertised. Prices and item availability subject to change without notice.

2008 Microsoft | Unsubscribe | More Newsletters | Privacy

Microsoft Corporation, One Microsoft Way, Redmond, WA 98052

ou le message suivant :

--
Using Opera's revolutionary e-mail client: http://www.opera.com/mail/

Les mails contiennent tous des liens WEB : les protections contre les mails avec pièce jointe étant maintenant évoluées, les auteurs de malwares ont maintenant pour but de faire cliquer, via du social engineering, les internautes sur des liens WEB, les redirigeant vers des sites infectieux.
Les pages sont les mêmes et changent par campagne de mails (tous les 3 jours environ), dernièrement, les liens web se terminaient par : main.html, hot.html news.html et start.html

Trois cas de figure :
On retrouve alors des pages de faux codecs "classiques" :

La proposition de téléchargement de fichiers "vidéosé" se fait automatiquement.

on peut aussi être redirigé vers de faux sites "tube" pour visionner des vidéos : porntube etc..

Les noms de fichiers sont en général : video.exe, watch.exe, msvideoc.exe, hot_video.exe, etc... la thématique etant bien sûr autour de la vidéo.

L'infection Exchanger installe un service avec un fichier CbEvtSvc, CcEvtSvc.exe (le nom du fichier peut varier à quelques lettres près) :
O23 - Service: CbEvtSvc - Unknown owner - C:\WINDOWS\System32\CbEvtSvc.exe

L'infection a pour but d'installer des rogues sur le PC, le plus souvent AntispySpider

Voici quelques détections de ces droppers video*.exe... je vous rassure depuis avril les détections se sont améliorées, certains éditeurs ayant développés des détections génériques pour cette famille :

Complete scanning result of "hot_video.exe", processed in VirusTotal at 07/20/2008 16:24:32 (CET).

[ file data ]
* name..: hot_video.exe
* size..: 78848
* md5...: e5e7c25370539d67c7f11f457d219a5c
* sha1..: 7d8deed65ef489f20d9836b5620f3adc5d4ea655
* peid..: -

[ scan result ]
AhnLab-V3 2008.7.17.0/20080718 found nothing
AntiVir 7.8.1.11/20080720 found [TR/Crypt.XPACK.Gen]
Authentium 5.1.0.4/20080720 found nothing
Avast 4.8.1195.0/20080720 found [Win32:PrefPoly]
AVG 8.0.0.130/20080719 found [Downloader.Zlob]
BitDefender 7.2/20080720 found [Trojan.Downloader.Exchanger.Gen.1]
CAT-QuickHeal 9.50/20080718 found [(Suspicious) - DNAScan]
ClamAV 0.93.1/20080720 found [Trojan.Downloader.Exchanger.DT]
DrWeb 4.44.0.09170/20080720 found nothing
eSafe 7.0.17.0/20080720 found [Suspicious File]
eTrust-Vet 31.6.5966/20080718 found nothing
Ewido 4.0/20080720 found nothing
F-Prot 4.4.4.56/20080720 found nothing
F-Secure 7.60.13501.0/20080720 found nothing
Fortinet 3.14.0.0/20080720 found [PossibleThreat]
GData 2.0.7306.1023/20080720 found [Trojan-Downloader.Win32.Exchanger.fj]
Ikarus T3.1.1.34.0/20080720 found [Trojan-Downloader.Exchanger.Gen.1]
Kaspersky 7.0.0.125/20080720 found [Trojan-Downloader.Win32.Exchanger.fj]
McAfee 5342/20080718 found nothing
Microsoft 1.3704/20080720 found [TrojanDropper:Win32/Nuwar.gen!ldt]
NOD32v2 3282/20080719 found nothing
Norman 5.80.02/20080718 found nothing
Panda 9.0.0.4/20080720 found nothing
Prevx1 V2/20080720 found nothing
Rising 20.53.62.00/20080720 found nothing
Sophos 4.31.0/20080720 found [Mal/EncPk-DA]
Sunbelt 3.1.1536.1/20080718 found nothing
Symantec 10/20080720 found [Trojan.Pandex]
TheHacker 6.2.96.385/20080719 found nothing
TrendMicro 8.700.0.1004/20080718 found nothing
VBA32 3.12.8.1/20080720 found nothing
VirusBuster 4.5.11.0/20080719 found [Trojan.DL.Exchanger.AO]
Webwasher-Gateway 6.6.2/20080720 found [Trojan.Crypt.XPACK.Gen]

Complete scanning result of "watch.exe", processed in VirusTotal at 07/20/2008 14:47:40 (CET).

[ file data ]
* name..: watch.exe
* size..: 63488
* md5...: f422a0f9cd67c465a963610e74f50b17
* sha1..: 3f36a04656214e91bd908233b2ba47e908a7a656
* peid..: -

[ scan result ]
AhnLab-V3 2008.7.17.0/20080718 found nothing
AntiVir 7.8.1.11/20080720 found [TR/Crypt.XPACK.Gen]
Authentium 5.1.0.4/20080720 found nothing
Avast 4.8.1195.0/20080720 found [Win32:Tibs-EHE]
AVG 8.0.0.130/20080719 found [BackDoor.Generic9.BATA]
BitDefender 7.2/20080720 found [Trojan.Downloader.Exchanger.Gen.1]
CAT-QuickHeal 9.50/20080718 found [(Suspicious) - DNAScan]
ClamAV 0.93.1/20080720 found nothing
DrWeb 4.44.0.09170/20080720 found [Trojan.DownLoader.62005]
eSafe 7.0.17.0/20080717 found [Suspicious File]
eTrust-Vet 31.6.5966/20080718 found nothing
Ewido 4.0/20080720 found nothing
F-Prot 4.4.4.56/20080720 found nothing
F-Secure 7.60.13501.0/20080720 found [Trojan-Downloader.Win32.Exchanger.fd]
Fortinet 3.14.0.0/20080720 found nothing
GData 2.0.7306.1023/20080720 found [Trojan-Downloader.Win32.Exchanger.fd]
Ikarus T3.1.1.34.0/20080720 found [Trojan-Downloader.Exchanger.Gen.1]
Kaspersky 7.0.0.125/20080720 found [Trojan-Downloader.Win32.Exchanger.fd]
McAfee 5342/20080718 found nothing
Microsoft 1.3704/20080720 found [Trojan:Win32/Tibs.J]
NOD32v2 3282/20080719 found nothing
Norman 5.80.02/20080718 found nothing
Panda 9.0.0.4/20080720 found nothing
Prevx1 V2/20080720 found [Worm]
Rising 20.53.62.00/20080720 found nothing
Sophos 4.31.0/20080720 found [Mal/EncPk-DA]
Sunbelt 3.1.1536.1/20080718 found [Trojan-Downloader.Exchanger.Gen.1]
Symantec 10/20080720 found [Trojan.Erotpics]
TheHacker 6.2.96.385/20080719 found nothing
TrendMicro 8.700.0.1004/20080718 found nothing
VBA32 3.12.8.1/20080719 found nothing
VirusBuster 4.5.11.0/20080719 found [Trojan.DL.Exchanger.BE]
Webwasher-Gateway 6.6.2/20080720 found [Trojan.Crypt.XPACK.Gen]

Les mails étant en anglais et la majorité des internautes ayant été sensibilisée sur le possible danger des mails en anglais, on peut penser que cette infection n'aura que peu de succès en France.
Néanmoins, compte tenu du contenu et du vrai succès des autres pièges utilisant les faux codecs, on peut s'estimer heureux que ces mails soit anglais et ce qui sauvera certainement beaucoup d'internautes.

par **Malekal_morte** » 22 juil. 2008 22:32

Autres mails qui menent du Flash Player Codec ( voir http://forum.malekal.com/viewtopic.php?f=66&t=6957 )

Britney Spears loses custody for good to ex-husband hxxp://csr.imb.br/stream.html

Pitt/Jolie twins die from birth complications hxxp://corazonesvivos.org/stream.html

Fichier flashcodecinstall_13_31.exe reçu le 2008.07.22 21:25:28 (CET)
Situation actuelle: terminé
Résultat: 9/34 (26.47%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - TR/Crypt.XPACK.Gen
Authentium - - -
Avast - - -
AVG - - Win32/Heur
BitDefender - - -
CAT-QuickHeal - - (Suspicious) - DNAScan
ClamAV - - -
DrWeb - - -
eSafe - - Suspicious File
eTrust-Vet - - Win32/Collet!generic
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - TrojanDropper:Win32/Nuwar.gen!ldt
NOD32v2 - - -
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - -
Rising - - -
Sophos - - Mal/TibsPak
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - MalwareScope.Worm.Nuwar-Glowa.1
VirusBuster - - -
Webwasher-Gateway - - Trojan.Crypt.XPACK.Gen
Information additionnelle
MD5: 80e7f9d54abd7ec372389944484329e5
SHA1: 6819d709dbb2d02dcab0d51f1416f7bc00c871d1

par **Malekal_morte** » 31 juil. 2008 16:47

variante Pornotube avec un site de Videos de News.

Les liens vers les soit disantes vidéos ne sont que des fichiers exécutables de type video54582.exe

On notera aussi que les sujets des mails sont racoleurs ou des nouvelles "bizarres" afin d'attiser la curiosité comme des attaques d'extra-terrestre... des stars ayant le cancer etc.

par **Malekal_morte** » 07 août 2008 10:31

Trojan.Exchanger via des news CNN.
Objet du mail : CNN.com Daily Top 10

Le site renvoit vers le téléchargement d'un faux codec... Flash Update ou VideoAccessCodec/Video ActiveX Object

par **Malekal_morte** » 07 août 2008 10:33

Trojan-Downloader.Win32.Exchanger aussi par mail via des fichiers rar contenant un mot de passe (empéchant le scan automatique par les antivirus).

Le mot de passe est donné dans le mail.
Les mails ont pour sujet des vidéos d'Anjelina Jolie

exemple :

From: [email protected]
To: [email protected]
Subject: : Anjelina Jolie Free Video.
Date: Tue, 05 Aug 2008 17:22:23 +0200

The password on archive anjelina

par **Malekal_morte** » 07 août 2008 11:01

Faux Internet Explorer 7 proposé en téléchargement..... ce n'est pas la première fois que des spams infectieux proposant IE sont utilisés.

Le mail reste classique pour du Exchanger avec le mailling MSN :

Download the latest version!

About this mailing:
You are receiving this e-mail because you subscribed to MSN Featured Offers. Microsoft respects your privacy. If you do not wish to receive this MSN Featured Offers e-mail, please click the "Unsubscribe" link below. This will not unsubscribe you from e-mail communications from third-party advertisers that may appear in MSN Feature Offers. This shall not constitute an offer by MSN. MSN shall not be responsible or liable for the advertisers' content nor any of the goods or service advertised. Prices and item availability subject to change without notice.

2008 Microsoft | Unsubscribe | More Newsletters | Privacy

Microsoft Corporation, One Microsoft Way, Redmond, WA 98052

par **Malekal_morte** » 07 août 2008 13:55

Celebrity Movies maintenant.

Les vidéos renvoient vers le Trojan-Downloader.Win32.Exchanger : hxxp://89.187.48.54/xvideo.avi.exe

Fichier xvideo.avi.exe reçu le 2008.08.07 13:38:49 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 6/35 (17.15%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.7.0 2008.08.07 -
AntiVir 7.8.1.19 2008.08.07 TR/Dldr.Small.aajs
Authentium 5.1.0.4 2008.08.07 -
Avast 4.8.1195.0 2008.08.06 -
AVG 8.0.0.156 2008.08.07 -
BitDefender 7.2 2008.08.07 -
CAT-QuickHeal 9.50 2008.08.06 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.07 -
DrWeb 4.44.0.09170 2008.08.07 -
eSafe 7.0.17.0 2008.08.06 Suspicious File
eTrust-Vet 31.6.6017 2008.08.07 -
Ewido 4.0 2008.08.07 -
F-Prot 4.4.4.56 2008.08.06 -
Fortinet 3.14.0.0 2008.08.07 -
GData 2.0.7306.1023 2008.08.07 Trojan-Downloader.Win32.Small.aajs
Ikarus T3.1.1.34.0 2008.08.07 -
K7AntiVirus 7.10.405 2008.08.07 -
Kaspersky 7.0.0.125 2008.08.07 Trojan-Downloader.Win32.Small.aajs
McAfee 5355 2008.08.06 -
Microsoft 1.3807 2008.08.07 -
NOD32v2 3336 2008.08.07 -
Norman 5.80.02 2008.08.06 -
Panda 9.0.0.4 2008.08.06 -
PCTools 4.4.2.0 2008.08.06 -
Prevx1 V2 2008.08.07 -
Rising 20.56.32.00 2008.08.07 -
Sophos 4.31.0 2008.08.07 -
Sunbelt 3.1.1537.1 2008.08.07 -
Symantec 10 2008.08.07 -
TheHacker 6.2.96.393 2008.08.04 -
TrendMicro 8.700.0.1004 2008.08.07 -
VBA32 3.12.8.2 2008.08.06 -
ViRobot 2008.8.7.1328 2008.08.07 -
VirusBuster 4.5.11.0 2008.08.06 -
Webwasher-Gateway 6.6.2 2008.08.07 Trojan.Dldr.Small.aajs
Information additionnelle
File size: 135680 bytes
MD5...: 64ef2eeaf7c9738bedb262200735d6cb
SHA1..: ca81493d026510dc18dd58029aeee41756bcdd7f

par **Malekal_morte** » 13 août 2008 14:44

CNN Alerts: My Custom Alert remplacé par msnbc.com - BREAKING NEWS

Attention les liens de la new .msnbc.com donnés dans le mail ne pointent vers le vrai site msnbc mais vers des sites WEB qui sont bien sûr piégés.

<FONT face=Arial size=2>
msnbc.com: BREAKING NEWS: You are selected as a jury <br>
<br>

Find out more at <a href="http://01fe1e4.netsolhost.com/up.html">http://breakingnews.msnbc.com</a><br>

Le lien pointe vers des sites CNN News. Les auteurs de malwares ne se cassent pas à refaire des sites WEB avec la charte msnbc.com. La flemme ?
Une personne méfiante qui ne clique pas sans réfléchir... devrait se poser des questions...

Le téléchargement du faux codec flash est alors proposé.

par **Malekal_morte** » 13 août 2008 22:23

Ca y est le skin msnbc.com - BREAKING NEW est sorti :

par **Malekal_morte** » 17 août 2008 13:01

Autre type de mail :

Hi honey
i'd like to write you a candid letter, pleas read it.
I'm really tired of impotent morons around me now. I still remember the nights we spent together and it becomes clear to me
that you are the best man i've ever met.
How are you these days? Maybe want to have some fun again? I'm coming to town next weekend, spent two weeks
starring in a video for adult site.
would be so glad if you take a look at my body )
Here's the link: hxxp://martinharinger.xf.cz/1.html

le lien conduit bien sûr à un faux codec avec proposition de téléchargement du fichier install.exe

Fichier install.exe reçu le 2008.08.17 12:43:17 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 14/36 (38.89%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 -
Authentium 5.1.0.4 2008.08.16 -
Avast 4.8.1195.0 2008.08.15 -
AVG 8.0.0.161 2008.08.16 I-Worm/Nuwar.W
BitDefender 7.2 2008.08.17 Trojan.Downloader.Exchanger.Gen.2
CAT-QuickHeal 9.50 2008.08.16 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.17 Trojan.Packed.606
eSafe 7.0.17.0 2008.08.14 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.17 -
F-Prot 4.4.4.56 2008.08.16 -
F-Secure 7.60.13501.0 2008.08.17 -
Fortinet 3.14.0.0 2008.08.17 W32/PolyExchanger.A!tr
GData 2.0.7306.1023 2008.08.16 -
Ikarus T3.1.1.34.0 2008.08.17 Trojan-Downloader.Exchanger.Gen.2
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.17 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.17 TrojanDropper:Win32/Nuwar.gen!ldt
NOD32v2 3362 2008.08.17 a variant of Win32/Agent.ETH
Norman 5.80.02 2008.08.15 Tibs.gen220
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.16 -
Prevx1 V2 2008.08.17 -
Rising 20.57.62.00 2008.08.17 -
Sophos 4.32.0 2008.08.17 Mal/EncPk-DA
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.16 Trojan.Pandex
TheHacker 6.3.0.3.052 2008.08.17 -
TrendMicro 8.700.0.1004 2008.08.16 -
VBA32 3.12.8.3 2008.08.17 suspected of MalwareScope.Worm.Nuwar-Glowa.1 (paranoid heuristics)
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.16 -
Webwasher-Gateway 6.6.2 2008.08.17 Worm.Win32.Malware.gen (suspicious)
Information additionnelle
File size: 74752 bytes
MD5...: 84dc5bd45775504f395569fe51b5f6f6
SHA1..: 2cc17a61d0396a4458dae341bf9a2be0d8e83a22

par **Malekal_morte** » 18 août 2008 14:29

Le faux codec peux aussi être inclus directement dans le mail.

La vidéo est pour Paris Hilton pointant vers le fichier hxxp://89.187.49.18/video-paris-hilton.avi.exe

Fichier video-paris.avi.ex reçu le 2008.08.17 18:35:03 (CET)
Situation actuelle: terminé
Résultat: 14/36 (38.89%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 -
Authentium 5.1.0.4 2008.08.17 -
Avast 4.8.1195.0 2008.08.17 -
AVG 8.0.0.161 2008.08.17 Generic11.JUG
BitDefender 7.2 2008.08.17 Trojan.FakeAlert.AAF
CAT-QuickHeal 9.50 2008.08.16 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.17 Trojan.DownLoad.3971
eSafe 7.0.17.0 2008.08.17 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.17 -
F-Prot 4.4.4.56 2008.08.17 -
F-Secure 7.60.13501.0 2008.08.17 Trojan-Downloader.Win32.FraudLoad.vbds
Fortinet 3.14.0.0 2008.08.17 W32/FAKEALER.DX!tr
GData 2.0.7306.1023 2008.08.16 Trojan-Downloader.Win32.FraudLoad.vbds
Ikarus T3.1.1.34.0 2008.08.17 Trojan-Downloader.Win32.FraudLoad.vbds
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.17 Trojan-Downloader.Win32.FraudLoad.vbds
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.17 -
NOD32v2 3362 2008.08.17 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.17 -
PCTools 4.4.2.0 2008.08.17 -
Prevx1 V2 2008.08.17 Malicious Software
Rising 20.57.62.00 2008.08.17 -
Sophos 4.32.0 2008.08.17 Mal/EncPk-CZ
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.17 -
TheHacker 6.3.0.3.052 2008.08.17 -
TrendMicro 8.700.0.1004 2008.08.16 TROJ_FAKEALER.DX
VBA32 3.12.8.3 2008.08.17 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.17 Trojan.DL.FakeAlert.GH
Webwasher-Gateway 6.6.2 2008.08.17 -
Information additionnelle
File size: 190464 bytes
MD5...: 1a8ce6271acde7994c55c1ef65ccb961
SHA1..: 8600213be2da344a81f33c50a70d2c80d79daa5b

par **Malekal_morte** » 24 août 2008 11:16

Autre faux mail proposant un antivirus inexistant avec une période d'essai de 6 mois.

Sujet :

* Business Security Software
* You Computer Security. For you home.
* A new standard of Internet threat protection for your home.

Corps du mail :

Anti-Virus Nero Advanced Pro. 2008. Download last update!

6 month free trial!

A new standard of Internet threat protection for your home or small office.
Award-winning protection against viruses and spyware, identity theft and phishing, hackers and spam.

Anti-Virus Nero Advanced Pro. 2009 antivirus software with maximum spyware protection.
Protects against viruses, Trojans, and worms, spyware and adware, rootkits, identity theft and phishing attacks.
Advanced proactive protection, unmatched system performance,
automatic hourly updates and the fastest response to the latest threats.

Le lien mène vers le fichier hxxp://79.135.167.49/name.avi.exe que l'on connait déjà.

par **Malekal_morte** » 26 août 2008 17:14

Au départ Trojan-Downloader.Win32.Exchanger installait le rogue AntispySpider.

Je suis tombé sur Trojan-Downloader.Win32.Exchanger qui installe une infection Trojan-Downloader.Win32.FraudLoad (ce qui est assez ironique car elles ont aussi les mêmes méthodes de propagation par mail).

Encore une fois, on se trouve avec le fond d'écran modifié et le rogue Antivirus XP 2008

On notera aussi l'installation d'une nouvelle génération de Srizbi.
Vous trouverez un exemple de rapport ThreatExpert ici : http://www.threatexpert.com/report.aspx ... 960746ef1e

Code : Tout sélectionner

1219769036.778    562 192.168.1.63 TCP_MISS/200 35188 GET http://79.135.167.18/sysftp.exe - DIRECT/79.135.167.18 application/octet-stream
1219769063.810   1340 192.168.1.63 TCP_MISS/200 108918 GET http://79.135.167.18/scan15.exe - DIRECT/79.135.167.18 application/octet-stream
1219769089.862   2333 192.168.1.63 TCP_MISS/200 176502 GET http://79.135.167.18/s1.exe - DIRECT/79.135.167.18 application/octet-stream
1219769105.206   1961 192.168.1.63 TCP_MISS/200 204150 GET http://79.135.167.18/scan26.exe - DIRECT/79.135.167.18 application/octet-stream

Les détections sont plutôt mauvaises :

Fichier s1.exe reçu le 2008.08.26 16:47:54 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 7/36 (19.45%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.26 -
AntiVir 7.8.1.23 2008.08.26 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.08.26 -
Avast 4.8.1195.0 2008.08.26 -
AVG 8.0.0.161 2008.08.26 -
BitDefender 7.2 2008.08.26 Trojan.Srizbi.Dropper.1.Gen
CAT-QuickHeal 9.50 2008.08.25 -
ClamAV 0.93.1 2008.08.26 -
DrWeb 4.44.0.09170 2008.08.26 -
eSafe 7.0.17.0 2008.08.24 Suspicious File
eTrust-Vet 31.6.6049 2008.08.26 -
Ewido 4.0 2008.08.26 -
F-Prot 4.4.4.56 2008.08.26 -
F-Secure 7.60.13501.0 2008.08.26 -
Fortinet 3.14.0.0 2008.08.26 -
GData 19 2008.08.26 -
Ikarus T3.1.1.34.0 2008.08.26 -
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.26 -
McAfee 5369 2008.08.25 -
Microsoft 1.3807 2008.08.25 TrojanDropper:Win32/Srizbi.gen!D
NOD32v2 3389 2008.08.26 -
Norman 5.80.02 2008.08.26 -
Panda 9.0.0.4 2008.08.25 -
PCTools 4.4.2.0 2008.08.26 -
Prevx1 V2 2008.08.26 -
Rising 20.59.11.00 2008.08.26 -
Sophos 4.32.0 2008.08.26 Mal/EncPk-CK
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.26 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.26 Cryp_Xed-3
VBA32 3.12.8.4 2008.08.25 -
ViRobot 2008.8.26.1350 2008.08.26 -
VirusBuster 4.5.11.0 2008.08.26 -
Webwasher-Gateway 6.6.2 2008.08.26 Trojan.Crypt.XPACK.Gen
Information additionnelle
File size: 176128 bytes
MD5...: d028870def7b65985035184e288ba54c
SHA1..: f64e9625cea2b0a3df343f4050bba46b698cb9eb

Fichier scan15.exe reçu le 2008.08.26 16:47:59 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 7/36 (19.45%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.26 -
AntiVir 7.8.1.23 2008.08.26 HEUR/Crypted
Authentium 5.1.0.4 2008.08.26 -
Avast 4.8.1195.0 2008.08.26 -
AVG 8.0.0.161 2008.08.26 Win32/Heur
BitDefender 7.2 2008.08.26 -
CAT-QuickHeal 9.50 2008.08.25 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.26 -
DrWeb 4.44.0.09170 2008.08.26 -
eSafe 7.0.17.0 2008.08.24 Suspicious File
eTrust-Vet 31.6.6049 2008.08.26 -
Ewido 4.0 2008.08.26 -
F-Prot 4.4.4.56 2008.08.26 -
F-Secure 7.60.13501.0 2008.08.26 -
Fortinet 3.14.0.0 2008.08.26 -
GData 19 2008.08.26 -
Ikarus T3.1.1.34.0 2008.08.26 -
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.26 -
McAfee 5369 2008.08.25 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3389 2008.08.26 a variant of Win32/Kryptik.F
Norman 5.80.02 2008.08.26 -
Panda 9.0.0.4 2008.08.25 -
PCTools 4.4.2.0 2008.08.26 -
Prevx1 V2 2008.08.26 -
Rising 20.59.11.00 2008.08.26 -
Sophos 4.32.0 2008.08.26 -
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.26 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.26 -
VBA32 3.12.8.4 2008.08.25 suspected of Malware-Cryptor.Win32.General.3
ViRobot 2008.8.26.1350 2008.08.26 -
VirusBuster 4.5.11.0 2008.08.26 -
Webwasher-Gateway 6.6.2 2008.08.26 Heuristic.Crypted
Information additionnelle
File size: 108544 bytes
MD5...: 984efc6b2c07d93afc1f901e362c263a
SHA1..: 2a2b4b8af91a73cc1e75360cea09b99d0020c1d5

Fichier scan26.exe reçu le 2008.08.26 16:48:06 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 4/36 (11.12%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.26 -
AntiVir 7.8.1.23 2008.08.26 -
Authentium 5.1.0.4 2008.08.26 -
Avast 4.8.1195.0 2008.08.26 -
AVG 8.0.0.161 2008.08.26 Downloader.FraudLoad.N
BitDefender 7.2 2008.08.26 -
CAT-QuickHeal 9.50 2008.08.25 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.26 -
DrWeb 4.44.0.09170 2008.08.26 -
eSafe 7.0.17.0 2008.08.24 Suspicious File
eTrust-Vet 31.6.6049 2008.08.26 -
Ewido 4.0 2008.08.26 -
F-Prot 4.4.4.56 2008.08.26 -
F-Secure 7.60.13501.0 2008.08.26 -
Fortinet 3.14.0.0 2008.08.26 -
GData 19 2008.08.26 -
Ikarus T3.1.1.34.0 2008.08.26 -
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.26 -
McAfee 5369 2008.08.25 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3389 2008.08.26 a variant of Win32/Kryptik.E
Norman 5.80.02 2008.08.26 -
Panda 9.0.0.4 2008.08.25 -
PCTools 4.4.2.0 2008.08.26 -
Prevx1 V2 2008.08.26 -
Rising 20.59.11.00 2008.08.26 -
Sophos 4.32.0 2008.08.26 -
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.26 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.26 -
VBA32 3.12.8.4 2008.08.25 -
ViRobot 2008.8.26.1350 2008.08.26 -
VirusBuster 4.5.11.0 2008.08.26 -
Webwasher-Gateway 6.6.2 2008.08.26 -
Information additionnelle
File size: 203776 bytes
MD5...: dae417d5c76e6793be57e2d001ebe419
SHA1..: 86eca3360408f3748f318484c1b43f2b4896107f

Fichier sysftp.exe reçu le 2008.08.26 16:48:11 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 2/36 (5.56%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.21.0 2008.08.26 -
AntiVir 7.8.1.23 2008.08.26 -
Authentium 5.1.0.4 2008.08.26 -
Avast 4.8.1195.0 2008.08.26 -
AVG 8.0.0.161 2008.08.26 -
BitDefender 7.2 2008.08.26 -
CAT-QuickHeal 9.50 2008.08.25 -
ClamAV 0.93.1 2008.08.26 -
DrWeb 4.44.0.09170 2008.08.26 -
eSafe 7.0.17.0 2008.08.24 Suspicious File
eTrust-Vet 31.6.6049 2008.08.26 -
Ewido 4.0 2008.08.26 -
F-Prot 4.4.4.56 2008.08.26 -
F-Secure 7.60.13501.0 2008.08.26 -
Fortinet 3.14.0.0 2008.08.26 -
GData 19 2008.08.26 -
Ikarus T3.1.1.34.0 2008.08.26 -
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.26 -
McAfee 5369 2008.08.25 -
Microsoft 1.3807 2008.08.25 TrojanDropper:Win32/Prefsap.gen
NOD32v2 3389 2008.08.26 -
Norman 5.80.02 2008.08.26 -
Panda 9.0.0.4 2008.08.25 -
PCTools 4.4.2.0 2008.08.26 -
Prevx1 V2 2008.08.26 -
Rising 20.59.11.00 2008.08.26 -
Sophos 4.32.0 2008.08.26 -
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.26 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.26 -
VBA32 3.12.8.4 2008.08.25 -
ViRobot 2008.8.26.1350 2008.08.26 -
VirusBuster 4.5.11.0 2008.08.26 -
Webwasher-Gateway 6.6.2 2008.08.26 -
Information additionnelle
File size: 34816 bytes
MD5...: 30130f64b90770105d20bbb46f1596c0
SHA1..: 6d8b837192164c36a0d826b1f1a1265f4ca1431f

par **Malekal_morte** » 01 sept. 2008 17:54

Certains faux site de faux codec issus des mails Trojan.Exchanger installe sur le système via des exploits (donc de manière automatique), les éléments suivants :

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\uoyzsydz.exe,
O2 - BHO: getsn32.msiesn - {A55CA42C-BF8A-4491-9073-6E32FC4E6250} - C:\WINDOWS\system32\getsn32.dll

Fichier getsn32.dll reçu le 2008.09.01 17:19:31 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 9/36 (25%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.29.0 2008.09.01 -
AntiVir 7.8.1.23 2008.09.01 -
Authentium 5.1.0.4 2008.09.01 -
Avast 4.8.1195.0 2008.09.01 Win32:Adware-gen
AVG 8.0.0.161 2008.09.01 Generic3.MGA
BitDefender 7.2 2008.09.01 -
CAT-QuickHeal 9.50 2008.08.29 -
ClamAV 0.93.1 2008.09.01 -
DrWeb 4.44.0.09170 2008.09.01 -
eSafe 7.0.17.0 2008.08.31 Suspicious File
eTrust-Vet 31.6.6062 2008.09.01 -
Ewido 4.0 2008.09.01 -
F-Prot 4.4.4.56 2008.09.01 -
F-Secure 7.60.13501.0 2008.09.01 AdWare.Win32.BHO.crz
Fortinet 3.14.0.0 2008.09.01 Adware/BHO
GData 19 2008.09.01 -
Ikarus T3.1.1.34.0 2008.09.01 Backdoor.Win32.VB.bax
K7AntiVirus 7.10.435 2008.09.01 -
Kaspersky 7.0.0.125 2008.09.01 not-a-virus:AdWare.Win32.BHO.crz
McAfee 5373 2008.08.29 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3404 2008.09.01 -
Norman 5.80.02 2008.09.01 -
Panda 9.0.0.4 2008.08.31 -
PCTools 4.4.2.0 2008.09.01 -
Prevx1 V2 2008.09.01 -
Rising 20.60.01.00 2008.09.01 -
Sophos 4.33.0 2008.09.01 -
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.09.01 Trojan Horse
TheHacker 6.3.0.8.069 2008.09.01 -
TrendMicro 8.700.0.1004 2008.09.01 -
VBA32 3.12.8.4 2008.08.31 -
ViRobot 2008.9.1.1359 2008.09.01 -
VirusBuster 4.5.11.0 2008.09.01 -
Webwasher-Gateway 6.6.2 2008.09.01 Win32.Malware.gen#UPX (suspicious)
Information additionnelle
File size: 15360 bytes
MD5...: 0101f5de4492e1ce5d740b15d99df60a
SHA1..: b93ccac08a1a61460a1a07ffc7dbe217354316eb

Fichier uoyzsydz.exe reçu le 2008.09.01 17:19:40 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 13/36 (36.12%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.29.0 2008.09.01 -
AntiVir 7.8.1.23 2008.09.01 TR/Crypt.FKM.Gen
Authentium 5.1.0.4 2008.09.01 -
Avast 4.8.1195.0 2008.09.01 Win32:Adware-gen
AVG 8.0.0.161 2008.09.01 -
BitDefender 7.2 2008.09.01 Trojan.Downloader.VB.Gen.1
CAT-QuickHeal 9.50 2008.08.29 -
ClamAV 0.93.1 2008.09.01 -
DrWeb 4.44.0.09170 2008.09.01 -
eSafe 7.0.17.0 2008.08.31 Suspicious File
eTrust-Vet 31.6.6062 2008.09.01 -
Ewido 4.0 2008.09.01 -
F-Prot 4.4.4.56 2008.09.01 -
F-Secure 7.60.13501.0 2008.09.01 AdWare.Win32.BHO.crz
Fortinet 3.14.0.0 2008.09.01 W32/BbFake.A!tr
GData 19 2008.09.01 Win32:Trojan-gen
Ikarus T3.1.1.34.0 2008.09.01 not-a-virus:AdWare.Win32.CashDeluxe.b
K7AntiVirus 7.10.435 2008.09.01 -
Kaspersky 7.0.0.125 2008.09.01 not-a-virus:AdWare.Win32.BHO.crz
McAfee 5373 2008.08.29 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3404 2008.09.01 -
Norman 5.80.02 2008.09.01 -
Panda 9.0.0.4 2008.08.31 Suspicious file
PCTools 4.4.2.0 2008.09.01 -
Prevx1 V2 2008.09.01 -
Rising 20.60.01.00 2008.09.01 -
Sophos 4.33.0 2008.09.01 Mal/Behav-210
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.09.01 Trojan.Fakeavalert
TheHacker 6.3.0.8.069 2008.09.01 -
TrendMicro 8.700.0.1004 2008.09.01 -
VBA32 3.12.8.4 2008.08.31 -
ViRobot 2008.9.1.1359 2008.09.01 -
VirusBuster 4.5.11.0 2008.09.01 -
Webwasher-Gateway 6.6.2 2008.09.01 Trojan.Crypt.FKM.Gen
Information additionnelle
File size: 76298 bytes
MD5...: 7b8f4db659c3ab587570f2cfe3e1a9cf
SHA1..: b84537793180593ca5c7dd7956dd2c6c4cf89df8

par **Malekal_morte** » 01 sept. 2008 20:55

Les sites WEB Trojan.Exchanger proposé en mail utilisent maintenant des exploits PDF (voir Infections : exploitation SWF/PDF et Java).

Fichier output.pdf reçu le 2008.09.01 20:36:26 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 3/36 (8.34%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.9.2.0 2008.09.01 -
AntiVir 7.8.1.23 2008.09.01 HTML/Shellcode.Gen
Authentium 5.1.0.4 2008.09.01 -
Avast 4.8.1195.0 2008.09.01 -
AVG 8.0.0.161 2008.09.01 -
BitDefender 7.2 2008.09.01 Exploit.HTML.Agent.AB
CAT-QuickHeal 9.50 2008.08.29 -
ClamAV 0.93.1 2008.09.01 -
DrWeb 4.44.0.09170 2008.09.01 -
eSafe 7.0.17.0 2008.09.01 -
eTrust-Vet 31.6.6062 2008.09.01 -
Ewido 4.0 2008.09.01 -
F-Prot 4.4.4.56 2008.09.01 -
F-Secure 7.60.13501.0 2008.09.01 -
Fortinet 3.14.0.0 2008.09.01 -
GData 19 2008.09.01 -
Ikarus T3.1.1.34.0 2008.09.01 -
K7AntiVirus 7.10.435 2008.09.01 -
Kaspersky 7.0.0.125 2008.09.01 -
McAfee 5374 2008.09.01 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3405 2008.09.01 -
Norman 5.80.02 2008.09.01 -
Panda 9.0.0.4 2008.08.31 -
PCTools 4.4.2.0 2008.09.01 -
Prevx1 V2 2008.09.01 -
Rising 20.60.01.00 2008.09.01 -
Sophos 4.33.0 2008.09.01 -
Sunbelt 3.1.1592.1 2008.08.30 -
Symantec 10 2008.09.01 -
TheHacker 6.3.0.8.069 2008.09.01 -
TrendMicro 8.700.0.1004 2008.09.01 -
VBA32 3.12.8.4 2008.08.31 -
ViRobot 2008.9.1.1359 2008.09.01 -
VirusBuster 4.5.11.0 2008.09.01 -
Webwasher-Gateway 6.6.2 2008.09.01 Script.Shellcode.Gen
Information additionnelle
File size: 5013 bytes
MD5...: 5039cc91aaec9d4fc641732c00204897
SHA1..: 6d4189b3edba4294d3dac9c6d020097d0fc98289

Malekal.com forum

Trojan-Downloader.Win32.Exchanger : faux-codecs et mails

Trojan-Downloader.Win32.Exchanger : faux-codecs et mails

Re: Trojan-Downloader.Win32.Exchanger : faux-codecs et mails

Re: Trojan-Downloader.Win32.Exchanger : faux-codecs et mails

Re: Trojan-Downloader.Win32.Exchanger : CNN.com Daily Top 10

Re: Trojan-Downloader.Win32.Exchanger : Anjelina Jolie Free Vide

Re: Trojan-Downloader.Win32.Exchanger : Internet Explorer 7

Re: Trojan-Downloader.Win32.Exchanger : Celebrity Movies

Trojan-Downloader.Win32.Exchanger : msnbc.com - BREAKING NEW

Re: Trojan-Downloader.Win32.Exchanger : msnbc.com - BREAKING NEW

Re: Trojan-Downloader.Win32.Exchanger : faux-codecs et mails

Re: Trojan-Downloader.Win32.Exchanger : faux-codecs et mails

Trojan-Downloader.Win32.Exchanger : Anti-Virus Nero Advanced

Re: Trojan-Downloader.Win32.Exchanger : faux-codecs et mails

Re: Trojan-Downloader.Win32.Exchanger : faux-codecs et mails

Re: Trojan-Downloader.Win32.Exchanger : faux-codecs et mails