Site infecté. Je n'ai pas révé ?

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
Contact75

Site infecté. Je n'ai pas révé ?

par Contact75 »

Mardi 13 aout le site était infecté (mais c'est mon avis car ce site est connu pour héberger des exploits) via un script :

http://googleanalitics.net/


Le site supposé infecté : [url]hxxp://bitdefender.bwm-mediasoft.com/[/url]

Qui n'a rien à voir avec la société analytics de google
http://fr.wikipedia.org/wiki/Google_Analytics

L'infection est :

http://www.viruslist.com/en/viruses/enc ... usid=79546

et les visiteurs se voient infectés avec (video de démonstration )

http://secuboxlabs.fr/archives/computertoday.html

Par contre je trouve la réponse dans un forum de quelqu'un de Bitdefender.... un peu légère :

"La réponse de la société Bitdefender.

_______________________________________________
Bonjour

Dans l'état actuel des choses, je pense à un faux-positif : NOD32 détecte un code malveillant alors qu'il n'y est pas.

Comme vous l'indiquez, ce code malveillant est détecté par tout le monde dont BitDefender. Or quand je me connecte à ce site, BitDefender ne détecte rien.

BWM Softwware est effectivement une société qui commerciale BitDefender de façon tout à fait officielle et avec qui nous n'avons aucun soucis.

Si vous avez la possibilité de sauvegarder le fichier incréminé, merci de nous le transmettre dans une archive protégée par mot de pasee et/ou contacter Eset pour leur demander une vérification de cette détection.

Cordialement "
____________________________________________

Donc cette personne ne détecte rien avec bitdefender alors que l'adresse du script a plus d'un an et avait déja sévi par le passé.

J'ai testé pour ma part avec mon BitDefender Internet Security avec tous les paramètres à fond, donc l'analyse de scripts et..... c'est le néant.
Il y a juste une alerte qui me dit si je veux telécharger telle appli javascript, mais c'est le cas lors de la visite de n'importe quel site web.
Quant au Trojan enfoui... aucune alerte.

"No Script" par contre détecte et c'est lui qui m'a alerté quand j'ai vu le nom

Je n'ai pas poussé plus loin (vais voir dans la VM et sandbox) mais (et ce jour encore donc mercredi à 19h) le script est toujours présent (Bitdefender me soutient le contraire)

Je vais quand meme lancer la chose pour voir (mais si quelqu'un pouvait confirmer) et étudier le comportement au lieu de passer 2 minutes dessus :-)

ADDENDUM :

Bon effectivement le site avait été hacké (index.php), mais comme j'ai la flemme de reconfigurer mes adresses bloquées de source de trojan.dns je n'ai bien sur pas la redirection qui s'affiche
Dernière modification par Contact75 le 13 août 2008 20:32, modifié 1 fois.
Malekal_morte
Messages : 110289
Inscription : 10 sept. 2005 13:57

Re: Site infecté. Je n'ai pas révé ?

par Malekal_morte »

Yop,

ouaip hacké, mais ça doit vieux (premier trimestre 2008) et ça marche plus :)

Y a de vieille référence là : http://www.google.fr/search?hl=fr&clien ... art=0&sa=N


googleanalitics.net = 58.65.234.164
Range bien connu : cmd1.net, probiva.net, kakaha.cn, golden-corps.com etc..
bref... on voit qui c'est.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Contact75

Re: Site infecté. Je n'ai pas révé ?

par Contact75 »

Malekal_morte a écrit :Yop,

ouaip hacké, mais ça doit vieux (premier trimestre 2008) et ça marche plus :)
Cela fonctionnait encore hier (infection "affichée" -Power antivirus 2009"- )

Image

Tiens du reste tout le processus de l'infection s'est déclaré sous Ubuntu, ce qui est amusant (m'enfin normal c'est une anim, mais les fichiers sont copies quand meme)

Malekal_morte a écrit : Y a de vieille référence là : http://www.google.fr/search?hl=fr&clien ... art=0&sa=N

googleanalitics.net = 58.65.234.164
Range bien connu : cmd1.net, probiva.net, kakaha.cn, golden-corps.com etc..
bref... on voit qui c'est.
Ouais ouais :-)

La vieille référence je connaissais, et du reste quand j'ai vu le nom de l'adresse googleanalitics, s'afficher sur le site (via no script) c'est là que j'ai eu le doute

En tous les cas merci de la réponse :-)

Parce que voyant toujours le script en place j'ai voulu retester chez moi mais je ne voyais rien de rien et j'avais la flemme de virer mes adresses bloquées de trojan.dns (possible raison) et de remettre en route wireShark

Par contre il est possible aussi qu'ils ont du commencer à nettoyer le site ou bloquer les adresses de redirection ce jour, avec l'aide du labo de bitdfender (puisque l'un des gars de Bitdfedner m'a répondu qu'ils "s"étaient penché sur le problème"

Ps : En fait il y a plus simple : Firefox 3 bloque googleanalitics si l'on va DIRECTEMENT sur hxxp://googleanalitics.net/p1/tds.php par ex, mais ne donne aucune indication si le site est en redirection via un script
Malekal_morte
Messages : 110289
Inscription : 10 sept. 2005 13:57

Re: Site infecté. Je n'ai pas révé ?

par Malekal_morte »

Ca ne marche pas.
Possible que mon IP soit blacklistée.

Faudrait que je change et j'ai pas envie.
Donc je rententerai demain.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Contact75

Re: Site infecté. Je n'ai pas révé ?

par Contact75 »

Malekal_morte a écrit :Ca ne marche pas.
Possible que mon IP soit blacklistée.

Faudrait que je change et j'ai pas envie.
Donc je rententerai demain.
Et il est possible également qu'ils aient bossé sur le serveur parce que j'ai beau essayé diverses manoeuvres pour me faire infecter (le comble :-), et bien que le script soit toujours en place, il ne ramène rien.
J'essaierai aussi sur un PC "vierge" mais demain.
M'enfin y a pas de quoi s'acharner non plus, je voulais juste ramener le sample parce que Bitdefender ne l'avais pas pour mettre à jour sa base anti virale.

Y aura d'autres sites infectés :-)
Malekal_morte
Messages : 110289
Inscription : 10 sept. 2005 13:57

Re: Site infecté. Je n'ai pas révé ?

par Malekal_morte »

OK ça a marché là :

Code : Tout sélectionner

1218669171.765      2 192.168.1.45 TCP_IMS_HIT/304 324 GET http://bitdefender.bwm-mediasoft.com/javascript/verticalScroll.js - NONE/- application/x-javascript
1218669172.652    186 192.168.1.45 TCP_MISS/200 549 GET http://www.googleadservices.com/pagead/conversion/1072284177/extclk?random=1218669169062&dom=bitdefender.bwm-mediasoft.com&cv=1&fst=1218669169062&num=1&fmt=2&bg=FFFFFF&hl=fr&u_h=768&u_w=1024&u_ah=740&u_aw=1024&u_cd=32&u_his=1&u_tz=-420&u_nplug=0&u_nmime=0&url=http%3A//bitdefender.bwm-mediasoft.com/ - DIRECT/74.125.39.96 text/html
1218669173.304    837 192.168.1.45 TCP_MISS/200 407 GET http://www.googleanalitics.net/__utb.js? - DIRECT/58.65.234.164 text/html
1218669174.167    706 192.168.1.45 TCP_MISS/200 427 GET http://58.65.234.163/e/count.php?b=1004 - DIRECT/58.65.234.163 text/html
1218669175.591   1407 192.168.1.45 TCP_MISS/200 21215 GET http://58.65.234.163/t/m1004z574501.html - DIRECT/58.65.234.163 text/html

Ca met ça : O20 - Winlogon Notify: winepi32 - C:\WINDOWS\SYSTEM32\winepi32.dll
le nom du fichier est aléatoire win*32.dll


La détection est souvent pourrie, dans notre cas :

Fichier ii.php_b_1004 reçu le 2008.08.13 23:13:22 (CET)
Situation actuelle: terminé
Résultat: 5/36 (13.89%)

Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.13.0 2008.08.13 -
AntiVir 7.8.1.19 2008.08.13 -
Authentium 5.1.0.4 2008.08.13 -
Avast 4.8.1195.0 2008.08.13 -
AVG 8.0.0.161 2008.08.13 -
BitDefender 7.2 2008.08.13 Trojan.Crypt.FD
CAT-QuickHeal 9.50 2008.08.13 -
ClamAV 0.93.1 2008.08.13 -
DrWeb 4.44.0.09170 2008.08.13 -
eSafe 7.0.17.0 2008.08.13 Suspicious File
eTrust-Vet 31.6.6030 2008.08.13 -
Ewido 4.0 2008.08.13 -
F-Prot 4.4.4.56 2008.08.13 -
F-Secure 7.60.13501.0 2008.08.13 -
Fortinet 3.14.0.0 2008.08.13 -
GData 2.0.7306.1023 2008.08.13 -
Ikarus T3.1.1.34.0 2008.08.13 BehavesLike.Trojan.WinlogonHook
K7AntiVirus 7.10.413 2008.08.13 -
Kaspersky 7.0.0.125 2008.08.13 -
McAfee 5360 2008.08.13 -
Microsoft 1.3807 2008.08.13 Trojan:Win32/Nebuler.gen!D
NOD32v2 3352 2008.08.13 -
Norman 5.80.02 2008.08.13 -
Panda 9.0.0.4 2008.08.13 -
PCTools 4.4.2.0 2008.08.13 -
Prevx1 V2 2008.08.13 -
Rising 20.57.22.00 2008.08.13 Trojan.DL.Win32.Undef.ann
Sophos 4.32.0 2008.08.13 -
Sunbelt 3.1.1542.1 2008.08.13 -
Symantec 10 2008.08.13 -
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.13 -
VBA32 3.12.8.3 2008.08.13 -
ViRobot 2008.8.13.1335 2008.08.13 -
VirusBuster 4.5.11.0 2008.08.13 -
Webwasher-Gateway 6.6.2 2008.08.13 -
Information additionnelle
File size: 46080 bytes
MD5...: 8cafa87b08b901b3004a2426c959cc52
SHA1..: 5980c2e6701fe76771193465f549016495ea6493
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 110289
Inscription : 10 sept. 2005 13:57

Re: Site infecté. Je n'ai pas révé ?

par Malekal_morte »

Le fichier une fois sur le système.
Vu qu'il se charge via Winlogon... risque d'y avoir bcp d'alerte des guards n'arrivant pas à le supprimer.
De quoi rendre fou l'utilisateur PDT_006

Fichier wingba32.dll reçu le 2008.08.13 23:32:21 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 11/36 (30.56%)


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.8.13.0 2008.08.13 -
AntiVir 7.8.1.19 2008.08.13 TR/Crypt.FD.48
Authentium 5.1.0.4 2008.08.13 -
Avast 4.8.1195.0 2008.08.13 -
AVG 8.0.0.161 2008.08.13 -
BitDefender 7.2 2008.08.13 Trojan.Crypt.FD
CAT-QuickHeal 9.50 2008.08.13 -
ClamAV 0.93.1 2008.08.13 -
DrWeb 4.44.0.09170 2008.08.13 -
eSafe 7.0.17.0 2008.08.13 -
eTrust-Vet 31.6.6030 2008.08.13 -
Ewido 4.0 2008.08.13 -
F-Prot 4.4.4.56 2008.08.13 -
F-Secure 7.60.13501.0 2008.08.13 Trojan-Downloader.Win32.FraudLoad.vbaw
Fortinet 3.14.0.0 2008.08.13 -
GData 2.0.7306.1023 2008.08.13 Trojan-Downloader.Win32.FraudLoad.vbaw
Ikarus T3.1.1.34.0 2008.08.13 Trojan.Crypt.FD
K7AntiVirus 7.10.413 2008.08.13 -
Kaspersky 7.0.0.125 2008.08.13 Trojan-Downloader.Win32.FraudLoad.vbaw
McAfee 5360 2008.08.13 -
Microsoft 1.3807 2008.08.13 Trojan:Win32/Nebuler.gen!D
NOD32v2 3353 2008.08.13 -
Norman 5.80.02 2008.08.13 -
Panda 9.0.0.4 2008.08.13 Suspicious file
PCTools 4.4.2.0 2008.08.13 -
Prevx1 V2 2008.08.13 -
Rising 20.57.22.00 2008.08.13 Trojan.DL.Win32.Undef.ann
Sophos 4.32.0 2008.08.13 -
Sunbelt 3.1.1542.1 2008.08.13 -
Symantec 10 2008.08.13 Backdoor.Trojan
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.13 -
VBA32 3.12.8.3 2008.08.13 -
ViRobot 2008.8.13.1335 2008.08.13 -
VirusBuster 4.5.11.0 2008.08.13 -
Webwasher-Gateway 6.6.2 2008.08.13 Trojan.Crypt.FD.48
Information additionnelle
File size: 32768 bytes
MD5...: 09f624afc950f4d534fe55695661af81
SHA1..: bef53cedd652c35cbce08d13773b8fad4b94db6c
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Contact75

Re: Site infecté. Je n'ai pas révé ?

par Contact75 »

Malekal_morte a écrit :OK ça a marché là :
Je vois :-)

Bon je verrais demain pour récupérer la chose parce que là sur le PC que j'utilise c'est trop galère pour désactiver tout un tas de trucs.

Je vois que les plages d'adresses sont à Hong Kong ce coup ci (ca change des Ukrainiennes :-)
Malekal_morte a écrit : La détection est souvent pourrie, dans notre cas :
[/quote]

Effectivement ce n'est pas top...

Je vois pourtant que Bitdefender détecte un semblant de quelque chose, mais la terminologie est trop vague (celle d'Ikarus n'est pas mal, surtout quand on voit que cela s'attaque au Kernel32 donc au noyau (normal)
Malekal_morte
Messages : 110289
Inscription : 10 sept. 2005 13:57

Re: Site infecté. Je n'ai pas révé ?

par Malekal_morte »

vi un autre : http://forum.malekal.com/viewtopic.php?f=62&t=13127
mais j'en ai eu qq autres entre temps.

BitDefender et Antivir ont ajouté une détection gen, y a pas longtemps.

Dans l'ordre, ça me donne ça sur les détections que j'ai eu dernièrement :
File winzzd32.dll received on 07.31.2008 07:05:51 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 2/34 (5.89%)


Antivirus Version Last Update Result
AhnLab-V3 2008.7.29.1 2008.07.31 -
AntiVir 7.8.1.12 2008.07.30 -
Authentium 5.1.0.4 2008.07.30 -
Avast 4.8.1195.0 2008.07.30 -
AVG 8.0.0.156 2008.07.30 -
BitDefender 7.2 2008.07.31 -
CAT-QuickHeal 9.50 2008.07.30 -
ClamAV 0.93.1 2008.07.31 -
DrWeb 4.44.0.09170 2008.07.31 -
eSafe 7.0.17.0 2008.07.29 -
eTrust-Vet 31.6.5997 2008.07.31 -
Ewido 4.0 2008.07.30 -
F-Prot 4.4.4.56 2008.07.30 -
Fortinet 3.14.0.0 2008.07.31 -
GData 2.0.7306.1023 2008.07.31 -
Ikarus T3.1.1.34.0 2008.07.31 -
Kaspersky 7.0.0.125 2008.07.31 -
McAfee 5350 2008.07.30 -
Microsoft 1.3704 2008.07.28 -
NOD32v2 3311 2008.07.30 -
Norman 5.80.02 2008.07.30 -
Panda 9.0.0.4 2008.07.30 Suspicious file
PCTools 4.4.2.0 2008.07.30 -
Prevx1 V2 2008.07.31 Cloaked Malware
Rising 20.55.30.00 2008.07.31 -
Sophos 4.31.0 2008.07.31 -
Sunbelt 3.1.1537.1 2008.07.29 -
Symantec 10 2008.07.31 -
TheHacker 6.2.96.389 2008.07.25 -
TrendMicro 8.700.0.1004 2008.07.30 -
VBA32 3.12.8.1 2008.07.29 -
ViRobot 2008.7.30.1317 2008.07.30 -
VirusBuster 4.5.11.0 2008.07.30 -
Webwasher-Gateway 6.6.2 2008.07.31 -
Additional information
File size: 33792 bytes
MD5...: d2569db8ca36d618cbfc340bb855b0bc
SHA1..: 49c3c151a7d51c3930d2f82642ff2c1ac9069a0d
File msntidrs.exe received on 07.31.2008 18:26:10 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 2/35 (5.72%)


Antivirus Version Last Update Result
AhnLab-V3 2008.7.29.1 2008.07.31 -
AntiVir 7.8.1.15 2008.07.31 -
Authentium 5.1.0.4 2008.07.31 -
Avast 4.8.1195.0 2008.07.31 -
AVG 8.0.0.156 2008.07.31 -
BitDefender 7.2 2008.07.31 -
CAT-QuickHeal 9.50 2008.07.31 -
ClamAV 0.93.1 2008.07.31 -
DrWeb 4.44.0.09170 2008.07.31 -
eSafe 7.0.17.0 2008.07.29 Suspicious File
eTrust-Vet 31.6.5998 2008.07.31 -
Ewido 4.0 2008.07.31 -
F-Prot 4.4.4.56 2008.07.30 -
F-Secure 7.60.13501.0 2008.07.31 -
Fortinet 3.14.0.0 2008.07.31 -
GData 2.0.7306.1023 2008.07.31 -
Ikarus T3.1.1.34.0 2008.07.31 BehavesLike.Trojan.WinlogonHook
Kaspersky 7.0.0.125 2008.07.31 -
McAfee 5350 2008.07.30 -
Microsoft 1.3704 2008.07.28 -
NOD32v2 3315 2008.07.31 -
Norman 5.80.02 2008.07.31 -
Panda 9.0.0.4 2008.07.31 -
PCTools 4.4.2.0 2008.07.31 -
Prevx1 V2 2008.07.31 -
Rising 20.55.32.00 2008.07.31 -
Sophos 4.31.0 2008.07.31 -
Sunbelt 3.1.1537.1 2008.07.29 -
Symantec 10 2008.07.31 -
TheHacker 6.2.96.389 2008.07.25 -
TrendMicro 8.700.0.1004 2008.07.31 -
VBA32 3.12.8.1 2008.07.31 -
ViRobot 2008.7.31.1319 2008.07.31 -
VirusBuster 4.5.11.0 2008.07.31 -
Webwasher-Gateway 6.6.2 2008.07.31 -
Additional information
File size: 46080 bytes
MD5...: 3fefac6bfe5e62a27d389dfa3c73088c
SHA1..: a4388f6c6b44abf39ef52fd95d1d376c29bf45e4
File msnthqcs.exe received on 08.01.2008 12:09:41 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 2/36 (5.56%)
Loading server information...
Your file is queued in position: ___.


Antivirus Version Last Update Result
AhnLab-V3 2008.7.29.1 2008.08.01 -
AntiVir 7.8.1.15 2008.08.01 -
Authentium 5.1.0.4 2008.07.31 -
Avast 4.8.1195.0 2008.07.31 -
AVG 8.0.0.156 2008.08.01 -
BitDefender 7.2 2008.08.01 -
CAT-QuickHeal 9.50 2008.07.31 -
ClamAV 0.93.1 2008.08.01 -
DrWeb 4.44.0.09170 2008.08.01 -
eSafe 7.0.17.0 2008.07.29 Suspicious File
eTrust-Vet 31.6.5999 2008.07.31 -
Ewido 4.0 2008.07.31 -
F-Prot 4.4.4.56 2008.07.31 -
F-Secure 7.60.13501.0 2008.08.01 -
Fortinet 3.14.0.0 2008.08.01 -
GData 2.0.7306.1023 2008.08.01 -
Ikarus T3.1.1.34.0 2008.08.01 BehavesLike.Trojan.WinlogonHook
K7AntiVirus 7.10.399 2008.07.31 -
Kaspersky 7.0.0.125 2008.08.01 -
McAfee 5351 2008.07.31 -
Microsoft 1.3704 2008.07.28 -
NOD32v2 3317 2008.08.01 -
Norman 5.80.02 2008.07.31 -
Panda 9.0.0.4 2008.08.01 -
PCTools 4.4.2.0 2008.08.01 -
Prevx1 V2 2008.08.01 -
Rising 20.55.42.00 2008.08.01 -
Sophos 4.31.0 2008.08.01 -
Sunbelt 3.1.1537.1 2008.08.01 -
Symantec 10 2008.08.01 -
TheHacker 6.2.96.391 2008.07.31 -
TrendMicro 8.700.0.1004 2008.08.01 -
VBA32 3.12.8.2 2008.08.01 -
ViRobot 2008.8.1.1321 2008.08.01 -
VirusBuster 4.5.11.0 2008.07.31 -
Webwasher-Gateway 6.6.2 2008.08.01 -
Additional information
File size: 46080 bytes
MD5...: fa16f808b54151d604f1094a41afe635
SHA1..: b51a34c0728a9ba0d801147cb906c9115b8f01ca
File 2ei7Mu7f.com received on 08.03.2008 18:11:29 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 2/36 (5.56%)

Antivirus Version Last Update Result
AhnLab-V3 2008.7.29.1 2008.08.02 -
AntiVir 7.8.1.15 2008.08.01 -
Authentium 5.1.0.4 2008.08.03 -
Avast 4.8.1195.0 2008.08.03 -
AVG 8.0.0.156 2008.08.03 -
BitDefender 7.2 2008.08.03 -
CAT-QuickHeal 9.50 2008.08.02 -
ClamAV 0.93.1 2008.08.03 -
DrWeb 4.44.0.09170 2008.08.03 -
eSafe 7.0.17.0 2008.08.03 Suspicious File
eTrust-Vet 31.6.6002 2008.08.02 -
Ewido 4.0 2008.08.03 -
F-Prot 4.4.4.56 2008.08.03 -
F-Secure 7.60.13501.0 2008.08.03 -
Fortinet 3.14.0.0 2008.08.03 -
GData 2.0.7306.1023 2008.08.03 -
Ikarus T3.1.1.34.0 2008.08.03 BehavesLike.Trojan.WinlogonHook
K7AntiVirus 7.10.402 2008.08.02 -
Kaspersky 7.0.0.125 2008.08.03 -
McAfee 5352 2008.08.01 -
Microsoft 1.3807 2008.08.03 -
NOD32v2 3322 2008.08.03 -
Norman 5.80.02 2008.08.01 -
Panda 9.0.0.4 2008.08.03 -
PCTools 4.4.2.0 2008.08.03 -
Prevx1 V2 2008.08.03 -
Rising 20.55.62.00 2008.08.03 -
Sophos 4.31.0 2008.08.03 -
Sunbelt 3.1.1537.1 2008.08.01 -
Symantec 10 2008.08.03 -
TheHacker 6.2.96.392 2008.08.02 -
TrendMicro 8.700.0.1004 2008.08.01 -
VBA32 3.12.8.2 2008.08.02 -
ViRobot 2008.8.1.1321 2008.08.01 -
VirusBuster 4.5.11.0 2008.08.02 -
Webwasher-Gateway 6.6.2 2008.08.03 -
Additional information
File size: 47104 bytes
MD5...: e84d00c6d67c9ab9fcf20bd7f1b364db
SHA1..: f3619f53f5b3c313f0f105ed9bf22b92562ba728
File 48756.exe received on 08.06.2008 10:21:47 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 7/36 (19.45%)



Antivirus Version Last Update Result
AhnLab-V3 2008.8.6.2 2008.08.06 -
AntiVir 7.8.1.15 2008.08.05 TR/Crypt.ULPM.Gen
Authentium 5.1.0.4 2008.08.05 -
Avast 4.8.1195.0 2008.08.05 -
AVG 8.0.0.156 2008.08.06 -
BitDefender 7.2 2008.08.06 Trojan.Crypt.EE
CAT-QuickHeal 9.50 2008.08.05 -
ClamAV 0.93.1 2008.08.06 -
DrWeb 4.44.0.09170 2008.08.06 -
eSafe 7.0.17.0 2008.08.05 -
eTrust-Vet 31.6.6013 2008.08.06 -
Ewido 4.0 2008.08.05 -
F-Prot 4.4.4.56 2008.08.05 -
F-Secure 7.60.13501.0 2008.08.06 -
Fortinet 3.14.0.0 2008.08.05 -
GData 2.0.7306.1023 2008.08.06 -
Ikarus T3.1.1.34.0 2008.08.06 Trojan.Crypt.EE
K7AntiVirus 7.10.404 2008.08.05 -
Kaspersky 7.0.0.125 2008.08.06 Trojan.Win32.Agent.kkp
McAfee 5354 2008.08.05 -
Microsoft 1.3807 2008.08.06 -
NOD32v2 3331 2008.08.06 -
Norman 5.80.02 2008.08.05 -
Panda 9.0.0.4 2008.08.05 Suspicious file
PCTools 4.4.2.0 2008.08.05 -
Prevx1 V2 2008.08.06 -
Rising 20.56.21.00 2008.08.06 -
Sophos 4.31.0 2008.08.06 -
Sunbelt 3.1.1537.1 2008.08.06 -
Symantec 10 2008.08.06 -
TheHacker 6.2.96.393 2008.08.04 -
TrendMicro 8.700.0.1004 2008.08.06 PAK_Generic.001
VBA32 3.12.8.2 2008.08.05 -
ViRobot 2008.8.5.1324 2008.08.06 -
VirusBuster 4.5.11.0 2008.08.05 -
Webwasher-Gateway 6.6.2 2008.08.06 Trojan.Crypt.ULPM.Gen
Additional information
File size: 12800 bytes
MD5...: c01c18d75457049dc85d8aebfd0cc368
SHA1..: ba628290600c4cc0e380bc24e1bc2c13fca9cc43
File sBQnEgON.com received on 08.12.2008 13:40:18 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 4/36 (11.12%)
Loading server information...

Antivirus Version Last Update Result
AhnLab-V3 2008.8.12.0 2008.08.12 -
AntiVir 7.8.1.19 2008.08.12 -
Authentium 5.1.0.4 2008.08.12 -
Avast 4.8.1195.0 2008.08.11 -
AVG 8.0.0.156 2008.08.12 -
BitDefender 7.2 2008.08.12 Trojan.Crypt.FD
CAT-QuickHeal 9.50 2008.08.11 -
ClamAV 0.93.1 2008.08.12 -
DrWeb 4.44.0.09170 2008.08.12 -
eSafe 7.0.17.0 2008.08.11 Suspicious File
eTrust-Vet 31.6.6027 2008.08.12 -
Ewido 4.0 2008.08.12 -
F-Prot 4.4.4.56 2008.08.12 -
F-Secure 7.60.13501.0 2008.08.12 -
Fortinet 3.14.0.0 2008.08.12 -
GData 2.0.7306.1023 2008.08.12 -
Ikarus T3.1.1.34.0 2008.08.12 BehavesLike.Trojan.WinlogonHook
K7AntiVirus 7.10.411 2008.08.11 -
Kaspersky 7.0.0.125 2008.08.12 -
McAfee 5358 2008.08.11 -
Microsoft 1.3807 2008.08.12 -
NOD32v2 3348 2008.08.12 -
Norman 5.80.02 2008.08.12 -
Panda 9.0.0.4 2008.08.12 -
PCTools 4.4.2.0 2008.08.11 -
Prevx1 V2 2008.08.12 -
Rising 20.57.12.00 2008.08.12 Trojan.DL.Win32.Undef.ann
Sophos 4.32.0 2008.08.12 -
Sunbelt 3.1.1542.1 2008.08.12 -
Symantec 10 2008.08.12 -
TheHacker 6.2.96.396 2008.08.12 -
TrendMicro 8.700.0.1004 2008.08.12 -
VBA32 3.12.8.3 2008.08.11 -
ViRobot 2008.8.12.1333 2008.08.12 -
VirusBuster 4.5.11.0 2008.08.11 -
Webwasher-Gateway 6.6.2 2008.08.12 -
Additional information
File size: 46592 bytes
MD5...: 20e0ca2faaab06cc7815f4af64f9dd15
SHA1..: 84c283ee902dbc4f9243b29062400de850054a86

C'est un peu meilleur à la fin.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Contact75

Re: Site infecté. Je n'ai pas révé ?

par Contact75 »

Malekal_morte a écrit :vi un autre : http://forum.malekal.com/viewtopic.php?f=62&t=13127
mais j'en ai eu qq autres entre temps.

BitDefender et Antivir ont ajouté une détection gen, y a pas longtemps.

Dans l'ordre, ça me donne ça sur les détections que j'ai eu dernièrement (...)
Ce jour c'est nettement mieux.

Bitdefender détecte les variantes et les ténors habituels (Antivir, Kaspersky, ... ) également

Avast du reste malgré le mois d'aout est en train d'etre plus réactif sur les infections (ce que j'ai noté depuis quelques semaines)
Mais bon ca c'est la réactivité. Reste le problème de la désinfection apres infection où la plupart des solutions AV se vautrent.
Malekal_morte
Messages : 110289
Inscription : 10 sept. 2005 13:57

Re: Site infecté. Je n'ai pas révé ?

par Malekal_morte »

vi pour Avast!, ils updatent bcp leurs détections heuristique Win32:Trojan-gen {Other}
et qq autres.
Mais ils sont quand meme à la bourre.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »