A l'heure où sont écrites ces lignes, les redirections ont lieux vers l'adresse thefeedwater.com
exemple :
hxx://thefeedwater.com/?do=rphp&sub=246&b=902152157&q=Logiciel%20espion%20-%20Wikip%E9dia&orig=http%3A//fr.wikipedia.org/wiki/Logiciel_espion
Trojan:Win32/Opachki est aussi associé à des infections avec des rogues, par exemple Security Tool, la famille Antivirus System Pro ou enfin seres.exe qui installe le rogue Antivirus Pro 2010
Trojan:Win32/Opachki se caractérise par des lignes avec des fichiers DLL qui sont chargées par le processus rundll32.
Exemple de lignes HiJackThis
O4 - HKLM\..\Run: [calc] rundll32.exe C:\WINDOWS\system32\calc.dll,_IWMPEvents@0
O4 - HKCU\..\Run: [calc] rundll32.exe C:\DOCUME~1\MALEKA~1\ntuser.dll,_IWMPEvents@0
On retrouve les fichiers calc.dll, ntuser.dll mais aussi autochk.dll et scandisk.dll
NOTE : il est impossible de tuer le processus rundll32 et fixer les lignes HijackThis ne sert à rien!
NOTE2 : il semblerait que SpyBot soit très fort pour imaginer des infections Trojan:Win32/Opachki imaginaire :
http://forum.malekal.com/cheval-troie-o ... 21803.html
http://forum.malekal.com/probleme-avec- ... ml#p179403
Les fichiers sont cachés du disque comme le montre les captures suivantes avec GMER qui montre le fichier en rouge.
Trojan:Win32/Opachki se charche aussi via deux fichiers dans le menu Démarrer / Programmes / Démarrages qui sont aussi invisibles
GMER donne les lignes suivantes :
Exemple de détection VirusTotal même si dans l'exemple ci-dessus, ce n'est pas très parlant puisqu'on a des détections de paker, une famille FakeAlert et lême SinoMBR..GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-11-11 03:16:35
Windows 5.1.2600 Service Pack 2
Running: l0pjcpp9.exe; Driver: C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\fwrcyaog.sys
---- Kernel code sections - GMER 1.0.15 ----
? C:\WINDOWS\system32\Drivers\PROCEXP100.SYS The system cannot find the file specified. !
---- Files - GMER 1.0.15 ----
File C:\Documents and Settings\Malekal_morte\ntuser.dll 24064 bytes executable
File C:\Documents and Settings\Malekal_morte\Start Menu\Programs\Startup\scandisk.dll 24064 bytes executable
File C:\Documents and Settings\Malekal_morte\Start Menu\Programs\Startup\scandisk.lnk 655 bytes
File C:\WINDOWS\system32\calc.dll 24064 bytes executable
---- EOF - GMER 1.0.15 ----
Le fait est que Trojan:Win32/Opachki est embarqué avec le rogue
File ~.exe received on 2009.11.07 04:39:49 (UTC)
Current status: finished
Result: 26/40 (65.00%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.06 Packed.Win32.Krap!IK
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.06 TR/Agent.AH.335
Antiy-AVL 2.0.3.7 2009.11.05 Packed/Win32.Krap
Authentium 5.2.0.5 2009.11.07 W32/Agent.IEZ
Avast 4.8.1351.0 2009.11.06 Win32:SinoMBR
AVG 8.5.0.423 2009.11.06 Generic15.AKJF
BitDefender 7.2 2009.11.07 -
CAT-QuickHeal 10.00 2009.11.06 Trojan.Krap.ah
ClamAV 0.94.1 2009.11.07 -
Comodo 2867 2009.11.07 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.11.07 Trojan.Fakealert.4703
eTrust-Vet 35.1.7108 2009.11.06 -
F-Prot 4.5.1.85 2009.11.06 W32/Agent.IEZ
F-Secure 9.0.15370.0 2009.11.04 -
Fortinet 3.120.0.0 2009.11.06 W32/Krap.AH
GData 19 2009.11.07 Win32:SinoMBR
Ikarus T3.1.1.74.0 2009.11.06 Packed.Win32.Krap
Jiangmin 11.0.800 2009.11.06 -
K7AntiVirus 7.10.890 2009.11.06 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.11.07 Packed.Win32.Krap.ah
McAfee 5794 2009.11.06 Generic.dx!gkv
McAfee+Artemis 5794 2009.11.06 Generic.dx!gkv
McAfee-GW-Edition 6.8.5 2009.11.06 Heuristic.LooksLike.Trojan.Agent.C
Microsoft 1.5202 2009.11.06 VirTool:Win32/Obfuscator.HG
NOD32 4580 2009.11.06 Win32/Adware.SpywareProtect2009
Norman 6.03.02 2009.11.06 -
nProtect 2009.1.8.0 2009.11.07 Trojan/W32.Krap.273920.B
Panda 10.0.2.2 2009.11.06 Trj/Zlob.KH
PCTools 7.0.3.5 2009.11.06 -
Prevx 3.0 2009.11.07 Medium Risk Malware
Rising 21.54.50.00 2009.11.07 -
Sophos 4.47.0 2009.11.07 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.11.06 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.11.07 -
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.06 -
VBA32 3.12.10.11 2009.11.06 -
ViRobot 2009.11.6.2025 2009.11.06 -
VirusBuster 4.6.5.0 2009.11.06 Trojan.Agent.PKBP
Additional information
File size: 273920 bytes
MD5 : ebbd61a0c8129b405807f15007a56c3d
SHA1 : ad7003c711555e6af70073c2d64fa6631c2b6d37
SHA256: 77d507efbd7b691c3f5d25a970b23fddcca27cb8add487fabac7cbb44a60ba7c