Le programme soit disant proposé est un programme qui permet d'hacker des comptes MSN, captures à l'appuie.
La page est assez grossière mais on doutera pas qu'il y aura bien des internautes sans cervelles qui voudront faire les malins en téléchargeant le dit programme.
Une fois exécuté, le programme créé le fichier C:\WINDOWS\system32\wuauclt4.3.exe, ce qui est mauvais signe puisque le nom reprend celui d'un processus légitime Windows wuauclt.exe, histoire de mieux tromper le propriétaire du PC.
wuauclt4.3.exe souhaite ensuite se charger à chaque démarrage de l'ordinateur ce qui est aussi mauvais signe.
Enfin le programme effectue une connexion vers le port 6667 qui est le port IRC.
Pour résumer nous avons affaire à une IRC Backdoor qui permet le contrôle du PC à distance.
L'ordinateur est alors transformer en Machine Zombi.
Un petit dump des strings en mémoire nous montre les diverses commandes IRC du client IRC embarqué
Tout ça pour dire qu'on peut très facilement éviter cette infection quand on utilise un peu son cerveau et que l'on fait attention à ce que l'on télécharge.
La ligne HijackThis ajoutée, on retrouve donc notre fichier wuauclt4.3.exe qui se charge au démarrage via cette clef Run.
O4 - HKCU\..\Run: [Optimisation] C:\WINDOWS\system32\wuauclt4.3.exe
Au vu de la détection actuelle (qui va évoluer car je vais envoyer le fichier en antivirus), il ne faut bien sûr pas compter sur son antivirus pour vous sauver.
File wuauclt4.3.exe received on 08.27.2008 22:41:33 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 5/36 (13.89%)
Loading server information...
Antivirus Version Last Update Result
AhnLab-V3 2008.8.27.1 2008.08.27 -
AntiVir 7.8.1.23 2008.08.27 -
Authentium 5.1.0.4 2008.08.27 W32/IRCBot-based!Maximus
Avast 4.8.1195.0 2008.08.27 -
AVG 8.0.0.161 2008.08.27 -
BitDefender 7.2 2008.08.27 -
CAT-QuickHeal 9.50 2008.08.26 -
ClamAV 0.93.1 2008.08.27 -
DrWeb 4.44.0.09170 2008.08.27 DLOADER.IRC.Trojan
eSafe 7.0.17.0 2008.08.26 -
eTrust-Vet 31.6.6050 2008.08.26 -
Ewido 4.0 2008.08.27 -
F-Prot 4.4.4.56 2008.08.27 W32/IRCBot-based!Maximus
F-Secure 7.60.13501.0 2008.08.27 -
Fortinet 3.14.0.0 2008.08.27 -
GData 2.0.7306.1023 2008.08.27 -
Ikarus T3.1.1.34.0 2008.08.27 -
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.27 -
McAfee 5371 2008.08.27 New Malware.b
Microsoft 1.3807 2008.08.25 -
NOD32v2 3393 2008.08.27 -
Norman 5.80.02 2008.08.27 -
Panda 9.0.0.4 2008.08.27 -
PCTools 4.4.2.0 2008.08.27 -
Prevx1 V2 2008.08.27 -
Rising 20.59.21.00 2008.08.27 -
Sophos 4.33.0 2008.08.27 -
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.27 -
TheHacker 6.3.0.6.060 2008.08.23 -
TrendMicro 8.700.0.1004 2008.08.27 -
VBA32 3.12.8.4 2008.08.27 -
ViRobot 2008.8.27.1352 2008.08.27 -
VirusBuster 4.5.11.0 2008.08.27 -
Webwasher-Gateway 6.6.2 2008.08.27 Virus.Win32.FileInfector.gen (suspicious)
Additional information
File size: 573952 bytes
MD5...: 99d8f5f59bb6276f20bbac9163499e86
SHA1..: 7c96b0f831d9c7e7c6d75d9802bc0a965d3f344a