Trojan.Win32.Agent.dmo

[Malekal_morte]

Se propage par MSN, créé un service Print Spooler Service avec nom aléatoire.

ex : O23 - Service: Print Spooler Service (dyiioufef89) - Unknown owner - C:\WINDOWS\system32\xeng.exe

--> http://www.google.fr/search?q=%22Servic ... =firefox-a

Une Run est ajoutée avec le nom du fichier :
ex : O23 - Service: Print Spooler Service (dyiioufef89) - Unknown owner - C:\WINDOWS\system32\xeng.exe


Scan du fichier

Fichier picture-460.JPeG-hkxforce_hotmail reçu le 2007.12.20 14:24:20 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 9/32 (28.13%)


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2007.12.21.10 2007.12.20 -
AntiVir 7.6.0.46 2007.12.20 TR/Agent.dmo
Authentium 4.93.8 2007.12.20 -
Avast 4.7.1098.0 2007.12.20 -
AVG 7.5.0.503 2007.12.19 SHeur.AIAE
BitDefender 7.2 2007.12.20 -
CAT-QuickHeal 9.00 2007.12.19 -
ClamAV 0.91.2 2007.12.20 -
DrWeb 4.44.0.09170 2007.12.20 -
eSafe 7.0.15.0 2007.12.19 -
eTrust-Vet 31.3.5390 2007.12.20 -
Ewido 4.0 2007.12.20 -
FileAdvisor 1 2007.12.20 -
Fortinet 3.14.0.0 2007.12.20 W32/Agent.DMO!tr
F-Prot 4.4.2.54 2007.12.20 -
F-Secure 6.70.13030.0 2007.12.20 Trojan.Win32.Agent.dmo
Ikarus T3.1.1.15 2007.12.20 Trojan.Win32.Agent.dmo
Kaspersky 7.0.0.125 2007.12.20 Trojan.Win32.Agent.dmo
McAfee 5189 2007.12.19 -
Microsoft 1.3109 2007.12.20 -
NOD32v2 2737 2007.12.20 -
Norman 5.80.02 2007.12.20 -
Panda 9.0.0.4 2007.12.19 -
Prevx1 V2 2007.12.20 Heuristic: Suspicious File With Persistence
Rising 20.23.32.00 2007.12.20 -
Sophos 4.24.0 2007.12.20 Troj/Soleno-F
Sunbelt 2.2.907.0 2007.12.20 -
Symantec 10 2007.12.20 -
TheHacker 6.2.9.165 2007.12.19 -
VBA32 3.12.2.5 2007.12.20 -
VirusBuster 4.3.26:9 2007.12.19 -
Webwasher-Gateway 6.6.2 2007.12.20 Trojan.Agent.dmo
Information additionnelle
File size: 122880 bytes
MD5: efa97074d07523e9aa8709e1c36b42fc
SHA1: 39bba446574a4651b69d7b8b74bdbc86a9de5be7
PEiD: -

[Malekal_morte]

Nouvelle variante avec des messages de type :

here, this picure is GREAT for your desktop wallpaper : hxxp://focable.com/qr8ngtq.GIF

Voir procédure de désinfection suivante : https://www.malekal.com/virus_MSN_focale.php

Fichier qr8ngtq.GIF reçu le 2008.06.23 00:07:03 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 5/33 (15.16%)


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.6.22.0 2008.06.22 -
AntiVir 7.8.0.59 2008.06.22 TR/Dropper.Gen
Authentium 5.1.0.4 2008.06.21 -
Avast 4.8.1195.0 2008.06.22 -
AVG 7.5.0.516 2008.06.22 -
BitDefender 7.2 2008.06.22 -
CAT-QuickHeal 9.50 2008.06.20 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.06.22 -
DrWeb 4.44.0.09170 2008.06.22 -
eSafe 7.0.15.0 2008.06.22 -
eTrust-Vet 31.6.5892 2008.06.21 -
Ewido 4.0 2008.06.22 -
F-Prot 4.4.4.56 2008.06.21 -
F-Secure 7.60.13501.0 2008.06.20 -
Fortinet 3.14.0.0 2008.06.22 -
GData 2.0.7306.1023 2008.06.22 -
Ikarus T3.1.1.26.0 2008.06.22 Trojan-Dropper
Kaspersky 7.0.0.125 2008.06.22 -
McAfee 5322 2008.06.20 -
Microsoft 1.3604 2008.06.22 -
NOD32v2 3207 2008.06.22 -
Norman 5.80.02 2008.06.20 -
Panda 9.0.0.4 2008.06.22 -
Prevx1 V2 2008.06.23 Malicious Software
Rising 20.49.62.00 2008.06.22 -
Sophos 4.30.0 2008.06.22 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.22 -
TheHacker 6.2.92.358 2008.06.21 -
TrendMicro 8.700.0.1004 2008.06.20 -
VBA32 3.12.6.7 2008.06.22 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.22 Trojan.Dropper.Gen
Information additionnelle
File size: 235520 bytes
MD5...: 7bc65b6f340b4a00a6b499b20654903f
SHA1..: da9fe06d1361fa333f97064dc02cfb9ad6a87a48