Security Tool

par **Malekal_morte** » 02 oct. 2009 08:44

Pour supprimer Security Tool, suivre la procédure de désinfection de cette page : https://www.malekal.com/SecurityTool.php

Security Tool est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware pour soit disant désinfecter votre ordinateur.

par **Malekal_morte** » 03 oct. 2009 13:07

Security Tool tend à remplacer Total Security, Security Tool est capable de bloquer l'exécution de programmes (fix, antivirus etc) en affichant le message : Application cannot be executed. the file xxxxx.exe is infected. Please active your antivirus software..

En outre la désinfection est un peu plus compliqué car il n'est plus possible de renommer les fichiers avec une suite de chiffres comme c'était le cas précédement avec Total Security.

Voici la page de désinfection pour Security Tool : https://www.malekal.com/SecurityTool.php

par **Malekal_morte** » 25 oct. 2009 12:10

Encore très présent - via infections Trojan.MicroJoin, voir :
http://forum.malekal.com/antivirus-2009 ... ml#p114918
http://forum.malekal.com/trojan-clicker ... ml#p107973
mais Trojan.MicroJoin peut aussi donner du Windows Police Pro

et avec restore64_a.exe (voir ci-dessus)

Lignes ajoutées sur HijackThis :

O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe
O4 - HKLM\..\Run: [94495031] C:\DOCUME~1\ALLUSE~1\APPLIC~1\94495031\94495031.exe
O4 - HKLM\..\Run: [restorer64_a] C:\WINDOWS\system32\restorer64_a.exe
O4 - HKCU\..\Run: [restorer64_a] C:\Documents and Settings\Malekal_morte\restorer64_a.exe

File _ex-08.exe received on 2009.10.21 14:15:51 (UTC)
Current status: finished
Result: 14/41 (34.15%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.21 -
AhnLab-V3 5.0.0.2 2009.10.20 -
AntiVir 7.9.1.42 2009.10.21 ADSPY/Adware.Gen
Antiy-AVL 2.0.3.7 2009.10.21 -
Authentium 5.1.2.4 2009.10.21 -
Avast 4.8.1351.0 2009.10.20 -
AVG 8.5.0.420 2009.10.20 SHeur2.BMXN
BitDefender 7.2 2009.10.21 -
CAT-QuickHeal 10.00 2009.10.21 Win32.Packed.Krap.x.4
ClamAV 0.94.1 2009.10.21 -
Comodo 2679 2009.10.21 Heur.Suspicious
DrWeb 5.0.0.12182 2009.10.21 Trojan.Spambot.4331
eSafe 7.0.17.0 2009.10.21 -
eTrust-Vet 35.1.7077 2009.10.21 -
F-Prot 4.5.1.85 2009.10.20 -
F-Secure 9.0.15300.0 2009.10.20 -
Fortinet 3.120.0.0 2009.10.21 -
GData 19 2009.10.21 -
Ikarus T3.1.1.72.0 2009.10.21 -
Jiangmin 11.0.800 2009.10.21 -
K7AntiVirus 7.10.875 2009.10.20 -
Kaspersky 7.0.0.125 2009.10.21 Packed.Win32.Krap.x
McAfee 5777 2009.10.20 -
McAfee+Artemis 5777 2009.10.20 Artemis!589627027700
McAfee-GW-Edition 6.8.5 2009.10.21 Heuristic.BehavesLike.Win32.Obfuscated.C
Microsoft 1.5101 2009.10.21 Trojan:Win32/Waledac.gen!A
NOD32 4529 2009.10.21 Win32/Waledac
Norman 6.03.02 2009.10.21 -
nProtect 2009.1.8.0 2009.10.21 -
Panda 10.0.2.2 2009.10.20 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.21 Medium Risk Malware
Rising 21.52.24.00 2009.10.21 -
Sophos 4.46.0 2009.10.21 Mal/EncPk-KY
Sunbelt 3.2.1858.2 2009.10.20 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.10.21 -
TheHacker 6.5.0.2.049 2009.10.20 -
TrendMicro 8.950.0.1094 2009.10.21 -
VBA32 3.12.10.11 2009.10.20 -
ViRobot 2009.10.21.1999 2009.10.21 -
VirusBuster 4.6.5.0 2009.10.20 Adware.Adware.CM
Additional information
File size: 404992 bytes
MD5 : 589627027700e1c580e7795ed7d3fff1
SHA1 : f57c6b38070f5b8fef5c0315895f29839f85008e

File wpv201255137485.exe received on 2009.10.21 12:21:16 (UTC)
Current status: finished
Result: 12/41 (29.27%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.21 Trojan-Downloader.Win32.Mutant!IK
AhnLab-V3 5.0.0.2 2009.10.20 -
AntiVir 7.9.1.42 2009.10.21 -
Antiy-AVL 2.0.3.7 2009.10.21 Trojan/Win32.Mutant.gen
Authentium 5.1.2.4 2009.10.21 -
Avast 4.8.1351.0 2009.10.20 -
AVG 8.5.0.420 2009.10.20 -
BitDefender 7.2 2009.10.21 -
CAT-QuickHeal 10.00 2009.10.21 -
ClamAV 0.94.1 2009.10.21 -
Comodo 2678 2009.10.21 -
DrWeb 5.0.0.12182 2009.10.21 Trojan.Fakealert.5794
eSafe 7.0.17.0 2009.10.19 -
eTrust-Vet 35.1.7077 2009.10.21 -
F-Prot 4.5.1.85 2009.10.20 -
F-Secure 9.0.15300.0 2009.10.20 -
Fortinet 3.120.0.0 2009.10.21 -
GData 19 2009.10.21 -
Ikarus T3.1.1.72.0 2009.10.21 Trojan-Downloader.Win32.Mutant
Jiangmin 11.0.800 2009.10.21 -
K7AntiVirus 7.10.875 2009.10.20 -
Kaspersky 7.0.0.125 2009.10.21 Trojan-Downloader.Win32.Mutant.fus
McAfee 5777 2009.10.20 -
McAfee+Artemis 5777 2009.10.20 Artemis!C404D75F8238
McAfee-GW-Edition 6.8.5 2009.10.21 -
Microsoft 1.5101 2009.10.21 VirTool:Win32/Injector.gen!Z
NOD32 4528 2009.10.21 a variant of Win32/Injector.ADT
Norman 6.03.02 2009.10.21 W32/DLoader.AATAR
nProtect 2009.1.8.0 2009.10.21 -
Panda 10.0.2.2 2009.10.20 Trj/CI.A
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.21 High Risk Cloaked Malware
Rising 21.52.23.00 2009.10.21 -
Sophos 4.46.0 2009.10.21 Troj/Inject-KE
Sunbelt 3.2.1858.2 2009.10.20 -
Symantec 1.4.4.12 2009.10.21 -
TheHacker 6.5.0.2.049 2009.10.20 -
TrendMicro 8.950.0.1094 2009.10.21 -
VBA32 3.12.10.11 2009.10.20 -
ViRobot 2009.10.21.1999 2009.10.21 -
VirusBuster 4.6.5.0 2009.10.20 -
Additional information
File size: 58217 bytes
MD5 : c404d75f82388c31ad768b3cd58aaed6
SHA1 : e552d1f42adaa9e07c6adf39fe82cb6bf2dd59e2

File wpv781255562528.exe received on 2009.10.21 12:21:07 (UTC)
Current status: finished
Result: 7/41 (17.07%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.21 -
AhnLab-V3 5.0.0.2 2009.10.20 -
AntiVir 7.9.1.42 2009.10.21 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.10.21 -
Authentium 5.1.2.4 2009.10.21 -
Avast 4.8.1351.0 2009.10.20 -
AVG 8.5.0.420 2009.10.20 -
BitDefender 7.2 2009.10.21 -
CAT-QuickHeal 10.00 2009.10.21 Win32.Packed.Krap.x.4
ClamAV 0.94.1 2009.10.21 -
Comodo 2678 2009.10.21 -
DrWeb 5.0.0.12182 2009.10.21 -
eSafe 7.0.17.0 2009.10.19 -
eTrust-Vet 35.1.7077 2009.10.21 -
F-Prot 4.5.1.85 2009.10.20 -
F-Secure 9.0.15300.0 2009.10.20 -
Fortinet 3.120.0.0 2009.10.21 -
GData 19 2009.10.21 -
Ikarus T3.1.1.72.0 2009.10.21 -
Jiangmin 11.0.800 2009.10.21 -
K7AntiVirus 7.10.875 2009.10.20 -
Kaspersky 7.0.0.125 2009.10.21 Packed.Win32.Krap.x
McAfee 5777 2009.10.20 -
McAfee+Artemis 5777 2009.10.20 -
McAfee-GW-Edition 6.8.5 2009.10.21 Trojan.Crypt.ZPACK.Gen
Microsoft 1.5101 2009.10.21 TrojanDownloader:Win32/Waledac.C
NOD32 4528 2009.10.21 a variant of Win32/Kryptik.AVV
Norman 6.03.02 2009.10.21 -
nProtect 2009.1.8.0 2009.10.21 -
Panda 10.0.2.2 2009.10.20 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.21 Medium Risk Malware
Rising 21.52.23.00 2009.10.21 -
Sophos 4.46.0 2009.10.21 -
Sunbelt 3.2.1858.2 2009.10.20 -
Symantec 1.4.4.12 2009.10.21 -
TheHacker 6.5.0.2.049 2009.10.20 -
TrendMicro 8.950.0.1094 2009.10.21 -
VBA32 3.12.10.11 2009.10.20 -
ViRobot 2009.10.21.1999 2009.10.21 -
VirusBuster 4.6.5.0 2009.10.20 -
Additional information
File size: 13312 bytes
MD5 : 0e1a2a1b1d0e1194719135cf14a136c0
SHA1 : 5a346dbf03d25237e54e1f707573d40b8e4a03ea

par **Malekal_morte** » 26 oct. 2009 19:01

Toujours très actif...

Code : Tout sélectionner

1256584681.940   1626 192.168.1.63 TCP_MISS/200 37151 GET http://bro-gals.com//getexe.php?spl=mdac - DIRECT/188.130.176.246 application/octet-stream

Détection du dropper initial :

File load_13_.exe received on 2009.10.26 17:41:29 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 11/41 (26.83%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.26 Trojan.Crypt!IK
AhnLab-V3 5.0.0.2 2009.10.26 -
AntiVir 7.9.1.44 2009.10.26 TR/Crypt.FKM.Gen
Antiy-AVL 2.0.3.7 2009.10.26 -
Authentium 5.1.2.4 2009.10.26 -
Avast 4.8.1351.0 2009.10.25 -
AVG 8.5.0.423 2009.10.26 -
BitDefender 7.2 2009.10.26 -
CAT-QuickHeal 10.00 2009.10.26 -
ClamAV 0.94.1 2009.10.26 -
Comodo 2740 2009.10.26 -
DrWeb 5.0.0.12182 2009.10.26 -
eSafe 7.0.17.0 2009.10.25 Suspicious File
eTrust-Vet 35.1.7083 2009.10.26 -
F-Prot 4.5.1.85 2009.10.26 -
F-Secure 9.0.15370.0 2009.10.22 Suspicious:W32/Malware!Gemini
Fortinet 3.120.0.0 2009.10.26 -
GData 19 2009.10.26 -
Ikarus T3.1.1.72.0 2009.10.26 Trojan.Crypt
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.879 2009.10.24 -
Kaspersky 7.0.0.125 2009.10.26 -
McAfee 5782 2009.10.25 Suspect-02!87E5CB8DC496
McAfee+Artemis 5782 2009.10.25 Suspect-02!87E5CB8DC496
McAfee-GW-Edition 6.8.5 2009.10.26 Heuristic.LooksLike.Win32.Suspicious.A
Microsoft 1.5202 2009.10.26 -
NOD32 4544 2009.10.26 -
Norman 6.03.02 2009.10.26 -
nProtect 2009.1.8.0 2009.10.26 -
Panda 10.0.2.2 2009.10.26 Suspicious file
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.26 -
Rising 21.53.04.00 2009.10.26 -
Sophos 4.46.0 2009.10.26 Mal/Behav-210
Sunbelt 3.2.1858.2 2009.10.26 -
Symantec 1.4.4.12 2009.10.26 Downloader
TheHacker 6.5.0.2.053 2009.10.24 -
TrendMicro 8.950.0.1094 2009.10.26 -
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.26.2005 2009.10.26 -
VirusBuster 4.6.5.0 2009.10.26 -
Additional information
File size: 36864 bytes
MD5...: 87e5cb8dc49674e649ea15095dbb77d8
SHA1..: e93265a03f1db419c52bbecfd0c6bb234f4182d6

Les lignes HiJackThis relatives à l'infection :

O4 - HKLM\..\Run: [15585630] C:\DOCUME~1\ALLUSE~1\APPLIC~1\15585630\15585630.exe
O4 - HKCU\..\Run: [mscj.exe] C:\Documents and Settings\Malekal_morte\Application Data\MSA\mscj.exe
O4 - HKCU\..\Run: [fff.exe] C:\Documents and Settings\Malekal_morte\Application Data\MSA\fff.exe
O4 - HKCU\..\Run: [w2_0.exe] C:\Documents and Settings\Malekal_morte\Application Data\MSA\w2_0.exe

C:\DOCUME~1\ALLUSE~1\APPLIC~1\15585630\15585630.exe = Le rogue Security Tools

File 15585630.exe received on 2009.10.26 17:56:12 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 18/41 (43.91%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.26 -
AhnLab-V3 5.0.0.2 2009.10.26 -
AntiVir 7.9.1.44 2009.10.26 TR/PCK.Krap.X.404
Antiy-AVL 2.0.3.7 2009.10.26 -
Authentium 5.1.2.4 2009.10.26 -
Avast 4.8.1351.0 2009.10.25 Win32:MalOb-Z
AVG 8.5.0.423 2009.10.26 Generic15.OBH
BitDefender 7.2 2009.10.26 -
CAT-QuickHeal 10.00 2009.10.26 -
ClamAV 0.94.1 2009.10.26 -
Comodo 2740 2009.10.26 -
DrWeb 5.0.0.12182 2009.10.26 Trojan.Packed.10700
eSafe 7.0.17.0 2009.10.25 -
eTrust-Vet 35.1.7083 2009.10.26 Win32/RogueSecurity!generic
F-Prot 4.5.1.85 2009.10.26 W32/FakeAlert.DR.gen!Eldorado
F-Secure 9.0.15370.0 2009.10.22 -
Fortinet 3.120.0.0 2009.10.26 -
GData 19 2009.10.26 Win32:MalOb-Z
Ikarus T3.1.1.72.0 2009.10.26 -
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.879 2009.10.24 -
Kaspersky 7.0.0.125 2009.10.26 Packed.Win32.Krap.x
McAfee 5782 2009.10.25 FakeAlert-DZ
McAfee+Artemis 5782 2009.10.25 FakeAlert-DZ
McAfee-GW-Edition 6.8.5 2009.10.26 Heuristic.BehavesLike.Win32.Downloader.H
Microsoft 1.5202 2009.10.26 Trojan:Win32/Winwebsec
NOD32 4544 2009.10.26 -
Norman 6.03.02 2009.10.26 W32/Crypt.LDD
nProtect 2009.1.8.0 2009.10.26 -
Panda 10.0.2.2 2009.10.26 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.26 Medium Risk Malware
Rising 21.53.04.00 2009.10.26 -
Sophos 4.46.0 2009.10.26 Mal/FakeAV-AD
Sunbelt 3.2.1858.2 2009.10.26 FraudTool.Win32.RogueSecurity (v)
Symantec 1.4.4.12 2009.10.26 Trojan.FakeAV!gen6
TheHacker 6.5.0.2.053 2009.10.24 -
TrendMicro 8.950.0.1094 2009.10.26 Mal_FakeAV-17
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.26.2005 2009.10.26 -
VirusBuster 4.6.5.0 2009.10.26 -
Additional information
File size: 1051682 bytes
MD5...: 724860c9e424a2c7d9f4462295b460f5
SHA1..: a71441c5e8443762db20b48af973e5cd0e4b73d4
SHA256: 8bda77cdabab463337845857a0f082f4b477eef54682af46afb8d445ceeee711
ssdeep: 24576:IhNLbNaPAtgxaEp6nrqv4B1S5td7JDpjuWp:Ih25M1rqv4rS5tlXuA

Les autres lignes étaient d'autres malwares et notamment des Trojan.Cliker qui se connectent à beaucoup de sites et notamment pornographiques en fond :

File fff.exe received on 2009.10.21 00:52:21 (UTC)
Current status: finished

Result: 26/41 (63.41%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.20 Trojan-Downloader.Win32.FakeMSA!IK
AhnLab-V3 5.0.0.2 2009.10.20 Win-Trojan/Xema.variant
AntiVir 7.9.1.35 2009.10.20 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2009.10.20 -
Authentium 5.1.2.4 2009.10.21 W32/Agent.ICR
Avast 4.8.1351.0 2009.10.20 Win32:Trojan-gen
AVG 8.5.0.420 2009.10.20 Generic14.AJPC
BitDefender 7.2 2009.10.21 Trojan.Generic.2509678
CAT-QuickHeal 10.00 2009.10.20 Trojan.Agent.ATV
ClamAV 0.94.1 2009.10.20 -
Comodo 2672 2009.10.21 TrojWare.Win32.Downloader.VB.~AQ
DrWeb 5.0.0.12182 2009.10.21 -
eSafe 7.0.17.0 2009.10.19 Suspicious File
eTrust-Vet 35.1.7075 2009.10.19 Win32/FakeMSA.I
F-Prot 4.5.1.85 2009.10.20 W32/Agent.ICR
F-Secure 9.0.15300.0 2009.10.20 Trojan.Generic.2509678
Fortinet 3.120.0.0 2009.10.20 PossibleThreat
GData 19 2009.10.21 Trojan.Generic.2509678
Ikarus T3.1.1.72.0 2009.10.20 Trojan-Downloader.Win32.FakeMSA
Jiangmin 11.0.800 2009.10.20 -
K7AntiVirus 7.10.875 2009.10.20 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.10.21 -
McAfee 5777 2009.10.20 Generic.dx!fgy
McAfee+Artemis 5777 2009.10.20 Generic.dx!fgy
McAfee-GW-Edition 6.8.5 2009.10.20 Trojan.Crypt.XPACK.Gen
Microsoft 1.5101 2009.10.20 -
NOD32 4527 2009.10.20 Win32/PSW.VB.NDH
Norman 6.03.02 2009.10.20 W32/Smalltroj.RMGE
nProtect 2009.1.8.0 2009.10.20 -
Panda 10.0.2.2 2009.10.20 Suspicious file
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.21 Medium Risk Malware
Rising 21.52.14.00 2009.10.20 -
Sophos 4.46.0 2009.10.21 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.10.20 -
Symantec 1.4.4.12 2009.10.21 Trojan Horse
TheHacker 6.5.0.2.049 2009.10.20 -
TrendMicro 8.950.0.1094 2009.10.20 -
VBA32 3.12.10.11 2009.10.20 -
ViRobot 2009.10.20.1996 2009.10.20 -
VirusBuster 4.6.5.0 2009.10.20 -
Additional information
File size: 24576 bytes
MD5 : 231142fce0a48428bbb30c786a23d2fa
SHA1 : 3a475ad989f107b9484a6254b9d1515a7a45475e

Fichier w2_0.exe reçu le 2009.10.26 17:54:11 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 2/41 (4.88%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.41 2009.10.26 -
AhnLab-V3 5.0.0.2 2009.10.26 -
AntiVir 7.9.1.44 2009.10.26 -
Antiy-AVL 2.0.3.7 2009.10.26 -
Authentium 5.1.2.4 2009.10.26 -
Avast 4.8.1351.0 2009.10.25 -
AVG 8.5.0.423 2009.10.26 -
BitDefender 7.2 2009.10.26 -
CAT-QuickHeal 10.00 2009.10.26 -
ClamAV 0.94.1 2009.10.26 -
Comodo 2740 2009.10.26 -
DrWeb 5.0.0.12182 2009.10.26 -
eSafe 7.0.17.0 2009.10.25 -
eTrust-Vet 35.1.7083 2009.10.26 -
F-Prot 4.5.1.85 2009.10.26 -
F-Secure 9.0.15370.0 2009.10.22 -
Fortinet 3.120.0.0 2009.10.26 -
GData 19 2009.10.26 -
Ikarus T3.1.1.72.0 2009.10.26 -
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.879 2009.10.24 -
Kaspersky 7.0.0.125 2009.10.26 -
McAfee 5782 2009.10.25 -
McAfee+Artemis 5782 2009.10.25 -
McAfee-GW-Edition 6.8.5 2009.10.26 Heuristic.BehavesLike.Win32.Suspicious.B
Microsoft 1.5202 2009.10.26 -
NOD32 4544 2009.10.26 -
Norman 6.03.02 2009.10.26 -
nProtect 2009.1.8.0 2009.10.26 -
Panda 10.0.2.2 2009.10.26 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.26 High Risk Fraudulent Security Program
Rising 21.53.04.00 2009.10.26 -
Sophos 4.46.0 2009.10.26 -
Sunbelt 3.2.1858.2 2009.10.26 -
Symantec 1.4.4.12 2009.10.26 -
TheHacker 6.5.0.2.053 2009.10.24 -
TrendMicro 8.950.0.1094 2009.10.26 -
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.26.2005 2009.10.26 -
VirusBuster 4.6.5.0 2009.10.26 -
Information additionnelle
File size: 69632 bytes
MD5...: 8cdfeef9ff6fe8e5fdd2ec1819d7e61f
SHA1..: 85e760105a844c3da4b10c04a070a60bcde3790b

File mscj.exe received on 2009.10.26 17:53:10 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 11/41 (26.83%)
Loading server information...

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.26 Trojan-Downloader.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.10.26 -
AntiVir 7.9.1.44 2009.10.26 TR/ATRAPS.Gen
Antiy-AVL 2.0.3.7 2009.10.26 -
Authentium 5.1.2.4 2009.10.26 -
Avast 4.8.1351.0 2009.10.25 -
AVG 8.5.0.423 2009.10.26 -
BitDefender 7.2 2009.10.26 -
CAT-QuickHeal 10.00 2009.10.26 -
ClamAV 0.94.1 2009.10.26 -
Comodo 2740 2009.10.26 -
DrWeb 5.0.0.12182 2009.10.26 -
eSafe 7.0.17.0 2009.10.25 Suspicious File
eTrust-Vet 35.1.7083 2009.10.26 -
F-Prot 4.5.1.85 2009.10.26 -
F-Secure 9.0.15370.0 2009.10.22 Suspicious:W32/Malware!Gemini
Fortinet 3.120.0.0 2009.10.26 -
GData 19 2009.10.26 -
Ikarus T3.1.1.72.0 2009.10.26 Trojan-Downloader.Win32.VB
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.879 2009.10.24 -
Kaspersky 7.0.0.125 2009.10.26 -
McAfee 5782 2009.10.25 -
McAfee+Artemis 5782 2009.10.25 -
McAfee-GW-Edition 6.8.5 2009.10.26 Trojan.ATRAPS.Gen
Microsoft 1.5202 2009.10.26 -
NOD32 4544 2009.10.26 a variant of Win32/TrojanClicker.VB.NKZ
Norman 6.03.02 2009.10.26 -
nProtect 2009.1.8.0 2009.10.26 -
Panda 10.0.2.2 2009.10.26 Suspicious file
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.26 Low Risk Adware
Rising 21.53.04.00 2009.10.26 -
Sophos 4.46.0 2009.10.26 Mal/Behav-024
Sunbelt 3.2.1858.2 2009.10.26 -
Symantec 1.4.4.12 2009.10.26 -
TheHacker 6.5.0.2.053 2009.10.24 -
TrendMicro 8.950.0.1094 2009.10.26 PAK_Generic.001
VBA32 3.12.10.11 2009.10.23 -
ViRobot 2009.10.26.2005 2009.10.26 -
VirusBuster 4.6.5.0 2009.10.26 -
Additional information
File size: 37376 bytes
MD5...: 07d9b92a8d5ff5be5c574d9ca5263b5f
SHA1..: 2231ce4b232740cf33260632f62c3c0c50e1b2a8

par **Malekal_morte** » 27 oct. 2009 10:58

Autre infection faisant la promotion du rogue avec le fichier : _ex-08.exe

Code : Tout sélectionner

1256644432.438   1628 192.168.1.26 TCP_MISS/200 12817 GET http://mdn.crabdance.com/eleon/getexe.php?spl=DirectX_DS - DIRECT/210.51.166.238 application/octet-stream
1256644533.216   1022 192.168.1.26 TCP_MISS/200 1050963 GET http://95.211.8.216/pr/pic/vasyab_b.exe - DIRECT/95.211.8.216 application/octet-stream
1256644554.750    383 192.168.1.26 TCP_MISS/504 1368 POST http://98.218.38.151/ - DIRECT/98.218.38.151 text/html
1256644562.655    388 192.168.1.26 TCP_MISS/302 281 GET http://electronicwebbilling.com/in.php?affid=84500&url=5 - DIRECT/95.143.207.16 text/html
1256644562.918    178 192.168.1.26 TCP_MISS/302 280 GET http://electronicwebbilling.com/in.php?url=1&affid=84500 - DIRECT/95.143.207.16 text/html

Lignes HiJackThis relatives à l'infection :

O4 - HKLM\..\Run: [28422624] C:\DOCUME~1\ALLUSE~1\APPLIC~1\28422624\28422624.exe
O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\Temp\_ex-08.exe

Détection du dropper initial :

File svchost.exe received on 2009.10.27 09:39:08 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 4/41 (9.76%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.27 -
AhnLab-V3 5.0.0.2 2009.10.26 -
AntiVir 7.9.1.44 2009.10.27 -
Antiy-AVL 2.0.3.7 2009.10.27 -
Authentium 5.1.2.4 2009.10.27 -
Avast 4.8.1351.0 2009.10.26 -
AVG 8.5.0.423 2009.10.26 Win32/Heur
BitDefender 7.2 2009.10.27 -
CAT-QuickHeal 10.00 2009.10.27 -
ClamAV 0.94.1 2009.10.27 -
Comodo 2744 2009.10.27 -
DrWeb 5.0.0.12182 2009.10.27 -
eSafe 7.0.17.0 2009.10.25 -
eTrust-Vet 35.1.7084 2009.10.26 -
F-Prot 4.5.1.85 2009.10.26 -
F-Secure 9.0.15370.0 2009.10.22 -
Fortinet 3.120.0.0 2009.10.26 -
GData 19 2009.10.27 -
Ikarus T3.1.1.72.0 2009.10.27 -
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.879 2009.10.24 -
Kaspersky 7.0.0.125 2009.10.27 Packed.Win32.Krap.w
McAfee 5783 2009.10.26 -
McAfee+Artemis 5783 2009.10.26 -
McAfee-GW-Edition 6.8.5 2009.10.27 -
Microsoft 1.5202 2009.10.27 TrojanDownloader:Win32/Waledac.C
NOD32 4546 2009.10.27 -
Norman 6.03.02 2009.10.26 -
nProtect 2009.1.8.0 2009.10.27 -
Panda 10.0.2.2 2009.10.27 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.27 -
Rising 21.53.12.00 2009.10.27 -
Sophos 4.46.0 2009.10.27 -
Sunbelt 3.2.1858.2 2009.10.26 Trojan.Win32.Bredolab.Gen.1 (v)
Symantec 1.4.4.12 2009.10.27 -
TheHacker 6.5.0.2.054 2009.10.26 -
TrendMicro 8.950.0.1094 2009.10.27 -
VBA32 3.12.10.11 2009.10.26 -
ViRobot 2009.10.27.2006 2009.10.27 -
VirusBuster 4.6.5.0 2009.10.26 -
Additional information
File size: 18432 bytes
MD5...: d03e7f881c0dc6e5e08b37038ace6a3a
SHA1..: 1a82cf7073f707a6f1810fcdd07640ef322ea035

~~

Détection de _ex-08.exe

File _ex-08.exe received on 2009.10.27 09:43:57 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 6/41 (14.64%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.27 -
AhnLab-V3 5.0.0.2 2009.10.26 -
AntiVir 7.9.1.44 2009.10.27 -
Antiy-AVL 2.0.3.7 2009.10.27 -
Authentium 5.1.2.4 2009.10.27 -
Avast 4.8.1351.0 2009.10.26 -
AVG 8.5.0.423 2009.10.26 -
BitDefender 7.2 2009.10.27 -
CAT-QuickHeal 10.00 2009.10.27 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.10.27 -
Comodo 2744 2009.10.27 -
DrWeb 5.0.0.12182 2009.10.27 -
eSafe 7.0.17.0 2009.10.25 -
eTrust-Vet 35.1.7084 2009.10.26 -
F-Prot 4.5.1.85 2009.10.26 -
F-Secure 9.0.15370.0 2009.10.22 Suspicious:W32/Malware!Gemini
Fortinet 3.120.0.0 2009.10.26 -
GData 19 2009.10.27 -
Ikarus T3.1.1.72.0 2009.10.27 -
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.879 2009.10.24 -
Kaspersky 7.0.0.125 2009.10.27 Packed.Win32.Krap.w
McAfee 5783 2009.10.26 -
McAfee+Artemis 5783 2009.10.26 -
McAfee-GW-Edition 6.8.5 2009.10.27 Heuristic.BehavesLike.Win32.Packed.C
Microsoft 1.5202 2009.10.27 Trojan:Win32/Waledac.gen!A
NOD32 4546 2009.10.27 a variant of Win32/Waledac.KQ
Norman 6.03.02 2009.10.26 -
nProtect 2009.1.8.0 2009.10.27 -
Panda 10.0.2.2 2009.10.27 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.27 -
Rising 21.53.12.00 2009.10.27 -
Sophos 4.46.0 2009.10.27 -
Sunbelt 3.2.1858.2 2009.10.26 -
Symantec 1.4.4.12 2009.10.27 -
TheHacker 6.5.0.2.054 2009.10.26 -
TrendMicro 8.950.0.1094 2009.10.27 -
VBA32 3.12.10.11 2009.10.26 -
ViRobot 2009.10.27.2006 2009.10.27 -
VirusBuster 4.6.5.0 2009.10.26 -
Additional information
File size: 410624 bytes
MD5...: c550325926fb91289a4065a3789fca9d
SHA1..: a25e086f6c389718a1fe260634f3c6d63b190107

par **Malekal_morte** » 08 nov. 2009 12:19

_ex-08.exe est aussi connu sous le nom de Email-Worm.Win32.Iksmas

On vois bien les connexions SMTP établies par le malwares :

Voici deux samples de SPAM envoyés, les campagnes sont essentiellement pour des pillules viagra Canadian pharmacy.

Encore un exemple de détection VirusTotal :

Result: 12/38 (31.58%)
Loading server information...
Your file is queued in position: 1.

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.08 Email-Worm.Win32.Iksmas!IK
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.06 -
Antiy-AVL 2.0.3.7 2009.11.05 -
Authentium 5.2.0.5 2009.11.08 -
Avast 4.8.1351.0 2009.11.07 -
BitDefender 7.2 2009.11.08 DeepScan:Generic.Malware.G!SFMg.7D7E7440
CAT-QuickHeal 10.00 2009.11.07 -
ClamAV 0.94.1 2009.11.08 -
Comodo 2882 2009.11.08 -
eTrust-Vet 35.1.7108 2009.11.06 -
F-Prot 4.5.1.85 2009.11.07 -
F-Secure 9.0.15370.0 2009.11.04 -
Fortinet 3.120.0.0 2009.11.08 W32/Waledac.XY.gen!tr
GData 19 2009.11.08 DeepScan:Generic.Malware.G!SFMg.7D7E7440
Ikarus T3.1.1.74.0 2009.11.08 Email-Worm.Win32.Iksmas
Jiangmin 11.0.800 2009.11.08 -
K7AntiVirus 7.10.891 2009.11.07 -
Kaspersky 7.0.0.125 2009.11.08 Email-Worm.Win32.Iksmas.frg
McAfee 5795 2009.11.07 -
McAfee+Artemis 5795 2009.11.07 -
McAfee-GW-Edition 6.8.5 2009.11.08 Heuristic.LooksLike.Trojan.Dropper.C
Microsoft 1.5202 2009.11.08 Trojan:Win32/Waledac.gen!A
NOD32 4583 2009.11.08 a variant of Win32/Kryptik.AOL
Norman 6.03.02 2009.11.06 W32/FakeAV.Q!genr
nProtect 2009.1.8.0 2009.11.08 -
Panda 10.0.2.2 2009.11.07 -
PCTools 7.0.3.5 2009.11.06 -
Prevx 3.0 2009.11.08 -
Rising 21.54.62.00 2009.11.08 -
Sophos 4.47.0 2009.11.08 -
Sunbelt 3.2.1858.2 2009.11.08 -
Symantec 1.4.4.12 2009.11.08 Packed.Generic.265
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.08 -
VBA32 3.12.10.11 2009.11.07 -
ViRobot 2009.11.6.2025 2009.11.06 -
VirusBuster 4.6.5.0 2009.11.07 Trojan.Fraudload.Gen!Pac.5
Additional information
File size: 418304 bytes
MD5...: caf7d376ca5084f458178af8364cdafa
SHA1..: 2fbd035ca18fa4b3ed771295ebd2b2e0951a3e72

par **Malekal_morte** » 09 nov. 2009 09:35

http://forum.malekal.com/exe-msa-exe-t20027.html

Ajoute la ligne suivante sur lHiJackThis

O4 - HKLM\..\Run: [lsdefrag] C:\Users\xxx\AppData\Local\Temp\omnweasrxc.exe
O4 - HKLM\..\Run: [02928526] C:\DOCUME~1\ALLUSE~1\APPLIC~1\02928526\02928526.exe

Le fichier avec la suite de chiffre étant bien sûr Security Tool.

fichiers aussi créés :

c:\WINDOWS\msa.exe
Date: 11/9/2009 12:15 AM
Size: 153 088 bytes
c:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
Date: 11/9/2009 12:18 AM
Size: 256 bytes

Pour msa.exe ne pas confondre avec l'infectio nde type b.exe / msa.exe

Les détections :

Détection du dropper original :

File b3bd512b23d7328b50f2007ce2bff60055f2490d.EXE received on 2009.11.07 15:40:34 (UTC)
Current status: finished
Result: 20/40 (50.00%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.07 Backdoor.Win32.Bredavi!IK
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.06 BDS/Bredavi.ard
Antiy-AVL 2.0.3.7 2009.11.05 -
Authentium 5.2.0.5 2009.11.07 -
Avast 4.8.1351.0 2009.11.07 Win32:Trojan-gen
AVG 8.5.0.423 2009.11.07 Packed.Revolt
BitDefender 7.2 2009.11.07 -
CAT-QuickHeal 10.00 2009.11.07 Win32.Packed.Krap.w.4
ClamAV 0.94.1 2009.11.07 -
Comodo 2873 2009.11.07 Heur.Suspicious
DrWeb 5.0.0.12182 2009.11.07 Trojan.DownLoad.58335
eTrust-Vet 35.1.7108 2009.11.06 -
F-Prot 4.5.1.85 2009.11.07 -
F-Secure 9.0.15370.0 2009.11.04 Suspicious:W32/Malware!Gemini
Fortinet 3.120.0.0 2009.11.07 W32/Bredavi.ARD!tr.bdr
GData 19 2009.11.07 Win32:Trojan-gen
Ikarus T3.1.1.74.0 2009.11.07 Backdoor.Win32.Bredavi
Jiangmin 11.0.800 2009.11.07 -
K7AntiVirus 7.10.891 2009.11.07 -
Kaspersky 7.0.0.125 2009.11.07 Backdoor.Win32.Bredavi.ard
McAfee 5794 2009.11.06 -
McAfee+Artemis 5794 2009.11.06 Artemis!0D3A292CB9D7
McAfee-GW-Edition 6.8.5 2009.11.07 Heuristic.LooksLike.Trojan.Backdoor.Bredavi.H
Microsoft 1.5202 2009.11.07 TrojanDownloader:Win32/Harnig.gen!Q
NOD32 4581 2009.11.07 Win32/Kryptik.BAK.gen
Norman 6.03.02 2009.11.06 -
nProtect 2009.1.8.0 2009.11.07 -
Panda 10.0.2.2 2009.11.07 -
PCTools 7.0.3.5 2009.11.06 -
Prevx 3.0 2009.11.07 -
Rising 21.54.52.00 2009.11.07 -
Sophos 4.47.0 2009.11.07 Mal/BredoPk-B
Sunbelt 3.2.1858.2 2009.11.06 Trojan.Win32.Bredolab.Gen.1 (v)
Symantec 1.4.4.12 2009.11.07 SecurityRisk.Downldr
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.07 -
VBA32 3.12.10.11 2009.11.06 -
ViRobot 2009.11.6.2025 2009.11.06 -
VirusBuster 4.6.5.0 2009.11.07 Backdoor.Bredavi.JP
Additional information
File size: 20515 bytes
MD5 : 0d3a292cb9d7a6dceb4590677236ffd2
SHA1 : 19ea3ff057f0c47a926f0267cfae4e18842eb737

~~

File 50553.exe received on 2009.11.09 08:16:19 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 10/40 (25%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.09 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.08 -
Antiy-AVL 2.0.3.7 2009.11.09 -
Authentium 5.2.0.5 2009.11.08 W32/SuspPack.AZ.gen!Eldorado
Avast 4.8.1351.0 2009.11.08 Win32:MalOb-V
AVG 8.5.0.423 2009.11.08 -
BitDefender 7.2 2009.11.09 -
CAT-QuickHeal 10.00 2009.11.07 Win32.Packed.Krap.ag.4
ClamAV 0.94.1 2009.11.09 -
Comodo 2892 2009.11.09 -
DrWeb 5.0.0.12182 2009.11.09 -
eTrust-Vet 35.1.7111 2009.11.09 -
F-Prot 4.5.1.85 2009.11.08 W32/SuspPack.AZ.gen!Eldorado
F-Secure 9.0.15370.0 2009.11.09 -
Fortinet 3.120.0.0 2009.11.09 -
GData 19 2009.11.09 Win32:MalOb-V
Ikarus T3.1.1.74.0 2009.11.09 -
Jiangmin 11.0.800 2009.11.09 -
K7AntiVirus 7.10.891 2009.11.07 -
Kaspersky 7.0.0.125 2009.11.09 -
McAfee 5796 2009.11.08 -
McAfee+Artemis 5796 2009.11.08 -
McAfee-GW-Edition 6.8.5 2009.11.09 -
Microsoft 1.5202 2009.11.09 TrojanDownloader:Win32/Renos.JM
NOD32 4586 2009.11.09 a variant of Win32/Kryptik.BBF
Norman 6.03.02 2009.11.06 -
nProtect 2009.1.8.0 2009.11.09 -
Panda 10.0.2.2 2009.11.08 Suspicious file
PCTools 7.0.3.5 2009.11.09 -
Prevx 3.0 2009.11.09 -
Rising 22.21.00.03 2009.11.09 -
Sophos 4.47.0 2009.11.09 Mal/Krap-A
Sunbelt 3.2.1858.2 2009.11.08 Trojan.Win32.FraudPack.gen (v)
Symantec 1.4.4.12 2009.11.09 -
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.09 -
VBA32 3.12.10.11 2009.11.09 -
ViRobot 2009.11.9.2026 2009.11.09 -
VirusBuster 4.6.5.0 2009.11.08 -
Additional information
File size: 153088 bytes
MD5...: dd05f2e31ea60c60d6deb25e96023922
SHA1..: 9a4467723c6970d558923687799b1f85700397a6

File st14651.exe received on 2009.11.09 08:16:47 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 11/40 (27.5%)

Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.09 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.08 -
Antiy-AVL 2.0.3.7 2009.11.09 -
Authentium 5.2.0.5 2009.11.08 -
Avast 4.8.1351.0 2009.11.08 -
AVG 8.5.0.423 2009.11.08 -
BitDefender 7.2 2009.11.09 -
CAT-QuickHeal 10.00 2009.11.07 -
ClamAV 0.94.1 2009.11.09 -
Comodo 2892 2009.11.09 -
DrWeb 5.0.0.12182 2009.11.09 -
eTrust-Vet 35.1.7111 2009.11.09 Win32/RogueSecurity!generic
F-Prot 4.5.1.85 2009.11.08 -
F-Secure 9.0.15370.0 2009.11.09 -
Fortinet 3.120.0.0 2009.11.09 -
GData 19 2009.11.09 -
Ikarus T3.1.1.74.0 2009.11.09 -
Jiangmin 11.0.800 2009.11.09 -
K7AntiVirus 7.10.891 2009.11.07 -
Kaspersky 7.0.0.125 2009.11.09 Trojan.Win32.FraudPack.zse
McAfee 5796 2009.11.08 FakeAlert-DZ
McAfee+Artemis 5796 2009.11.08 FakeAlert-DZ
McAfee-GW-Edition 6.8.5 2009.11.09 -
Microsoft 1.5202 2009.11.09 -
NOD32 4586 2009.11.09 a variant of Win32/Kryptik.BBB
Norman 6.03.02 2009.11.06 W32/FakeAV.AC!genr
nProtect 2009.1.8.0 2009.11.09 -
Panda 10.0.2.2 2009.11.08 Adware/TotalSecurity2009
PCTools 7.0.3.5 2009.11.09 -
Prevx 3.0 2009.11.09 -
Rising 22.21.00.03 2009.11.09 Trojan.Win32.FakeAV.all
Sophos 4.47.0 2009.11.09 Mal/FakeAV-AD
Sunbelt 3.2.1858.2 2009.11.08 FraudTool.Win32.RogueSecurity (v)
Symantec 1.4.4.12 2009.11.09 -
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.09 Mal_FakeAV-17
VBA32 3.12.10.11 2009.11.09 -
ViRobot 2009.11.9.2026 2009.11.09 -
VirusBuster 4.6.5.0 2009.11.08 -
Additional information
File size: 1278497 bytes
MD5...: 9bc4bf29a042946ae1bee8db9c5c7268
SHA1..: 61d603d5ef332f54abe7e2837ddb0cba8e68c1b3

par **Malekal_morte** » 25 nov. 2009 16:46

Beaucoup de sites conduisant à de fausses alertes de sécurité présent sur Google (voir SEO empoisonnement : redirections recherches Google

Exemple avec :

Code : Tout sélectionner

1259171608.682   3345 192.168.1.26 TCP_MISS/200 1209808 GET http://securitytoolnow.com/downloader.php?affid=92800 - DIRECT/78.129.166.11 application/octet-stream

File downloader.php_affid_92800 received on 2009.11.25 15:41:58 (UTC)
Current status: finished
Result: 14/41 (34.15%)

The results for downloader.php?affid=92800 are :
Prevx 3.0 2009.11.25 Medium Risk Malware
Norman 6.03.02 2009.11.25 W32/FakeAV.AM!genr
PCTools 7.0.3.5 2009.11.25 Application.Maybe_RogueAV
F-Secure 9.0.15370.0 2009.11.24 Gen:Trojan.Heur.Hype.jrX@a8TWV9ei
Kaspersky 7.0.0.125 2009.11.25 Packed.Win32.Krap.ai
Sunbelt 3.2.1858.2 2009.11.25 FraudTool.Win32.RogueSecurity (v)
GData 19 2009.11.25 Trojan.FakeAlert.BRG
NOD32 4636 2009.11.25 a variant of Win32/Kryptik.BEY
McAfee-GW-Edition 6.8.5 2009.11.25 Heuristic.LooksLike.Trojan.PCK.Krap.H
BitDefender 7.2 2009.11.25 Trojan.FakeAlert.BRG
Sophos 4.47.0 2009.11.25 Mal/FakeAV-AD
TrendMicro 9.0.0.1003 2009.11.25 TROJ_FAKEAV.SMF
eTrust-Vet 35.1.7141 2009.11.25 Win32/RogueSecurity!generic
Microsoft 1.5302 2009.11.25 Trojan:Win32/Winwebsec

File size: 1209405 bytes
MD5 : 884f9b56cfd37a57f97cc09ec164eb15
SHA1 : f15771b44b5b3064f655154cbaab2bceac8b0d7b
SHA256: 1f3b3e31b4e6253bcb244c7011f8bef63e2d918f19f8c18dd7d18d8c34fa44e0

par **Malekal_morte** » 15 janv. 2010 09:38

Security Tool était très actif via de fausses alertes de sécurité en utilisant le SEO empoisonnement.

L'actualité est utilisé pour redirigé les internautes qui font des recherches sur le tremblement de terre à Haïti, voir : http://forum.malekal.com/haiti-tremblem ... 22811.html

par **Malekal_morte** » 16 janv. 2010 13:57

Voir ce sujet : http://forum.malekal.com/rkit-kryptic-7 ... 22824.html

C:\Documents and Settings\xxxx\Menu Démarrer\Programmes\Démarrage\siszyd32.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.wfc

siszyd32.exe qui se copie dans le dossier Démarrage peut faire penser à PWS-Win32.Daurso mais en réalité c'est un trojan downloader qui va chercher et installe l'infection Security Tool / C:\WINDOWS\Temp\_ex-08.exe et Trojan.Bredolab amdk7.sys

Dans le cas du sujet de désinfection, l'internaute a été infecté via une exploits sur des sites WEB, le fichier load.exe est identique à siszyd32.exe qui est ensuite copié sous ce nom dans C:\Documents and Settings\xxxx\Menu Démarrer\Programmes\Démarrage\

La détection du fichier :

File siszyd32.exe received on 2010.01.16 12:51:17 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 7/40 (17.5%)

Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.01.16 -
AhnLab-V3 5.0.0.2 2010.01.16 -
AntiVir 7.9.1.142 2010.01.15 TR/Dldr.Agent.wfc
Antiy-AVL 2.0.3.7 2010.01.12 -
Authentium 5.2.0.5 2010.01.16 -
Avast 4.8.1351.0 2010.01.16 -
AVG 9.0.0.730 2010.01.16 -
BitDefender 7.2 2010.01.16 -
CAT-QuickHeal 10.00 2010.01.16 -
ClamAV 0.94.1 2010.01.16 -
Comodo 3603 2010.01.16 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.1.12222 2010.01.16 -
eSafe 7.0.17.0 2010.01.14 -
eTrust-Vet 35.2.7240 2010.01.15 -
F-Prot 4.5.1.85 2010.01.15 -
F-Secure 9.0.15370.0 2010.01.16 Suspicious:W32/Riskware!Online
Fortinet 4.0.14.0 2010.01.16 -
GData 19 2010.01.16 -
Ikarus T3.1.1.80.0 2010.01.16 -
Jiangmin 13.0.900 2010.01.16 -
K7AntiVirus 7.10.948 2010.01.15 -
Kaspersky 7.0.0.125 2010.01.16 Trojan.Win32.Agent2.cnfz
McAfee 5862 2010.01.15 -
McAfee+Artemis 5862 2010.01.15 -
McAfee-GW-Edition 6.8.5 2010.01.16 Trojan.Dldr.Agent.wfc
Microsoft 1.5302 2010.01.16 -
NOD32 4777 2010.01.16 -
Norman 6.04.03 2010.01.16 -
nProtect 2009.1.8.0 2010.01.16 -
Panda 10.0.2.2 2010.01.15 Trj/CI.A
PCTools 7.0.3.5 2010.01.16 -
Prevx 3.0 2010.01.16 Medium Risk Malware
Rising 22.30.05.03 2010.01.16 -
Sophos 4.49.0 2010.01.16 -
Sunbelt 3.2.1858.2 2010.01.16 -
Symantec 20091.2.0.41 2010.01.16 -
TheHacker 6.5.0.4.153 2010.01.16 -
TrendMicro 9.120.0.1004 2010.01.16 -
ViRobot 2010.1.16.2140 2010.01.16 -
VirusBuster 5.0.21.0 2010.01.15 -
Additional information
File size: 23040 bytes
MD5...: 3fef463a4c49ca232bb595bc1b84e1b3
SHA1..: eb2d8ff94458242946620c1c22251fecda3bd200

par **Malekal_morte** » 25 mars 2010 20:42

Toujours autant présent sur Google et infection (exemple ce soir http://forum.malekal.com/murk-exe-php-t ... ml#p201754 )

par **Malekal_morte** » 09 mai 2010 11:32

Security Tool (ce n'est pas le seul) propose en téléchargement via de faux codec afin de visualiser des vidéos pornographiques :

Je vous laisse admirer la détection :

File inst.exe received on 2010.05.09 09:17:26 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 2/41 (4.88%)

Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.05.09 -
AhnLab-V3 2010.05.09.00 2010.05.08 -
AntiVir 8.2.1.236 2010.05.07 -
Antiy-AVL 2.0.3.7 2010.05.07 -
Authentium 5.2.0.5 2010.05.08 -
Avast 4.8.1351.0 2010.05.08 -
Avast5 5.0.332.0 2010.05.08 -
AVG 9.0.0.787 2010.05.09 -
BitDefender 7.2 2010.05.09 -
CAT-QuickHeal 10.00 2010.05.08 -
ClamAV 0.96.0.3-git 2010.05.09 -
Comodo 4800 2010.05.09 -
DrWeb 5.0.2.03300 2010.05.09 -
eSafe 7.0.17.0 2010.05.06 -
eTrust-Vet 35.2.7474 2010.05.07 Win32/FakeAlert.E!generic
F-Prot 4.5.1.85 2010.05.08 -
F-Secure 9.0.15370.0 2010.05.09 -
Fortinet 4.1.133.0 2010.05.09 -
GData 21 2010.05.09 -
Ikarus T3.1.1.84.0 2010.05.09 -
Jiangmin 13.0.900 2010.05.09 -
Kaspersky 7.0.0.125 2010.05.09 -
McAfee 5.400.0.1158 2010.05.09 -
McAfee-GW-Edition 2010.1 2010.05.08 -
Microsoft 1.5703 2010.05.09 -
NOD32 5097 2010.05.09 -
Norman 6.04.12 2010.05.09 -
nProtect 2010-05-09.01 2010.05.09 -
Panda 10.0.2.7 2010.05.08 -
PCTools 7.0.3.5 2010.05.07 -
Prevx 3.0 2010.05.09 -
Rising 22.46.06.04 2010.05.09 -
Sophos 4.53.0 2010.05.09 -
Sunbelt 6280 2010.05.09 FraudTool.Win32.SecurityTool (v)
Symantec 20091.2.0.41 2010.05.09 -
TheHacker 6.5.2.0.277 2010.05.09 -
TrendMicro 9.120.0.1004 2010.05.09 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.09 -
VBA32 3.12.12.4 2010.05.06 -
ViRobot 2010.5.8.2306 2010.05.08 -
VirusBuster 5.0.27.0 2010.05.08 -
Additional information
File size: 1028608 bytes
MD5...: d5b6e93c55150a3f32771ccbe2de9432
SHA1..: a180a5a011316c8baf56f5efd8e5c27e03f4455a
SHA256: fa97eea42add5dd7a9ff2c027f1373db283d02d244205c2d9ea63bcb963c71b6
ssdeep: 24576:9Z/zom+PPJ71hrp4/zUZmNsJTw9s+j+SYxSebl:9Zb0tGUZoWM9s4xMSM

par **Malekal_morte** » 27 juil. 2010 17:17

Security Tool fait un comeback avec toujours les mêmes méthodes de propagation.

Code : Tout sélectionner

1280244285.890   1910 192.168.1.27 TCP_MISS/200 168606 GET http://194.8.250.159/?q=j9xlma18d - DIRECT/194.8.250.159 application/octet-stream

Admirez le taux de détection :

http://www.virustotal.com/analisis/1e6e ... 1280243608

File inst.exe received on 2010.07.27 15:13:28 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 0/42 (0%)

Antivirus Version Last Update Result
AhnLab-V3 2010.07.27.00 2010.07.26 -
AntiVir 8.2.4.26 2010.07.27 -
Antiy-AVL 2.0.3.7 2010.07.26 -
Authentium 5.2.0.5 2010.07.27 -
Avast 4.8.1351.0 2010.07.27 -
Avast5 5.0.332.0 2010.07.27 -
AVG 9.0.0.851 2010.07.27 -
BitDefender 7.2 2010.07.27 -
CAT-QuickHeal 11.00 2010.07.27 -
ClamAV 0.96.0.3-git 2010.07.27 -
Comodo 5556 2010.07.27 -
DrWeb 5.0.2.03300 2010.07.27 -
Emsisoft 5.0.0.34 2010.07.27 -
eSafe 7.0.17.0 2010.07.26 -
eTrust-Vet 36.1.7742 2010.07.27 -
F-Prot 4.6.1.107 2010.07.27 -
F-Secure 9.0.15370.0 2010.07.27 -
Fortinet 4.1.143.0 2010.07.24 -
GData 21 2010.07.27 -
Ikarus T3.1.1.84.0 2010.07.27 -
Jiangmin 13.0.900 2010.07.26 -
Kaspersky 7.0.0.125 2010.07.27 -
McAfee 5.400.0.1158 2010.07.27 -
McAfee-GW-Edition 2010.1 2010.07.27 -
Microsoft 1.6004 2010.07.27 -
NOD32 5317 2010.07.27 -
Norman 6.05.11 2010.07.27 -
nProtect 2010-07-27.01 2010.07.27 -
Panda 10.0.2.7 2010.07.27 -
PCTools 7.0.3.5 2010.07.27 -
Prevx 3.0 2010.07.27 -
Rising 22.58.01.04 2010.07.27 -
Sophos 4.55.0 2010.07.27 -
Sunbelt 6647 2010.07.27 -
SUPERAntiSpyware 4.40.0.1006 2010.07.27 -
Symantec 20101.1.1.7 2010.07.27 -
TheHacker 6.5.2.1.326 2010.07.27 -
TrendMicro 9.120.0.1004 2010.07.27 -
TrendMicro-HouseCall 9.120.0.1004 2010.07.27 -
VBA32 3.12.12.6 2010.07.27 -
ViRobot 2010.7.24.3958 2010.07.27 -
VirusBuster 5.0.27.0 2010.07.27 -
Additional information
File size: 1197056 bytes
MD5...: 2be13228f881e61565122d9d4b4266d4
SHA1..: 53860978427cf3f7ec88dde6dfaec6c3307326f1

par **Malekal_morte** » 10 oct. 2010 17:15

Security Tool fait à nouveau rage depuis plusieurs semaines et le fonctionnement à quelque peu changé.

La page de désinfection a été mise à jour : https://www.malekal.com/SecurityTool.php

Vous trouvez une nouvelle procédure "procédure 2" pour supprimer le rogue via Process Explorer dont voici la vidéo :

par **Malekal_morte** » 10 nov. 2010 11:59

Le principe n'est pas nouveau mais il mérite d'être souligné de part l'ampleur depuis quelques mois.

Des bots s'inscrivent sur les forums et ne spam pas.
Par contre leurs profiles contiennent des liens vers des sites de Viagra ou vers des sites malicieux.

ici ce sont carrément des pseudos vidéos pornographiques.
Le gros avantage est que les auteurs de malwares utilisent le ranking du forum pour être en haut des résultats Google sur des mots clefs relatifs au porno.

L'internaute arrive sur le profil et vois les vidéos et clics.... et attérit sur une page Cool Tube.

Il arrive alors sur une fausse page de de faux codec qui propose le téléchargement d'une soit disant mise à jour de Flash (au final on obtient un fichier AvScan... qui n'a rien à voir avec Flash).

C'est un installeur Security Tool.

Malekal.com forum

Security Tool

Security Tool

Re: Security Tool

Re: Security Tool

Re: Security Tool

Re: Security Tool

Re: Security Tool

Re: Security Tool

Re: Security Tool

Re: Security Tool

Re: Security Tool

Re: Security Tool

Re: Security Tool

Re: Security Tool

Re: Security Tool

Re: Security Tool