Advanced Virus Remover

par **Malekal_morte** » 11 juin 2009 10:41

Advanced Virus Remover est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware pour soit disant désinfecter votre ordinateur.

Ce rogue s'installe automatiquement soit via des Faux codec soit via des exploits sur des sites WEB.

Dans le premier cas, faites un peu attention à ce que vous exécutez comme fichier... dans le second cas, pensez à mettre à jour vos programmes, voir scan de vulnérabilités.

Combofix ou Malwarebyte Anti-Malware doit le supprimer sans problème.

par **Malekal_morte** » 13 juin 2009 22:40

hop le petit Trojan FakeAlert/Renos qui va avec son icône dans le systray affichant le message :

Your computer is infected! Windows has detected spyware infection!It is recommended to use special antispyware tools to prevent data loss. Windows will now download and install the most up-to-date antispyware for you.
Click here to protect your computer from spyware!

qui télécharge directement le rogue aux adresses :
hxxp://advanced-virusremover2009.com/buy/?code?code=
hxxp://onlinescanxppro.com/loads.php?code=

et le fond d'écran modifié avec en rouge sur fond noir "YOUR SYSTEM IS INFECTED!"

Ligne HijackThis et fichier responsable :

O4 - HKLM\..\Run: [winupdate.exe] C:\WINDOWS\system32\winupdate.exe

par **Malekal_morte** » 26 oct. 2009 13:42

Toujours actif :

Code : Tout sélectionner

1256569008.545   1697 192.168.1.26 TCP_MISS/200 20621 GET http://fopsl.cn/forum/exe.php - DIRECT/210.51.166.249 application/octet-stream
1256569013.742    751 192.168.1.26 TCP_MISS/200 22856 GET http://downloadavr7.com/dfghfghgfj.dll - DIRECT/91.207.116.55 application/x-msdownload
1256569017.553   3373 192.168.1.26 TCP_MISS/200 2042131 GET http://downloadavr7.com/cgi-bin/download.pl?code=0001138 - DIRECT/91.207.116.55 application/octet-stream

Lignes HiJackThis - relatives à l'infection :

O4 - HKLM\..\Run: [winupdate.exe] C:\WINDOWS\system32\winupdate.exe
O4 - HKCU\..\Run: [Advanced Virus Remover] C:\Program Files\AdvancedVirusRemover\PAVRM.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\winhelper.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\winhelper.dll

Scan VT du dropper :

File load_12_.exe received on 2009.10.26 12:40:39 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 4/41 (9.76%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.26 Trojan-Downloader.Win32.FraudLoad!IK
AhnLab-V3 5.0.0.2 2009.10.23 -
AntiVir 7.9.1.44 2009.10.26 -
Antiy-AVL 2.0.3.7 2009.10.26 -
Authentium 5.1.2.4 2009.10.26 -
Avast 4.8.1351.0 2009.10.25 -
AVG 8.5.0.423 2009.10.26 -
BitDefender 7.2 2009.10.26 -
CAT-QuickHeal 10.00 2009.10.26 -
ClamAV 0.94.1 2009.10.26 -
Comodo 2738 2009.10.26 -
DrWeb 5.0.0.12182 2009.10.26 -
eSafe 7.0.17.0 2009.10.25 -
eTrust-Vet 35.1.7083 2009.10.26 -
F-Prot 4.5.1.85 2009.10.25 -
F-Secure 9.0.15370.0 2009.10.22 -
Fortinet 3.120.0.0 2009.10.26 -
GData 19 2009.10.26 -
Ikarus T3.1.1.72.0 2009.10.26 Trojan-Downloader.Win32.FraudLoad
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.879 2009.10.24 -
Kaspersky 7.0.0.125 2009.10.26 Trojan-Downloader.Win32.FraudLoad.fwn
McAfee 5782 2009.10.25 -
McAfee+Artemis 5782 2009.10.25 -
McAfee-GW-Edition 6.8.5 2009.10.26 -
Microsoft 1.5202 2009.10.26 -
NOD32 4543 2009.10.26 -
Norman 6.03.02 2009.10.23 -
nProtect 2009.1.8.0 2009.10.26 -
Panda 10.0.2.2 2009.10.26 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.26 High Risk Cloaked Malware
Rising 21.53.04.00 2009.10.26 -
Sophos 4.46.0 2009.10.26 -
Sunbelt 3.2.1858.2 2009.10.25 -
Symantec 1.4.4.12 2009.10.26 -
TheHacker 6.5.0.2.053 2009.10.24 -
TrendMicro 8.950.0.1094 2009.10.26 -
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.26.2005 2009.10.26 -
VirusBuster 4.6.5.0 2009.10.25 -
Additional information
File size: 26624 bytes
MD5...: b50ae3a7aed5a39d25a8c549a21dd741
SHA1..: 1c8c2bffc6ce7ad6a6f946f16049b8e5d6c4c880

par **Malekal_morte** » 10 nov. 2009 10:07

Juste pour signaler une nouvelle variante de fichier winupdate qui devient \winupdate86.exe.
Voici la ligne HiJackThis correspondante :

O4 - HKLM\..\Run: [winupdate86.exe] C:\WINDOWS\system32\winupdate86.exe

Le scan VirusTotal http://www.virustotal.com/analisis/d9d6 ... 1257843860

File winupdate86.exe received on 2009.11.10 09:04:20 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 1/40 (2.5%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.10 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.09 -
Antiy-AVL 2.0.3.7 2009.11.10 -
Authentium 5.2.0.5 2009.11.10 -
Avast 4.8.1351.0 2009.11.10 -
AVG 8.5.0.423 2009.11.09 -
BitDefender 7.2 2009.11.10 -
CAT-QuickHeal 10.00 2009.11.09 -
ClamAV 0.94.1 2009.11.10 -
Comodo 2903 2009.11.10 -
DrWeb 5.0.0.12182 2009.11.10 -
eTrust-Vet 35.1.7113 2009.11.10 -
F-Prot 4.5.1.85 2009.11.09 -
F-Secure 9.0.15370.0 2009.11.09 -
Fortinet 3.120.0.0 2009.11.10 -
GData 19 2009.11.10 -
Ikarus T3.1.1.74.0 2009.11.10 -
Jiangmin 11.0.800 2009.11.10 -
K7AntiVirus 7.10.892 2009.11.09 -
Kaspersky 7.0.0.125 2009.11.10 -
McAfee 5797 2009.11.09 -
McAfee+Artemis 5797 2009.11.09 -
McAfee-GW-Edition 6.8.5 2009.11.10 -
Microsoft 1.5202 2009.11.10 -
NOD32 4590 2009.11.10 -
Norman 6.03.02 2009.11.09 -
nProtect 2009.1.8.0 2009.11.09 -
Panda 10.0.2.2 2009.11.09 -
PCTools 7.0.3.5 2009.11.10 -
Prevx 3.0 2009.11.10 -
Rising 22.21.01.05 2009.11.10 Trojan.Win32.FakeAlert.ly
Sophos 4.47.0 2009.11.10 -
Sunbelt 3.2.1858.2 2009.11.10 -
Symantec 1.4.4.12 2009.11.10 -
TheHacker 6.5.0.2.064 2009.11.09 -
TrendMicro 9.0.0.1003 2009.11.10 -
VBA32 3.12.10.11 2009.11.09 -
ViRobot 2009.11.10.2028 2009.11.10 -
VirusBuster 4.6.5.0 2009.11.09 -
Additional information
File size: 20992 bytes
MD5...: 9595494843d59b7bcb47444da1795607
SHA1..: 23456991df68a4f4f9e996f9e8286877fdf5736a

par **Malekal_morte** » 16 nov. 2009 17:41

Trojan Microjoin peut charger ce rogue aussi.

Download initial :

Code : Tout sélectionner

1258396648.587   2013 192.168.1.63 TCP_MISS/200 1407767 GET http://xrenutap.com//getexe.php?spl=mdac - DIRECT/217.23.12.147 application/octet-stream

Exemple de détection :

File load_22_.exe received on 2009.11.16 16:26:27 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 15/41 (36.59%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.16 Packed.Win32.Krap!IK
AhnLab-V3 5.0.0.2 2009.11.16 -
AntiVir 7.9.1.65 2009.11.16 TR/Agent.AH.521
Antiy-AVL 2.0.3.7 2009.11.16 Packed/Win32.Krap
Authentium 5.2.0.5 2009.11.16 -
Avast 4.8.1351.0 2009.11.16 -
AVG 8.5.0.425 2009.11.16 SHeur2.BRYO
BitDefender 7.2 2009.11.16 -
CAT-QuickHeal 10.00 2009.11.16 -
ClamAV 0.94.1 2009.11.16 -
Comodo 2957 2009.11.15 -
DrWeb 5.0.0.12182 2009.11.16 Trojan.Packed.683
eSafe 7.0.17.0 2009.11.16 -
eTrust-Vet 35.1.7122 2009.11.16 -
F-Prot 4.5.1.85 2009.11.16 -
F-Secure 9.0.15370.0 2009.11.11 Suspicious:W32/Malware!Gemini
Fortinet 3.120.0.0 2009.11.16 -
GData 19 2009.11.16 -
Ikarus T3.1.1.74.0 2009.11.16 Packed.Win32.Krap
Jiangmin 11.0.800 2009.11.16 -
K7AntiVirus 7.10.897 2009.11.16 -
Kaspersky 7.0.0.125 2009.11.16 Packed.Win32.Krap.ah
McAfee 5803 2009.11.15 -
McAfee+Artemis 5803 2009.11.15 Artemis!DB2C11916287
McAfee-GW-Edition 6.8.5 2009.11.16 Trojan.Agent.AH.521
Microsoft 1.5202 2009.11.16 VirTool:Win32/Obfuscator.HG
NOD32 4612 2009.11.16 a variant of Win32/Kryptik.BCR
Norman 6.03.02 2009.11.16 -
nProtect 2009.1.8.0 2009.11.16 -
Panda 10.0.2.2 2009.11.15 Suspicious file
PCTools 7.0.3.5 2009.11.16 -
Prevx 3.0 2009.11.16 Medium Risk Malware
Rising 22.22.00.08 2009.11.16 -
Sophos 4.47.0 2009.11.16 Sus/EncPk-LT
Sunbelt 3.2.1858.2 2009.11.12 -
Symantec 1.4.4.12 2009.11.16 -
TheHacker 6.5.0.2.071 2009.11.16 -
TrendMicro 9.0.0.1003 2009.11.16 -
VBA32 3.12.10.11 2009.11.15 -
ViRobot 2009.11.16.2039 2009.11.16 -
VirusBuster 4.6.5.0 2009.11.16 -
Additional information
File size: 1407488 bytes
MD5...: db2c11916287bd58a5b688ebec897d9d
SHA1..: 11e582329a5bbc2f9a17881c45e133ad25725442

puis vas chercher le pack au complet :

Code : Tout sélectionner

1258396905.438   1836 192.168.1.26 TCP_MISS/200 1490735 GET http://plugininput.com/123.exe - DIRECT/217.23.12.147 application/octet-stream
1258396941.491    550 192.168.1.63 TCP_MISS/200 23368 GET http://downloadavr9.com/dfghfghgfj.dll - DIRECT/91.207.116.55 application/x-msdownload
1258396945.637   1668 192.168.1.63 TCP_MISS/200 795683 GET http://downloadavr9.com/cgi-bin/download.pl?code=0000093 - DIRECT/91.207.116.55 application/octet-stream
1258396949.311    623 192.168.1.90 TCP_MISS/200 105213 GET http://testavrdown.com/cgi-bin/get.pl?l= - DIRECT/91.207.116.55 application/octet-stream
1258396949.789    916 192.168.1.63 TCP_MISS/200 105213 GET http://testavrdown.com/cgi-bin/get.pl?l= - DIRECT/91.207.116.55 application/octet-stream

123.exe est le pack Trojan.MicroJoin ~1,3 MO
Le reste sont les fichiers relatives au rogue Advanced Virus Remover

de détection :

File 123.exe received on 2009.11.16 16:31:16 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 14/41 (34.15%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.16 Packed.Win32.Krap!IK
AhnLab-V3 5.0.0.2 2009.11.16 -
AntiVir 7.9.1.65 2009.11.16 TR/Agent.AH.532
Antiy-AVL 2.0.3.7 2009.11.16 Packed/Win32.Krap
Authentium 5.2.0.5 2009.11.16 -
Avast 4.8.1351.0 2009.11.16 -
AVG 8.5.0.425 2009.11.16 -
BitDefender 7.2 2009.11.16 Trojan.Generic.2676560
CAT-QuickHeal 10.00 2009.11.16 -
ClamAV 0.94.1 2009.11.16 -
Comodo 2957 2009.11.15 -
DrWeb 5.0.0.12182 2009.11.16 Trojan.Packed.683
eSafe 7.0.17.0 2009.11.16 -
eTrust-Vet 35.1.7122 2009.11.16 -
F-Prot 4.5.1.85 2009.11.16 -
F-Secure 9.0.15370.0 2009.11.11 -
Fortinet 3.120.0.0 2009.11.16 -
GData 19 2009.11.16 Trojan.Generic.2676560
Ikarus T3.1.1.74.0 2009.11.16 Packed.Win32.Krap
Jiangmin 11.0.800 2009.11.16 -
K7AntiVirus 7.10.897 2009.11.16 -
Kaspersky 7.0.0.125 2009.11.16 Packed.Win32.Krap.ah
McAfee 5803 2009.11.15 -
McAfee+Artemis 5803 2009.11.15 Artemis!806A07CB0974
McAfee-GW-Edition 6.8.5 2009.11.16 Trojan.Agent.AH.532
Microsoft 1.5202 2009.11.16 VirTool:Win32/Obfuscator.HG
NOD32 4612 2009.11.16 a variant of Win32/Kryptik.BCR
Norman 6.03.02 2009.11.16 -
nProtect 2009.1.8.0 2009.11.16 -
Panda 10.0.2.2 2009.11.15 Suspicious file
PCTools 7.0.3.5 2009.11.16 -
Prevx 3.0 2009.11.16 -
Rising 22.22.00.08 2009.11.16 -
Sophos 4.47.0 2009.11.16 Sus/EncPk-LT
Sunbelt 3.2.1858.2 2009.11.12 -
Symantec 1.4.4.12 2009.11.16 -
TheHacker 6.5.0.2.071 2009.11.16 -
TrendMicro 9.0.0.1003 2009.11.16 -
VBA32 3.12.10.11 2009.11.15 -
ViRobot 2009.11.16.2039 2009.11.16 -
VirusBuster 4.6.5.0 2009.11.16 -
Additional information
File size: 1490432 bytes
MD5...: 806a07cb0974415836939ec845f162df
SHA1..: 617fdcfeb5b535080ce50ed23d8e862bb27d7b55

Lignes HiJackThis ajoutées par l'infection :

O4 - HKLM\..\Run: [lsass] C:\WINDOWS\lsass.exe
O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe
O4 - HKLM\..\Run: [odby] C:\WINDOWS\odb.exe
O4 - HKLM\..\Run: [winupdate86.exe] C:\WINDOWS\system32\winupdate86.exe
O4 - HKLM\..\Run: [servicelayer] C:\WINDOWS\servicelayer.exe
O4 - HKLM\..\Run: [wdmon] C:\WINDOWS\wdmon.exe
O4 - HKLM\..\Run: [netw] C:\WINDOWS\svw.exe
O4 - HKLM\..\Run: [netx] C:\WINDOWS\svx.exe

Pour rappel, Trojan.MicroJoin est du type Trojan.Clicker (voir aussi : http://forum.malekal.com/antivirus-2009 ... ml#p114918 )

Le malware surf, de manière intensives, sur des sites en fond pour augmenter le ranking etc... ces sites sont souvent très peu catholiques, exemples :

Malekal.com forum

Advanced Virus Remover

Advanced Virus Remover

Re: Advanced Virus Remover

Re: Advanced Virus Remover

Re: Advanced Virus Remover

Re: Advanced Virus Remover