Desktop.exe - une variante de Win32/RemoteAdmin.RemoteExec.AA

[sbx59]

Bonjour,

Nous avons choppé : Win32/RemoteAdmin.RemoteExec.AA sur l'un de notre serveur TSE.

Le malware est localisé sur une session. Notre anti-virus n'arrive pas a supprimé desktop.exe meme apres un redémarrage. (NOD32)

Avez vous un avis ?

D'avance merci.

[angelique]

Bonjour,

• Télécharge sur ton Bureau pas ailleurs FRST.EXE:
  
  
  
  La page de téléchargement : le tutoriel FRST
  
  
  
  
  !! Placez le programme sur le bureau et pas ailleurs!!
• Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
  Le scan se lance, les éléments scannés apparaissent en haut.
• Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
  
  
  Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.

[sbx59]

Voici les lien avec en mot de passe 123

addition : http://pjjoint.malekal.com/files.php?id ... 4y12m12l10
shortcut : http://pjjoint.malekal.com/files.php?id ... x6u11t13z5
frst : http://pjjoint.malekal.com/files.php?id ... 13q12j8i10
extrats : http://pjjoint.malekal.com/files.php?id ... 7d6y5p8p12

[Malekal_morte]

Il est en caché.
Tu as aussi ce dossier caché à la racine qui est très suspicieux, il a été créé après le téléchargement d'un MSI ESET : efsw_nt64_fra(1).msi
Peut-être créé par lui :

2017-03-16 16:09 - 2017-03-16 16:09 - 00000000 ___HD C:\{02D83BBE-62DA-89E3-4AD0-54C9F117B69B}
2017-01-27 10:15 - 2011-09-06 22:06 - 0109568 __RSH () C:\ProgramData\Desktop.exe
2017-01-27 10:15 - 2017-01-27 10:15 - 0000144 ___SH () C:\ProgramData\sp3k7r3xyz117.dat
2017-01-27 10:15 - 2017-03-16 16:07 - 0006016 ___SH () C:\ProgramData\sp3k7r3xyz117B.dat

Sachant que c'est dans C:\ProgramData, il doit falloir les droits administrateurs pour écrire là dedans.

Tu dois pouvoir supprimer manuellement les fichiers, en affichant les fichiers cachés et systèmes.
Par curiosité, il y a quoi là dedans : C:\{02D83BBE-62DA-89E3-4AD0-54C9F117B69B} ?

Le TSE n'est pas accessible depuis internet ?

[angelique]

tu peux zipper C:\ProgramData\Desktop.exe C:\Users\bonnier\..\All Users\Desktop.exe et le mettre en pièce jointe dans ton prochain message stp!

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou exécuter➫notepad)
  Copie/colle dedans ce qui suit :
  
  
  Essaye ça voir si ça le vire:
  

  Task: {8B0B2830-7A2D-45F3-B3B7-520DFB278786} - System32\Tasks\Desktop => C:\Users\bonnier\..\All Users\Desktop.exe [2011-09-06] ()
  2017-01-27 10:15 - 2017-03-16 16:07 - 00006016 ___SH C:\ProgramData\sp3k7r3xyz117B.dat
  2017-01-27 10:15 - 2017-01-27 10:15 - 00002896 ___SH C:\Users\bonnier\illusions.dat
  2017-01-27 10:15 - 2017-01-27 10:15 - 00002896 ___SH C:\Users\bonnier\AppData\LocalLow\illusions.dat
  2017-01-27 10:15 - 2017-01-27 10:15 - 00000144 ___SH C:\ProgramData\sp3k7r3xyz117.dat
  2017-01-27 10:15 - 2017-01-27 10:15 - 00000000 ____D C:\Users\bonnier\WINDOWS
  2017-01-27 10:15 - 2011-09-06 22:06 - 00109568 __RSH C:\ProgramData\Desktop.exe
  2017-03-16 16:09 - 2017-03-16 16:09 - 00000000 ___HD C:\{02D83BBE-62DA-89E3-4AD0-54C9F117B69B}
  EmptyTemp:
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  Sous Vista, Windows 7, 8,10, etc.... il faut lancer le fichier par clic-droit ➫ Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Corriger/Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse avec ton commentaire si c'est mieux !

[sbx59]

@Malekal :

Dans le dossier : C:\{02D83BBE-62DA-89E3-4AD0-54C9F117B69B} Il s'agit surement de l'antivirus vu ce qu'il y a a l'interieur.
Le MSI : MSI ESET : efsw_nt64_fra(1).msi est en faite le package d'installation de ma solution antivirus serveur que j'ai mis a jour ce matin.
Oui notre TSE est accessible depuis le web.

Pour la question du cacher ... Meme si j'affiche les fichiers cacher je le vois et op avant que je clique dessus il disparais !!!! le coquin.

Je fait ce que angelique ma donnée.

[sbx59]

@angelique : J'ai envoyer le fichier sur : http://upload.malekal.com/


Fix result of Farbar Recovery Scan Tool (x64) Version: 15-03-2017
Ran by administrateur (16-03-2017 19:20:54) Run:1
Running from C:\Users\administrateur\Desktop
Loaded Profiles: office & administrateur (Available Profiles: mes utilisateurs ;)
Boot Mode: Normal
==============================================

fixlist content:
*****************
Task: {8B0B2830-7A2D-45F3-B3B7-520DFB278786} - System32\Tasks\Desktop => C:\Users\bonnier\..\All Users\Desktop.exe [2011-09-06] ()
2017-01-27 10:15 - 2017-03-16 16:07 - 00006016 ___SH C:\ProgramData\sp3k7r3xyz117B.dat
2017-01-27 10:15 - 2017-01-27 10:15 - 00002896 ___SH C:\Users\bonnier\illusions.dat
2017-01-27 10:15 - 2017-01-27 10:15 - 00002896 ___SH C:\Users\bonnier\AppData\LocalLow\illusions.dat
2017-01-27 10:15 - 2017-01-27 10:15 - 00000144 ___SH C:\ProgramData\sp3k7r3xyz117.dat
2017-01-27 10:15 - 2017-01-27 10:15 - 00000000 ____D C:\Users\bonnier\WINDOWS
2017-01-27 10:15 - 2011-09-06 22:06 - 00109568 __RSH C:\ProgramData\Desktop.exe
2017-03-16 16:09 - 2017-03-16 16:09 - 00000000 ___HD C:\{02D83BBE-62DA-89E3-4AD0-54C9F117B69B}
EmptyTemp:
*****************

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{8B0B2830-7A2D-45F3-B3B7-520DFB278786} => key removed successfully
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8B0B2830-7A2D-45F3-B3B7-520DFB278786} => key removed successfully
C:\Windows\System32\Tasks\Desktop => moved successfully
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Desktop => key removed successfully
C:\ProgramData\sp3k7r3xyz117B.dat => moved successfully
C:\Users\bonnier\illusions.dat => moved successfully
C:\Users\bonnier\AppData\LocalLow\illusions.dat => moved successfully
C:\ProgramData\sp3k7r3xyz117.dat => moved successfully
C:\Users\bonnier\WINDOWS => moved successfully
C:\ProgramData\Desktop.exe => moved successfully
C:\{02D83BBE-62DA-89E3-4AD0-54C9F117B69B} => moved successfully

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 5650098 B
Java, Flash, Steam htmlcache => 710 B
Windows/system/drivers => 98 B
Edge => 0 B
Chrome => 0 B

Je redemmar le serveur, me connecte a la session et je vois demain si il est revenu ou non.

[angelique]

Je redemmar le serveur, me connecte a la session et je vois demain si il est revenu ou non.

Yep tiens au courant! la quarantaine de FRST est en C:\FRST

[Malekal_morte]

outch, c'est potentiellement un ver (worms).
La détection ESET est trompeuse.

SHA256: 70bf030734328ffe84e7f132ab2063ecac404b0f48c850abb68967b9360da2bc
Nom du fichier : 9614C44BD96D927B9F9FA2A58D31CF96
Ratio de détection : 38 / 57

Antivirus Résultat Mise à jour
Ad-Aware Generic.Malware.FV!Qwhid.5A95E09B 20160313
AegisLab Troj.W32.Generic!c 20160313
Yandex Trojan.RemoteAdmin!fj4dAIMjMPI 20160312
ALYac Generic.Malware.FV!Qwhid.5A95E09B 20160313
Arcabit Generic.Malware.FV!Qwhid.5A95E09B 20160313
Avast Win32:Malware-gen 20160313
AVG Win32/DH{Bg?} 20160313
Avira (no cloud) WORM/Rbot.Gen 20160312
AVware Trojan.Win32.Generic!BT 20160313
Baidu-International Trojan.Win32.Hosts2.gen 20160313
BitDefender Generic.Malware.FV!Qwhid.5A95E09B 20160313
CAT-QuickHeal Worm.Specosat.r6 20160312
Comodo UnclassifiedMalware 20160313
Cyren W32/Heuristic-166!Eldorado 20160313
DrWeb Trojan.Hosts.30387 20160313
Emsisoft Generic.Malware.FV!Qwhid.5A95E09B (B) 20160313
ESET-NOD32 a variant of Win32/RemoteAdmin.RemoteExec.AA potentially unsafe 20160312
F-Prot W32/Heuristic-166!Eldorado 20160313
F-Secure Generic.Malware.FV!Qwhid.5A95E09B 20160313
Fortinet W32/Malware_fam.NB 20160313
GData Generic.Malware.FV!Qwhid.5A95E09B 20160313
Ikarus Win32.SuspectCrc 20160313
Jiangmin Trojan/Hosts2.bq 20160313
K7AntiVirus Trojan ( 0001921b1 ) 20160313
K7GW Trojan ( 0001921b1 ) 20160313
Kaspersky Trojan.Win32.Hosts2.gen 20160313
Malwarebytes Trojan.AVDis.HST 20160313
McAfee Artemis!9614C44BD96D 20160313
McAfee-GW-Edition BehavesLike.Win32.Worm.cm 20160312
Microsoft Worm:Win32/Specosat.A 20160313
eScan Generic.Malware.FV!Qwhid.5A95E09B 20160313
NANO-Antivirus Trojan.Win32.Rbot.cpdxxh 20160313
Panda Trj/CI.A 20160312
Qihoo-360 HEUR/QVM41.1.Malware.Gen 20160313
Sophos XCmdSvc (PUA) 20160313
Tencent Win32.Trojan.Hosts2.Hreq 20160313
VBA32 Heur.Trojan.Hlux 20160313
VIPRE Trojan.Win32.Generic!BT 20160313

La fiche Microsoft : https://www.microsoft.com/security/port ... Specosat.A
La fiche est de 2011 quand même.

On retrouve le .dat :

The malware creates the following files on an affected computer:

<current folder>\adobe_flash_upgrade01x2.cln
c:\documents and settings\administrator\illusions.dat
c:\documents and settings\all users\sp3k7r3xyz117.dat
c:\documents and settings\all users\start menu\programs\startup\desktop.bat

Si ça revient, il est possible qu'un ordinateur du réseau soit infecté et toucher le serveur.
Faurdait :
- vérifier que le serveur soit à jour (mise à jour Windows)
- Installer un antivirus car là il ne semble pas y en avoir.

Faut inspecter chaque machine du réseau.
Le bon côté, c'est qu'il est bien détecté.

[sbx59]

Il y avais bien ESET NOD32 sur le poste, et sur tout les postes d'ayeur.

Sauf que si on a pas activé : potentiellement dangereux ... il n'est pas détecté ...
Le serveur est mis a jour a chaque MAJ. il est en auto.

Bon ben j'ai 2 TSE a vérifier et 200 machines ... :O

[Malekal_morte]

Faudrait qu'il requalifie la détection... c'pas un Hacktool.

[sbx59]

Qui pourrais leurs dire cela ? :/

Que fait t'il se vers, mis a part se propager ?

[sbx59]

Sur notre serveur c'est ok.

Par contre comme nous somme en vpn ... pas mal de pc sont infecté ... avez vous une solution pour eviter na propagation ? Ou dout je passer sur chaque pc ?

[Malekal_morte]

Tu parles d'ordinateurs portables dont les utilisateurs se connectent de chez eux et en VPN dans l'entreprise ?
- Ne pas les mettre les utilisateurs administrateur.
- Ils ont tous NOD32 ?
- Les postes doivent être à jour au niveau de Windows.

Je pense que tu devrais contacter le support ESET, faut qu'il re-qualifie cette détection afin que ce soit en vers pour qu'elle se déclenche automatiquement. En Hacktools ou autre PUA, elle est probablement pas active par défaut.

[sbx59]

Non. Des ordi portable en interne mais reliee en vpn etoile.

Tout le monde a nod32 par contre pour les maj windows ... pas sur !