Net-Worm.Win32.Koobface sur FaceBook et MySpace

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Malekal_morte
Messages : 116318
Inscription : 10 sept. 2005 13:57

Net-Worm.Win32.Koobface sur FaceBook et MySpace

par Malekal_morte »

Pour supprimer l'infection Net-Worm.Win32.Koobface, suivre la procédure donnée sur ce lien : https://www.malekal.com/KoobFace.php

Une nouvelle infection se propage depuis quelques jours via des commentaires sur FaceBook et MySpace (possible que les premières infections datent d'un peu avant le 20 septembre).
Les messages sont très diversifiés et contiennent à chaque fois un lien... Ces messages sont postés automatiquement par le ver.

Encore une fois, faire attention aux liens dans les commentaires sur les forums, sites de vidéos, MySpace etc.
Le lien propose une vidéo à télécharger

Image

seulement une erreur de version de Flash s'affiche (Your version of Flash Player is out of date) et vous devez télécharger un nouveau codec pour visualiser la dite vidéo.
Le fichier proposé est flash_update.exe et est bien sûr la source de l'infection, une fois exécuté, vous obtenez une popup avec le message "Error installing Codec. Please contact support", l'infection s'installe alors sure système.

Bref du social engineering reprenant le principe des Faux codec : Zlob/VideoAccess/Trojan.Win32.DNSChanger
Image

exemple avec les liens suivants :

Code : Tout sélectionner

1224095479.222   1462 192.168.1.63 TCP_MISS/200 19315 GET http://www.tehnomaxdata.com/YczpgK/flash_update.exe - DIRECT/203.22.204.47 application/octet-stream
1224095474.762    941 192.168.1.63 TCP_MISS/200 17125 GET http://www.tehnomaxdata.com/YczpgK/ - DIRECT/203.22.204.47 text/html
1224095475.289   1601 192.168.1.63 TCP_MISS/200 48804 GET http://www.tehnomaxdata.com/YczpgK/player.swf?pid=6123 - DIRECT/203.22.204.47 application/x-shockwave-flash
1224095476.029    741 192.168.1.63 TCP_MISS/200 5770 GET http://www.tehnomaxdata.com/YczpgK/tom.jpg - DIRECT/203.22.204.47 image/jpeg
1224095479.222   1462 192.168.1.63 TCP_MISS/200 19315 GET http://www.tehnomaxdata.com/YczpgK/flash_update.exe - DIRECT/203.22.204.47 application/octet-stream
1224095545.379    637 192.168.1.63 TCP_MISS/200 360 POST http://a13092008.com/fb/first.php - DIRECT/213.133.100.5 text/html
1224095547.804   1392 192.168.1.63 TCP_MISS/200 19834 GET http://www.ameanz.com/youtube/msnstart4.exe - DIRECT/203.22.204.160 application/octet-stream
1224095584.029    889 192.168.1.63 TCP_MISS/200 16762 GET http://www.ameanz.com/youtube/tinyproxy.exe - DIRECT/203.22.204.160 application/octet-stream
1224095646.283    179 192.168.1.63 TCP_MISS/200 340 GET http://a13092008.com/mesenger/res.php?v=4&c=-1&o=0&hs=0 - DIRECT/213.133.100.5 text/html
Cette variante ajoute %WinDir%\kenny**.exe (ainsi que fmark2.dat) qui charge un fichier aléatoire dans %temp%, ce dernier ajoute msn.dll au système.
Windows messenger (C:\Program Files\Messenger\msmsgs.exe) démarre et charge cette DLL.

La DLL semble capable d'effectuer des connexions vers hxxp://a1309D08.com/meyngn.php

Image

Le malware installe aussi un proxy (TinyProxy) et ajoute les lignes suivantes sur HijackThis :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8181
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O23 - Service: Logical Disk Manager (dmserver) - Unknown owner - C:\Program Files\TinyProxy\TinyProxy.exe
Pour la petite histoire, le proxy utilise un nom de service légitime, ce qui peux poser souci lors des désinfections via forum.
Lire le post du blog de miekiemoes : http://feeds.feedburner.com/~r/Miekiemo ... usion.html

Détection des fichiers :

La variante mentionnée n'est pas récente... la détection est plutôt excellente (~ 40%).
Néanmoins, d'autres variantes sont en liberté.... %WinDir%\kenny**.exe étant remplacé par un autre nom...
Exemple avec Net-Worm.Win32.Koobface.bm et c:\windows\bolivar19.exe : http://www.f-secure.com/v-descs/net-wor ... e_bm.shtml
%Windows%\fbtre8.exe etc... : http://www.trendmicro.com/vinfo/virusen ... EE&VSect=T
Fichier tinyproxy.exe reçu le 2008.10.15 19:05:15 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 15/36 (41.67%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.16.0 2008.10.15 -
AntiVir 7.9.0.4 2008.10.15 TR/Dropper.Gen
Authentium 5.1.0.4 2008.10.15 W32/NewMalware-Rootkit-PX-based!Maximus
Avast 4.8.1248.0 2008.10.15 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.10.15 BackDoor.Generic10.OYZ
BitDefender 7.2 2008.10.15 -
CAT-QuickHeal 9.50 2008.10.14 -
ClamAV 0.93.1 2008.10.15 -
DrWeb 4.44.0.09170 2008.10.15 Trojan.Corruptor.origin
eSafe 7.0.17.0 2008.10.15 Suspicious File
eTrust-Vet 31.6.6149 2008.10.15 -
Ewido 4.0 2008.10.15 -
F-Prot 4.4.4.56 2008.10.14 W32/NewMalware-Rootkit-PX-based!Maximus
F-Secure 8.0.14332.0 2008.10.15 Suspicious:W32/Malware!Gemini
Fortinet 3.113.0.0 2008.10.15 -
GData 19 2008.10.15 Win32:Trojan-gen {Other}
Ikarus T3.1.1.34.0 2008.10.15 -
K7AntiVirus 7.10.496 2008.10.15 -
Kaspersky 7.0.0.125 2008.10.15 -
McAfee 5405 2008.10.14 Generic BackDoor.m
Microsoft 1.4005 2008.10.15 -
NOD32 3524 2008.10.15 -
Norman 5.80.02 2008.10.15 -
Panda 9.0.0.4 2008.10.15 Suspicious file
PCTools 4.4.2.0 2008.10.15 -
Prevx1 V2 2008.10.15 Malicious Software
Rising 20.66.22.00 2008.10.15 -
SecureWeb-Gateway 6.7.6 2008.10.15 Trojan.Dropper.Gen
Sophos 4.34.0 2008.10.15 Mal/Behav-214
Sunbelt 3.1.1725.1 2008.10.15 -
Symantec 10 2008.10.15 -
TheHacker 6.3.1.0.112 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.15 PAK_Generic.001
VBA32 3.12.8.6 2008.10.14 -
ViRobot 2008.10.15.1421 2008.10.15 -
VirusBuster 4.5.11.0 2008.10.15 -
Information additionnelle
File size: 16384 bytes
MD5...: 7b458d170220ae9c87e4250c387929f0
SHA1..: 340018bffd9b73a6eab8c6358dea349dd50d31a2
Fichier msnstart4.exe reçu le 2008.10.15 19:05:28 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 13/36 (36.12%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.10.16.0 2008.10.15 -
AntiVir 7.9.0.4 2008.10.15 TR/Crypt.PEPM.Gen
Authentium 5.1.0.4 2008.10.15 W32/Injector.A.gen!Eldorado
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.15 -
BitDefender 7.2 2008.10.15 -
CAT-QuickHeal 9.50 2008.10.14 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.10.15 -
DrWeb 4.44.0.09170 2008.10.15 -
eSafe 7.0.17.0 2008.10.15 Suspicious File
eTrust-Vet 31.6.6149 2008.10.15 -
Ewido 4.0 2008.10.15 -
F-Prot 4.4.4.56 2008.10.14 W32/Injector.A.gen!Eldorado
F-Secure 8.0.14332.0 2008.10.15 W32/P2PWorm
Fortinet 3.113.0.0 2008.10.15 -
GData 19 2008.10.15 -
Ikarus T3.1.1.34.0 2008.10.15 Trojan-Downloader.Win32.Nonaco.H
K7AntiVirus 7.10.496 2008.10.15 -
Kaspersky 7.0.0.125 2008.10.15 -
McAfee 5405 2008.10.14 -
Microsoft 1.4005 2008.10.15 -
NOD32 3524 2008.10.15 -
Norman 5.80.02 2008.10.15 W32/P2PWorm
Panda 9.0.0.4 2008.10.15 Suspicious file
PCTools 4.4.2.0 2008.10.15 -
Prevx1 V2 2008.10.15 Malicious Software
Rising 20.66.22.00 2008.10.15 -
SecureWeb-Gateway 6.7.6 2008.10.15 Trojan.Crypt.PEPM.Gen
Sophos 4.34.0 2008.10.15 Mal/Behav-214
Sunbelt 3.1.1725.1 2008.10.15 -
Symantec 10 2008.10.15 -
TheHacker 6.3.1.0.112 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.15 PAK_Generic.001
VBA32 3.12.8.6 2008.10.14 -
ViRobot 2008.10.15.1421 2008.10.15 -
VirusBuster 4.5.11.0 2008.10.15 -
Information additionnelle
File size: 19456 bytes
MD5...: 4a92185ebc4fd6363c7113384dd3e45a
SHA1..: d007739a50d54058bcf56c4fff144245cd8b9184
Les pages des exploits contiennent aussi de fausses pages Facebook qui propose l'installation de l'infection :
Image

Février 2010
Dropper initial :
MD5 : 03e2de352f02c82a0cd73bec1c09b2d7
Date : 2009.12.20 18:26:35 (UTC)
Results : 6/41
Virus Names : W32.Koobface!gen1 TrojWare.Win32.Trojan.Agent.Gen Win32.HLLW.Facebook.358
Permalink : http://www.virustotal.com/analisis/4731 ... 1261333595

The results for index.html?getexe=loader.exe are :
Prevx 3.0 2009.12.20 Medium Risk Malware
Fortinet 4.0.14.0 2009.12.20 W32/Koobface.CSI!worm
PCTools 7.0.3.5 2009.12.20 Net-Worm.Koobface
DrWeb 5.0.0.12182 2009.12.20 Win32.HLLW.Facebook.358
Comodo 3310 2009.12.20 TrojWare.Win32.Trojan.Agent.Gen
Symantec 1.4.4.12 2009.12.20 W32.Koobface!gen1

qui va chercher du monde

Code : Tout sélectionner

1261341916.440   1049 192.168.1.26 TCP_MISS/200 101369 GET http://nippontrading.se/.sys/?getexe=go.exe - DIRECT/91.201.63.143 application/octet-stream
1261341917.073    633 192.168.1.26 TCP_MISS/200 57851 GET http://nippontrading.se/.sys/?getexe=fb.79.exe - DIRECT/91.201.63.143 application/octet-stream
1261341924.668   7274 192.168.1.26 TCP_MISS/200 84475 GET http://nippontrading.se/.sys/?getexe=be.20.exe - DIRECT/91.201.63.143 application/octet-stream
1261341925.593    466 192.168.1.26 TCP_MISS/200 55803 GET http://nippontrading.se/.sys/?getexe=ms.26.exe - DIRECT/91.201.63.143 application/octet-stream
1261341926.945    438 192.168.1.26 TCP_MISS/200 31227 GET http://nippontrading.se/.sys/?getexe=hi.15.exe - DIRECT/91.201.63.143 application/octet-stream
1261341929.523   1192 192.168.1.26 TCP_MISS/200 46075 GET http://nippontrading.se/.sys/?getexe=tg.16.exe - DIRECT/91.201.63.143 application/octet-stream
1261341934.468   3470 192.168.1.26 TCP_MISS/200 47099 GET http://nippontrading.se/.sys/?getexe=tw.07.exe - DIRECT/91.201.63.143 application/octet-stream
1261341936.825    397 192.168.1.26 TCP_MISS/200 22015 GET http://nippontrading.se/.sys/?getexe=v2captcha.exe - DIRECT/91.201.63.143 application/octet-stream
1261341938.302    378 192.168.1.26 TCP_MISS/200 6658 GET http://nippontrading.se/.sys/?getexe=v2googlecheck.exe - DIRECT/91.201.63.143 application/octet-stream
ou :

Code : Tout sélectionner

1261342100.816   2313 192.168.1.26 TCP_MISS/200 101362 GET http://themedallion.net/.sys/?getexe=go.exe - DIRECT/72.9.235.98 application/octet-stream
1261342103.618   1728 192.168.1.26 TCP_MISS/200 57844 GET http://themedallion.net/.sys/?getexe=fb.79.exe - DIRECT/72.9.235.98 application/octet-stream
1261342107.668   3760 192.168.1.26 TCP_MISS/200 84468 GET http://themedallion.net/.sys/?getexe=be.20.exe - DIRECT/72.9.235.98 application/octet-stream
1261342109.771   1870 192.168.1.26 TCP_MISS/200 55796 GET http://themedallion.net/.sys/?getexe=ms.26.exe - DIRECT/72.9.235.98 application/octet-stream
1261342112.593   2275 192.168.1.26 TCP_MISS/200 31220 GET http://themedallion.net/.sys/?getexe=hi.15.exe - DIRECT/72.9.235.98 application/octet-stream
1261342115.915   2132 192.168.1.26 TCP_MISS/200 46068 GET http://themedallion.net/.sys/?getexe=tg.16.exe - DIRECT/72.9.235.98 application/octet-stream
1261342118.159   1775 192.168.1.26 TCP_MISS/200 47092 GET http://themedallion.net/.sys/?getexe=tw.07.exe - DIRECT/72.9.235.98 application/octet-stream
1261342119.561   1242 192.168.1.26 TCP_MISS/200 22008 GET http://themedallion.net/.sys/?getexe=v2captcha.exe - DIRECT/72.9.235.98 application/octet-stream

Code : Tout sélectionner

1261342265.835   1664 192.168.1.26 TCP_MISS/200 22036 GET http://drive.dubaigatehost.com/.sys/?getexe=v2captcha.exe - DIRECT/69.175.58.122 application/octet-stream
1261342267.064    952 192.168.1.26 TCP_MISS/200 6679 GET http://drive.dubaigatehost.com/.sys/?getexe=v2googlecheck.exe - DIRECT/69.175.58.122 application/octet-stream
Probablement d'autres adresses...
Les détections sont meilleurs.

Les fichiers ajoutés :
c:\Program Files\captcha.dll
Date: 12/20/2009 10:33 AM
Size: 17 408 bytes
c:\WINDOWS\010112010146111103.xxe
Date: 12/20/2009 10:33 AM
Size: 2 bytes
c:\WINDOWS\0101120101464850.xxe
Date: 12/20/2009 10:33 AM
Size: 2 bytes
c:\WINDOWS\0101120101465349.xxe
Date: 12/20/2009 10:33 AM
Size: 2 bytes
c:\WINDOWS\0101120101465449.xxe
Date: 12/20/2009 10:33 AM
Size: 2 bytes
c:\WINDOWS\0101120101465450.xxe
Date: 12/20/2009 10:33 AM
Size: 2 bytes
c:\WINDOWS\0101120101465548.xxe
Date: 12/20/2009 10:33 AM
Size: 2 bytes
c:\WINDOWS\0101120101465755.xxe
Date: 12/20/2009 10:33 AM
Size: 2 bytes
c:\WINDOWS\bk23567.dat
Date: 12/20/2009 10:33 AM
Size: 1 bytes
c:\WINDOWS\bx4657.dat
Date: 12/20/2009 10:33 AM
Size: 1 bytes
c:\WINDOWS\freddy79.exe
Date: 12/20/2009 10:33 AM
Size: 57 344 bytes
c:\WINDOWS\hpm2.dat
Date: 12/20/2009 10:33 AM
Size: 1 bytes
c:\WINDOWS\ld16.exe
Date: 12/20/2009 10:33 AM
Size: 39 424 bytes
c:\WINDOWS\mmsmark3.dat
Date: 12/20/2009 10:33 AM
Size: 1 bytes
c:\WINDOWS\rdr_1261334018.exe
Date: 12/20/2009 10:33 AM
Size: 6 144 bytes
c:\WINDOWS\sber20.exe
Date: 12/20/2009 10:33 AM
Size: 83 968 bytes
c:\WINDOWS\tag16.exe
Date: 12/20/2009 10:33 AM
Size: 45 568 bytes
c:\WINDOWS\tgm2.dat
Date: 12/20/2009 10:33 AM
Size: 1 bytes
c:\WINDOWS\tw23567.dat
Date: 12/20/2009 10:33 AM
Size: 1 bytes
c:\WINDOWS\twitty07.exe
Date: 12/20/2009 10:33 AM
Size: 46 592 bytes
Les lignes HiJackThis visibles :
O4 - HKLM\..\Run: [sysldtray] c:\windows\ld16.exe
O4 - HKLM\..\Run: [sysfbtray] c:\windows\freddy79.exe
O4 - HKLM\..\Run: [Captcha7] rundll "C:\Program Files\captcha.dll",captcha
A chaque démarrage de l'ordinateur, une fenêtre bleu s'ouvre "enter both words below", l'utilisateur doit remplir un captcha afin de pouvoir utiliser son ordinateur.
Les auteurs de malwares récupèrent alors les informations afin de pouvoir par la suite cracker ce captcha.

Image

Mars 2010

Un peu de changement...

Code : Tout sélectionner

1268582763.447   1127 192.168.1.27 TCP_MISS/200 15808 GET http://win4u.co.il/.sys/?getexe=v2webserver.exe - DIRECT/80.179.155.151 application/octet-stream
1268582810.672   1392 192.168.1.27 TCP_MISS/200 25024 GET http://win4u.co.il/.sys/?getexe=v2captcha21.exe - DIRECT/80.179.155.151 application/octet-stream
1268582827.333   2170 192.168.1.27 TCP_MISS/200 101816 GET http://win4u.co.il/.sys/?getexe=go.exe - DIRECT/80.179.155.151 application/octet-stream
1268582866.033    990 192.168.1.27 TCP_MISS/200 235 POST http://xtsd20090815.com/adm/index.php - DIRECT/61.235.117.83 text/html
1268582866.705    861 192.168.1.27 TCP_MISS/200 437 POST http://rwcotton.biz/.sys/?action=fbgen&v=103&crc=669 - DIRECT/12.68.140.207 text/html
1268582867.378    648 192.168.1.27 TCP_MISS/200 528 GET http://rwcotton.biz/.sys/?action=fbgen&mode=s&age=22&a=1080276621&v=103&c_fb=0&c_ms=0&ie=6.0.2900.2180 - DIRECT/12.68.140.207 text/html
1268582867.933    477 192.168.1.27 TCP_MISS/200 2065 GET http://lite.facebook.com/p/ - DIRECT/69.63.189.13 text/html
1268582913.832    267 192.168.1.27 TCP_MISS/200 3696 GET http://lite.facebook.com/ - DIRECT/69.63.189.13 text/html
1268583019.747    351 192.168.1.27 TCP_MISS/404 1882 POST http://www.weatherserve.net/.sys/?action=fbgen&v=103&crc=669 - DIRECT/67.228.172.99 text/html
1268583020.360    332 192.168.1.27 TCP_MISS/200 438 POST http://reishus.de/.sys/?action=fbgen&v=103&crc=669 - DIRECT/212.12.112.25 text/html
1268583020.839    259 192.168.1.27 TCP_MISS/200 650 GET http://reishus.de/.sys/?action=ldgen&a=1080276621&v=103&c_fb=1&c_ms=0&ie=6.0.2900.2180 - DIRECT/212.12.112.25 text/html
1268583024.263   2702 192.168.1.27 TCP_MISS/200 221609 GET http://bc-wny.com/.sys/?getexe=p.exe - DIRECT/65.39.133.25 application/octet-stream
268583049.327 181227 192.168.1.27 TCP_MISS/504 1447 GET http://b.static.ak.fbcdn.net/rsrc.php/z19B4/hash/bif6ml3o.js - DIRECT/81.52.160.35 text/html
Les lignes HijackThis :
O4 - HKLM\..\Run: [sysfbtray] c:\windows\bill103.exe
O23 - Service: webserver - Unknown owner - C:\Program Files\webserver\webserver.exe
webserver est le proxy pour récupérer les mots de passe et autres informations.
File 462215 received on 2010.03.13 14:07:04 (UTC)
Current status: finished

Result: 27/42 (64.29%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.03.13 -
AhnLab-V3 5.0.0.2 2010.03.12 -
AntiVir 8.2.1.180 2010.03.12 BDS/Backdoor.Gen
Antiy-AVL 2.0.3.7 2010.03.12 -
Authentium 5.2.0.5 2010.03.13 -
Avast 4.8.1351.0 2010.03.13 Win32:Koobface-AU
Avast5 5.0.332.0 2010.03.13 Win32:Koobface-AU
AVG 9.0.0.787 2010.03.13 Worm/Generic.BANU
BitDefender 7.2 2010.03.13 Gen:Trojan.Heur.GZ.amGfbu9frXn
CAT-QuickHeal 10.00 2010.03.13 Win32.Backdoor.Phdet.gen!A.3
ClamAV 0.96.0.0-git 2010.03.13 Worm.Koobface-156
Comodo 4248 2010.03.13 TrojWare.Win32.TrojanSpy.Agent.~AFE
DrWeb 5.0.1.12222 2010.03.13 -
eSafe 7.0.17.0 2010.03.11 Win32.BDSBackdoor
eTrust-Vet 35.2.7359 2010.03.12 Win32/Koobface.LJ
F-Prot 4.5.1.85 2010.03.12 -
F-Secure 9.0.15370.0 2010.03.13 Gen:Trojan.Heur.GZ.amGfbu9frXn
Fortinet 4.0.14.0 2010.03.13 W32/TinyDL.T
GData 19 2010.03.13 Gen:Trojan.Heur.GZ.amGfbu9frXn
Ikarus T3.1.1.80.0 2010.03.13 -
Jiangmin 13.0.900 2010.03.13 Worm/Palevo.nzo
K7AntiVirus 7.10.996 2010.03.12 -
Kaspersky 7.0.0.125 2010.03.13 P2P-Worm.Win32.Palevo.xfo
McAfee 5918 2010.03.12 New Malware.ai
McAfee+Artemis 5918 2010.03.12 Artemis!D5DB0C2908D0
McAfee-GW-Edition 6.8.5 2010.03.12 Heuristic.LooksLike.Win32.Koobface.B
Microsoft 1.5502 2010.03.12 Trojan:Win32/Koobface.gen!B
NOD32 4940 2010.03.12 a variant of Win32/TrojanProxy.Small.NEB
Norman 6.04.08 2010.03.12 -
nProtect 2009.1.8.0 2010.03.13 -
Panda 10.0.2.2 2010.03.13 Trj/CI.A
PCTools 7.0.3.5 2010.03.13 Downloader.Generic
Prevx 3.0 2010.03.13 Medium Risk Malware Downloader
Rising 22.38.04.03 2010.03.12 -
Sophos 4.51.0 2010.03.13 Mal/TinyDL-T
Sunbelt 5854 2010.03.13 -
Symantec 20091.2.0.41 2010.03.13 Downloader
TheHacker 6.5.2.0.232 2010.03.13 Trojan/Proxy.Small.neb
TrendMicro 9.120.0.1004 2010.03.13 Mal_Koob-2
VBA32 3.12.12.2 2010.03.12 -
ViRobot 2010.3.13.2226 2010.03.13 -
VirusBuster 5.0.27.0 2010.03.12 -
Additional information
File size: 15360 bytes
MD5 : d5db0c2908d025c792231901deeacf42
SHA1 : a945753725b8d8f7484edb735f54cc79e1ef79ed

bill103.exe relance régulièrement les fichiers infectieux via des fichiers avec des noms aléatoires du type :
"C:\Documents and Settings\Mak\Local Settings\Application Data\rdr_1268574709.exe"
Parent process:
Path: c:\WINDOWS\bill103.exe
PID: 1592
Information:
Child process:
Path: C:\Documents and Settings\Mak\Local Settings\Temp\zpskon_1268606813.exe
Information:
Command line:C:\DOCUME~1\Mak\LOCALS~1\Temp\\zpskon_1268606813.exe
On notera aussi la présence d'un nouveau service :
Process:
Path: C:\WINDOWS\system32\services.exe
PID: 692
Information: Applications Services et Contrôleur (Microsoft Corporation)
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\cpqoko6
qui charge une dll ici erokosvc.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cpqoko6]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=str(2):"C:\WINDOWS\system32\svchost.exe -k tapisrvs"
"DisplayName"="Mass Driver Sentinel Service Call Browser Device Packet"
"ObjectName"="LocalSystem"
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cpqoko6\Parameters]
"ServiceDll"=str(2):"C:\WINDOWS\system32\erokosvc.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cpqoko6\Security]
"Security"=hex:xxx

File erokosvc.dll received on 2010.03.14 14:14:36 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 3/42 (7.15%)


Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.03.14 -
AhnLab-V3 5.0.0.2 2010.03.14 -
AntiVir 8.2.1.180 2010.03.12 -
Antiy-AVL 2.0.3.7 2010.03.12 -
Authentium 5.2.0.5 2010.03.13 -
Avast 4.8.1351.0 2010.03.14 -
Avast5 5.0.332.0 2010.03.14 -
AVG 9.0.0.787 2010.03.14 -
BitDefender 7.2 2010.03.14 -
CAT-QuickHeal 10.00 2010.03.13 -
ClamAV 0.96.0.0-git 2010.03.14 -
Comodo 4254 2010.03.14 -
DrWeb 5.0.1.12222 2010.03.14 -
eSafe 7.0.17.0 2010.03.14 -
eTrust-Vet 35.2.7359 2010.03.12 -
F-Prot 4.5.1.85 2010.03.13 -
F-Secure 9.0.15370.0 2010.03.14 -
Fortinet 4.0.14.0 2010.03.13 -
GData 19 2010.03.14 -
Ikarus T3.1.1.80.0 2010.03.14 -
Jiangmin 13.0.900 2010.03.14 -
K7AntiVirus 7.10.997 2010.03.13 -
Kaspersky 7.0.0.125 2010.03.14 -
McAfee 5919 2010.03.13 -
McAfee+Artemis 5919 2010.03.13 -
McAfee-GW-Edition 6.8.5 2010.03.13 -
Microsoft 1.5502 2010.03.12 TrojanProxy:Win32/Koobface.gen!G
NOD32 4943 2010.03.14 -
Norman 6.04.08 2010.03.14 -
nProtect 2009.1.8.0 2010.03.13 -
Panda 10.0.2.2 2010.03.14 Suspicious file
PCTools 7.0.3.5 2010.03.14 -
Prevx 3.0 2010.03.14 -
Rising 22.38.04.03 2010.03.12 -
Sophos 4.51.0 2010.03.14 -
Sunbelt 5877 2010.03.14 -
Symantec 20091.2.0.41 2010.03.14 Suspicious.Insight
TheHacker 6.5.2.0.233 2010.03.13 -
TrendMicro 9.120.0.1004 2010.03.14 -
VBA32 3.12.12.2 2010.03.14 -
ViRobot 2010.3.13.2226 2010.03.13 -
VirusBuster 5.0.27.0 2010.03.13 -
Additional information
File size: 118784 bytes
MD5...: d23aa6d23c41e1654ca495c0d8b164aa
SHA1..: bdb1bc7cd21f0e3b376d44dd0183f1d6594fe69d


et d'un service catpcha :
Process:
Path: C:\WINDOWS\system32\reg.exe
PID: 1392
Information: Outil de Registre de la console (Microsoft Corporation)
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\captcha
Registry value: Type
New value:
Type: REG_DWORD
Value: 00000120
Previous value:
Type: REG_DWORD
Value: 00000020
scan de catpcha.dll :
File 1268486689.captcha.dll received on 2010.03.13 14:19:01 (UTC)
Current status: finished

Result: 17/42 (40.48%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.03.13 -
AhnLab-V3 5.0.0.2 2010.03.12 -
AntiVir 8.2.1.180 2010.03.12 Worm/Koobface.fvz
Antiy-AVL 2.0.3.7 2010.03.12 Worm/Win32.Koobface
Authentium 5.2.0.5 2010.03.13 -
Avast 4.8.1351.0 2010.03.13 -
Avast5 5.0.332.0 2010.03.13 -
AVG 9.0.0.787 2010.03.13 -
BitDefender 7.2 2010.03.13 -
CAT-QuickHeal 10.00 2010.03.13 -
ClamAV 0.96.0.0-git 2010.03.13 Worm.Koobface-118
Comodo 4248 2010.03.13 Backdoor.Win32.PcClient.~a
DrWeb 5.0.1.12222 2010.03.13 -
eSafe 7.0.17.0 2010.03.11 -
eTrust-Vet 35.2.7359 2010.03.12 Win32/Koobface.LL
F-Prot 4.5.1.85 2010.03.12 -
F-Secure 9.0.15370.0 2010.03.13 -
Fortinet 4.0.14.0 2010.03.13 W32/Dloader.O
GData 19 2010.03.13 -
Ikarus T3.1.1.80.0 2010.03.13 -
Jiangmin 13.0.900 2010.03.13 -
K7AntiVirus 7.10.996 2010.03.12 -
Kaspersky 7.0.0.125 2010.03.13 Net-Worm.Win32.Koobface.fvz
McAfee 5918 2010.03.12 -
McAfee+Artemis 5918 2010.03.12 Artemis!177AF17589E6
McAfee-GW-Edition 6.8.5 2010.03.12 Worm.Koobface.fvz
Microsoft 1.5502 2010.03.12 Trojan:Win32/Koobface.gen!J
NOD32 4940 2010.03.12 -
Norman 6.04.08 2010.03.12 -
nProtect 2009.1.8.0 2010.03.13 -
Panda 10.0.2.2 2010.03.13 Trj/CI.A
PCTools 7.0.3.5 2010.03.13 -
Prevx 3.0 2010.03.13 Medium Risk Malware
Rising 22.38.04.03 2010.03.12 Trojan.Win32.Generic.51FAEC00
Sophos 4.51.0 2010.03.13 Mal/DownLdr-O
Sunbelt 5854 2010.03.13 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.03.13 -
TheHacker 6.5.2.0.232 2010.03.13 W32/Koobface.fvz
TrendMicro 9.120.0.1004 2010.03.13 PAK_Generic.001
VBA32 3.12.12.2 2010.03.12 -
ViRobot 2010.3.13.2226 2010.03.13 -
VirusBuster 5.0.27.0 2010.03.12 -
Additional information
File size: 18944 bytes
MD5 : 177af17589e6099605631a481f697315
SHA1 : 30a3d9d341d8cb9fef4708557c8a0a6f619e4232

et enfin un autre driver :
Process:
Path: C:\WINDOWS\system32\services.exe
PID: 692
Information: Applications Services et Contrôleur (Microsoft Corporation)
Driver:
Path: C:\WINDOWS\system32\drivers\imapioko.sys
Information: Filter Audio (Belarc, Inc.)
File imapioko.sys received on 2010.03.14 14:07:25 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 3/42 (7.15%)

Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.03.14 -
AhnLab-V3 5.0.0.2 2010.03.14 -
AntiVir 8.2.1.180 2010.03.12 -
Antiy-AVL 2.0.3.7 2010.03.12 -
Authentium 5.2.0.5 2010.03.13 -
Avast 4.8.1351.0 2010.03.14 -
Avast5 5.0.332.0 2010.03.13 -
AVG 9.0.0.787 2010.03.14 -
BitDefender 7.2 2010.03.14 -
CAT-QuickHeal 10.00 2010.03.13 -
ClamAV 0.96.0.0-git 2010.03.14 -
Comodo 4254 2010.03.14 -
DrWeb 5.0.1.12222 2010.03.14 -
eSafe 7.0.17.0 2010.03.14 -
eTrust-Vet 35.2.7359 2010.03.12 -
F-Prot 4.5.1.85 2010.03.13 -
F-Secure 9.0.15370.0 2010.03.14 -
Fortinet 4.0.14.0 2010.03.13 -
GData 19 2010.03.14 -
Ikarus T3.1.1.80.0 2010.03.14 -
Jiangmin 13.0.900 2010.03.14 -
K7AntiVirus 7.10.997 2010.03.13 -
Kaspersky 7.0.0.125 2010.03.14 -
McAfee 5919 2010.03.13 -
McAfee+Artemis 5919 2010.03.13 -
McAfee-GW-Edition 6.8.5 2010.03.13 -
Microsoft 1.5502 2010.03.12 -
NOD32 4943 2010.03.14 probably a variant of Win32/Tinxy.AU
Norman 6.04.08 2010.03.14 -
nProtect 2009.1.8.0 2010.03.13 -
Panda 10.0.2.2 2010.03.14 -
PCTools 7.0.3.5 2010.03.14 -
Prevx 3.0 2010.03.14 -
Rising 22.38.04.03 2010.03.12 -
Sophos 4.51.0 2010.03.14 Troj/Agent-MNW
Sunbelt 5877 2010.03.14 -
Symantec 20091.2.0.41 2010.03.14 Suspicious.Insight
TheHacker 6.5.2.0.233 2010.03.13 -
TrendMicro 9.120.0.1004 2010.03.14 -
VBA32 3.12.12.2 2010.03.14 -
ViRobot 2010.3.13.2226 2010.03.13 -
VirusBuster 5.0.27.0 2010.03.13 -
Additional information
File size: 32768 bytes
MD5...: 77e328607b8928d1b54941f94c9f4fc8
SHA1..: ea2eadbdabb142e15e66456344aacf8574f7ff48

Koobface effectue des redirections Google, il peut aussi modifier le traffic HTTP via le proxy (par exemple un programme qui doit se connecter à une URL aura la connexion modifiée et une redirection vers une publicité ou autres peut alors se faire).

Les redirections sont font via des connexions à des adresses clic.php suivies de paramètres suivi de moteur de recherche.
ex :

Code : Tout sélectionner

http://77.91.228.48/click.php?c=ec2e2a1e017ace2a3a87a8e8bd00
http://40615.123bounce.com/xtr_new?q=+exe&enk=hokGmabJB6mPsY+Jj6EGsSapj4lGsQep5qlGueY=

Code : Tout sélectionner

http://64.111.212.229/click.php?xxx
http://feed.ndot.com/clickn.php?fb=xxx

Code : Tout sélectionner

http://77.91.228.48/click.php?c=f0190c180f0b9bb2a21f30702501
http://102.skooble.com/xtr_new?q=spyware&enk=RrEHuSaBJ5GPiQbjRuOGgcaJpuMmkcbBprnGkQeR

exemple traffic complet avec le moteur de recherche htxp://www.search.pro/:

Code : Tout sélectionner

1268583666.393     86 192.168.1.27 TCP_MISS/302 906 GET http://www.google.com/ - DIRECT/209.85.229.99 text/html
1268583668.794   1671 192.168.1.27 TCP_MISS/404 410 POST http://www.emo-lesbians.com/.sys/?action=fbgen&v=103&crc=669 - DIRECT/67.55.116.76 text/html
1268583671.662    826 192.168.1.27 TCP_MISS/200 437 POST http://ralphcotton.net/.sys/?action=fbgen&v=103&crc=669 - DIRECT/12.68.140.207 text/html
1268583672.298    631 192.168.1.27 TCP_MISS/200 747 GET http://ralphcotton.net/.sys/?action=ppgen&a=1080276621&v=103&pid=1000 - DIRECT/12.68.140.207 text/html
1268583674.008    429 192.168.1.27 TCP_MISS/302 662 POST http://77.91.228.48/click.php?c=ec2e2a1e017ace2a3a87a8e8bd00 - DIRECT/77.91.228.48 text/html
1268583674.761    480 192.168.1.27 TCP_MISS/200 10084 GET http://40615.123bounce.com/xtr_new?q=+exe&enk=hokGmabJB6mPsY+Jj6EGsSapj4lGsQep5qlGueY= - DIRECT/216.36.248.40 text/html
1268583675.136    285 192.168.1.27 TCP_MISS/200 2196 GET http://40615.123bounce.com/skip.gif - DIRECT/216.36.248.40 image/gif
1268583675.142    291 192.168.1.27 TCP_MISS/200 2927 GET http://40615.123bounce.com/ajax-loader.gif - DIRECT/216.36.248.40 image/gif
1268583675.149    295 192.168.1.27 TCP_MISS/200 2289 GET http://40615.123bounce.com/continue.gif - DIRECT/216.36.248.40 image/gif
1268583675.189    325 192.168.1.27 TCP_MISS/302 1052 GET http://40615.123bounce.com/xtr3_new?sid=41035985&sa=6&p=1&s=40615&qt=1268575277&q=+exe&rf=http%3A%2F%2Fsearchnow2010.com%2F%3Fq%3D.exe&enc=&enk=hokGmabJB6mPsY%2BJj6EGsSapj4lGsQep5qlGueY%3D&xsc=&xsp=&xsm=&xuc=&xcf=&xai=&qxcli=657b8e6798bcab81&qxsi=0a42d223ad494ea5 - DIRECT/216.36.248.40 text/html
1268583675.786    333 192.168.1.27 TCP_MISS/302 448 GET http://ck.ads.affinity.com/ck1?ca=547643cf84464274c193c85adc6a0805dba14d0165fe66c4b539eb1dc53fc672d28680d5a951a3f8b9b71fa2a635a349f021f5908238f60874eca386d182778407edb1ceb20c988c63dc7e7f86db9da23fb04c6073267a27c81cab0fad30d25f008d84b47e1a071ce37d634cff44fdfe78229009cc71cc2b387c869e34c9fbfdadec997d82a1947b&adt=Looking+for+exe&add=Find+%26+Compare+best+deals+in+your+area.+Top+sites+listed.&adr=http%3A%2F%2Fwww.search.pro%2Fresults.php%3Fq%3Dexe%26type%3Dweb%26rs%3D2%26_as%3D172%26sx_kw%3Dexe%26_ass%3D40615%26sx_mkw%3Dexe%26sx_v%3D%7Brandomnumber%7D&axz=cc903412775fcfe155c7554540d7259a&&xsc=12c4172a6aff2f1620d002b442d3724220d002b442d37242&xsp=a181f592d52a04ee&xuc=e3f20c7a0c173c3d275e9659b85c61a2641d99a43821788e36b1f9c94a73fb23&xcf=ea7bacb841de5571&xai=a9641cc74b69ccc2&xsm=336fcdc370322f5a4bfd6c06cc272429 - DIRECT/216.36.248.143 text/html
1268583677.151    171 192.168.1.27 TCP_MISS/200 7272 GET http://searchpro.edgecaching.net/media/js/common_js_min_28_01_2010.js - DIRECT/84.40.33.30 application/x-javascript
1268583677.224    247 192.168.1.27 TCP_MISS/200 19528 GET http://searchpro.edgecaching.net/media/css/css-min-20100128.css - DIRECT/84.40.33.30 text/css
1268583677.343   1206 192.168.1.27 TCP_MISS/200 22351 GET http://www.search.pro/results.php?q=exe&type=web&rs=2&_as=172&sx_kw=exe&_ass=40615&sx_mkw=exe&sx_v=0.02865 - DIRECT/64.26.28.144 text/html
1268583678.012    451 192.168.1.27 TCP_MISS/200 6859 GET http://searchpro.edgecaching.net/media/css/logo_old.gif - DIRECT/84.40.33.30 image/gif
1268583678.041    451 192.168.1.27 TCP_MISS/200 3006 GET http://sxtracking.com/sxm.js - DIRECT/64.26.28.144 application/x-javascript
1268583678.300    144 192.168.1.27 TCP_MISS/200 311 GET http://sxtracking.com/v.png?hr=http%3A%2F%2F40615.123bounce.com%2Fxtr_new%3Fq%3D%2Bexe%26enk%3DhokGmabJB6mPsY%2BJj6EGsSapj4lGsQep5qlGueY%3D&cw=www.search.pro&as=172&ass=40615&q=exe&mq=exe&vc=0.02865&dt=1268575625026 - DIRECT/64.26.28.144 image/png
La partie visible pour l'utilisateur sont ces fenêtres avec les messages : your resquest is loading...
Image


Quelques liens sur le sujet... :
Autre variante mais même principe : http://www.f-secure.com/weblog/archives/00001517.html
Le même malware par email : http://blog.trendmicro.com/facebook-mys ... o-malware/
http://www.kaspersky.com/news?id=207575670
http://sophos.com/pressoffice/news/arti ... ebook.html


et un papier de Trend-Micro sur Koobface.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116318
Inscription : 10 sept. 2005 13:57

Re: Net-Worm.Win32.Koobface sur FaceBook et MySpace

par Malekal_morte »

Nouvelle campagne de vers Koobface qui visent les sites de réseaux sociaux suivants :
  • myyearbook.com
  • bebo.com
  • myspace.com
  • blackplanet.com
  • facebook.com
  • friendster.com
Le vers poste en utilisant le compte du réseau social des commentaires avec des liens malicieux
Image

Image

Quelques exemples de commentaires :
WOW LOLTommy Rockit1 hour ago
it seems that somebody published your private video.
htxp://ofsitesearch.com/go/be.php?ch...

You're very sexy on this vid. i envy you.
htxp://ofthehub.com/go/be.php?ch09f9...

Sexy video with u.
htxp://catshof.com/go/be.php?ch=03cb...

My friend took video with you on cam. You look very nice.
htxp://lemon.lcga.pl?ch=6e6d1dd00487...

Cool new video with you. From my friend.
htxp://yourvideohere.gtb.pl?ch=5b52a...

Haha. is it you there?
htxp://wow.oferujemy.com?ch=2f686414...

Why do you look so stupid? xD See yourself
htxp://go-and-see.8x.pl?ch=461aa6eb3...

Ce vers s'adresse donc comme d'habitude aux internautes qui clicquent sans réfléchir sur n'importe quel lien.

Comme précedemment, on est redirigé vers une fausse page Youtube proposant un fichier flash_update.exe pour soit disant visualiser une vidéo...
Une fois exécuté, l'infection s'installe.
Image

Exemple de scan VirusTotal :
Fichier flash_update.ex_ reçu le 2008.12.09 11:26:59 (CET)
Situation actuelle: terminé
Résultat: 9/38 (23.68%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.12.8.1 2008.12.09 -
AntiVir 7.9.0.43 2008.12.09 -
Authentium 5.1.0.4 2008.12.08 -
Avast 4.8.1281.0 2008.12.08 -
AVG 8.0.0.199 2008.12.08 -
BitDefender 7.2 2008.12.09 -
CAT-QuickHeal 10.00 2008.12.09 -
ClamAV 0.94.1 2008.12.09 -
Comodo 713 2008.12.09 -
DrWeb 4.44.0.09170 2008.12.09 -
eSafe 7.0.17.0 2008.12.08 Suspicious File
eTrust-Vet 31.6.6246 2008.12.05 -
Ewido 4.0 2008.12.08 -
F-Prot 4.4.4.56 2008.12.08 -
F-Secure 8.0.14332.0 2008.12.09 -
Fortinet 3.117.0.0 2008.12.09 -
GData 19 2008.12.09 -
Ikarus T3.1.1.45.0 2008.12.08 -
K7AntiVirus 7.10.549 2008.12.09 -
Kaspersky 7.0.0.125 2008.12.09 -
McAfee 5458 2008.12.08 -
McAfee+Artemis 5458 2008.12.09 Generic!Artemis
Microsoft 1.4205 2008.12.09 Worm:Win32/Koobface.gen!A
NOD32 3675 2008.12.09 a variant of Win32/Koobface.NAO
Norman 5.80.02 2008.12.08 -
Panda 9.0.0.4 2008.12.08 Suspicious file
PCTools 4.4.2.0 2008.12.08 -
Prevx1 V2 2008.12.09 Malicious Software
Rising 21.07.12.00 2008.12.09 -
SecureWeb-Gateway 6.7.6 2008.12.09 -
Sophos 4.36.0 2008.12.09 W32/Koobfa-Gen
Sunbelt 3.1.1832.2 2008.12.01 Worm.Win32.Koobface.G
Symantec 10 2008.12.09 -
TheHacker 6.3.1.2.180 2008.12.09 -
TrendMicro 8.700.0.1004 2008.12.09 PAK_Generic.001
VBA32 3.12.8.10 2008.12.09 -
ViRobot 2008.12.9.1508 2008.12.09 -
VirusBuster 4.5.11.0 2008.12.08 -
Information additionnelle
Tamano archivo: 34304 bytes
MD5...: 376bcdc6478cd96513dd2eb3ba4bc592
SHA1..: d0ef31420ce3a196e1140af90ab749c7b618d0b
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116318
Inscription : 10 sept. 2005 13:57

Re: Net-Worm.Win32.Koobface sur FaceBook et MySpace

par Malekal_morte »

Voir : http://forum.malekal.com/viewtopic.php?f=62&t=18174

KoobFace installe un proxy pour sniffer les connexions et récupérer des mots de passe etc...
Lors de la désinfection, si vous (ou l'antivirus) supprime les fichiers, vous n'aurez plus de connexions tant que vous n'aurez pas désactiver les proxy.
Exemple sur ce topic : http://forum.malekal.com/viewtopic.php?f=3&t=18402

Exemple de lignes ajoutées sur HijackThis, voir aussi : http://forum.malekal.com/viewtopic.php?f=62&t=18174 :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O4 - HKLM\..\Run: [sysftray2] C:\windows\freddy36.exe
O4 - HKCU\..\Run: [dll] dll32
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O4 - HKCU\..\Run: [dll] rundll32 dll32,sm
O4 - HKLM\..\Run: [pp] C:\windows\pp02.exe
Bref vous aurez systématiquement la ligne R1 avec le ProxyServer localhost:7171 et le programme proxy dll32, dll32.sm etc.
Vous devez avoir une seconde ligne (à moins que votre antivirus l'ait bloqué) du style :
O4 - HKLM\..\Run: [sysftray2] C:\windows\freddy36.exe
O4 - HKLM\..\Run: [pp] C:\windows\pp02.exe
O4 - HKLM\..\Run: [sysldtray] c:\windows\ld02.exe
Bref un processus se terminant souvent par deux chiffres.

Vous pouvez fixer les lignes sur HijackThis, cela va désactiver le proxy sur Internet Explorer.
Sur Firefox, Menu Editions / Préférences puis onglet Avancés.
Cliquez sur Réseau et Paramètres.
Choisissez "Ne pas mettre de Proxy".

Pour info, sur Internet Explorer, c'est le menu Outils / Options Internet.
Onglet Connexions puis en bas, vous pouvez désactiver le proxy.

Vous pouvez utiliser Malwarebyte pour désinfecter le PC : https://www.malekal.com/malwarebyte-ant ... les-virus/

En outre, Koobface utilise le principe des Faux Codecs avec des videos érotiques depuis des liens sur des réseaux sociaux (facebook, myspace etc)...

Bref faudrait un peu faire attention sur quoi vous cliquez les gars...
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116318
Inscription : 10 sept. 2005 13:57

Re: Net-Worm.Win32.Koobface sur FaceBook et MySpace

par Malekal_morte »

Juste pour signaler que KoobFace est aussi propagé par des exploits sur des sites WEB mais aussi par des faux codecs non par sur les réseaux sociaux mais sur des sites pornographiques.

Image
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: 272329 helper - {437A43D5-E5C3-4959-BBD0-F2BFB1EDC6FD} - C:\WINDOWS\system32\sysloc\sysloc.dll
O4 - HKLM\..\Run: [sysldtray] c:\windows\ld08.exe
O4 - HKCU\..\Run: [SYSDLL] SYSDLL

Code : Tout sélectionner

1243335973.244    935 192.168.1.25 TCP_MISS/200 9755 GET http://videofx4you1.com/view/1/1190/0 - DIRECT/91.212.65.35 text/html
1243335975.448    396 192.168.1.25 TCP_MISS/302 321 GET http://videofx4you1.com/download/1/1190/0 - DIRECT/91.212.65.35 text/html
1243335975.987    530 192.168.1.25 TCP_MISS/200 15177 GET http://videofx4you1.com/software/17d6ded959/11900/1/Setup.exe - DIRECT/91.212.65.35 application/x-msdownload

Code : Tout sélectionner

1243336469.147    539 192.168.1.25 TCP_MISS/200 239 POST http://main15052009.com/achcheck.php - DIRECT/119.110.107.137 text/html
1243336469.780    573 192.168.1.25 TCP_MISS/200 344 POST http://main15052009.com/ld/gen.php - DIRECT/119.110.107.137 text/html
1243336470.782    827 192.168.1.25 TCP_MISS/200 16359 GET http://www.i-site.ph/1/6244.exe - DIRECT/67.210.126.50 application/octet-stream
1243336472.347   1027 192.168.1.25 TCP_MISS/200 17895 GET http://www.i-site.ph/1/nfr.exe - DIRECT/67.210.126.50 application/octet-stream
1243336475.021    285 192.168.1.25 TCP_MISS/200 297 GET http://85.13.236.154/v50/?v=71&s=I&uid=1353422705&p=11900&ip=&q= - DIRECT/85.13.236.154 text/html
La détection sont en général très bonne.
Fichier Setup.exe reçu le 2009.05.26 11:04:02 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 21/40 (52.5%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.05.26 Net-Worm.Win32.Koobface!IK
AhnLab-V3 5.0.0.2 2009.05.26 -
AntiVir 7.9.0.168 2009.05.26 TR/Downloader.Gen
Antiy-AVL 2.0.3.1 2009.05.26 -
Authentium 5.1.2.4 2009.05.25 W32/Trojan-Sml-SDCW!Eldorado
Avast 4.8.1335.0 2009.05.25 Win32:Koobface-G
AVG 8.5.0.339 2009.05.25 SHeur2.AHUS
BitDefender 7.2 2009.05.26 -
CAT-QuickHeal 10.00 2009.05.26 I-Worm.Koobface.ka
ClamAV 0.94.1 2009.05.26 Worm.Koobface-20
Comodo 1199 2009.05.25 -
DrWeb 5.0.0.12182 2009.05.26 -
eSafe 7.0.17.0 2009.05.24 Suspicious File
eTrust-Vet 31.6.6522 2009.05.26 Win32/Koobface.CK
F-Prot 4.4.4.56 2009.05.25 W32/Trojan-Sml-SDCW!Eldorado
F-Secure 8.0.14470.0 2009.05.26 Net-Worm:W32/Koobface.gen!A
Fortinet 3.117.0.0 2009.05.26 -
GData 19 2009.05.26 Win32:Koobface-G
Ikarus T3.1.1.57.0 2009.05.26 -
K7AntiVirus 7.10.744 2009.05.25 -
Kaspersky 7.0.0.125 2009.05.26 Net-Worm.Win32.Koobface.km
McAfee 5626 2009.05.25 -
McAfee+Artemis 5626 2009.05.25 -
McAfee-GW-Edition 6.7.6 2009.05.26 Trojan.Downloader.Gen
Microsoft 1.4701 2009.05.26 Worm:Win32/Koobface.gen!D
NOD32 4104 2009.05.26 Win32/Koobface.NBG
Norman 6.01.05 2009.05.26 -
nProtect 2009.1.8.0 2009.05.26 -
Panda 10.0.0.14 2009.05.26 -
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.26 Medium Risk Malware
Rising 21.31.12.00 2009.05.26 -
Sophos 4.42.0 2009.05.26 W32/Koobfa-Gen
Sunbelt 3.2.1858.2 2009.05.25 Net-Worm.Win32.Koobface.gen
Symantec 1.4.4.12 2009.05.26 W32.Koobface.A
TheHacker 6.3.4.3.331 2009.05.25 -
TrendMicro 8.950.0.1092 2009.05.26 PAK_Generic.001
VBA32 3.12.10.6 2009.05.26 -
ViRobot 2009.5.26.1752 2009.05.26 -
VirusBuster 4.6.5.0 2009.05.25 -
Information additionnelle
File size: 14848 bytes
MD5...: caad719c11eda6404d48434d74341cc3
SHA1..: 71cc4df73d9119bc086db20e73cd841d3ddb13a6
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116318
Inscription : 10 sept. 2005 13:57

Re: Net-Worm.Win32.Koobface sur FaceBook et MySpace

par Malekal_morte »

Procédure de désinfection de l'infection Net-Worm.Win32.Koobface sur ce lien : https://www.malekal.com/KoobFace.php
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116318
Inscription : 10 sept. 2005 13:57

Re: Net-Worm.Win32.Koobface: http://successfullytowork.net/

par Malekal_morte »

Juste que pour signaler que l'infection Koobface est actuellement responsable de redirections vers la page hxtp://successfullytowork.net/

Le fichier incriminé à l'heure où sont écrites ces lignes est : c:\windows\ld09.exe et rncsys32.exe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116318
Inscription : 10 sept. 2005 13:57

http://webnickgiftnet.com/?q=spyware

par Malekal_morte »

Redirection vers hxxp://webnickgiftnet.com/?q=spyware maintenant...
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116318
Inscription : 10 sept. 2005 13:57

Re: Net-Worm.Win32.Koobface: http://successfullytowork.net/

par Malekal_morte »

Malekal_morte a écrit :Le fichier incriminé à l'heure où sont écrites ces lignes est : c:\windows\ld09.exe et rncsys32.exe
Pour rncsys32.exe, se reporter à la page : https://www.malekal.com/PWS_Win32.Daurs ... 32.exe.php
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116318
Inscription : 10 sept. 2005 13:57

Re: Net-Worm.Win32.Koobface sur FaceBook et MySpace

par Malekal_morte »

Un post sur abuse.ch à propros de Koobface : http://www.abuse.ch/?p=2103
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116318
Inscription : 10 sept. 2005 13:57

Re: Net-Worm.Win32.Koobface sur FaceBook et MySpace

par Malekal_morte »

et un papier de Trend-Micro sur Koobface.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116318
Inscription : 10 sept. 2005 13:57

Re: Net-Worm.Win32.Koobface sur FaceBook et MySpace

par Malekal_morte »

Revient en force :

Code : Tout sélectionner

http://121.167.43.99/d=www.farmingsources.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://173.88.138.241/d=www.ofac.org/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://173.88.138.241/d=www.ontariorabbit.ca/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://174.106.12.102/d=greystoneofellijay.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://174.106.12.102/d=www.fastpitchequipment.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://204.12.237.202/app21.bin - Trend Status : Unrated
http://206.59.71.243/d=dolev-tech.co.il/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://206.59.71.243/d=themarketingroomonline.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://212.76.108.194/d=namestaj-tara.rs/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://24.23.143.241/d=brevard-fl.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://24.23.143.241/d=www.hebamme-hochreiter.at/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://24.3.186.162/d=jotya.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://24.74.128.199/d=www.viducate.net/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://24.9.152.97/d=welovetweet.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://64.4.98.121/d=mcfl-msnl.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://66.31.109.250/d=whybizopsdontwork.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://68.84.239.98/d=casiangeles.co.il/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://69.208.71.138/d=favoritofswissmountain.hu/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://69.208.71.138/d=zapjuice.tv/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://71.15.82.214/d=namestaj-tara.rs/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://71.196.227.200/d=renografica.net/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://71.196.227.200/d=turk-ie.org/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://71.224.160.155/d=ayava.org/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://71.224.160.155/d=chrepro.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://71.224.160.155/d=ddoil.net/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://71.224.160.155/d=www.finsterwald.info/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://71.224.160.155/d=www.seoadder.yoyo.pl/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://74.33.191.167/d=westlafayettelittleleague.org/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://74.76.244.119/d=favoritofswissmountain.hu/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://74.78.121.51/d=www.cshservice.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://75.129.224.205/d=www.fastpitchequipment.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://75.3.120.33/d=1025wynr.net/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://75.73.129.139/d=www.minerandassociates.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://76.123.62.208/d=asdkaey.freehostia.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://76.123.62.208/d=www.timsmurf.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://76.19.22.17/d=1025wynr.net/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://76.208.169.196/d=engravings.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://76.208.169.196/d=newclearenergy.co.za/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://76.208.169.196/d=www.andrewscript.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://76.90.202.232/d=illuminari.net/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://77.124.138.38/d=dynast.110mb.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://77.124.20.87/d=kefaloniataxi.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://77.124.235.106/d=brevard-fl.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://77.124.235.106/d=www.nohurtme.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://77.126.199.36/d=mohammedistechnologies.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://77.126.8.110/d=1025wynr.net/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://77.126.90.183/d=guypacot.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://77.126.90.183/d=www.wael-tv.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://77.127.137.182/d=gxf.co.il/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://77.127.137.182/d=hadsund-jagt.dk/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://77.127.137.182/d=www.rominessheetmetal.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://77.127.233.40/d=ackstone.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://77.127.233.40/d=djjohnlarner.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://77.28.164.146/d=namestaj-tara.rs/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://79.180.38.167/d=tvedebrink.dk/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://79.180.38.167/d=www.ricksmusicstore.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://79.183.23.192/d=namestaj-tara.rs/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://79.183.23.192/d=namestaj-tara.rs/0x3EB/view/console=yes/setup.exe - Trend Status : Unrated
http://79.183.43.54/d=deltaboats.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://83.255.182.150/d=greystoneofellijay.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.0.22.141/d=namestaj-tara.rs/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.0.22.141/d=www.fastpitchequipment.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.108.137.100/d=1025wynr.net/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.108.137.100/d=namestaj-tara.rs/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.108.144.103/d=namestaj-tara.rs/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.108.144.103/d=namestaj-tara.rs/0x3EB/view/console=yes/setup.exe - Trend Status : Unrated
http://84.108.198.143/d=sonavil.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.109.232.102/d=www.nautiqa.com.sg/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.109.7.10/d=lnoa.110mb.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.111.43.88/d=0042e37.netsolhost.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.111.43.88/d=bryk.freehostia.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.111.43.88/d=jotya.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.111.43.88/d=virtusgastecnica.altervista.org/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.111.43.88/d=www.pennine-fp.co.uk/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.111.43.88/d=www.resenboernehave.dk/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.111.43.88/d=www.ristorante-amici.it/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.228.94.31/d=greystoneofellijay.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.229.36.5/d=sharpei.dk/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://84.229.36.5/d=welovetweet.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://85.250.177.106/d=kwin.co.il/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://85.250.177.106/d=tmpu.org/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://86.30.53.84/d=www.baetrequetes-test.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://89.138.139.35/d=kwin.co.il/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://93.173.131.90/d=blood-dreams-forum.xf.cz/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://93.173.131.90/d=www.beefindustryconvention.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://93.173.131.90/d=www.fivestar.ch/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://93.173.131.90/d=www.rominessheetmetal.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://96.19.207.117/d=its-email.co.uk/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://96.19.207.117/d=www.eganelectric.ca/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://96.19.207.117/d=www.its-email.co.uk/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://96.31.193.18/d=www.cachou.ch/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://97.82.35.89/d=casiangeles.co.il/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://97.82.35.89/d=greystoneofellijay.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://97.82.35.89/d=www.ofac.org/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://98.204.87.32/d=benjaminwolf.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://98.213.171.156/d=jotya.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://98.235.240.245/d=www.nohurtme.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://99.155.66.241/d=1025wynr.net/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://99.174.165.58/d=greystoneofellijay.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://99.182.90.49/d=i-hass-di.de/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://99.65.18.1/d=devonhols.co.uk/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://99.65.18.1/d=mohammedistechnologies.com/0x3E8/view/console=yes/setup.exe - Trend Status : Unrated
http://forum.malekal.com/218-225-143-hy ... 23083.html
http://forum.malekal.com/174-176-koobface-t22993.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116318
Inscription : 10 sept. 2005 13:57

Re: Net-Worm.Win32.Koobface sur FaceBook et MySpace

par Malekal_morte »

Les sites utilisés pour les redirections :

Code : Tout sélectionner

http://0042e37.netsolhost.com/video/?go
http://02b475f.netsolhost.com/main/?go
http://1025wynr.net/index.html/?go
http://abid.co.cc/cgi-sys/suspendedpage.cgi?go
http://abid.co.cc/prettydemonstration/?go
http://abwabcs.org/index.html/?go
http://ackstone.com/index.htm/?go
http://alavench.com/prettymovie/?go
http://alcorcanecorso.com/video/?go
http://aquadoro.it/index.php/?go
http://aquaheat.co.za/video/?go
http://asdkaey.freehostia.com/absurdtube/?go
http://ask4training.com/confidentialperformans/?go
http://ayava.org/index.htm/?go
http://bajwa4u.freehostia.com/madtube/?go
http://benjaminwolf.com/index.php/?go
http://blood-dreams-forum.xf.cz/main/?go
http://brainresource.co.il/main/?go
http://brevard-fl.com/index.php/?go
http://bryk.freehostia.com/fantasticmovies/?go
http://buddhatoursnepal.com.np/brutalvideo/?go
http://casiangeles.co.il/index.php/?go
http://chatterbox.vndv.com/main/?go
http://chat-test.hi2.ro/curiousaction/?go
http://chinahousesharpei.dk/index.html/?go
http://chrepro.com/video/?go
http://cshservice.com/main/?go
http://dateaninmate.no/main/?go
http://daveshieldsphotography.com/video/?go
http://ddoil.net/index.htm/?go
http://delemavosbull.com/index.php/?go
http://deltaboats.com/main/?go
http://dentistschoice-fl.com/main/?go
http://devonhols.co.uk/index.html/?go
http://djjohnlarner.com/main/?go
http://dlirk.110mb.com/mainclips/?go
http://dolev-tech.co.il/index.php/?go
http://dollarwin.net/crazymovies/?go
http://dorothycooley.com/925/?go
http://dreammark.freehostia.com/crankyclip/?go
http://dubaicarmelschool.com/main/?go
http://dynast.110mb.com/main/?go
http://e-autosystem.gr/index.php/?go
http://electring.hu/index.html/?go
http://elmanarah.com/video/?go
http://engravings.com/video/?go
http://favoritofswissmountain.hu/index.htm/?go
http://fetzenflieger.at/index.html/?go
http://feuerwehr-zermatt.ch/virtualmovie/?go
http://foamcoat.com/index.html/?go
http://funkymamamusic.com/index.html/?go
http://geneseolibrary.org/main/?go
http://gic09715.gi.funpic.de/delightfulshow/?go
http://greystoneofellijay.com/main/?go
http://guypacot.com/video/?go
http://gxf.co.il/index.php/?go
http://hadsund-jagt.dk/index.html/?go
http://hcgalleri.com/crazyfilm/?go
http://healthylivingtherapy.com/video/?go
http://hypnoticacolectiva.com/alientv/?go
http://hypnoticacolectiva.com/extrimeshow/?go
http://hypnoticacolectiva.com/freevids/?go
http://hypnoticacolectiva.com/publicvideo/?go
http://i-hass-di.de/index.html/?go
http://i-hass-di.de/index.php/?go
http://ilivemusic.co.il/index.htm/?go
http://illuminari.net/703/?go
http://illuminari.net/crucialdemonstration/?go
http://illuminators.com.au/101/?go
http://illuminators.com.au/index.php/?go
http://internethosting.sg/funnyvideo/?go
http://irsko2008.unas.cz/main/?go
http://its-email.co.uk/index.php/?go
http://ixxalp.com/445/?go
http://jotya.com/index.html/?go
http://jotya.com/video/?go
http://justproud2b.com/main/?go
http://kacprzyckim.yoyo.pl/confidentperformans/?go
http://kacprzycki.yoyo.pl/indexdemonstration/?go
http://kefaloniataxi.com/video/?go
http://kwin.co.il/video/?go
http://lnoa.110mb.com/index.htm/?go
http://magneteng.com/index.htm/?go
http://magnumopus.dk/animatedfilms/?go
http://magnumopus.dk/criminalclip/?go
http://manasaglobal.com/bestdemonstration/?go
http://manasaglobal.com/extrimedemonstration/?go
http://mcfl-msnl.com/video/?go
http://miamicaraccessories.com/936/?go
http://miltecit.co.uk/uncensoredfilm/?go
http://miltecit.co.uk/virtualperformans/?go
http://mogi.dk/video/?go
http://mohammedistechnologies.com/index.html/?go
http://motionmediadesign.net/main/?go
http://msnshipping.com.sg/index.html/?go
http://musicplaze.com/main/?go
http://mybasementguy.com/besttube/?go
http://mywear.co.il/index.html/?go
http://namestaj-tara.rs/main/?go
http://newclearenergy.co.za/main/?go
http://onesourcedomestics.com/main/?go
http://onlyatheory.net/index.htm/?go
http://onlysoloads.com/video/?go
http://pakskies.com/commonfilms/?go
http://pattersonsnares.com/main/?go
http://piratedb.net/index.htm/?go
http://plbid.co.uk/delightfulmovie/?go
http://presaddfed.co.uk/index.php/?go
http://reishus.de/763/?go
http://reishus.de/main/?go
http://reishus.de/megavids/?go
http://renografica.net/index.htm/?go
http://ristorante-amici.it/main/?go
http://rocklamanna.com/index.php/?go
http://samariter-haegendorf.ch/index.html/?go
http://scoutsofkaty.com/index.html/?go
http://seoadder.yoyo.pl/candidtv/?go
http://sfighters.yoyo.pl/freevideo/?go
http://sharpei.dk/main/?go
http://she3ah.110mb.com/confidentialclips/?go
http://sigmai.co.il/index.html/?go
http://silberpappel.info/video/?go
http://sindex.co.il/video/?go
http://sinonilimited.com/delightfulvideo/?go
http://slavia2006.yoyo.pl/megaaction/?go
http://smartspider.co.il/video/?go
http://sonavil.com/video/?go
http://sutekh.su.ohost.de/index.php/?go
http://test-scriptv1.hi2.ro/confidentialclip/?go
http://themarketingroomonline.com/index.htm/?go
http://theshipmangroup.com/index.htm/?go
http://tlangthaler.tl.funpic.de/index.html/?go
http://tmpu.org/video/?go
http://traffichits247.com/main/?go
http://tufotografo.com/wonderfulclip/?go
http://turcar0.freehostia.com/alienvids/?go
http://turk-ie.org/index.html/?go
http://tvedebrink.dk/video/?go
http://virtusgastecnica.altervista.org/video/?go
http://voltax.dk/amaizingvideo/?go
http://welovetweet.com/video/?go
http://westlafayettelittleleague.org/index.htm/?go
http://whybizopsdontwork.com/index.php/?go
http://wmills.net/main/?go
http://www.4content.ch/video/?go
http://www.agapebowling.com/uncensoredvideo/?go
http://www.andrewscript.com/main/?go
http://www.aphasie.org/main/?go
http://www.azgmbh.ch/crazymovie/?go
http://www.baetrequetes-test.com/video/?go
http://www.barrywilsonministries.com/video/?go
http://www.barrywilsonministries.com/virtualdemonstration/?go
http://www.beefindustryconvention.com/index.html/?go
http://www.cachou.ch/animateddemonstration/?go
http://www.cachou.ch/classicvideo/?go
http://www.cachou.ch/curiousshow/?go
http://www.cetintransport.com/uncensoredtube/?go
http://www.chateaudecoisse.com/animatedfilm/?go
http://www.cshservice.com/main/?go
http://www.eganelectric.ca/main/?go
http://www.eom.it/crucialmovies/?go
http://www.eom.it/main/?go
http://www.farmingsources.com/index.html/?go
http://www.fastpitchequipment.com/index.htm/?go
http://www.finsterwald.info/uncensoredperformans/?go
http://www.fivestar.ch/index.htm/?go
http://www.fivestar.ch/index.php/?go
http://www.hebamme-hochreiter.at/index.php/?go
http://www.hemix.co.za/crankytv/?go
http://www.hit-now.com/b69.php?goto=_blank
http://www.its-email.co.uk/index.php/?go
http://www.kacprzyckim.yoyo.pl/confidentperformans/?go
http://www.kacprzycki.yoyo.pl/indexdemonstration/?go
http://www.ljleibnitz.at/index.html/?go
http://www.miamicaraccessories.com/249/?go
http://www.minerandassociates.com/main/?go
http://www.nautiqa.com.sg/index.htm/?go
http://www.nohurtme.com/index.html/?go
http://www.ofac.org/video/?go
http://www.oneononeprop.co.za/delightfulshow/?go
http://www.ontariorabbit.ca/video/?go
http://www.oyfontario.ca/main/?go
http://www.patrickcadona.com/main/?go
http://www.pennine-fp.co.uk/cooltube/?go
http://www.piratedb.net/index.htm/?go
http://www.ramsco-env.com/main/?go
http://www.resenboernehave.dk/index.html/?go
http://www.ricksmusicstore.com/main/?go
http://www.ristorante-amici.it/main/?go
http://www.rominessheetmetal.com/main/?go
http://www.rrmachinetool.com/video/?go
http://www.seoadder.yoyo.pl/candidtv/?go
http://www.sfighters.yoyo.pl/freevideo/?go
http://www.slavia2006.yoyo.pl/megaaction/?go
http://www.sound2vision.dk/main/?go
http://www.teamzobbe.dk/index.html/?go
http://www.thepromoemail.com/privateclips/?go
http://www.timsmurf.com/crazydvd/?go
http://www.tomsmassagepraxis.at/441/?go
http://www.tomsmassagepraxis.at/536/?go
http://www.usenet4all.ch/main/?go
http://www.viducate.net/video/?go
http://www.villa-azur-djb.com/commonfilm/?go
http://www.wael-tv.com/video/?go
http://www.wawaloam.com/video/?go
http://www.weatherserve.net/video/?go
http://www.zanzibarnelpallone.com/main/?go
http://www.zs1maje-km.cz/video/?go
http://xboat.net/video/?go
http://zanzibarnelpallone.com/main/?go
http://zapjuice.tv/video/?go
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116318
Inscription : 10 sept. 2005 13:57

Re: Net-Worm.Win32.Koobface sur FaceBook et MySpace

par Malekal_morte »

Ajout du paragraphe mars 2010 au sujet initial.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »