nuevoFoto16.zip / Backdoor.Win32.IRCBot.dzf

[Malekal_morte]

Se propage par le fichier contenant le fichier nuevoFoto16.zip (se trouve dans %windir%) contenant le fichier neuvofoto0016.JPEG-www.myspace.com

Message de propagation :

Nesesito que me digas como se ve esta foto, que crees?
Tengo nuevas fotos.. aqui te envio una
puedo poner esta foto en mi nuevo blog?
cuando tengas un chance mira mi nueva foto, en mi pc se ve rara
quiero que me digas como me veo aqui en esta nueva foto!
hey..puedo poner esta foto de nosotros en mi facebook?
aqui una foto nueva con mi nueva camara... una belleza!
aprendi a usar photoshop!! mira lo que le hize a una de tus fotos haha
increible! mi nueva camara.. las fotos son muy buenas!
quieres que ponga esta foto sexy tuya en mis top de fotos?
hah esta foto tuya me encanta.. la puedo poner en mi blog?

L'infection ajoute la ligne suivante sur HijackThis :

O4 - HKLM\..\Run: [UPD Client] updclient.exe

File 76160_279503_Sp5x.exe received on 07.08.2008 00:48:05 (CET)
Current status: finished
Result: 3/33 (9.09%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
AhnLab-V3 2008.7.8.0 2008.07.07 -
AntiVir 7.8.0.64 2008.07.07 -
Authentium 5.1.0.4 2008.07.07 -
Avast 4.8.1195.0 2008.07.07 -
AVG 7.5.0.516 2008.07.07 -
BitDefender 7.2 2008.07.07 -
CAT-QuickHeal 9.50 2008.07.07 -
ClamAV 0.93.1 2008.07.08 -
DrWeb 4.44.0.09170 2008.07.07 -
eSafe 7.0.17.0 2008.07.07 -
eTrust-Vet 31.6.5934 2008.07.07 -
Ewido 4.0 2008.07.07 -
F-Prot 4.4.4.56 2008.07.07 -
F-Secure 7.60.13501.0 2008.07.03 -
Fortinet 3.14.0.0 2008.07.07 -
GData 2.0.7306.1023 2008.07.07 -
Ikarus T3.1.1.26.0 2008.07.07 -
Kaspersky 7.0.0.125 2008.07.08 -
McAfee 5333 2008.07.07 -
Microsoft 1.3704 2008.07.08 VirTool:Win32/DelfInject.gen!AF
NOD32v2 3248 2008.07.07 -
Norman 5.80.02 2008.07.07 -
Panda 9.0.0.4 2008.07.08 -
Prevx1 V2 2008.07.08 -
Rising 20.51.60.00 2008.07.06 Trojan.Win32.Delf.ykq
Sophos 4.31.0 2008.07.07 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.08 Trojan.Dropper
TheHacker 6.2.96.374 2008.07.07 -
TrendMicro 8.700.0.1004 2008.07.07 -
VBA32 3.12.6.8 2008.07.07 -
VirusBuster 4.5.11.0 2008.07.07 -
Webwasher-Gateway 6.6.2 2008.07.07 -
Additional information
File size: 43520 bytes
MD5...: 30a95aac9d0828d48066bfb87c0fe973
SHA1..: 8edc1782635f443671590012969f9d8dd0ea181c

[Malekal_morte]

Nouveaux messages de propagation :

Hey quieres ver unas nuevas fotos que tome ayer?
Aqui hay una foto de nosotros que te va a gustar
foto nueva para ti exclusiva ;]
nesesito que me digas como me veo esta foto mal o bien
te vas a reir cuando veas esta foto de mi.. haha
quieres que ponga una foto de nosotros en mi facebook?
quieres que ponga una foto de nosotros en mi myspace?
esta foto me gusta para mi foto principal de facebook que crees
tengo una foto tuya vieja quieres verla? aqui te la envio
esta foto tuya es vieja pero me encanta, la tienes todavia? aqui te la envio
creo que esta es mi mejor foto, te la envio y dime que opinas

[Malekal_morte]

Scan VT au lendemain :

Complete scanning result of "Sp5x.exe.1", processed in VirusTotal at 07/09/2008 11:35:38 (CET).

[ file data ]
* name: Sp5x.exe.1
* size: 43520
* md5.: 30a95aac9d0828d48066bfb87c0fe973
* sha1: 8edc1782635f443671590012969f9d8dd0ea181c
* peid..: BobSoft Mini Delphi -> BoB / BobSoft

[ scan result ]
AhnLab-V3 2008.7.9.1/20080709 found nothing
AntiVir 7.8.0.64/20080709 found [Worm/IrcBot.43520.17]
Authentium 5.1.0.4/20080708 found nothing
Avast 4.8.1195.0/20080708 found nothing
AVG 7.5.0.516/20080708 found nothing
BitDefender 7.2/20080709 found [Trojan.Agent.Delf.LB]
CAT-QuickHeal 9.50/20080708 found [Backdoor.IRCBot.dyn]
ClamAV 0.93.1/20080709 found nothing
DrWeb 4.44.0.09170/20080709 found nothing
eSafe 7.0.17.0/20080703 found nothing
eTrust-Vet 31.6.5940/20080709 found nothing
Ewido 4.0/20080708 found nothing
F-Prot 4.4.4.56/20080708 found nothing
F-Secure 7.60.13501.0/20080708 found nothing
Fortinet 3.14.0.0/20080709 found [PossibleThreat]
GData 2.0.7306.1023/20080709 found [Backdoor.Win32.IRCBot.dzf]
Ikarus T3.1.1.26/20080709 found [VirTool.Win32.DelfInject.AF]
Kaspersky 7.0.0.125/20080709 found [Backdoor.Win32.IRCBot.dzf]
McAfee 5334/20080708 found nothing
Microsoft 1.3704/20080709 found [VirTool:Win32/DelfInject.gen!AF]
NOD32v2 3254/20080709 found [Win32/AutoRun.RM]
Norman 5.80.02/20080708 found nothing
Panda 9.0.0.4/20080708 found [Bck/IRCBot.CCL]
Prevx1 V2/20080709 found nothing
Rising 20.52.12.00/20080708 found [Trojan.Win32.Delf.ykq]
Sophos 4.31.0/20080709 found nothing
Sunbelt 3.1.1509.1/20080704 found nothing
Symantec 10/20080709 found [Trojan.Dropper]
TheHacker 6.2.96.374/20080707 found nothing
TrendMicro 8.700.0.1004/20080709 found nothing
VBA32 3.12.6.8/20080708 found nothing
VirusBuster 4.5.11.0/20080708 found nothing
Webwasher-Gateway 6.6.2/20080709 found [Worm.IrcBot.43520.17]