TROJAN.PWDSTEALER : basesrv32.dll vs basesrv.dll

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Malekal_morte
Messages : 112131
Inscription : 10 sept. 2005 13:57

TROJAN.PWDSTEALER : basesrv32.dll vs basesrv.dll

par Malekal_morte »

Un petit tour de passe passe qui peut s'avérer embétant.


En temps normal, la DLL légitime Windows basesrv.dll se charge par la clef du registre :
HKLM\​SYSTEM\​CurrentControlSet\​Control\​Session Manager\​SubSystems

Une valeur Windows qui a pour donné :
%SystemRoot%\​system32\​csrss.exe ObjectDirectory=\​Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
Une nouvelle infection de type PWDStealer ajoute une DLL basesrv32.dll est modifie cette clef de sorte à charger cette nouvelle DLL à la place de celle légitime :
%SystemRoot%\​system32\​csrss.exe ObjectDirectory=\​Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv32,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
Si l'on supprime la DLL en question (sans remettre la valeur d'origine pour charger basesrv.dll). , on obtient alors au redémarrage un BSOD
Image

Ce dernier est documenté sur la FAQ Microsoft suivante : http://support.microsoft.com/?scid=kb%3 ... &x=20&y=15
Cause
Cette erreur peut se produire lorsqu' est l'un du suivant rempli :
• Le fichier Winsrv.dll ou le fichier Basesrv.dll sont manquants dans le dossier %SystemRoot%\System32.
Ce BSOD a lieu lorsque le fichier Baserv.dll n'est pas chargé (introuvable, endommagé etc..).
Dans notre cas, c'est celui mis par l'infection basesrv32.dll et non basesrv.dll.

ATTENTION: Il faut donc faire attention car certains antivirus peuvent supprimer ce fichier sans rétablir la valeur d'origine dans le registre conduisant à ce BSOD



Autres informations :

Scan du fichier (au 15/12/2007) :
VirSCAN.org Scanned Report :
Scanned time : 2007/12/15 17:10:59 (EST)
Scanner results: 11% Scanner(4/36) found malware!
File Name : load[1].php
File Size : 14100 byte
File Type : MS-DOS executable (EXE)
MD5 : c17247380190ee46bde9891aa8f6cb43
SHA1 : e894c96bb8b52ade16ebee2c80ecd44e9cf69257
Online report : http://virscan.org/report/cd479d78fad44 ... 336c0.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result
A-Squared 3.0.0.126 2007.12.15 2007-12-15 2.84 -
AhnLab V3 2007.12.15.00 2007.12.15 2007-12-15 0.90 -
AntiVir 7.6.0.45 7.0.1.98 2007-12-14 2.06 TR/Crypt.XPACK.Gen
Arcavir 1.0.4 200712151014 2007-12-15 1.40 -
Avast 1.0.8 071215-0 2007-12-15 3.07 -
AVG 7.5.49.442 269.17.1/1183 2007-12-13 1.94 -
BitDefender 7.60825.960263 7.16312 2007-12-16 4.57 -
CA (VET) 9.0.0.143 31.3.5377 2007-12-15 7.45 -
ClamAV 0.91.2 5140 2007-12-16 0.01 -
Comodo 2.11 2.0.0.374 2007-12-15 1.08 -
CP Secure 1.1.0.655 2007.12.15 2007-12-15 4.73 -
Dr.Web 4.44.0.9170 2007.12.15 2007-12-15 4.32 -
Ewido 4.0.0.2 2007.12.15 2007-12-15 2.17 -
F-Prot 4.4.1.52 20071214 2007-12-14 1.74 -
F-Secure 5.51.6100 2007.12.14.07 2007-12-14 2.95 -
Fortinet 2.81-3.11 8.449 2007-12-03 0.26 -
ViRobot 20071214 2007.12.14 2007-12-14 0.40 -
Ikarus T3.1.01.15 2007.12.15.69996 2007-12-15 1.55 -
JiangMin 10.00.650 2007.12.14 2007-12-14 1.33 -
Kaspersky 5.5.10 2007.12.15 2007-12-15 4.64 -
KingSoft 2007.6.20.249 2007.12.15 2007-12-15 0.65 -
McAfee 5.2.00 5186 2007-12-14 1.92 -
mks_vir 2.01 2007.12.15 2007-12-15 3.77 Win32.4
NOD32 2.70.10 2724 2007-12-14 0.07 -
Norman 5.91.08 5.90 2007-12-13 5.29 -
Panda 9.04.03.0001 2007.12.15 2007-12-15 2.84 Suspicious file
Trend Micro 8.500-1001 4.890.22 2007-12-15 0.04 -
Prevx V2 20071216 2007-12-16 2.48 -
Quick Heal 9.00 2007.12.15 2007-12-15 2.14 Suspicious - DNAScan
Rising 19.0 20.22.41.00 2007-12-14 1.36 -
Sophos 2.49.1 4.21 2007-12-15 6.26 -
Symantec 1.3.0.24 20071215.002 2007-12-15 0.38 -
nProtect 2007-12-15.00 1090777 2007-12-15 8.25 -
The Hacker 6.2.9 v00160 2007-12-14 0.90 -
VBA32 3.12.2.5 20071214.1956 2007-12-14 0.96 -
VirusBuster 4.3.19:9 9.117.2/11.0 2007-12-16 1.10 -
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 112131
Inscription : 10 sept. 2005 13:57

Re: TROJAN.PWDSTEALER : basesrv32.dll vs basesrv.dll

par Malekal_morte »

Pour plus d'informations sur l'infection, voir LEGITIMATE (basesrv.dll) vs PREDATOR (basesrv32.dll) : http://www.bluetack.co.uk/forums/index. ... opic=18091
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 112131
Inscription : 10 sept. 2005 13:57

Re: TROJAN.PWDSTEALER : basesrv32.dll vs basesrv.dll

par Malekal_morte »

Variante avec le fichier baseifd32.dll
Fichier baseifd32.dll reçu le 2008.01.13 18:03:48 (CET)
Situation actuelle: terminé
Résultat: 5/32 (15.62%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.12.10 2008.01.11 -
AntiVir 7.6.0.46 2008.01.11 HEUR/Crypted
Authentium 4.93.8 2008.01.13 -
Avast 4.7.1098.0 2008.01.12 -
AVG 7.5.0.516 2008.01.13 -
BitDefender 7.2 2008.01.13 Trojan.Agent.AGKK
CAT-QuickHeal 9.00 2008.01.12 -
ClamAV 0.91.2 2008.01.13 -
DrWeb 4.44.0.09170 2008.01.13 -
eSafe 7.0.15.0 2008.01.10 -
eTrust-Vet 31.3.5451 2008.01.11 -
Ewido 4.0 2008.01.13 -
FileAdvisor 1 2008.01.13 -
Fortinet 3.14.0.0 2008.01.13 -
F-Prot 4.4.2.54 2008.01.13 -
F-Secure 6.70.13030.0 2008.01.13 -
Ikarus T3.1.1.20 2008.01.13 -
Kaspersky 7.0.0.125 2008.01.13 -
McAfee 5205 2008.01.11 -
Microsoft 1.3109 2008.01.13 -
NOD32v2 2788 2008.01.13 -
Norman 5.80.02 2008.01.11 -
Panda 9.0.0.4 2008.01.13 Suspicious file
Prevx1 V2 2008.01.13 Trojan.DoS.Win32.Opdos
Rising 20.26.62.00 2008.01.13 -
Sophos 4.24.0 2008.01.13 -
Sunbelt 2.2.907.0 2008.01.12 -
Symantec 10 2008.01.13 -
TheHacker 6.2.9.186 2008.01.11 -
VBA32 3.12.2.5 2008.01.13 -
VirusBuster 4.3.26:9 2008.01.12 -
Webwasher-Gateway 6.6.2 2008.01.13 Heuristic.Crypted
Information additionnelle
File size: 24576 bytes
MD5: 28021f33dd24494844fb1a1428609e88
SHA1: 5bed966cf5bbabde78be2713a71f9a392ad9d7bf
Dropper :
Fichier nbi.exe reçu le 2008.01.13 18:01:41 (CET)
Situation actuelle: terminé
Résultat: 6/32 (18.75%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.12.10 2008.01.11 -
AntiVir 7.6.0.46 2008.01.11 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.01.13 -
Avast 4.7.1098.0 2008.01.12 -
AVG 7.5.0.516 2008.01.13 -
BitDefender 7.2 2008.01.13 -
CAT-QuickHeal 9.00 2008.01.12 (Suspicious) - DNAScan
ClamAV 0.91.2 2008.01.13 -
DrWeb 4.44.0.09170 2008.01.13 -
eSafe 7.0.15.0 2008.01.10 Suspicious File
eTrust-Vet 31.3.5451 2008.01.11 -
Ewido 4.0 2008.01.13 -
FileAdvisor 1 2008.01.13 -
Fortinet 3.14.0.0 2008.01.13 -
F-Prot 4.4.2.54 2008.01.13 -
F-Secure 6.70.13030.0 2008.01.13 -
Ikarus T3.1.1.20 2008.01.13 -
Kaspersky 7.0.0.125 2008.01.13 -
McAfee 5205 2008.01.11 -
Microsoft 1.3109 2008.01.13 -
NOD32v2 2788 2008.01.13 -
Norman 5.80.02 2008.01.11 -
Panda 9.0.0.4 2008.01.13 Suspicious file
Prevx1 V2 2008.01.13 Heuristic: Suspicious Self Modifying EXE
Rising 20.26.62.00 2008.01.13 -
Sophos 4.24.0 2008.01.13 -
Sunbelt 2.2.907.0 2008.01.12 -
Symantec 10 2008.01.13 -
TheHacker 6.2.9.186 2008.01.11 -
VBA32 3.12.2.5 2008.01.13 -
VirusBuster 4.3.26:9 2008.01.12 -
Webwasher-Gateway 6.6.2 2008.01.13 Trojan.Crypt.XPACK.Gen
Information additionnelle
File size: 18464 bytes
MD5: 46b40355e0a980d1294e798fcb58a033
SHA1: ce5d239c2a4eba0a7e7a64649ccee47a47d1e7fc
Edit :
Mail de Kaspersky, en retour de l'analyse du fichier nbi.exe :
Hello.
Trojan.Win32.Agent.dxe
New malicious software was found in the attached file.
It's detection will be included in the next update. Thank you for your help.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »