Backdoor.Win32.SdBot.bze (imag091307.zip)

Informations sur les arnaques et Virus sur MSN.
Malekal_morte
Messages : 116071
Inscription : 10 sept. 2005 13:57

Backdoor.Win32.SdBot.bze (imag091307.zip)

par Malekal_morte »

L'infection ajoute les fichiers :
%System%\dllcache\winlogon.exe
%Windows%\imag091307.zip

Message de propagation :
mes photos chaudes :D
haha vous devriez rendre ceci votre daut pic sur le myspace ou quelque chose :D
j'ai fais pour toi ce photo album tu dois le voire :p
h?veux tu voir mes image de vacance??
le lol se rappellent quand vous aviez l'habitude d'avoir vos cheveux comme ceci
h?je vais mettre cette image de nous sur mon myspace :>
Supprimer Backdoor.Win32.SdBot.bze (imag091307.zip)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116071
Inscription : 10 sept. 2005 13:57

DCS515610.zip/Backdoor.Win32.IRCBot.bam

par Malekal_morte »

DCS515610.zip (DCS515610.scr)
Detection: Backdoor.Win32.IRCBot.bam (Kaspersky)

Ajoute les fichiers :
%Windows%\DCS515610.zip
%System%\win442.dll


Ajoute les clefs dans le registre Windows :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
"w32s" = "{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"
("XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX" is random CLSID)

HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32
@= "win442.dll"


Modifie les clefs dans le registre Windows :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"SFCDisable" = dword:ffffff9d
"SFCScan" = dword:00000000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
"WaitToKillServiceTimeout" = "7000"

Message de propagation :
que pensez-vous ?ce picure ?
je me sens que je semble laid :/
Voici un nouveau pic de moi
Quelques images de la semaine dernie, voient si vous les aimez
Avez-vous vu ce picure encore ?
Haha, est-vous ce sur cette image ?
Si j'emploient cette image sur le msn ?
Que pensez-vous ?mon image ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116071
Inscription : 10 sept. 2005 13:57

webdesign.zip/images.zip : Backdoor.Win32.IRCBot.ahv

par Malekal_morte »

L'infection ajoute la ligne suivante sur HijackThis :
O4 - HKLM\..\Run: [MSN] msnmsgs.exe
Se transmets sur MSN via les zips :
webdesign.zip
images.zip
messages :
WoW? is that really you... what the hell where you drinking :D
LOL, you look so ugly in this picture, no joke...
Should I put this on facebook/myspace?
Hey m8, who is this on the right, in this picture...
Sup, seen the pictures from the other night?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116071
Inscription : 10 sept. 2005 13:57

Backdoor.Win32.SdBot.bzn (N039_jpg.zip)

par Malekal_morte »

Backdoor.Win32.SdBot.bzn est une infection qui se propage par MSN.
L'infection se propage par les messages suivants :
* eeeh c mes tof :p
* c seulement mes tof de derniers vacances
* tu dois voire les tof de notre bande
* comment est-ce que je regarde sur cette photo ?
* le lol ceci est drôle
* ma soeur a voulu que tu regarde ca
* défaut de la reproduction sonore avez-vous vu ceci ?
* looooook :p
* loooooooooooool :D
* lol he looks weird on this photo
* omg check this out man this is funny
* lol you got to see this :P
Détection Backdoor.Win32.SdBot.bzn
L'infection ajoute les fichiers suivant dans les dossiers sytem32 de Windows :
* C:\g7n4l2o4i4.exe
* C:\WINDOWS\N039_jpg.zip
* C:\WINDOWS\usnsvc.exe
Supprimer Backdoor.Win32.SdBot.bzn (N039_jpg.zip)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116071
Inscription : 10 sept. 2005 13:57

Backdoor.Win32.IRCBot.aiu (picts-XXXX.zip)

par Malekal_morte »

Infection se propageant par MSN, toujours en proposant de télécharger des photos via les zip picts-XXXX.zip (où X est un chiffre) contenant (img0794-www.photoshare.com)
Les messages de propagation sont en divers langues, du style :

En Français :
cette vieille image que j'ai trouv : |
mes photos chaudes :D
haha vous devriez rendre ceci votre daut pic sur le myspace ou quelque chose :D
j'ai fais pour toi ce photo album tu dois le voire :p
hé veux tu voir mes image de vacance??
le lol se rappellent quand vous aviez l'habitude d'avoir vos cheveux comme ceci
hé je vais mettre cette image de nous sur mon myspace :>
L'infection ajoute la clef sur HijackThis :
O4 - HKLM\..\Run: [jucheck.exe] "C:\Windows\System32\dllcache\jucheck.exe"

L'infection Ajoute les fichiers :

* C:\Windows\System32\dllcache\jucheck.exe
* C:\Windows\picts-XXXX.zip (où X est un chiffre)


Supprimer infection MSN Backdoor.Win32.IRCBot.aiu (picts-XXXX.zip)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116071
Inscription : 10 sept. 2005 13:57

Backdoor.Win32.IRCBot.bal / direct3dfx.dll

par Malekal_morte »

Ajoute la ligne suivante sur HijackThis :
O21 - SSODL: Version1 - {1FF9FEF2-6E83-4AE3-A913-AF302A464CA6} - direct3dfx.dll (file missing)



Scan des zip de propagations :
Fichier JPGimage29.zip reçu le 2007.10.02 10:24:49 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 18/32 (56.25%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.10.2.1 2007.10.02 -
AntiVir 7.6.0.18 2007.10.02 Worm/IrcBot.26112.4
Authentium 4.93.8 2007.10.02 -
Avast 4.7.1043.0 2007.10.02 -
AVG 7.5.0.488 2007.10.01 BackDoor.Ircbot.BPX
BitDefender 7.2 2007.10.02 Trojan.Agent.AFJC
CAT-QuickHeal 9.00 2007.10.02 Backdoor.IRCBot.bal
ClamAV 0.91.2 2007.10.02 -
DrWeb 4.44.0.09170 2007.10.02 -
eSafe 7.0.15.0 2007.10.01 Win32.IRCBot.bal
eTrust-Vet 31.2.5178 2007.10.01 -
Ewido 4.0 2007.10.01 -
FileAdvisor 1 2007.10.02 -
Fortinet 3.11.0.0 2007.10.02 W32/IRCBot.BAL!tr.bdr
F-Prot 4.3.2.48 2007.10.01 -
F-Secure 6.70.13030.0 2007.10.02 Backdoor.Win32.IRCBot.bal
Ikarus T3.1.1.12 2007.10.02 Backdoor.Win32.IRCBot.bal
Kaspersky 7.0.0.125 2007.10.02 Backdoor.Win32.IRCBot.bal
McAfee 5131 2007.10.01 -
Microsoft 1.2803 2007.10.02 Backdoor:Win32/IRCbot.OP.dll
NOD32v2 2564 2007.10.02 probably a variant of Win32/IRCBot.WO
Norman 5.80.02 2007.10.01 W32/Malware.ATRN
Panda 9.0.0.4 2007.10.01 Suspicious file
Prevx1 V2 2007.10.02 Malware.Gen
Rising 19.43.10.00 2007.10.02 -
Sophos 4.22.0 2007.10.02 -
Sunbelt 2.2.907.0 2007.10.02 Backdoor.Win32.IRCbot.OP.dll
Symantec 10 2007.10.02 -
TheHacker 6.2.6.075 2007.10.01 Backdoor/IRCBot.bal
VBA32 3.12.2.4 2007.10.02 Backdoor.Win32.IRCBot.bal
VirusBuster 4.3.26:9 2007.10.01 -
Webwasher-Gateway 6.0.1 2007.10.02 Worm.IrcBot.26112.4
Information additionnelle
File size: 26238 bytes
MD5: e9c5655ecd2af111c7ac8907543d4be3
SHA1: 765dc6c264402032c8e6dd6dadb52b90a7ee9367
packers: UPX
packers: PE_Patch.UPX, UPX
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116071
Inscription : 10 sept. 2005 13:57

www.Nokia_19_jpg-msn.com

par Malekal_morte »

Nouvelle variante.. pas d'infos pour le moment.

www.Nokia_19_jpg-msn.com received on 10.03.2007 18:41:00 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.10.3.0 2007.10.02 -
AntiVir 7.6.0.18 2007.10.03 HEUR/Crypted
Authentium 4.93.8 2007.10.03 -
Avast 4.7.1051.0 2007.10.03 -
AVG 7.5.0.488 2007.10.03 -
BitDefender 7.2 2007.10.03 -
CAT-QuickHeal 9.00 2007.10.03 Backdoor.SdBot.gen
ClamAV 0.91.2 2007.10.03 -
DrWeb 4.44.0.09170 2007.10.03 -
eSafe 7.0.15.0 2007.10.02 -
eTrust-Vet 31.2.5182 2007.10.03 -
Ewido 4.0 2007.10.03 -
FileAdvisor 1 2007.10.03 -
Fortinet 3.11.0.0 2007.10.03 -
F-Prot 4.3.2.48 2007.10.03 -
F-Secure 6.70.13030.0 2007.10.03 -
Ikarus T3.1.1.12 2007.10.03 Generic.Sdbot
Kaspersky 7.0.0.125 2007.10.03 -
McAfee 5133 2007.10.03 -
Microsoft 1.2908 2007.10.03 -
NOD32v2 2569 2007.10.03 -
Norman 5.80.02 2007.10.03 SDBot.gen9
Panda 9.0.0.4 2007.10.03 -
Rising 19.43.20.00 2007.10.03 -
Sophos 4.22.0 2007.10.03 -
Sunbelt 2.2.907.0 2007.10.03 VIPRE.Suspicious
Symantec 10 2007.10.03 W32.Spybot.Worm
TheHacker 6.2.6.076 2007.10.03 -
VBA32 3.12.2.4 2007.10.03 -
VirusBuster 4.3.26:9 2007.10.03 -
Webwasher-Gateway 6.0.1 2007.10.03 Heuristic.Crypted
Additional information
File size: 556032 bytes
MD5: 52768baf56d7f31d34f3d3645a9b6778
SHA1: 922160e57211c94c71c232cfdd07c55582e1a7a9
packers: Themida
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Vers/Virus MSN et arnaques sur MSN »