La première rencontre fut fin Avril 2009 : http://forum.malekal.com/post151443.htm ... fo#p151443
Autre rencontre sur cette page : http://forum.malekal.com/post157389.htm ... fo#p157389
Le malware ajoute la ligne suivante sur HijackThis :
Soit donc :F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe calc.ifo beforemain
Il contacte ensuite les serveurs de contrôle exemple :Process:
Path: C:\Documents and Settings\Malekal_morte\Desktop\file.exe
PID: 992
Registry Group: Winlogon
Object:
Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Registry value: Shell
New value:
Type: REG_SZ
Value: Explorer.exe rundll32.exe calc.ifo beforemain
Previous value:
Type: REG_SZ
Value: Explorer.exe
Code : Tout sélectionner
* http://r99u.cn/myl/464664.php?id=460684417&v=101&tm=4&b=9322131982
* http://r99u.cn/myl/464664.php?id=460684417&v=101&tm=5&b=9322131982
* http://r99u.cn/myl/464664.php?id=460684417&v=101&tm=6&b=9322131982
* http://234871938123.cn/load.exe|taskid:47|backurls:http://e37z.cn/myl/geit.php;http://e58z.cn/myl/geit.php[/info]
* http://r99u.cn/myl/exe/fgrabnew3.exe|taskid:45|backurls:http://e37z.cn/myl/geit.php;http://e58z.cn/myl/geit.php[/info]
EDIT - Avril 2011Fichier DB07CDAF004EDCFD4C8300FA386EB800C95A2690.exe reçu le 2009.06.14 07:13:35 (UTC)
Situation actuelle: terminé
Résultat: 8/39 (20.51%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.14 Trojan.Win32.Oficla!IK
AhnLab-V3 5.0.0.2 2009.06.13 -
AntiVir 7.9.0.187 2009.06.12 -
Antiy-AVL 2.0.3.1 2009.06.12 -
Authentium 5.1.2.4 2009.06.13 -
Avast 4.8.1335.0 2009.06.13 -
AVG 8.5.0.339 2009.06.13 -
BitDefender 7.2 2009.06.14 Trojan.Generic.CJ.AWU
CAT-QuickHeal 10.00 2009.06.13 -
ClamAV 0.94.1 2009.06.14 -
Comodo 1320 2009.06.14 -
DrWeb 5.0.0.12182 2009.06.14 -
eSafe 7.0.17.0 2009.06.11 -
eTrust-Vet 31.6.6556 2009.06.12 -
F-Prot 4.4.4.56 2009.06.13 -
F-Secure 8.0.14470.0 2009.06.13 -
Fortinet 3.117.0.0 2009.06.14 -
GData 19 2009.06.14 Trojan.Generic.CJ.AWU
Ikarus T3.1.1.59.0 2009.06.14 Trojan.Win32.Oficla
K7AntiVirus 7.10.762 2009.06.12 -
McAfee 5645 2009.06.13 -
McAfee+Artemis 5645 2009.06.13 Artemis!295DA24D68EB
McAfee-GW-Edition 6.7.6 2009.06.14 -
Microsoft 1.4701 2009.06.14 Trojan:Win32/Oficla.A
NOD32 4153 2009.06.14 -
Norman 2009.06.12 -
nProtect 2009.1.8.0 2009.06.14 -
Panda 10.0.0.14 2009.06.13 Suspicious file
PCTools 4.4.2.0 2009.06.12 -
Prevx 3.0 2009.06.14 Medium Risk Malware
Rising 21.33.61.00 2009.06.14 -
Sophos 4.42.0 2009.06.14 -
Sunbelt 3.2.1858.2 2009.06.13 -
Symantec 1.4.4.12 2009.06.14 -
TheHacker 6.3.4.3.345 2009.06.13 -
TrendMicro 8.950.0.1092 2009.06.12 -
VBA32 3.12.10.7 2009.06.14 -
ViRobot 2009.6.13.1785 2009.06.13 -
VirusBuster 4.6.5.0 2009.06.13 -
Information additionnelle
File size: 19456 bytes
MD5 : 295da24d68ebae9dbea9d2eea77dce9e
SHA1 : e93f044cbb3d17cc5d0a67f62a3c2061b68b0234
Une version "SpamBot" de Sasfis existe.
Celle-ci se charge par une DLL dans le processus winlogon et une clef notify :
Parent process:
Path: C:\Documents and Settings\Mak\Bureau\file.exe
PID: 5592
Information: Ms Scan Disk Application
Child process:
Path: C:\WINDOWS\system32\winlogon.exe
Information: Application d'ouverture de session Windows NT (Microsoft Corporation)
Command line:winlogon.exe
Process:
Path: C:\WINDOWS\system32\winlogon.exe
PID: 1224
Information: Application d'ouverture de session Windows NT (Microsoft Corporation)
Registry Group: Winlogon
Object:
Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\aaqaijkq
Ce qui donne sur HijackThis :
Dans cet exemple, on peux voir la connexion vers une adresse russe (.ru) :O20 - Winlogon Notify: aaqaijkq - C:\WINDOWS\SYSTEM32\aaqaijkq.dll
![Image](https://www.malekal.com/fichiers/spywares/Spammer_Sasfis.png)
puis les connexions SMTP :
![Image](https://www.malekal.com/fichiers/spywares/Spammer_Sasfis2.png)
et les mails de SPAM envoyés :
![Image](https://www.malekal.com/fichiers/spywares/Spammer_Sasfis3.png)
![Image](https://www.malekal.com/fichiers/spywares/Spammer_Sasfis4.png)