sooi832 virus ou pas ?

[killer malware]

hello tous le monde,

En testant deux trois joyeusté du web sur ma machine de teste je suis tombé sur ça :

http://www.threatexpert.com/report.aspx ... c6b14c0094

je me demande si c'est vraiment un virus, dans le descriptif de threatexpert si l'on regarde tous à la fin de la page on se rend compte que ce fichier .BIN se connecte au site de microsoft.

Par défaut il a les attribut caché et n'est pas visible en mode normale, en mode sans echec il apparait si l'on fait apparaître les fichiers cachés.

Dans le descriptif de threatexpert il injecterait des processus système :

svchost , alg etc... un semblant de rootkit non ?

malwarebyte le détecte

avast non

combofix oui

j'ai testé à tous hasard (car j'avais le setup sous la main) avec emsisoft et il le détecte aussi !

ma version de Windows n'est pas activé forcement c'est un pc de test....

je me demande si c'est pas à cause de l'activation un mouchard de microsoft ?

bref je ment remets à votre savoir

a+

p.s si ça intéresse malekal je peux faire un upload

[Malekal_morte]

Salut,

C'est Trojan.Spyeye / Pincav : http://forum.malekal.com/spyeye-trojan- ... 23361.html

[killer malware]

Salut

Merci pour le lien,

la connection avec le site de microsoft est quand même étrange.

Avec un whois on peut voir que c'est bien les classes d'adresse ip de microsoft, on peut voir sa avec certains rogues qui se connecte à l'adresse microsoft update pour tromper l'internaute sur la nature malveillante du rogue.

Sa rassure, et les sceptiques se dise "à c'est bon c'est un prog microsoft j'installe"

Mais là dans le cas de spyeye je trouve sa bizarre, peut il redirigé le trafic sur le c&c pendant la phase de communication avec les serveurs de microsoft ?

a+

[Malekal_morte]

Quelle connexion ?
Quelle adresse WEB ?

[killer malware]

Salut ,

Il se connecte au ip suivante :

207.46.19.190 celle de microsoft

93.186.104.43 apparemment un domaine hébergé en Russie ou au pays bas

connexion via par le port 80

un whois confirme bien le domaine de microsoft pour la première adresse :

http://whois.domaintools.com/207.46.19.190

la deuxième ip :

http://whois.domaintools.com/93.186.104.43

donc pour la deuxième ip je me suis trompé ce n'est pas celle de microsoft ...

Mais la connexion avec le site de microsoft et bizarre quand même, je n'est pas testé les connexions pour pouvoir confirmer, car les expériences avec les malwares y aime pas trop les FAI d’habitude j'en ai fait l'éxperience....

bref si tu as des éclaircissements pour cette connexion au site de microsoft...

A+

[Malekal_morte]

Au démarrage du PC, il y a des connexions au serveur microsoft pour le réseau.

[killer malware]

salut ,

C'est en lisant le rapport de threatesxpert que j'ai vu cette connexion au site de microsoft ,

mais c'est le malware qui fait cette connexion, sur un système propre je suis d'accord avec toi il y a des connexions au site de microsoft windows update etc ....

Mais pourquoi ce malware fait une connexion avec l'ip de microsoft ?

d'ailleurs on peux voir qu'il se charge via une clé run visible dans msconfig.


a+

[Malekal_morte]

Je sais pas comme ça.
mais tu as des malwares qui font des connexions vers des sites légitimes (Google, Bing etc) pour tester la connectivité (vitesse aussi) et autres.

[killer malware]

Salut ,

voilà le mystère résolu j'étais pas au courant qu'un malware teste les paramètres de la machine mais à y réfléchir c'est logique y doivent classer les connexions par type dans le c&c je pense.

D'ailleurs quand on voit un botnet comme tdl4 ça fais pas rire....

en tous cas merci de tes réponses.

A+

[Malekal_morte]