Backdoor.Win32.SdBot.cmn / www.Marry_Christmas_jpg_Msn.com

[Malekal_morte]

Se propage via le zip Marry_Christmas_jpg.zip contenant le fichier http://www.Marry_Christmas_jpg_Msn.com

En Français:
eeeh c mes tof :p
c seulement mes tof de derniers vacances
tu dois voire les tof de notre bande
comment est-ce que je regarde sur cette photo ?
le ceci est dr
ma soeur a voulu que tu regarde ca
faut de la reproduction sonore avez-vous vu ceci ?

En vrac :
dessa
r egentligen trevliga: P
gyckel m
ste se dig detta fotografera
du fick se detta dess galet :p
estes s
o realmente agrad
veis :P
wow voc
viu este?
como voc
gosta de me nesta foto
voc
come
ou ver este seu assim engra
ado
Bu resimler nasil sence bir bakarmisin
su komik resimlerime baksana
bak :P
Kiz kardesim bunlari sana yollamami s
yledi ;)
bu resimler space i
in nasil
Space ime bun resimleri eklesem sence nasil olur
avete ottenuto vedere questo relativo cos
divertente
come lo pensate osservi qui
sguardo di a questo
controllo di distorsione di velocit
questo fuori
el mi hermana quisiera que le enviara este
lbum de foto
vengo de fi este foto
lbum
Hey i que hace el
lbum de foto! Si vea el loL del em
El tipo, me acepta por favor su solamente
lbum de foto: (!
meine Schwester w
nscht mich Ihnen dieses Fotoalbum schicken
Geck, nehmen bitte sein nur mich Fotoalbum an: (!
he m
chten mein neues Fotoalbum sehen?
hoe vind je dit er uit zien ?
hoe vind je dit ?
echt erg kijk dan
zo hee moet je dit zien echt niet normaal
zo moet je me hier op zien
he hoe vind je me hier op
looooook :p
loooooooooooool
he looks weird on this photo
omg check this out man this is funny
you got to see this

Ajoute la ligne suivante sur HijackThis :

O4 - HKLM\..\Run: [Acronis.exe] C:\WINDOWS\Acronis.exe

Ajoute les fichiers suivants :

C:\WINDOWS\Acronis.exe
C:\Windows\Marry_Christmas_jpg.zip

Scan du fichier :

Fichier Acronis.exe reçu le 2007.12.09 23:46:03 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 18/32 (56.25%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.12.08 -
Avast 4.7.1098.0 2007.12.09 Win32:SdBot-gen25
AVG 7.5.0.503 2007.12.09 IRC/BackDoor.SdBot3.WOX
BitDefender 7.2 2007.12.09 DeepScan:Generic.Sdbot.976ECD3D
CAT-QuickHeal 9.00 2007.12.08 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.12.09 -
DrWeb 4.44.0.09170 2007.12.09 BackDoor.IRC.Sdbot.2155
eSafe 7.0.15.0 2007.12.09 Suspicious File
eTrust-Vet 31.3.5361 2007.12.08 -
Ewido 4.0 2007.12.09 -
FileAdvisor 1 2007.12.09 -
Fortinet 3.14.0.0 2007.12.09 W32/SDBot.CMN!tr.bdr
F-Prot 4.4.2.54 2007.12.08 -
F-Secure 6.70.13030.0 2007.12.09 Backdoor.Win32.SdBot.cmn
Ikarus T3.1.1.12 2007.12.09 Virus.Win32.SdBot.gen25
Kaspersky 7.0.0.125 2007.12.09 Backdoor.Win32.SdBot.cmn
McAfee 5181 2007.12.08 -
Microsoft 1.3007 2007.12.09 Backdoor:Win32/Rbot.gen!A
NOD32v2 2712 2007.12.09 IRC/SdBot
Norman 5.80.02 2007.12.07 W32/FileInfector
Panda 9.0.0.4 2007.12.09 -
Prevx1 V2 2007.12.09 Heuristic: Suspicious Backdoor
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.09 Mal/Generic-A
Sunbelt 2.2.907.0 2007.12.07 Trojan.Crypt.XPACK.Gen
Symantec 10 2007.12.09 -
TheHacker 6.2.9.154 2007.12.09 -
VBA32 3.12.2.5 2007.12.07 -
VirusBuster 4.3.26:9 2007.12.09 -
Webwasher-Gateway 6.6.2 2007.12.08 Trojan.Crypt.XPACK.Gen
Information additionnelle
File size: 46686 bytes
MD5: 98bd8d09307f2cc9f2a9e56f4be504bb
SHA1: b27b5d490aa85f498f90583d6ff8afaae49be6e2
PEiD: -
packers: RLPack
norman sandbox: [ General information ]<br /> * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: [email protected] - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.<br /> * **Locates window \"NULL [class FileMonClass]\" on desktop.<br /> * **Locates window \"NULL [class 18467-41]\" on desktop.<br /> * **Locates window \"NULL [class OLLYDBG]\" on desktop.<br /> * Anti debug/emulation code present.<br /> * File length: 46686 bytes.<br /><br /> [ Changes to filesystem ]<br /> * Creates file C:\WINDOWS\Marry_Christmas_jpg.zip.<br /> * Creates file C:\WINDOWS\Acronis.exe.<br /><br /> [ Changes to registry ]<br /> * Creates key \"HKLM\Software\\Microsoft\\Windows\".<br /> * Sets value \"f\"=\"c:\sample.exe\" in key \"HKLM\Software\\Microsoft\\Windows\".<br /><br /> [ Spreading by infecting files ]<br /> * File infector; modifies existing executable files.<br /><br />

[Malekal_morte]

Se propage via le zip C:\Windows\Britney_Spears_jpg.zip contenant le fichier www.Britney_Spears_jpg_Msn.com

Message de propagation :

En Français:
eeeh c mes tof :p
c seulement mes tof de derniers vacances
tu dois voire les tof de notre bande
comment est-ce que je regarde sur cette photo ?
le ceci est dr
ma soeur a voulu que tu regarde ca
faut de la reproduction sonore avez-vous vu ceci ?

En Vrac:
r egentligen trevliga: P
gyckel m
ste se dig detta fotografera
du fick se detta dess galet :p
estes s
o realmente agrad
veis :P
wow voc
viu este?
como voc
gosta de me nesta foto
voc
come
ou ver este seu assim engra
ado
Bu resimler nasil sence bir bakarmisin
su komik resimlerime baksana
bak :P
Kiz kardesim bunlari sana yollamami s
yledi ;)
bu resimler space i
in nasil
Space ime bun resimleri eklesem sence nasil olur
avete ottenuto vedere questo relativo cos
divertente
come lo pensate osservi qui
sguardo di a questo
controllo di distorsione di velocit
questo fuori
el mi hermana quisiera que le enviara este
lbum de foto
vengo de fi este foto
lbum
Hey i que hace el
lbum de foto! Si vea el loL del em
El tipo, me acepta por favor su solamente
lbum de foto: (!
meine Schwester w
nscht mich Ihnen dieses Fotoalbum schicken
Geck, nehmen bitte sein nur mich Fotoalbum an: (!
he m
chten mein neues Fotoalbum sehen?
hoe vind je dit er uit zien ?
hoe vind je dit ?
echt erg kijk dan
zo hee moet je dit zien echt niet normaal
zo moet je me hier op zien
he hoe vind je me hier op
looooook :p
loooooooooooool
he looks weird on this photo
omg check this out man this is funny
you got to see this

Ajoute la ligne suivante sur HijackThis :

O4 - HKLM\..\Run: [svchost.exe] C:\WINDOWS\svchost.exe

Ajoute les fichiers suivants :

C:\Windows\Britney_Spears_jpg.zip
C:\Windows\svchost.exe
C:\Windows\system32\ftp.exe
C:\Windows\system32\tftp.exe

Scan du fichier :

Fichier Britney_Spears_jpg.zip reçu le 2007.12.20 14:08:14 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 18/32 (56.25%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.12.21.10 2007.12.20 -
AntiVir 7.6.0.46 2007.12.20 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.12.20 -
Avast 4.7.1098.0 2007.12.20 -
AVG 7.5.0.503 2007.12.19 IRC/BackDoor.SdBot3.XHO
BitDefender 7.2 2007.12.20 Backdoor.SdBot.DFBI
CAT-QuickHeal 9.00 2007.12.19 Backdoor.SdBot.gen
ClamAV 0.91.2 2007.12.20 PUA.Packed.Themida
DrWeb 4.44.0.09170 2007.12.20 -
eSafe 7.0.15.0 2007.12.19 -
eTrust-Vet 31.3.5390 2007.12.20 Win32/Petribot.AST
Ewido 4.0 2007.12.20 -
FileAdvisor 1 2007.12.20 -
Fortinet 3.14.0.0 2007.12.20 W32/SDBot.CNN!tr.bdr
F-Prot 4.4.2.54 2007.12.20 -
F-Secure 6.70.13030.0 2007.12.20 Backdoor.Win32.SdBot.cnn
Ikarus T3.1.1.15 2007.12.20 Generic.Sdbot
Kaspersky 7.0.0.125 2007.12.20 Backdoor.Win32.SdBot.cnn
McAfee 5189 2007.12.19 -
Microsoft 1.3109 2007.12.20 -
NOD32v2 2737 2007.12.20 -
Norman 5.80.02 2007.12.20 SDBot.gen9
Panda 9.0.0.4 2007.12.19 W32/Sdbot.LME.worm
Prevx1 V2 2007.12.20 Generic.Malware
Rising 20.23.32.00 2007.12.20 -
Sophos 4.24.0 2007.12.20 W32/Sdbot-DJI
Sunbelt 2.2.907.0 2007.12.20 VIPRE.Suspicious
Symantec 10 2007.12.20 -
TheHacker 6.2.9.165 2007.12.19 Backdoor/SdBot.cnn
VBA32 3.12.2.5 2007.12.19 -
VirusBuster 4.3.26:9 2007.12.19 Packed/Themida
Webwasher-Gateway 6.6.2 2007.12.20 Trojan.Crypt.XPACK.Gen
Information additionnelle
File size: 566942 bytes
MD5: bb78ad472bbc3722415dd20e08bb8d72
SHA1: be0b5336f9c220869aee7fbc1ebcaa077ab84aec
PEiD: -
packers: Themida