sooi832 virus ou pas ?

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
killer malware

sooi832 virus ou pas ?

par killer malware »

hello tous le monde,

En testant deux trois joyeusté du web sur ma machine de teste je suis tombé sur ça :

http://www.threatexpert.com/report.aspx ... c6b14c0094

je me demande si c'est vraiment un virus, dans le descriptif de threatexpert si l'on regarde tous à la fin de la page on se rend compte que ce fichier .BIN se connecte au site de microsoft.

Par défaut il a les attribut caché et n'est pas visible en mode normale, en mode sans echec il apparait si l'on fait apparaître les fichiers cachés.

Dans le descriptif de threatexpert il injecterait des processus système :

svchost , alg etc... un semblant de rootkit non ?

malwarebyte le détecte

avast non

combofix oui

j'ai testé à tous hasard (car j'avais le setup sous la main) avec emsisoft et il le détecte aussi !

ma version de Windows n'est pas activé forcement c'est un pc de test....

je me demande si c'est pas à cause de l'activation un mouchard de microsoft ?

bref je ment remets à votre savoir PDT_008

a+

p.s si ça intéresse malekal je peux faire un upload
Malekal_morte
Messages : 110262
Inscription : 10 sept. 2005 13:57

Re: sooi832 virus ou pas ?

par Malekal_morte »

Salut,

C'est Trojan.Spyeye / Pincav : http://forum.malekal.com/spyeye-trojan- ... 23361.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
killer malware

Re: sooi832 virus ou pas ?

par killer malware »

Salut

Merci pour le lien,

la connection avec le site de microsoft est quand même étrange.

Avec un whois on peut voir que c'est bien les classes d'adresse ip de microsoft, on peut voir sa avec certains rogues qui se connecte à l'adresse microsoft update pour tromper l'internaute sur la nature malveillante du rogue.

Sa rassure, et les sceptiques se dise "à c'est bon c'est un prog microsoft j'installe"

Mais là dans le cas de spyeye je trouve sa bizarre, peut il redirigé le trafic sur le c&c pendant la phase de communication avec les serveurs de microsoft ?

a+
Malekal_morte
Messages : 110262
Inscription : 10 sept. 2005 13:57

Re: sooi832 virus ou pas ?

par Malekal_morte »

Quelle connexion ?
Quelle adresse WEB ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
killer malware

Re: sooi832 virus ou pas ?

par killer malware »

Salut ,

Il se connecte au ip suivante :

207.46.19.190 celle de microsoft

93.186.104.43 apparemment un domaine hébergé en Russie ou au pays bas

connexion via par le port 80

un whois confirme bien le domaine de microsoft pour la première adresse :

http://whois.domaintools.com/207.46.19.190

la deuxième ip :

http://whois.domaintools.com/93.186.104.43

donc pour la deuxième ip je me suis trompé ce n'est pas celle de microsoft ...

Mais la connexion avec le site de microsoft et bizarre quand même, je n'est pas testé les connexions pour pouvoir confirmer, car les expériences avec les malwares y aime pas trop les FAI d’habitude j'en ai fait l'éxperience....

bref si tu as des éclaircissements pour cette connexion au site de microsoft... PDT_008

A+
Malekal_morte
Messages : 110262
Inscription : 10 sept. 2005 13:57

Re: sooi832 virus ou pas ?

par Malekal_morte »

Au démarrage du PC, il y a des connexions au serveur microsoft pour le réseau.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
killer malware

Re: sooi832 virus ou pas ?

par killer malware »

salut ,

C'est en lisant le rapport de threatesxpert que j'ai vu cette connexion au site de microsoft ,

mais c'est le malware qui fait cette connexion, sur un système propre je suis d'accord avec toi il y a des connexions au site de microsoft windows update etc ....

Mais pourquoi ce malware fait une connexion avec l'ip de microsoft ?

d'ailleurs on peux voir qu'il se charge via une clé run visible dans msconfig.


a+
Malekal_morte
Messages : 110262
Inscription : 10 sept. 2005 13:57

Re: sooi832 virus ou pas ?

par Malekal_morte »

Je sais pas comme ça.
mais tu as des malwares qui font des connexions vers des sites légitimes (Google, Bing etc) pour tester la connectivité (vitesse aussi) et autres.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
killer malware

Re: sooi832 virus ou pas ?

par killer malware »

Salut ,

voilà le mystère résolu j'étais pas au courant qu'un malware teste les paramètres de la machine mais à y réfléchir c'est logique y doivent classer les connexions par type dans le c&c je pense.

D'ailleurs quand on voit un botnet comme tdl4 ça fais pas rire....

en tous cas merci de tes réponses. PDT_008

A+
Malekal_morte
Messages : 110262
Inscription : 10 sept. 2005 13:57

Re: sooi832 virus ou pas ?

par Malekal_morte »

PDT_008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »