Backdoor.Win32.IRCBot.baf / services.exe

par **Malekal_morte** » 10 janv. 2008 19:37

Message de propagation :

emoticon with your face :-O
c'est pas toi!??
emoticon met jou hoofd
emoticon mit deinne kopf
Emoticon con il tuo volto:-O
Emoticon com seu rosto:-O
bu fotograftaki senmisin ?

Ajoute la ligne suivante sur HijackThis :

O4 - HKLM\..\Run: [Flash Player2] C:\DOCUME~1\user\LOCALS~1\Temp\services.exe

Scan du fichier :

Fichier services.exe reçu le 2008.01.10 19:21:01 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 7/32 (21.88%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.11.10 2008.01.10 -
AntiVir 7.6.0.46 2008.01.10 -
Authentium 4.93.8 2008.01.09 -
Avast 4.7.1098.0 2008.01.09 -
AVG 7.5.0.516 2008.01.10 BackDoor.Ircbot.CRK
BitDefender 7.2 2008.01.10 -
CAT-QuickHeal 9.00 2008.01.10 -
ClamAV 0.91.2 2008.01.10 -
DrWeb 4.44.0.09170 2008.01.10 -
eSafe 7.0.15.0 2008.01.09 -
eTrust-Vet 31.3.5446 2008.01.10 -
Ewido 4.0 2008.01.10 -
FileAdvisor 1 2008.01.10 -
Fortinet 3.14.0.0 2008.01.10 -
F-Prot 4.4.2.54 2008.01.09 -
F-Secure 6.70.13030.0 2008.01.10 -
Ikarus T3.1.1.20 2008.01.10 -
Kaspersky 7.0.0.125 2008.01.10 Heur.Invader
McAfee 5204 2008.01.10 -
Microsoft 1.3109 2008.01.10 Backdoor:Win32/IRCbot.gen!F
NOD32v2 2780 2008.01.10 a variant of Win32/IRCBot.AAL
Norman 5.80.02 2008.01.10 W32/Malware.BMBV
Panda 9.0.0.4 2008.01.10 Suspicious file
Prevx1 V2 2008.01.10 Generic.Malware
Rising 20.26.32.00 2008.01.10 -
Sophos 4.24.0 2008.01.10 -
Sunbelt 2.2.907.0 2008.01.10 -
Symantec 10 2008.01.10 -
TheHacker 6.2.9.185 2008.01.09 -
VBA32 3.12.2.5 2008.01.10 -
VirusBuster 4.3.26:9 2008.01.10 -
Webwasher-Gateway 6.6.2 2008.01.10 -
Information additionnelle
File size: 46056 bytes
MD5: db315713840e3bbd3cb300fae77db6a5
SHA1: 4e713a8a2951d54fd5f36e1ff6faa0314b3be748
PEiD: Armadillo v1.71

par **Malekal_morte** » 13 janv. 2008 00:58

ajouté en Backdoor.Win32.IRCBot.baf chez Kaspersky.

par **Malekal_morte** » 13 janv. 2008 01:01

Une autre variante toujours avec le le fichier services.exe dans %Temp% taggué Trojan.Win32.Agent.dwa par Kaspersky

avec comme message de propagation :

* tu es nue?
* c’est bien toi ?

Qui propose de télécharger un fichier .com donnant l'infection une fois exécutée depuis des liens du type :

* http:// naked4friends. com/?=[adresse MSN du destinataire]
* http:// members.lycos. nl/nakedgirl/?=[adresse MSN du destinataire]
* http:// http://www.family-naked. com/?=[adresse MSN du destinataire]

par **Malekal_morte** » 14 janv. 2008 02:47

Se propage par le fichier naked391.com.

Une belle vidéo intitulée "Naked!!??

"

Message de propagation :

oh naked ?
tu es nue?
oh jij naakt ?
oh du naked ? :o
Oh nudo?
Oh nu?
oh sen ciplak mi ?

O4 - HKLM\..\Run: [ValueX] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\services.exe

Fichier naked391.com reçu le 2008.01.14 01:19:21 (CET)
Situation actuelle: terminé
Résultat: 9/32 (28.12%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.12.10 2008.01.11 -
AntiVir 7.6.0.46 2008.01.13 -
Authentium 4.93.8 2008.01.13 -
Avast 4.7.1098.0 2008.01.14 -
AVG 7.5.0.516 2008.01.13 BackDoor.Ircbot.CSW
BitDefender 7.2 2008.01.14 -
CAT-QuickHeal 9.00 2008.01.12 -
ClamAV 0.91.2 2008.01.13 -
DrWeb 4.44.0.09170 2008.01.13 -
eSafe 7.0.15.0 2008.01.13 suspicious Trojan/Worm
eTrust-Vet 31.3.5451 2008.01.11 -
Ewido 4.0 2008.01.13 -
FileAdvisor 1 2008.01.14 -
Fortinet 3.14.0.0 2008.01.13 -
F-Prot 4.4.2.54 2008.01.13 -
F-Secure 6.70.13030.0 2008.01.13 Trojan.Win32.Agent.dwd
Ikarus T3.1.1.20 2008.01.13 -
Kaspersky 7.0.0.125 2008.01.14 Trojan.Win32.Agent.dwd
McAfee 5205 2008.01.11 -
Microsoft 1.3109 2008.01.14 Backdoor:Win32/IRCbot.gen!F
NOD32v2 2788 2008.01.13 a variant of Win32/IRCBot.AAL
Norman 5.80.02 2008.01.11 -
Panda 9.0.0.4 2008.01.13 -
Prevx1 V2 2008.01.14 Backdoor.IRCBot.gen
Rising 20.26.62.00 2008.01.13 -
Sophos 4.24.0 2008.01.13 -
Sunbelt 2.2.907.0 2008.01.12 -
Symantec 10 2008.01.14 -
TheHacker 6.2.9.187 2008.01.13 Trojan/Agent.dwd
VBA32 3.12.2.5 2008.01.13 -
VirusBuster 4.3.26:9 2008.01.13 -
Webwasher-Gateway 6.0.1 2008.01.14 Win32.ModifiedUPX.gen (suspicious)
Information additionnelle
File size: 29184 bytes
MD5: 74eb7339b3dcb5cf7872c3bbd9cf3848
SHA1: 9bf1788775e8976c8c10c721c0eea744594f23a6
PEiD: -
packers: UPX
packers: PE_Patch.UPX, UPX

par **Malekal_morte** » 17 janv. 2008 11:31

Détection de l'infection trois jours..

Elle fait des ravages!

Fichier naked391.com reçu le 2008.01.17 11:25:09 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 19/32 (59.38%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.17.11 2008.01.17 -
AntiVir 7.6.0.48 2008.01.17 TR/Agent.dwd.1
Authentium 4.93.8 2008.01.17 -
Avast 4.7.1098.0 2008.01.16 -
AVG 7.5.0.516 2008.01.16 BackDoor.Ircbot.CSW
BitDefender 7.2 2008.01.17 -
CAT-QuickHeal 9.00 2008.01.16 Trojan.Agent.dwd
ClamAV 0.91.2 2008.01.17 -
DrWeb 4.44.0.09170 2008.01.17 -
eSafe 7.0.15.0 2008.01.16 suspicious Trojan/Worm
eTrust-Vet 31.3.5465 2008.01.17 Win32/VMalum.BUOP
Ewido 4.0 2008.01.16 -
FileAdvisor 1 2008.01.17 -
Fortinet 3.14.0.0 2008.01.17 W32/Agent.DWD!tr
F-Prot 4.4.2.54 2008.01.16 W32/Trojan2.TYL
F-Secure 6.70.13260.0 2008.01.17 Trojan.Win32.Agent.dwd
Ikarus T3.1.1.20 2008.01.17 Virus.Trojan.Win32.Agent.dwd
Kaspersky 7.0.0.125 2008.01.17 Trojan.Win32.Agent.dwd
McAfee 5209 2008.01.16 -
Microsoft 1.3109 2008.01.17 Backdoor:Win32/IRCbot.gen!F
NOD32v2 2800 2008.01.17 Win32/IRCBot.NAG
Norman 5.80.02 2008.01.16 W32/Malware.BMZR
Panda 9.0.0.4 2008.01.17 W32/IRCBot.BPQ.worm
Prevx1 V2 2008.01.17 Backdoor.IRCBot.gen
Rising 20.27.31.00 2008.01.17 Trojan.Win32.Undef.bod
Sophos 4.24.0 2008.01.17 -
Sunbelt 2.2.907.0 2008.01.17 -
Symantec 10 2008.01.17 -
TheHacker 6.2.9.189 2008.01.17 Trojan/Agent.dwd
VBA32 3.12.2.5 2008.01.15 Trojan.Win32.Agent
VirusBuster 4.3.26:9 2008.01.16 -
Webwasher-Gateway 6.6.2 2008.01.17 Trojan.Agent.dwd.1
Information additionnelle
File size: 29184 bytes
MD5: 74eb7339b3dcb5cf7872c3bbd9cf3848
SHA1: 9bf1788775e8976c8c10c721c0eea744594f23a6

par **Malekal_morte** » 18 janv. 2008 22:51

On notera que McAfee, Symantec & Avast! sont encore en queue de pleton.

variante "tu es nue?"

Fichier naked391.com reçu le 2008.01.18 22:44:04 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 21/32 (65.63%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.19.10 2008.01.18 -
AntiVir 7.6.0.48 2008.01.18 TR/Agent.dwd.1
Authentium 4.93.8 2008.01.17 -
Avast 4.7.1098.0 2008.01.18 -
AVG 7.5.0.516 2008.01.18 BackDoor.Ircbot.CSW
BitDefender 7.2 2008.01.18 -
CAT-QuickHeal 9.00 2008.01.18 Trojan.Agent.dwd
ClamAV 0.91.2 2008.01.18 -
DrWeb 4.44.0.09170 2008.01.18 -
eSafe 7.0.15.0 2008.01.16 suspicious Trojan/Worm
eTrust-Vet 31.3.5468 2008.01.18 Win32/VMalum.BUOP
Ewido 4.0 2008.01.18 Trojan.Agent.dwd
FileAdvisor 1 2008.01.18 -
Fortinet 3.14.0.0 2008.01.18 W32/Agent.DWD!tr
F-Prot 4.4.2.54 2008.01.17 W32/Trojan2.TYL
F-Secure 6.70.13260.0 2008.01.18 Trojan.Win32.Agent.dwd
Ikarus T3.1.1.20 2008.01.18 Virus.Trojan.Win32.Agent.dwd
Kaspersky 7.0.0.125 2008.01.18 Trojan.Win32.Agent.dwd
McAfee 5211 2008.01.18 -
Microsoft 1.3109 2008.01.18 Backdoor:Win32/IRCbot.gen!F
NOD32v2 2806 2008.01.18 Win32/IRCBot.NAG
Norman 5.80.02 2008.01.18 W32/Malware.BMZR
Panda 9.0.0.4 2008.01.18 W32/IRCBot.BPQ.worm
Prevx1 V2 2008.01.18 Backdoor.IRCBot.gen
Rising 20.27.42.00 2008.01.18 Trojan.Win32.Undef.bod
Sophos 4.24.0 2008.01.18 W32/IRCBot-ZX
Sunbelt 2.2.907.0 2008.01.17 -
Symantec 10 2008.01.18 -
TheHacker 6.2.9.189 2008.01.17 Trojan/Agent.dwd
VBA32 3.12.2.5 2008.01.15 Trojan.Win32.Agent
VirusBuster 4.3.26:9 2008.01.18 -
Webwasher-Gateway 6.6.2 2008.01.18 Trojan.Agent.dwd.1
Information additionnelle
File size: 29184 bytes
MD5: 74eb7339b3dcb5cf7872c3bbd9cf3848
SHA1: 9bf1788775e8976c8c10c721c0eea744594f23a6
PEiD: -

variante "c'est pas toi?"

Fichier services.exe reçu le 2008.01.18 22:52:52 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 19/32 (59.38%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.19.10 2008.01.18 Win32/IRCBot.worm.variant
AntiVir 7.6.0.48 2008.01.18 Worm/IrcBot.46056
Authentium 4.93.8 2008.01.17 W32/Hupigon.XDA
Avast 4.7.1098.0 2008.01.18 -
AVG 7.5.0.516 2008.01.18 BackDoor.Ircbot.CRK
BitDefender 7.2 2008.01.18 -
CAT-QuickHeal 9.00 2008.01.18 -
ClamAV 0.91.2 2008.01.18 -
DrWeb 4.44.0.09170 2008.01.18 -
eSafe 7.0.15.0 2008.01.16 -
eTrust-Vet 31.3.5468 2008.01.18 -
Ewido 4.0 2008.01.18 Backdoor.IRCBot.baf
FileAdvisor 1 2008.01.18 -
Fortinet 3.14.0.0 2008.01.18 W32/IRCBot.BAF!tr.bdr
F-Prot 4.4.2.54 2008.01.17 W32/Hupigon.XDA
F-Secure 6.70.13260.0 2008.01.18 Backdoor.Win32.IRCBot.baf
Ikarus T3.1.1.20 2008.01.18 -
Kaspersky 7.0.0.125 2008.01.18 Backdoor.Win32.IRCBot.baf
McAfee 5211 2008.01.18 -
Microsoft 1.3109 2008.01.18 Backdoor:Win32/IRCbot.gen!F
NOD32v2 2806 2008.01.18 a variant of Win32/IRCBot.AAL
Norman 5.80.02 2008.01.18 W32/Malware.BMBV
Panda 9.0.0.4 2008.01.18 W32/IRCbot.BPO.worm
Prevx1 V2 2008.01.18 Generic.Malware
Rising 20.27.42.00 2008.01.18 Trojan.Win32.Undef.bod
Sophos 4.24.0 2008.01.18 -
Sunbelt 2.2.907.0 2008.01.17 Worm/IrcBot
Symantec 10 2008.01.18 -
TheHacker 6.2.9.189 2008.01.17 -
VBA32 3.12.2.5 2008.01.15 Backdoor.Win32.IRCBot.baf
VirusBuster 4.3.26:9 2008.01.18 Backdoor.IRCBot.UVP
Webwasher-Gateway 6.6.2 2008.01.18 Worm.IrcBot.46056
Information additionnelle
File size: 46056 bytes
MD5: db315713840e3bbd3cb300fae77db6a5
SHA1: 4e713a8a2951d54fd5f36e1ff6faa0314b3be748

par **Malekal_morte** » 22 janv. 2008 16:10

Nouvelle variante avec Trojan.Win32.Agent.ecp/ipconfig.exe/nakednude.com

Malekal.com forum