Antivirus 2010

MalwareBot · par **MalwareBot** » 02 oct. 2010 16:04

Antivirus 2010 est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware pour soit disant désinfecter votre ordinateur.

Pour supprimer le rogue suivre les indications de la page suivante : http://forum.malekal.com/supprimer-les- ... t5472.html

Le fond d'écran est modifié avec le message rouge "Your System is infected!".
Au démarrage une popup se lance au démarrage avec le message "Your computer is making unauthorized copies of your system and Internet files.
You should imidatly run full scan your system to prevent any unauthorized access to your data.

Click Yes to run Antivirus scaner right now".

Informations et suppression de Antivirus 2010

Voici quelques éléments d'informations concernant l'infection du rogue Antivirus 2010 qui peut poser des problèmes.

L'infection est composé :

d'un service userinit qui lance un fichier C:\Windows\system32\us?rinit.exe (noté le ?) - L'explorateur de fichier ne permet pas d'afficher les fichiers unicode. Ce fichier est le rogue en lui même.
d'un driver type Trojan.KillAV qui empêche l'execution des antivirus et divers fix - le nom change selon les variantes (mvb35316, vbmab2ea, cxrua9f8 etc).
une dll ms*.dll

voici la liste des fichiers :

c:\WINDOWS\system32\msofirvv.dll
Date: 8/19/2004 5:09 PM
Size: 273 856 bytes
c:\WINDOWS\system32\us?rinit.exe
Date: 8/19/2004 5:10 PM
Size: 147 456 bytes
c:\WINDOWS\system32\drivers\vbmab2ea.sys
Date: 8/19/2004 5:09 PM
Size: 16 384 bytes

Le rogue est présent dans ajout/suppression de programmes.
Cela désinstalle le rogue avec les alertes mais ne supprime pas le driver qui bloque les antivirus).

La commande lancée est : \\.\globalroot\systemroot\system32\us?rinit.exe /uninstall

Comme le montre la vidéo suivante, supprimer le driver (Trojan.KillAV) ne suffit pas puisque ce dernier trifouille les permissions des executables, on obtient alors des messages du type :

Supprimer Antivirus 2010

La procédure de suppression consiste à :

Désinstaller le rogue.
Supprimer le service du driver malicieux et redémarrer (il ne sera plus actif) - GMER permet de le faire aisement.
Remettre les permissions sur les executables des antivirus afin de rendre leur execution possible

La vidéo suivante vous montre comment faire :

Quelques remarques sur la vidéo :

La suppression du driver peut se faire à partir d'un CD Live type OTLPE ou CD Live de scan Antivirus comme : Antivir Rescue System.
Par défaut, les options de partage simple ne sont pas disponibles sur XP Home. Pour ajouter le partage simple sur XP Home :
- Téléchargez ce fichier ftp://ftp.microsoft.com/bussys/winnt/wi ... cesp4i.exe (mirroir : http://download.microsoft.com/msdownloa ... cesp4i.exe)
- Décompressez le fichier en executant
- Faites un clic droit sur Setup.inf puis Installer
- Répondre Non à tous sur les fenêtres.
- Redémarrez l'ordinateur

Il est aussi possible d'utiliser cacls - exemple pour remettre les droits sur procexp.exe

C:\Documents and Settings\Mak\Bureau>cacls procexp.exe /P "Tout le monde:F"
Êtes-vous sûr (O/N) ?o
fichier traité : C:\Documents and Settings\Mak\Bureau\procexp.exe

Hey malware guyz ! I really like This One !

EDIT JANVIER 2011 SUR LA SUPRESSION

Le malware ajoute une DLL qui permet de remettre en place le rootkit (et sa clef service).
Exemple sur cette variante : http://forum.malekal.com/http-yengclod- ... 30762.html

La DLL ajoutée :

c:\WINDOWS\WinSxS\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909\shsvcs.dll
Date: 5/6/2010 6:07 PM
Size: 8 704 bytes

La clef suivante est modifiée afin de la charger :

HKEY_CLASSES_ROOT\CLSID\{4FA18276-912A-11D1-AD9B-00C04FD8FDFF}\InprocServer32 "(Default)"
Old type: REG_SZ
New type: REG_EXPAND_SZ
Old data: C:\WINDOWS\System32\wbem\wbemcore.dll
New data: winSxS\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909\shsvcs.dll

L'emplacement est aléatoire et est déterminé par la clef : c:\WINDOWS\WinSxS\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909\

Détection du fichier :
http://www.virustotal.com/file-scan/rep ... 1292788473

File name: shsvcs.dll
Submission date: 2010-12-19 19:54:33 (UTC)
Current status: finished
Result: 29 /43 (67.4%)

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.12.20.00 2010.12.19 Trojan/Win32.PMax
AntiVir 7.11.0.84 2010.12.19 TR/Sirefef.F
Antiy-AVL 2.0.3.7 2010.12.19 Trojan/Win32.PMax.gen
Avast 4.8.1351.0 2010.12.19 -
Avast5 5.0.677.0 2010.12.19 -
AVG 9.0.0.851 2010.12.19 -
BitDefender 7.2 2010.12.19 Rootkit.Sirefef.D
CAT-QuickHeal 11.00 2010.12.19 Trojan.PMax.l
ClamAV 0.96.4.0 2010.12.19 -
Command 5.2.11.5 2010.12.19 -
Comodo 7119 2010.12.19 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.12.19 -
Emsisoft 5.1.0.1 2010.12.19 Trojan.Win32.PMax!IK
eSafe 7.0.17.0 2010.12.19 Win32.GenHeur.Hype.A
eTrust-Vet 36.1.8048 2010.12.17 -
F-Prot 4.6.2.117 2010.12.19 -
F-Secure 9.0.16160.0 2010.12.19 Rootkit.Sirefef.D
Fortinet 4.2.254.0 2010.12.19 W32/PMax.L!tr
GData 21 2010.12.19 Rootkit.Sirefef.D
Ikarus T3.1.1.90.0 2010.12.19 Trojan.Win32.PMax
Jiangmin 13.0.900 2010.12.19 Trojan/PMax.c
K7AntiVirus 9.73.3286 2010.12.18 -
Kaspersky 7.0.0.125 2010.12.19 Trojan.Win32.PMax.l
McAfee 5.400.0.1158 2010.12.19 Generic.dx!uyi
McAfee-GW-Edition 2010.1C 2010.12.19 Generic.dx!uyi
Microsoft 1.6402 2010.12.19 Trojan:Win32/Sirefef.F
NOD32 5716 2010.12.19 probably a variant of Win32/Kryptik.YQ
Norman 6.06.12 2010.12.19 W32/Crypt.ATWZ
nProtect 2010-12-19.01 2010.12.19 -
Panda 10.0.2.7 2010.12.19 Generic Trojan
PCTools 7.0.3.5 2010.12.19 Trojan.Gen
Prevx 3.0 2010.12.19 Medium Risk Malware
Rising 22.78.05.00 2010.12.19 -
Sophos 4.60.0 2010.12.19 Mal/Generic-L
SUPERAntiSpyware 4.40.0.1006 2010.12.19 -
Symantec 20101.3.0.103 2010.12.19 Trojan.Gen.2
TheHacker 6.7.0.1.101 2010.12.15 -
TrendMicro 9.120.0.1004 2010.12.19 TROJ_GEN.R42C1KR
TrendMicro-HouseCall 9.120.0.1004 2010.12.19 TROJ_GEN.R42C1KR
VBA32 3.12.14.2 2010.12.17 Trojan.PMax.l
VIPRE 7721 2010.12.19 Trojan.Win32.Generic!BT
ViRobot 2010.12.18.4208 2010.12.19 -
VirusBuster 13.6.102.0 2010.12.19 Trojan.PMax!M2UYdefnRIA
Additional information
Show all
MD5 : 9d5476b69e2208bf90de9564f98d14af
SHA1 : 44fb74eb3a5800fb715eaf17f56623c392289239
SHA256: 94cf252ca199f9f576ef123fdeaf34c0c00633c9d9c064c3abff7b63b8e6ab74

Il est recommandé, suite à une modification de l'infection de procéder ainsi :

Sur le service du rootkit en rouge, faites un clic droit puis Disable Service.
Redémarrer l'ordinateur
Renommer le driver du rootkit : C:\Windows\System32\Drivers\vbmab2ea.sys => C:\Windows\System32\Drivers\vbmab2ea.old
Renommer : c:\WINDOWS\WinSxS\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909\shsvcs.dll en shsvcs.old (bien entendu, l'emplacement de la clef est aléatoire et déterminé par la clef HKEY_CLASSES_ROOT\CLSID\{4FA18276-912A-11D1-AD9B-00C04FD8FDFF}\InprocServer32).
Redémarrez l'ordinateur
Effectuez un scan de désinfection.

RogueKiller peut faire le boulot :

par **Malekal_morte** » 02 oct. 2010 16:05

Voici un exemple de détection d'un driver type Trojan.KillAV bloquant les antivirus.

http://www.virustotal.com/file-scan/rep ... 1285984430

File name:
mvb35316.sys
Submission date:
2010-10-02 01:53:50 (UTC)
Current status:
finished
Result:
7 /43 (16.3%)

VT Community

malware
Safety score: 0.0%
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.10.02.00 2010.10.01 -
AntiVir 7.10.12.111 2010.10.01 -
Antiy-AVL 2.0.3.7 2010.10.02 -
Authentium 5.2.0.5 2010.10.01 -
Avast 4.8.1351.0 2010.10.01 -
Avast5 5.0.594.0 2010.10.01 -
AVG 9.0.0.851 2010.10.01 -
BitDefender 7.2 2010.10.02 Rootkit.KillAV.D
CAT-QuickHeal 11.00 2010.10.01 -
ClamAV 0.96.2.0-git 2010.10.02 -
Comodo 6260 2010.10.01 -
DrWeb 5.0.2.03300 2010.10.02 -
Emsisoft 5.0.0.50 2010.10.01 -
eSafe 7.0.17.0 2010.09.30 -
eTrust-Vet 36.1.7888 2010.10.01 -
F-Prot 4.6.2.117 2010.10.01 -
F-Secure 9.0.15370.0 2010.10.01 Rootkit.KillAV.D
Fortinet 4.1.143.0 2010.09.30 -
GData 21 2010.10.02 Rootkit.KillAV.D
Ikarus T3.1.1.90.0 2010.10.01 -
Jiangmin 13.0.900 2010.10.01 -
K7AntiVirus 9.63.2657 2010.10.01 -
Kaspersky 7.0.0.125 2010.10.02 -
McAfee 5.400.0.1158 2010.10.02 -
McAfee-GW-Edition 2010.1C 2010.10.01 -
Microsoft 1.6201 2010.10.02 -
NOD32 5496 2010.10.01 Win32/Rootkit.Agent.NTT
Norman 6.06.07 2010.10.01 W32/KillAV.MQF
nProtect 2010-10-01.02 2010.10.01 -
Panda 10.0.2.7 2010.10.01 Adware/Antivirus2010
PCTools 7.0.3.5 2010.10.02 -
Prevx 3.0 2010.10.02 -
Rising 22.67.02.07 2010.09.30 -
Sophos 4.58.0 2010.10.02 -
Sunbelt 6961 2010.10.02 -
SUPERAntiSpyware 4.40.0.1006 2010.10.02 -
Symantec 20101.2.0.161 2010.10.01 WS.Reputation.1
TheHacker 6.7.0.1.045 2010.10.02 -
TrendMicro 9.120.0.1004 2010.10.01 -
TrendMicro-HouseCall 9.120.0.1004 2010.10.02 -
VBA32 3.12.14.1 2010.10.01 -
ViRobot 2010.8.31.4017 2010.10.01 -
VirusBuster 12.66.10.0 2010.10.01 -
Additional information
Show all
MD5 : dc993837129a691cfe842f04c87b91fb
SHA1 : 0b19c916efedebdba696f83e6843ec1386797387
SHA256: 69213732adb04068b0c59ca9d10ea531ba1b91bb0423c17227ecbd75f2cdd22b

L'infection s'accompagne aussi de fichiers de type msn*dll - exemple :
C:\WINDOWS\System32\msnnxxyb.dll
C:/WINDOWS/system32/msnokaxz.dll

par **Malekal_morte** » 15 nov. 2010 10:58

Un pack sympa : http://forum.malekal.com/http-vvwvvwvv- ... 29733.html

Le dropper lance trois fichiers exe1.exe, exe2.exe exe3.exe qui droppent le reste :

Parent process:
Path: C:\Documents and Settings\Mak\Bureau\tmp\virii\5020449b0a654a995082d6f951697b2b.exe
PID: 436
Child process:
Path: C:\WINDOWS\system32\exe1.exe
Information: Windows Host Process
Command line:"C:\WINDOWS\system32\exe1.exe"

L'infection du moment svchost.exe et shell.exe avec son proxy.
Déjà vu là : http://forum.malekal.com/faux-codec-fre ... 29543.html

Process:
Path: C:\WINDOWS\system32\exe1.exe
PID: 572
Information: Windows Host Process
Registry Group: Machine AutoRun
Object:
Registry key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Registry value: svchost
Type: REG_SZ
Value: C:\Documents and Settings\Mak\Application Data\Microsoft\svchost.exe

Process:
Path: C:\WINDOWS\system32\exe1.exe
PID: 572
Information: Windows Host Process
Registry Group: IE Settings
Object:
Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Registry value: ProxyEnable
New value:
Type: REG_DWORD
Value: 00000001
Previous value:
Type: REG_DWORD
Value: 00000000

Parent process:
Path: C:\Documents and Settings\Mak\Bureau\tmp\virii\5020449b0a654a995082d6f951697b2b.exe
PID: 436
Child process:
Path: C:\WINDOWS\system32\exe3.exe
Information: Security AntiVirus
Command line:"C:\WINDOWS\system32\exe3.exe"

Process:
Path: C:\WINDOWS\system32\exe1.exe
PID: 572
Information: Windows Host Process
Registry Group: IE Settings
Object:
Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Registry value: ProxyServer
Type: REG_SZ
Value: http=127.0.0.1:50370

Trojan.Zbot / Zeus :

Process:
Path: C:\WINDOWS\system32\exe2.exe
PID: 624
Registry Group: Winlogon
Object:
Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Registry value: userinit
New value:
Type: REG_SZ
Value: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Previous value:
Type: REG_SZ
Value: C:\WINDOWS\system32\userinit.exe,

Parent process:
Path: C:\WINDOWS\system32\exe1.exe
PID: 852
Information: Windows Host Process
Child process:
Path: C:\Documents and Settings\Mak\Application Data\Microsoft\Windows\shell.exe
Information: MS Shell
Command line:"C:\Documents and Settings\Mak\Application Data\Microsoft\Windows\shell.exe"

Antivirus 2010 :

Process:
Path: C:\WINDOWS\system32\exe3.exe
PID: 1152
Information: Security AntiVirus
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\userinit

Process:
Path: C:\Documents and Settings\Mak\Application Data\Microsoft\Windows\shell.exe
PID: 192
Information: MS Shell
Registry Group: System
Object:
Registry key: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Registry value: Shell
Type: REG_SZ
Value: explorer.exe,C:\Documents and Settings\Mak\Application Data\Microsoft\Windows\shell.exe

et le Trojan.KillAV qui va avec Antivirus 2010 :

Process:
Path: C:\WINDOWS\system32\svchost.exe
PID: 764
Information: Generic Host Process for Win32 Services (Microsoft Corporation)
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\vbmab2ea

Ce qui donne sur HijackThis :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:50370
F3 - REG:win.ini: load=C:\DOCUME~1\Mak\LOCALS~1\Temp\dwm.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O4 - HKLM\..\Run: [svchost] C:\Documents and Settings\Mak\Application Data\Microsoft\svchost.exe

--

Quelques détections :

exe2.exe
Submission date: 2010-11-15 09:48:45 (UTC)
Current status: queued (#8) queued (#8) analysing finished
Result: 11/ 43 (25.6%)

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.15.00 2010.11.14 -
AntiVir 7.10.13.239 2010.11.15 -
Antiy-AVL 2.0.3.7 2010.11.15 -
Authentium 5.2.0.5 2010.11.15 -
Avast 4.8.1351.0 2010.11.15 Win32:Trojan-gen
Avast5 5.0.594.0 2010.11.15 Win32:Trojan-gen
AVG 9.0.0.851 2010.11.15 -
BitDefender 7.2 2010.11.15 Trojan.Generic.KD.65798
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.15 -
Comodo 6725 2010.11.15 Heur.Packed.Unknown
DrWeb 5.0.2.03300 2010.11.15 -
Emsisoft 5.0.0.50 2010.11.15 Virus.Win32.VBInject.DO!IK
eSafe 7.0.17.0 2010.11.14 -
eTrust-Vet 36.1.7976 2010.11.15 -
F-Prot 4.6.2.117 2010.11.15 -
F-Secure 9.0.16160.0 2010.11.15 Trojan.Generic.KD.65798
Fortinet 4.2.249.0 2010.11.14 -
GData 21 2010.11.15 Trojan.Generic.KD.65798
Ikarus T3.1.1.90.0 2010.11.15 Virus.Win32.VBInject.DO
Jiangmin 13.0.900 2010.11.15 -
K7AntiVirus 9.67.2973 2010.11.12 -
Kaspersky 7.0.0.125 2010.11.15 -
McAfee 5.400.0.1158 2010.11.15 -
McAfee-GW-Edition 2010.1C 2010.11.15 -
Microsoft 1.6301 2010.11.15 VirTool:Win32/VBInject.gen!DO
NOD32 5620 2010.11.15 -
Norman 6.06.10 2010.11.14 -
nProtect 2010-11-15.01 2010.11.15 Trojan.Generic.KD.65798
Panda 10.0.2.7 2010.11.14 Suspicious file
PCTools 7.0.3.5 2010.11.15 -
Prevx 3.0 2010.11.15 -
Rising 22.73.06.01 2010.11.15 -
Sophos 4.59.0 2010.11.15 -
Sunbelt 7314 2010.11.15 -
SUPERAntiSpyware 4.40.0.1006 2010.11.15 -
Symantec 20101.2.0.161 2010.11.15 -
TheHacker 6.7.0.1.083 2010.11.15 -
TrendMicro 9.120.0.1004 2010.11.14 -
TrendMicro-HouseCall 9.120.0.1004 2010.11.15 -
VBA32 3.12.14.2 2010.11.15 -
ViRobot 2010.11.15.4147 2010.11.15 -
VirusBuster 12.75.3.0 2010.11.14 -
Additional information
Show all
MD5 : ed3eb9888f9ed7bf61ad22478fb62f5f
SHA1 : f221cc8a10178b277076a7d1c874fdb326ef6dd3
SHA256: 06e7d796e50a3bc247f5a80da54d83eb871d805fe026ef3d0db306a49c1160a8

Submission date: 2010-11-15 09:48:38 (UTC)
Current status: queued (#4) queued (#4) analysing finished
Result: 7/ 43 (16.3%)

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.15.00 2010.11.14 -
AntiVir 7.10.13.239 2010.11.15 -
Antiy-AVL 2.0.3.7 2010.11.15 -
Authentium 5.2.0.5 2010.11.15 -
Avast 4.8.1351.0 2010.11.15 Win32:Trojan-gen
Avast5 5.0.594.0 2010.11.15 Win32:Trojan-gen
AVG 9.0.0.851 2010.11.15 -
BitDefender 7.2 2010.11.15 Trojan.Generic.KD.65798
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.15 -
Comodo 6725 2010.11.15 -
DrWeb 5.0.2.03300 2010.11.15 -
Emsisoft 5.0.0.50 2010.11.15 -
eSafe 7.0.17.0 2010.11.14 -
eTrust-Vet 36.1.7976 2010.11.15 -
F-Prot 4.6.2.117 2010.11.15 -
F-Secure 9.0.16160.0 2010.11.15 Trojan.Generic.KD.65798
Fortinet 4.2.249.0 2010.11.14 -
GData 21 2010.11.15 Trojan.Generic.KD.65798
Ikarus T3.1.1.90.0 2010.11.15 -
Jiangmin 13.0.900 2010.11.15 -
K7AntiVirus 9.67.2973 2010.11.12 -
Kaspersky 7.0.0.125 2010.11.15 -
McAfee 5.400.0.1158 2010.11.15 -
McAfee-GW-Edition 2010.1C 2010.11.15 -
Microsoft 1.6301 2010.11.15 VirTool:Win32/VBInject.gen!DO
NOD32 5620 2010.11.15 -
Norman 6.06.10 2010.11.14 -
nProtect 2010-11-15.01 2010.11.15 Trojan.Generic.KD.65798
Panda 10.0.2.7 2010.11.14 -
PCTools 7.0.3.5 2010.11.15 -
Prevx 3.0 2010.11.15 -
Rising 22.73.06.01 2010.11.15 -
Sophos 4.59.0 2010.11.15 -
Sunbelt 7314 2010.11.15 -
SUPERAntiSpyware 4.40.0.1006 2010.11.15 -
Symantec 20101.2.0.161 2010.11.15 -
TheHacker 6.7.0.1.083 2010.11.15 -
TrendMicro 9.120.0.1004 2010.11.14 -
TrendMicro-HouseCall 9.120.0.1004 2010.11.15 -
VBA32 3.12.14.2 2010.11.15 -
ViRobot 2010.11.15.4147 2010.11.15 -
VirusBuster 12.75.3.0 2010.11.14 -
Additional information
Show all
MD5 : c04f341319e295ee05cb9457ccd66dcd
SHA1 : f1a309752b3d703afcb50a614e207af51e521103
SHA256: b7cd5c70e32968390d054303bcdab24690e905936b0ea17275cbd82234f0f5b9

File name: svchost.exe
Submission date: 2010-11-15 09:34:11 (UTC)
Current status: queued queued analysing finished
Result: 3/ 43 (7.0%)

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.15.00 2010.11.14 -
AntiVir 7.10.13.239 2010.11.15 -
Antiy-AVL 2.0.3.7 2010.11.15 -
Authentium 5.2.0.5 2010.11.15 -
Avast 4.8.1351.0 2010.11.14 -
Avast5 5.0.594.0 2010.11.14 -
AVG 9.0.0.851 2010.11.15 -
BitDefender 7.2 2010.11.15 -
CAT-QuickHeal 11.00 2010.11.09 -
ClamAV 0.96.4.0 2010.11.15 -
Comodo 6725 2010.11.15 -
DrWeb 5.0.2.03300 2010.11.15 Trojan.Siggen2.8259
Emsisoft 5.0.0.50 2010.11.15 -
eSafe 7.0.17.0 2010.11.14 -
eTrust-Vet 36.1.7976 2010.11.15 -
F-Prot 4.6.2.117 2010.11.15 -
F-Secure 9.0.16160.0 2010.11.15 -
Fortinet 4.2.249.0 2010.11.14 -
GData 21 2010.11.15 -
Ikarus T3.1.1.90.0 2010.11.15 -
Jiangmin 13.0.900 2010.11.15 -
K7AntiVirus 9.67.2973 2010.11.12 -
Kaspersky 7.0.0.125 2010.11.15 -
McAfee 5.400.0.1158 2010.11.15 -
McAfee-GW-Edition 2010.1C 2010.11.15 -
Microsoft 1.6301 2010.11.15 -
NOD32 5619 2010.11.14 a variant of Win32/Kryptik.IDZ
Norman 6.06.10 2010.11.14 -
nProtect 2010-11-15.01 2010.11.15 -
Panda 10.0.2.7 2010.11.14 -
PCTools 7.0.3.5 2010.11.15 -
Prevx 3.0 2010.11.15 -
Rising 22.73.06.01 2010.11.15 -
Sophos 4.59.0 2010.11.15 -
Sunbelt 7314 2010.11.15 -
SUPERAntiSpyware 4.40.0.1006 2010.11.15 Trojan.Agent/Gen-Fuffan
Symantec 20101.2.0.161 2010.11.15 -
TheHacker 6.7.0.1.083 2010.11.15 -
TrendMicro 9.120.0.1004 2010.11.14 -
TrendMicro-HouseCall 9.120.0.1004 2010.11.15 -
VBA32 3.12.14.2 2010.11.15 -
ViRobot 2010.11.15.4147 2010.11.15 -
VirusBuster 12.75.3.0 2010.11.14 -
Additional information
Show all
MD5 : 67575761f79b41d52e9960ee0db244ee
SHA1 : 41d323d65d48e493d592b2d5500c3f2661e9761b
SHA256: 1a1211c4b455dd54402cc9a71ce593780e2281e2813730681e06b4b50a6b1699

par **Malekal_morte** » 28 nov. 2010 13:26

Le rogue ainsi que le fond d'écran Hijacké sont maintenant en français : "Votre système a été infecté!"

On notera les fautes et les phrases qui veulent rien dire qui montre l'utilisation d'un traducteur automatique.

par **Malekal_morte** » 04 janv. 2011 16:30

Edition du post original pour intéger la DLL Rootkit.Sirefef.D :

c:\WINDOWS\WinSxS\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909\shsvcs.dll
Date: 5/6/2010 6:07 PM
Size: 8 704 bytes

HKEY_CLASSES_ROOT\CLSID\{4FA18276-912A-11D1-AD9B-00C04FD8FDFF}\InprocServer32 "(Default)"
Old type: REG_SZ
New type: REG_EXPAND_SZ
Old data: C:\WINDOWS\System32\wbem\wbemcore.dll
New data: winSxS\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909\shsvcs.dll

http://www.virustotal.com/file-scan/rep ... 1292788473

File name: shsvcs.dll
Submission date: 2010-12-19 19:54:33 (UTC)
Current status: finished
Result: 29 /43 (67.4%)

VT Community

not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.12.20.00 2010.12.19 Trojan/Win32.PMax
AntiVir 7.11.0.84 2010.12.19 TR/Sirefef.F
Antiy-AVL 2.0.3.7 2010.12.19 Trojan/Win32.PMax.gen
Avast 4.8.1351.0 2010.12.19 -
Avast5 5.0.677.0 2010.12.19 -
AVG 9.0.0.851 2010.12.19 -
BitDefender 7.2 2010.12.19 Rootkit.Sirefef.D
CAT-QuickHeal 11.00 2010.12.19 Trojan.PMax.l
ClamAV 0.96.4.0 2010.12.19 -
Command 5.2.11.5 2010.12.19 -
Comodo 7119 2010.12.19 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.12.19 -
Emsisoft 5.1.0.1 2010.12.19 Trojan.Win32.PMax!IK
eSafe 7.0.17.0 2010.12.19 Win32.GenHeur.Hype.A
eTrust-Vet 36.1.8048 2010.12.17 -
F-Prot 4.6.2.117 2010.12.19 -
F-Secure 9.0.16160.0 2010.12.19 Rootkit.Sirefef.D
Fortinet 4.2.254.0 2010.12.19 W32/PMax.L!tr
GData 21 2010.12.19 Rootkit.Sirefef.D
Ikarus T3.1.1.90.0 2010.12.19 Trojan.Win32.PMax
Jiangmin 13.0.900 2010.12.19 Trojan/PMax.c
K7AntiVirus 9.73.3286 2010.12.18 -
Kaspersky 7.0.0.125 2010.12.19 Trojan.Win32.PMax.l
McAfee 5.400.0.1158 2010.12.19 Generic.dx!uyi
McAfee-GW-Edition 2010.1C 2010.12.19 Generic.dx!uyi
Microsoft 1.6402 2010.12.19 Trojan:Win32/Sirefef.F
NOD32 5716 2010.12.19 probably a variant of Win32/Kryptik.YQ
Norman 6.06.12 2010.12.19 W32/Crypt.ATWZ
nProtect 2010-12-19.01 2010.12.19 -
Panda 10.0.2.7 2010.12.19 Generic Trojan
PCTools 7.0.3.5 2010.12.19 Trojan.Gen
Prevx 3.0 2010.12.19 Medium Risk Malware
Rising 22.78.05.00 2010.12.19 -
Sophos 4.60.0 2010.12.19 Mal/Generic-L
SUPERAntiSpyware 4.40.0.1006 2010.12.19 -
Symantec 20101.3.0.103 2010.12.19 Trojan.Gen.2
TheHacker 6.7.0.1.101 2010.12.15 -
TrendMicro 9.120.0.1004 2010.12.19 TROJ_GEN.R42C1KR
TrendMicro-HouseCall 9.120.0.1004 2010.12.19 TROJ_GEN.R42C1KR
VBA32 3.12.14.2 2010.12.17 Trojan.PMax.l
VIPRE 7721 2010.12.19 Trojan.Win32.Generic!BT
ViRobot 2010.12.18.4208 2010.12.19 -
VirusBuster 13.6.102.0 2010.12.19 Trojan.PMax!M2UYdefnRIA
Additional information
Show all
MD5 : 9d5476b69e2208bf90de9564f98d14af
SHA1 : 44fb74eb3a5800fb715eaf17f56623c392289239
SHA256: 94cf252ca199f9f576ef123fdeaf34c0c00633c9d9c064c3abff7b63b8e6ab74

Malekal.com forum

Antivirus 2010

Antivirus 2010

Re: Antivirus 2010

Re: Antivirus 2010

Re: Antivirus 2010

Re: Antivirus 2010