W32.Exchanger/Win32/Cbeplay

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Malekal_morte
Messages : 112131
Inscription : 10 sept. 2005 13:57

W32.Exchanger/Win32/Cbeplay

par Malekal_morte »

Le malware W32.Exchanger/Win32/Cbeplay avait été très actif lors de campagne de mail courant 2008 - voir : http://forum.malekal.com/trojan-downloa ... 12874.html

Ce dernier revient via des exploits sur des sites WEB
File Adobe_Flash_Player.exe received on 2009.12.21 00:28:00 (UTC)
Current status: finished
Result: 36/41 (87.80%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.43 2009.12.20 Trojan-Spy.Win32.Zbot!IK
AhnLab-V3 5.0.0.2 2009.12.19 Win-Trojan/Cbeplay.25088
AntiVir 7.9.1.114 2009.12.20 TR/Dldr.Exchanger.ayo
Antiy-AVL 2.0.3.7 2009.12.18 Trojan/Win32.Exchanger.gen
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.20 Win32:Malware-gen
AVG 8.5.0.427 2009.12.20 Pakes.EJJ
BitDefender 7.2 2009.12.21 Trojan.Generic.CJ.AIDN
CAT-QuickHeal 10.00 2009.12.19 TrojanDownloader.Exchanger.ay
ClamAV 0.94.1 2009.12.20 -
Comodo 3313 2009.12.21 TrojWare.Win32.TrojanDropper.Agent.~EDD
DrWeb 5.0.0.12182 2009.12.21 Trojan.DownLoad1.18772
eSafe 7.0.17.0 2009.12.20 Win32.TrojanHorse
eTrust-Vet 35.1.7185 2009.12.19 Cbeplay.E
F-Prot 4.5.1.85 2009.12.20 W32/Zbot.AMU
F-Secure 9.0.15370.0 2009.12.20 Trojan-Spy:W32/Zbot.PDZ
Fortinet 4.0.14.0 2009.12.20 W32/Exchanger.AYO!tr.dldr
GData 19 2009.12.21 Trojan.Generic.CJ.AIDN
Ikarus T3.1.1.79.0 2009.12.20 Trojan-Spy.Win32.Zbot
Jiangmin 13.0.900 2009.12.20 -
K7AntiVirus 7.10.923 2009.12.17 Trojan-Downloader.Win32.Exchanger.ayo
Kaspersky 7.0.0.125 2009.12.21 Trojan-Downloader.Win32.Exchanger.ayo
McAfee 5838 2009.12.20 Generic Downloader.x!ccq
McAfee+Artemis 5838 2009.12.20 Generic Downloader.x!ccq
McAfee-GW-Edition 6.8.5 2009.12.21 Trojan.Dldr.Exchanger.ayo
Microsoft 1.5302 2009.12.20 TrojanDownloader:Win32/Cbeplay.K
NOD32 4704 2009.12.20 Win32/Wigon.MC
Norman 6.04.03 2009.12.20 W32/Exchanger.C
nProtect 2009.1.8.0 2009.12.18 Trojan-Downloader/W32.Exchanger.25088.C
Panda 10.0.2.2 2009.12.15 Trj/CI.A
PCTools 7.0.3.5 2009.12.21 Trojan-Spy.Zbot
Prevx 3.0 2009.12.21 Medium Risk Malware Downloader
Rising 22.26.06.04 2009.12.20 Trojan.Win32.Generic.51F42719
Sophos 4.49.0 2009.12.21 Troj/Cbeplay-B
Sunbelt 3.2.1858.2 2009.12.20 Trojan.Win32.Generic!SB.0
Symantec 1.4.4.12 2009.12.21 Downloader
TheHacker 6.5.0.3.101 2009.12.21 -
TrendMicro 9.100.0.1001 2009.12.20 TROJ_DLOADE.ZAA
VBA32 3.12.12.0 2009.12.19 Trojan-Downloader.Win32.Exchanger.ayo
ViRobot 2009.12.18.2097 2009.12.18 -
VirusBuster 5.0.21.0 2009.12.20 Trojan.Kryptik.TH
Additional information
File size: 25088 bytes
MD5 : a64e14991a0ed591650b8a513a55fe28
SHA1 : 642ff8b0d024ecc9ef47edfed47a261ed47edaee
Ligne HijackThis visible :
O23 - Service: avast!CacheAgent.exe - ZCmguLw - C:\WINDOWS\System32\avast!CacheAgent.exe
D'autres nom de fichier et service relatif à Avast! ont été utilisés ces derniers temps.

contact le serveur suivant :

Code : Tout sélectionner

1261401135.574    138 192.168.1.26 TCP_MISS/200 429 POST http://93.158.114.111/ldr/client03/ldrctl.php - DIRECT/93.158.114.111 text/html
puis télécharge d'autres malwares :

Code : Tout sélectionner

1261401136.547    564 192.168.1.26 TCP_MISS/200 107163 GET http://russisches-staatsballett-perm.de/laejfgfd.exe - DIRECT/82.100.220.96 application/octet-stream
1261401136.591    597 192.168.1.26 TCP_MISS/200 96666 GET http://russisches-staatsballett-perm.de/hgieo.exe - DIRECT/82.100.220.96 application/octet-stream
File psafjkioewj.exe received on 2009.12.15 16:50:19 (UTC)
Current status: finished
Result: 29/41 (70.73%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.43 2009.12.15 Trojan.Win32.Tibs!IK
AhnLab-V3 5.0.0.2 2009.12.15 Win-Trojan/Tibs.106752.B
AntiVir 7.9.1.108 2009.12.15 TR/Spy.106752
Antiy-AVL 2.0.3.7 2009.12.15 -
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.15 Win32:Malware-gen
AVG 8.5.0.427 2009.12.15 Downloader.Generic9.WSC
BitDefender 7.2 2009.12.15 Gen:[email protected]
CAT-QuickHeal 10.00 2009.12.15 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.12.15 -
Comodo 3254 2009.12.15 Heur.Suspicious
DrWeb 5.0.0.12182 2009.12.15 -
eSafe 7.0.17.0 2009.12.15 Win32.TRCrypt.ZPACK
eTrust-Vet 35.1.7176 2009.12.15 -
F-Prot 4.5.1.85 2009.12.15 -
F-Secure 9.0.15370.0 2009.12.15 Gen:[email protected]
Fortinet 4.0.14.0 2009.12.15 W32/ASH.D!tr.dldr
GData 19 2009.12.15 Gen:[email protected]
Ikarus T3.1.1.74.0 2009.12.15 Trojan.Win32.Tibs
Jiangmin 13.0.900 2009.12.15 -
K7AntiVirus 7.10.920 2009.12.14 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.12.15 Backdoor.Win32.Rbot.ksz
McAfee 5833 2009.12.15 Downloader-ASH.gen.d
McAfee+Artemis 5833 2009.12.15 Downloader-ASH.gen.d
McAfee-GW-Edition 6.8.5 2009.12.15 Heuristic.BehavesLike.Win32.Obfuscated.B
Microsoft 1.5302 2009.12.15 Trojan:Win32/Tibs.IT
NOD32 4690 2009.12.15 a variant of Win32/Kryptik.F
Norman 6.04.03 2009.12.15 W32/DLoader.ABZQK
nProtect 2009.1.8.0 2009.12.15 -
Panda 10.0.2.2 2009.12.15 Generic Trojan
PCTools 7.0.3.5 2009.12.15 -
Prevx 3.0 2009.12.15 Medium Risk Malware
Rising 22.26.01.01 2009.12.15 -
Sophos 4.48.0 2009.12.15 Mal/Behav-321
Sunbelt 3.2.1858.2 2009.12.15 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.12.15 Suspicious.MH690.A
TheHacker 6.5.0.2.093 2009.12.15 -
TrendMicro 9.100.0.1001 2009.12.15 PAK_Generic.015
VBA32 3.12.12.0 2009.12.15 suspected of Heur.Malware-Cryptor.MTA.10
ViRobot 2009.12.15.2089 2009.12.15 -
VirusBuster 5.0.21.0 2009.12.14 Trojan.ZPACK.FRQ
Additional information
File size: 106752 bytes
MD5 : bff0a4e8b5c2383d5967a795edf09acb
SHA1 : 8714c943fbac21bbb4a188c105f5cb8d8cb6e0be
~~
File hgieo.exe received on 2009.12.21 10:59:44 (UTC)
Current status: finished
Result: 5/41 (12.20%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.43 2009.12.21 -
AhnLab-V3 5.0.0.2 2009.12.21 -
AntiVir 7.9.1.114 2009.12.21 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.12.18 -
Authentium 5.2.0.5 2009.12.02 -
Avast 4.8.1351.0 2009.12.20 -
AVG 8.5.0.427 2009.12.20 -
BitDefender 7.2 2009.12.21 -
CAT-QuickHeal 10.00 2009.12.21 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.12.21 -
Comodo 3318 2009.12.21 -
DrWeb 5.0.0.12182 2009.12.21 -
eSafe 7.0.17.0 2009.12.20 -
eTrust-Vet 35.1.7187 2009.12.21 -
F-Prot 4.5.1.85 2009.12.20 -
F-Secure 9.0.15370.0 2009.12.21 -
Fortinet 4.0.14.0 2009.12.20 -
GData 19 2009.12.21 -
Ikarus T3.1.1.79.0 2009.12.21 -
Jiangmin 13.0.900 2009.12.21 -
K7AntiVirus 7.10.923 2009.12.17 -
Kaspersky 7.0.0.125 2009.12.21 -
McAfee 5838 2009.12.20 -
McAfee+Artemis 5838 2009.12.20 -
McAfee-GW-Edition 6.8.5 2009.12.21 Trojan.Crypt.ZPACK.Gen
Microsoft 1.5302 2009.12.21 -
NOD32 4705 2009.12.21 -
Norman 6.04.03 2009.12.21 -
nProtect 2009.1.8.0 2009.12.21 -
Panda 10.0.2.2 2009.12.15 -
PCTools 7.0.3.5 2009.12.21 -
Prevx 3.0 2009.12.21 -
Rising 22.27.00.04 2009.12.21 Packer.Win32.UnkPacker.a
Sophos 4.49.0 2009.12.21 Sus/UnkPack-C
Sunbelt 3.2.1858.2 2009.12.20 -
Symantec 1.4.4.12 2009.12.21 -
TheHacker 6.5.0.3.101 2009.12.21 -
TrendMicro 9.120.0.1004 2009.12.21 -
VBA32 3.12.12.0 2009.12.19 -
ViRobot 2009.12.21.2099 2009.12.21 -
VirusBuster 5.0.21.0 2009.12.20 -
Additional information
File size: 96256 bytes
MD5 : 8e98e172ebf967df136d8a9eca3b4af2
SHA1 : 637f698ca2598d50182adfe8ef37f9bf5dab8308

Ligne HijackThis visible :
O23 - Service: bEvtService - Unknown owner - C:\WINDOWS\System32\bEvtService.exe
On retrouve le même radical EvtSvc.exe comme dans les versions précédentes :
CxEvtSvc.exe
O23 - Service: CbEvtSvc - Unknown owner - C:\WINDOWS\System32\CbEvtSvc.exe : http://forum.malekal.com/trojan-downloa ... 12874.html

Le malware envoit ensuite des mails de SPAM.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »