Trojan.ASF.Hijacker.gen /Trojan-Downloader.WMA.GetCodec

Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec
Infections liés aux rogues et affichant de fausses alertes de sécurité.
Malekal_morte
Messages : 116499
Inscription : 10 sept. 2005 13:57

Trojan.ASF.Hijacker.gen /Trojan-Downloader.WMA.GetCodec

par Malekal_morte »

Dernières trouvailles de nos auteurs Zlob, des mp3 piégés.

Ces mp3 peuvent bien sûr être téléchargés sur des sites WEB de MP3 piégés, sur P2P (Emule, LimeWire etc..).

Au lancement du mp3 sur Windows Media Player... une erreur vous informe que le format du fichier est incorrect et vous demande si vous souhaitez jouer tout de même le mp3.
Image

Au bout de 10s, sans son, une proposition de téléchargement (Windows_Media_Player_flash_codec.exe) est faite (ici depuis le site hxxp://flashcodec.com qui va bien entendu changer prochainement).

On vous propose donc le téléchargement d'un faux codec qui va bien sûr installer une infection de type Zlob.

Image

Ceux qui pensaient avoir la paix en ne téléchargeant que des fichiers vidéos ou MP3 se trompent, car ce n'est pas le cas.
On peut parier qu'on verra prochainement beaucoup de MP3 piégés de ce type sur les réseaux P2P.

Encore une fois, télécharger que des codecs depuis des sites WEB connus et surtout pas ceux que l'on vous propose en téléchargement direct
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116499
Inscription : 10 sept. 2005 13:57

Trojan.ASF.Hijacker.gen / Trojan-Downloader.WMA.GetCodec

par Malekal_morte »

ATTENTION : il semblerait en fait, qu'une infection récréé toute l'en-tete des fichiers MP3 (et reconverti le fichier en ASF) se trouvant sur le disque dur.
A la lecture sur Windows Media Player, il est alors proposé le téléchargement du faux codec[/b]


La détection du faux codec proposé en téléchargeant.

Fichier Windows_Media_Player_Flash_Codec_ reçu le 2008.06.22 23:36:21 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 11/33 (33.34%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.6.22.0 2008.06.22 -
AntiVir 7.8.0.59 2008.06.22 TR/Drop.SBP
Authentium 5.1.0.4 2008.06.21 -
Avast 4.8.1195.0 2008.06.21 -
AVG 7.5.0.516 2008.06.22 Downloader.Zlob.XNM
BitDefender 7.2 2008.06.22 Trojan.Dropper.SBP
CAT-QuickHeal 9.50 2008.06.20 -
ClamAV 0.93.1 2008.06.22 -
DrWeb 4.44.0.09170 2008.06.22 -
eSafe 7.0.15.0 2008.06.22 Suspicious File
eTrust-Vet 31.6.5892 2008.06.21 -
Ewido 4.0 2008.06.22 -
F-Prot 4.4.4.56 2008.06.21 -
F-Secure 7.60.13501.0 2008.06.20 W32/Malware
Fortinet 3.14.0.0 2008.06.22 -
GData 2.0.7306.1023 2008.06.22 -
Ikarus T3.1.1.26.0 2008.06.22 BehavesLike.Trojan.WinlogonHook
Kaspersky 7.0.0.125 2008.06.22 -
McAfee 5322 2008.06.20 -
Microsoft 1.3604 2008.06.22 -
NOD32v2 3207 2008.06.22 Win32/TrojanDownloader.Small.OCY
Norman 5.80.02 2008.06.20 W32/Malware
Panda 9.0.0.4 2008.06.22 -
Prevx1 V2 2008.06.22 -
Rising 20.49.62.00 2008.06.22 -
Sophos 4.30.0 2008.06.22 -
Sunbelt 3.0.1153.1 2008.06.15 Trojan.Win32.Dialer.qn (v)
Symantec 10 2008.06.22 -
TheHacker 6.2.92.358 2008.06.21 -
TrendMicro 8.700.0.1004 2008.06.20 -
VBA32 3.12.6.7 2008.06.22 Win32.TrojanDownloader.Small.OCY
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.22 Trojan.Drop.SBP
Information additionnelle
File size: 50520 bytes
MD5...: 3cd98f6304a610fd3713ff67ee118842
SHA1..: 0153fe9b70b8af50540b8158185f3a66a1e99422
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116499
Inscription : 10 sept. 2005 13:57

Re: Zlob (Trojan.Downloader.WMA.Wimad) & MP3 piégés

par Malekal_morte »

Un sujet en relation : http://forum.malekal.com/viewtopic.php?f=3&t=12711
Les sujets commencent à fleurir sur les forums de désinfection.

Pour remettre ses mp3... suivre cette procédure :
  • Télécharger et décompresser FS-MP3Fix de www.infospyware.com depuis ce lien : https://www.malekal.com/download/FS-MP3Fix.zip
  • Cela va créer un répertoire FS-MP3Fix
  • Copiez tous tes mp3 infectées dans ce répertoire.
  • Ensuitez lancez FS-MP3Fix.exe, choisissez Français...
  • Laissez l'opération s'effectuer, cela peut prendre du temps si vous avez beaucoup de MP3.
A l'arrivée, tu devrais te retrouver avec des mp3 avec l'extension _FS à la fin, ceux là sont OK, les autres sont pourris bien sûr.
Autre marque, le codec proposé en téléchargement a des fonctionnalités de keylogger (il créé un fichier win*32.dll), après désinfection et suppression du keylogger, pensez à changer vos mots de passe.

Le codec désactive aussi les possibilités de lecture d'url depuis Windows Media Player.
La valeur "URLAndExitCommandsEnabled" est passé à 0 dans la clef : HKEY_CURRENT_USER\Software\Microsoft\MediaPlayer\Preferences

Une fois le codec exécuté, vous ne subirez donc plus de proposition de téléchargement, cependant vos MP3 sont toujours infectés.
Donc si vous les avez passer à un ami ou P2P ou copié, il va subir lui ses redirections.
Faites donc attention.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116499
Inscription : 10 sept. 2005 13:57

Trojan.ASF.Hijacker.gen/Trojan-Downloader.WMA.GetCodec

par Malekal_morte »

Scan d'un fichier audio infecté.... au 10/07
Fichier sample.asf reçu le 2008.07.10 00:22:49 (CET)
Situation actuelle: terminé
Résultat: 1/33 (3.03%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.10.0 2008.07.09 -
AntiVir 7.8.0.64 2008.07.09 -
Authentium 5.1.0.4 2008.07.08 -
Avast 4.8.1195.0 2008.07.09 -
AVG 7.5.0.516 2008.07.09 -
BitDefender 7.2 2008.07.10 -
CAT-QuickHeal 9.50 2008.07.09 -
ClamAV 0.93.1 2008.07.09 -
DrWeb 4.44.0.09170 2008.07.09 -
eSafe 7.0.17.0 2008.07.09 -
eTrust-Vet 31.6.5940 2008.07.09 -
Ewido 4.0 2008.07.09 -
F-Prot 4.4.4.56 2008.07.08 -
F-Secure 7.60.13501.0 2008.07.08 -
Fortinet 3.14.0.0 2008.07.10 -
GData 2.0.7306.1023 2008.07.09 -
Ikarus T3.1.1.26.0 2008.07.09 -
Kaspersky 7.0.0.125 2008.07.09 -
McAfee 5335 2008.07.09 -
Microsoft 1.3704 2008.07.10 -
NOD32v2 3255 2008.07.09 -
Norman 5.80.02 2008.07.09 -
Panda 9.0.0.4 2008.07.09 -
Prevx1 V2 2008.07.10 -
Rising 20.52.22.00 2008.07.09 -
Sophos 4.31.0 2008.07.09 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.09 -
TheHacker 6.2.96.374 2008.07.07 -
TrendMicro 8.700.0.1004 2008.07.09 -
VBA32 3.12.6.8 2008.07.08 -
VirusBuster 4.5.11.0 2008.07.09 -
Webwasher-Gateway 6.6.2 2008.07.09 Trojan.ASF.Hijacker.gen (suspicious)
Information additionnelle
File size: 370703 bytes
MD5...: 932781776838bf22d14080e9a34c2d65
SHA1..: ad9d320b8d76e35f7a99ab64917946520ebf9b36

8 jours après les AV se réveillent...
Et les news disant que l'infection a été découverte aussi......

Fichier sample.asf reçu le 2008.07.18 18:16:28 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 8/33 (24.25%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.17.0 2008.07.18 -
AntiVir 7.8.1.11 2008.07.18 -
Authentium 5.1.0.4 2008.07.18 -
Avast 4.8.1195.0 2008.07.18 WMA:Wimad
AVG 8.0.0.130 2008.07.18 -
BitDefender 7.2 2008.07.18 -
CAT-QuickHeal 9.50 2008.07.17 -
ClamAV 0.93.1 2008.07.18 -
DrWeb 4.44.0.09170 2008.07.18 Trojan.WMALoader
eSafe 7.0.17.0 2008.07.17 -
eTrust-Vet 31.6.5965 2008.07.18 -
Ewido 4.0 2008.07.18 -
F-Prot 4.4.4.56 2008.07.18 -
F-Secure 7.60.13501.0 2008.07.18 Trojan-Downloader.WMA.GetCodec.d
Fortinet 3.14.0.0 2008.07.18 -
GData 2.0.7306.1023 2008.07.18 Trojan-Downloader.WMA.GetCodec.d
Ikarus T3.1.1.34.0 2008.07.18 -
Kaspersky 7.0.0.125 2008.07.18 Trojan-Downloader.WMA.GetCodec.d
McAfee 5341 2008.07.18 -
Microsoft 1.3704 2008.07.18 TrojanDownloader:ASX/Wimad.G
NOD32v2 3280 2008.07.18 -
Norman 5.80.02 2008.07.18 -
Panda 9.0.0.4 2008.07.18 -
Prevx1 V2 2008.07.18 -
Rising 20.53.42.00 2008.07.18 -
Sophos 4.31.0 2008.07.18 W32/GetCodec-A
Sunbelt 3.1.1536.1 2008.07.17 -
Symantec 10 2008.07.18 -
TheHacker 6.2.96.381 2008.07.16 -
TrendMicro 8.700.0.1004 2008.07.18 -
VBA32 3.12.8.0 2008.07.17 -
VirusBuster 4.5.11.0 2008.07.18 -
Webwasher-Gateway 6.6.2 2008.07.18 Trojan.ASF.Hijacker.gen (suspicious)
Information additionnelle
File size: 370703 bytes
MD5...: 932781776838bf22d14080e9a34c2d65
SHA1..: ad9d320b8d76e35f7a99ab64917946520ebf9b36
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116499
Inscription : 10 sept. 2005 13:57

Re: Trojan.ASF.Hijacker.gen /Trojan-Downloader.WMA.GetCodec

par Malekal_morte »

Des MP3 piégés installent une infection encryptant vos documents et les rendant illisibles.
Le rogue FileFix Professional est alors proposé en téléchargement via des alertes pour soit disant corriger le problème.

Voir Fiche FileFix Professional
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116499
Inscription : 10 sept. 2005 13:57

Re: Trojan.ASF.Hijacker.gen /Trojan-Downloader.WMA.GetCodec

par Malekal_morte »

Autre exemple d'infection avec Trojan.ASF.Hijacker.gen /Trojan-Downloader.WMA.GetCodec avec : DivoCodec : Swizzor / iesearch.com et Trojan.WMA
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec »