Infection existante depuis plusieurs mois se propage par des exploits sur des sites WEB, peut-être installé par d'autres infections (ex infections MSN ou enfin se propager par des infections par disques amovibles.
Mais sa voie principale sont les faux codecs pour visualiser des vidéos pornographiques et par cracks/keygens
Exemple : http://forum.malekal.com/fake-codec-fau ... 19113.html
Bref, c'est une infection que l'on attrape stupidement.
C'est toujours la même technique, les domaines et les droppers sont mis à jour tous les jours afin de rendre les détections antivirales au minimal (voir plus bas) et assurer un taux d'infection élevé.
Des milliers de sites pointent vers ces nouveaux domaines via des rotators, l'internaute est casi sûr de tomber dessus.
Ces domaines proposent ensuite le fichier infectieux via de faux codecs ou via des cracks/keygens (voir aussi VideoAccessCodec/Zlob et les cracks et en détail Trojan.Win32.Jorik.Skor : Warez Blog Power).
Voici un exemple de faux sites de cracks pointant vers le domaine dataplayworld.com
En version faux codecs pour visualiser des vidéos pornographiques, on obtient plus un nom de fichiers avec le mot crack mais plutôt flash-HQ-plugin.45047.exe pour un faux codecs Flash :
D'autres domaines malicieux sont hébergés sur la même machine que le domaine dataplayworld.com 66.96.252.134 :
Une fois le crack/keygen exécuté b.exe est installé sur le système :clearmultimedia.com A 66.96.252.134
nextmediafile.com A 66.96.252.134
tvmediastaronline.com A 66.96.252.134
freemedialocation.com A 66.96.252.134
kingplaysoft.com A 66.96.252.134
comingmultimediafile.net A 66.96.252.134
mediastarnetwork.net A 66.96.252.134
Cette infection s'attrape donc de manière plus que stupide, un peu de bon sens, faites un peu attention à ce que vous téléchargez, il est plus que facile d'éviter ces infections d'autant que votre antivirus ne vous aidera que très partiellement (voir le taux de détections plus bas)
~~
Concrètement à son nom Trojan.Renos / Trojan.FakeAlert, l'infection n'affiche pas de faux alertes de sécurité mais est plutôt de type Clicker (elle surf à votre insu).
Les lignes HiJackThis ajoutées par l'infection
La ligne BHO n'est pas forcément présente.O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O4 - HKCU\..\Run: [PopRock] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\b.exe
Les fichiers ajoutés par l'infection :
Enfin l'infection peut contenir le fichier C:\Windows\msa.exe (ce n'est pas systématique).c:\WINDOWS\system32\msxml71.dll
Date: 11/11/2009 5:03 AM
Size: 245 764 bytes
c:\Documents and Settings\Malekal_morte\Local Settings\Temp\a.exe
Date: 11/11/2009 5:03 AM
Size: 274 948 bytes
c:\Documents and Settings\Malekal_morte\Local Settings\Temp\b.exe
Date: 11/11/2009 5:03 AM
Size: 154 112 bytes
Ce dernier se lance au démarrage via une tâche planifiée :
Pour ce qui est de la désinfection, Combofix ou Malwarebyte Anti-Malware se chargent très bien de cette infection.
Vous pouvez bien entendu faire le ménage manuellement (en mode sans échec par exemple).
Détection du faux setup de faux codec majoritairement en Trojan.FakeAlert ou Renos :
Voir les détections : http://forum.malekal.com/dvdmediahelp-c ... ml#p200984File setup.45107.exe received on 2009.11.11 15:03:23 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 21/41 (51.22%)
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.10 Trojan-Downloader.Win32.Renos!IK
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.10 TR/Agent.AG.4428
Antiy-AVL 2.0.3.7 2009.11.10 -
Authentium 5.2.0.5 2009.11.10 W32/FakeAlert.CO.gen!Eldorado
Avast 4.8.1351.0 2009.11.10 Win32:FakeAV-TU
AVG 8.5.0.423 2009.11.10 Generic15.ASMD
BitDefender 7.2 2009.11.10 Trojan.Renos.OWF
CAT-QuickHeal 10.00 2009.11.10 Win32.Packed.Krap.ag.5
ClamAV 0.94.1 2009.11.10 -
Comodo 2905 2009.11.10 -
DrWeb 5.0.0.12182 2009.11.10 Trojan.Siggen.18848
eSafe 7.0.17.0 2009.11.10 -
eTrust-Vet 35.1.7113 2009.11.10 -
F-Prot 4.5.1.85 2009.11.10 W32/FakeAlert.CO.gen!Eldorado
F-Secure 9.0.15370.0 2009.11.09 -
Fortinet 3.120.0.0 2009.11.10 W32/Krap.A
GData 19 2009.11.10 Trojan.Renos.OWF
Ikarus T3.1.1.74.0 2009.11.10 Trojan-Downloader.Win32.Renos
Jiangmin 11.0.800 2009.11.10 -
K7AntiVirus 7.10.892 2009.11.09 -
Kaspersky 7.0.0.125 2009.11.10 Packed.Win32.Krap.ag
McAfee 5797 2009.11.09 -
McAfee+Artemis 5797 2009.11.09 Artemis!57CD9C0F6777
McAfee-GW-Edition 6.8.5 2009.11.10 Trojan.Agent.AG.4428
Microsoft 1.5202 2009.11.10 TrojanDownloader:Win32/Renos.JM
NOD32 4592 2009.11.10 Win32/TrojanDownloader.FakeAlert.AOH
Norman 6.03.02 2009.11.09 -
nProtect 2009.1.8.0 2009.11.10 -
Panda 10.0.2.2 2009.11.09 Trj/CI.A
PCTools 7.0.3.5 2009.11.10 -
Prevx 3.0 2009.11.11 High Risk Cloaked Malware
Rising 22.21.01.09 2009.11.10 -
Sophos 4.47.0 2009.11.10 Mal/Krap-A
Sunbelt 3.2.1858.2 2009.11.10 Trojan.Win32.FraudPack.gen (v)
Symantec 1.4.4.12 2009.11.10 -
TheHacker 6.5.0.2.064 2009.11.09 -
TrendMicro 9.0.0.1003 2009.11.10 -
VBA32 3.12.10.11 2009.11.09 -
ViRobot 2009.11.10.2029 2009.11.10 -
VirusBuster 4.6.5.0 2009.11.09 -
Additional information
File size: 99840 bytes
MD5...: 57cd9c0f67779140e0fc20b46b14bf59
SHA1..: cbf9df3014ab8ea40e8d7baba25f8c8c50b8f5f4