myPhoto12.zip / Trojan.Win32.Buzus.mdr

[Malekal_morte]

Se propage par le fichier contenant le fichier myPhoto12.zip (se trouve dans %windir%) contenant le fichier mifoto012.JPEG-www.facebook.com

Message de propagation :

Hey! como estas? tengo una foto nueva para ti :P
Nesesito poner esta foto en mi facebook pero mi internet esta lento puedes subirla?
Tengo una foto aqui que te va a encantar de mi.. hehe aqui te la envio
tu crees que puedas poner esta foto de nosotors en tu facebook?
no se si subir esta foto de nosotros a mi nuevo blog, tu crees que es buena?
esta foto para mi de nosotros se ve bien, te la mando y dime que tu opinas
cuando tengas tiempo mira esta foto que hize de nosotros y dime si se ve bien!
hey tengo una sorpresa.. nueva foto!! aqui va
anoche si que estaba bien mal.. mira esta foto de mi.. que mal me va!

L'infection ajoute la ligne suivante sur HijackThis :

O4 - HKLM\..\Run: [MSN File Configuration] msnfilecfg.exe

Fichier booklg.zip reçu le 2008.07.15 09:27:37 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 4/33 (12.13%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.11.0 2008.07.14 -
AntiVir 7.8.0.64 2008.07.15 HEUR/Crypted.E
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.14 -
AVG 7.5.0.516 2008.07.14 -
BitDefender 7.2 2008.07.15 -
CAT-QuickHeal 9.50 2008.07.14 -
ClamAV 0.93.1 2008.07.15 -
DrWeb 4.44.0.09170 2008.07.14 -
eSafe 7.0.17.0 2008.07.14 -
eTrust-Vet 31.6.5954 2008.07.14 -
Ewido 4.0 2008.07.14 -
F-Prot 4.4.4.56 2008.07.14 -
F-Secure 7.60.13501.0 2008.07.15 -
Fortinet 3.14.0.0 2008.07.14 -
GData 2.0.7306.1023 2008.07.15 -
Ikarus T3.1.1.26.0 2008.07.15 Trojan.Win32.Inject.dsr
Kaspersky 7.0.0.125 2008.07.15 -
McAfee 5338 2008.07.14 -
Microsoft 1.3704 2008.07.15 VirTool:Win32/DelfInject.gen!AF
NOD32v2 3267 2008.07.15 a variant of Win32/Injector.BL
Norman 5.80.02 2008.07.14 -
Panda 9.0.0.4 2008.07.14 -
Prevx1 V2 2008.07.15 -
Rising 20.53.10.00 2008.07.15 -
Sophos 4.31.0 2008.07.15 -
Sunbelt 3.1.1536.1 2008.07.12 -
Symantec 10 2008.07.15 -
TheHacker 6.2.96.379 2008.07.14 -
TrendMicro 8.700.0.1004 2008.07.15 -
VBA32 3.12.8.0 2008.07.15 -
VirusBuster 4.5.11.0 2008.07.14 -
Webwasher-Gateway 6.6.2 2008.07.15 -
Information additionnelle
File size: 42496 bytes
MD5...: 1b36a48c7c481f5a646fb9c3cdd877cf
SHA1..: c98678be63c654e814881a6930b0556b0372cf49

[Malekal_morte]

Scan deux jours après :

Complete scanning result of "booklg.zip", processed in VirusTotal at 07/17/2008 09:29:44 (CET).

[ file data ]
* name..: booklg.zip
* size..: 42496
* md5...: 1b36a48c7c481f5a646fb9c3cdd877cf
* sha1..: c98678be63c654e814881a6930b0556b0372cf49
* peid..: BobSoft Mini Delphi -> BoB / BobSoft

[ scan result ]
AhnLab-V3 2008.7.17.0/20080717 found nothing
AntiVir 7.8.0.68/20080717 found [TR/Qhost.GR]
Authentium 5.1.0.4/20080716 found nothing
Avast 4.8.1195.0/20080717 found [Win32:Trojan-gen {Other}]
AVG 7.5.0.516/20080716 found [Dropper.Generic.ZRP]
BitDefender 7.2/20080717 found nothing
CAT-QuickHeal 9.50/20080716 found nothing
ClamAV 0.93.1/20080717 found nothing
DrWeb 4.44.0.09170/20080717 found [Win32.HLLW.Autoruner.2393]
eSafe 7.0.17.0/20080716 found nothing
eTrust-Vet 31.6.5961/20080717 found nothing
Ewido 4.0/20080716 found nothing
F-Prot 4.4.4.56/20080716 found nothing
F-Secure 7.60.13501.0/20080717 found nothing
Fortinet 3.14.0.0/20080717 found nothing
GData 2.0.7306.1023/20080717 found [Trojan.Win32.Buzus.mdr]
Ikarus T3.1.1.26.0/20080717 found [Trojan.Win32.Inject.dsr]
Kaspersky 7.0.0.125/20080717 found [Trojan.Win32.Buzus.mdr]
McAfee 5340/20080716 found nothing
Microsoft 1.3704/20080717 found [VirTool:Win32/DelfInject.gen!AF]
NOD32v2 3272/20080717 found [a variant of Win32/Injector.BL]
Norman 5.80.02/20080716 found nothing
Panda 9.0.0.4/20080716 found nothing
Prevx1 V2/20080717 found nothing
Rising 20.53.30.00/20080717 found nothing
Sophos 4.31.0/20080717 found nothing
Sunbelt 3.1.1536.1/20080715 found nothing
Symantec 10/20080717 found nothing
TheHacker 6.2.96.381/20080716 found nothing
TrendMicro 8.700.0.1004/20080717 found nothing
VBA32 3.12.8.0/20080717 found nothing
VirusBuster 4.5.11.0/20080716 found nothing
Webwasher-Gateway 6.6.2/20080717 found [Trojan.Qhost.GR]