Un fausse e-card reçu par mail (voir
http://forum.malekal.com/trojan-downloa ... 28#p105208 ) qui installe notre ami Smart Antivirus 2009.
La partie interressante est que l'infection installe le
rootkit TDSSServ et vous allez voir qu'il est blageur.
Voici la page Google "normal" - Lorsque l'on passe la souris sur le résultat, le lien WEB s'affiche en bas (entouré en rouge - ici lien wikipedia)
Voici maintenant la page Google lorsque le rootkit est actif.
Un oeil averti verra que la font (police de caractère) n'est pas la même - plus grosse.
Mais surtout, si on passe la souris sur le premier résultat Google, aucun lien en bas.
Résultat en cliquant sur le lien, on est redirigé vers des sites de pubs, autres moteur de recherche,
fausses alertes pour rogues.
Le rootkit modifie donc la page de résultat Google
pour effectuer des redirections sur les recherches Google
Scan VirusTotal de la fausse e-card.exe proposé par mail :
Fichier e-card.exe reçu le 2008.09.06 23:01:49 (CET)
Situation actuelle: terminé
Résultat: 11/36 (30.56%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - W32/Dropper.YLQ
Avast - - -
AVG - - Dropper.Tiny.AG
BitDefender - - Trojan.Dropper.Delf.Crypt.K
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - W32/Dropper.YLQ
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - Trojan-Downloader.Delf.OAQ
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - TrojanDropper:Win32/Rooter.A
NOD32v2 - - a variant of Win32/TrojanDropper.Agent.NMR
Norman - - -
Panda - - Suspicious file
PCTools - - -
Prevx1 - - -
Rising - - -
Sophos - - Troj/FakeAV-CX
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - suspected of Embedded.Trojan.Win32.BHO.exy
ViRobot - - -
VirusBuster - - Trojan.Delfinject.Gen.5
Webwasher-Gateway - - -
Information additionnelle
MD5: 951ee5764e375c0c2a44da0905e25a10
SHA1: de188a1f32d65b596797a3fd516e922af974bb26
Scan du dropper du rootkit TDSSServ
Fichier file.exe reçu le 2008.09.06 22:21:20 (CET)
Situation actuelle: terminé
Résultat: 2/36 (5.56%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.9.6.0 2008.09.06 -
AntiVir 7.8.1.28 2008.09.05 -
Authentium 5.1.0.4 2008.09.06 -
Avast 4.8.1195.0 2008.09.06 -
AVG 8.0.0.161 2008.09.05 -
BitDefender 7.2 2008.09.06 -
CAT-QuickHeal 9.50 2008.09.06 -
ClamAV 0.93.1 2008.09.06 -
DrWeb 4.44.0.09170 2008.09.06 -
eSafe 7.0.17.0 2008.09.03 -
eTrust-Vet 31.6.6072 2008.09.05 -
Ewido 4.0 2008.09.06 -
F-Prot 4.4.4.56 2008.09.06 -
F-Secure 8.0.14332.0 2008.09.06 -
Fortinet 3.112.0.0 2008.09.06 -
GData 19 2008.09.06 -
Ikarus T3.1.1.34.0 2008.09.06 -
K7AntiVirus 7.10.443 2008.09.05 -
Kaspersky 7.0.0.125 2008.09.06 -
McAfee 5378 2008.09.05 -
Microsoft 1.3903 2008.09.06 Trojan:Win32/Alureon.gen!J
NOD32v2 3423 2008.09.06 -
Norman 5.80.02 2008.09.05 -
Panda 9.0.0.4 2008.09.06 -
PCTools 4.4.2.0 2008.09.06 -
Prevx1 V2 2008.09.06 -
Rising 20.60.52.00 2008.09.06 -
Sophos 4.33.0 2008.09.06 -
Sunbelt 3.1.1610.1 2008.09.05 -
Symantec 10 2008.09.06 -
TheHacker 6.3.0.8.072 2008.09.04 -
TrendMicro 8.700.0.1004 2008.09.05 -
VBA32 3.12.8.5 2008.09.06 -
ViRobot 2008.9.5.1365 2008.09.06 -
VirusBuster 4.5.11.0 2008.09.06 -
Webwasher-Gateway 6.6.2 2008.09.05 Win32.Malware.gen (suspicious)
Information additionnelle
File size: 57372 bytes
MD5...: 9987c4421cf7430ad19322a051bc137f
SHA1..: fdbd3b0b0380e09be25acdba953abe0a12c0d0e5
(Pour se désinfecter :
Supprimer TDSSServ/TDSServ rootkit)