Trojan.Daonol / Gumblar n'est pas un malware nouveau, mi-Décembre, ce lien installé déjà ce malware : http://forum.malekal.com/110-175-trojan ... ml#p124278
Trojan.Daonol / Gumblar est toujours actif, ce dernier provoque des redirections lors des recherches Google pour en autre faire la promotion de rogues.
Le point interressant de ce malware est le point de chargement [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] qui est assez peu courant.
Le malware utilise soit la clef "aux2" si "aux" est déjà utilisé, ce qui peut être le cas par le driver de son wmdaud.drv
Les premières variantes droppées des fichiers %System%\sysaudio.sys ou %System%\wdmaud.sys (wmaud.drv existe et il est OK), l'infection droppe maintenant des fichiers aléatoires.
Les localisations du malware peuvent être dans Local Settings et %windir%.
Ce dernier utilise des liens relatifs avec ..\, il faut donc remonter d'un niveau dans l'arborescence (c:\windows\system32\..\ = C:\Windows)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux2"= c:\docume~1\Melanie\LOCALS~1\Temp\..\nkq.dql
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= c:\docume~1\Aarons\LOCALS~1\Temp\..\fnjso.xoo
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm
"aux"= c:\windows\system32\..\bsuags.xvy
Côté désinfection, notez qu'il existe un fix en version béta pour le moment de jpshortstuff sous le nom de DaonolFix[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
"aux"="wdmaud.drv" - OK
"aux2"="C:\DOCUME~1\Dave\LOCALS~1\Temp\..\dgfij.ide" - Malware
Combofix est capable de supprimer certaine variante ainsi que MalwareByte's Anti-Malware.
Si vous pensez avoir plusieurs malwares sur votre PC, vous pouvez suivre la Procédure de désinfection des Trojans/Backdoor
Dans tous les cas DaonolFix et Combofix génère tous les deux un rapport avec un export des clefs sensibles pour analyse.
~~
Variante Novembre 2009 - voir post plus bas
Il semblerait que la clef soit maintenant cachée et que le fichier soit dans %USERNAME% ; ex C:\DOCUME~1\MALEKA~1\srn.bak 0yAAAAAAAA
On peux supprimer le fichier mais le malware fait une copie backup pour remettre le fichier infectieux en place.
Ci-dessus deux captures avec GMER où l'on voit la clef infectieuse midi9 et regedit/DaonolFix
La détection du fichier :
File mrgi.bak received on 2009.11.16 22:08:50 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 6/41 (14.64%)
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.16 -
AhnLab-V3 5.0.0.2 2009.11.16 -
AntiVir 7.9.1.65 2009.11.16 -
Antiy-AVL 2.0.3.7 2009.11.16 -
Authentium 5.2.0.5 2009.11.16 -
Avast 4.8.1351.0 2009.11.16 -
AVG 8.5.0.425 2009.11.16 PSW.Generic7.ARYI
BitDefender 7.2 2009.11.16 -
CAT-QuickHeal 10.00 2009.11.16 -
ClamAV 0.94.1 2009.11.16 -
Comodo 2960 2009.11.16 -
DrWeb 5.0.0.12182 2009.11.16 -
eSafe 7.0.17.0 2009.11.16 -
eTrust-Vet 35.1.7123 2009.11.16 Win32/Kates!generic
F-Prot 4.5.1.85 2009.11.16 -
F-Secure 9.0.15370.0 2009.11.11 -
Fortinet 3.120.0.0 2009.11.16 -
GData 19 2009.11.16 -
Ikarus T3.1.1.74.0 2009.11.16 -
Jiangmin 11.0.800 2009.11.16 -
K7AntiVirus 7.10.897 2009.11.16 -
Kaspersky 7.0.0.125 2009.11.16 Trojan-PSW.Win32.Kates.z
McAfee 5804 2009.11.16 -
McAfee+Artemis 5804 2009.11.16 -
McAfee-GW-Edition 6.8.5 2009.11.16 -
Microsoft 1.5202 2009.11.16 -
NOD32 4613 2009.11.16 a variant of Win32/Daonol.X
Norman 6.03.02 2009.11.16 -
nProtect 2009.1.8.0 2009.11.16 -
Panda 10.0.2.2 2009.11.16 -
PCTools 7.0.3.5 2009.11.16 -
Prevx 3.0 2009.11.16 -
Rising 22.22.00.08 2009.11.16 Trojan.Clicker.Win32.Mnless.dy
Sophos 4.47.0 2009.11.16 -
Sunbelt 3.2.1858.2 2009.11.12 -
Symantec 1.4.4.12 2009.11.16 -
TheHacker 6.5.0.2.071 2009.11.16 -
TrendMicro 9.0.0.1003 2009.11.16 -
VBA32 3.12.10.11 2009.11.15 -
ViRobot 2009.11.16.2039 2009.11.16 Trojan.Win32.Delf.26624.J
VirusBuster 4.6.5.0 2009.11.16 -
Additional information
File size: 26624 bytes
MD5...: b859746f1b37ff878663dc12dcd5e64d
SHA1..: 6e704dd354eba6b5a672801f993a0e7fa90705ba