Rootkit Pe386 / Rustock

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Répondre
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87648
Inscription : 10 sept. 2005 13:57
Contact :

Rootkit Pe386 / Rustock

Message par Malekal_morte » 17 sept. 2006 16:00

Le Rootkit Pe386/Rustock est un rootkit qui envoie des mails de spam à l'insu de l'utilisateur.
L'infection se caractérise par la présence d'un service Pe386 rootkité, c'est à dire masqué pour l'utilisateur et les outils "classiques" de Windows. Le service ne peut donc pas être visualisé dans la console des services des outils d'administration.

Le dropper (programme qui installe l'infection) est détecté par Kaspersky sous le nom : Trojan-Dropper.Win32Small.APE ou Trojan-Clicker.Win32.Costrat.xxx
Le driver du rootkit (fichier pe386.sys) est détecté sous le nom : SpamTool.Win32.Mailbot.AZ

Ce rootkit peut être détecté (cela dépend de la variante) par les outils classiques : gmer, F-Secure BlackLight, rootkitrevaler, DarkSpy, IceSword

Dans la capture ci-dessous, on peut voir dans la partie haute que le service pe386 n'existe pas et n'est pas listé.
Dans la partie dessous, le programme IceSword permet de visualiser la clef HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386 démontrant que le service pe386 existe bien.
On en conclus donc que le service est bien masqué, qu'il est rootkité.

Image

Dans la capture ci-dessous, on peut visualiser l'ADS du service détecté par F-Secure Blacklight

Image

Une vidéo est disponible sur le site de gmer montrant les diverses détections par cette infection : http://www.gmer.net/pe386.wmv


Ce rootkit génère aussi des erreurs AUTORITE NT / SYSTEM sur le processus services.exe

" Arrêt système initié par AUTORITE NT / SYSTEM c:\windows\system32\services.exe s'est arrêté de manière innatendue avec le code d'état. 204 / 203 ou -1073741815 " mais ce n'est pas spécifique à ce rootkit puisque l'erreur peut se présenter avec le rootkit Haxdoor.

ex : http://forum.telecharger.com/telecharge ... ges-1.html


Fevrier 2007

D'autres variantes sont apparues.. depuis.
Ajoute de deux pages :
* Supprimer le rootkit Rustock
* Une description détaillée de l'infection ljpvbhqw.exe - fnhoje (Rustock rootkit), Trojan-Downloader.Win32.Agent.ind sur Bluetack
Dernière édition par Malekal_morte le 19 mai 2007 09:29, édité 2 fois.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87648
Inscription : 10 sept. 2005 13:57
Contact :

Supprimer rootkit pe386 / SpamTool.Win32.Mailbot.AZ

Message par Malekal_morte » 02 janv. 2007 04:05

Voici maintenant une procédure pour supprimer ce rootkit :
* Supprimer rootkit pe386 / SpamTool.Win32.Mailbot.AZ
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87648
Inscription : 10 sept. 2005 13:57
Contact :

Nouvelle variante avec huy32.sys

Message par Malekal_morte » 28 janv. 2007 00:48

Nouvelle variante avec huy32.sys.
La procédure de désinfection mentionnée ci-dessous prend en charge cette variante.


Image
Dernière édition par Malekal_morte le 19 mai 2007 09:30, édité 1 fois.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87648
Inscription : 10 sept. 2005 13:57
Contact :

[en] Vidéo sur le fonctionnement de rustock

Message par Malekal_morte » 18 avr. 2007 21:30

Une vidéo de Symantec qui décrit le fonctionnement de pe386. Les mécanismes mis en place pour se cacher dans le système et les fonctionnalités de SPAM.

Cette vidéo demande des connaissances techniques, d'autre part, la voix off et le texte est en anglais, il faut donc être à l'aise.

Vous pouvez télécharger la vidéo depuis l'adresse : http://www.symantec.com/content/en/us/e ... erview.wmv
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87648
Inscription : 10 sept. 2005 13:57
Contact :

Variante Rustock xpdt

Message par Malekal_morte » 17 mai 2007 14:55

Nouvelle variante Rustock

Le drivers derrière un ADS : C:\Windows\system32:xpdt.sys
Nom du service xpdt
Clef : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\xpdt

Complete scanning result of "xpdt.sys", received in VirusTotal at 05.16.2007, 22:54:52 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.16.2007 no virus found
AntiVir 7.4.0.23 05.16.2007 TR/Rootkit.Gen
Authentium 4.93.8 05.16.2007 no virus found
Avast 4.7.997.0 05.16.2007 no virus found
AVG 7.5.0.467 05.16.2007 no virus found
BitDefender 7.2 05.16.2007 no virus found
CAT-QuickHeal 9.00 05.16.2007 no virus found
ClamAV devel-20070416 05.16.2007 no virus found
DrWeb 4.33 05.16.2007 no virus found
eSafe 7.0.15.0 05.16.2007 no virus found
eTrust-Vet 30.7.3634 05.15.2007 no virus found
Ewido 4.0 05.16.2007 no virus found
FileAdvisor 1 05.17.2007 no virus found
Fortinet 2.85.0.0 05.16.2007 suspicious
F-Prot 4.3.2.48 05.16.2007 no virus found
F-Secure 6.70.13030.0 05.16.2007 Trojan-Clicker.Win32.Costrat.at
Ikarus T3.1.1.7 05.16.2007 no virus found
Kaspersky 4.0.2.24 05.16.2007 Trojan-Clicker.Win32.Costrat.at
McAfee 5032 05.16.2007 no virus found
Microsoft 1.2503 05.16.2007 no virus found
NOD32v2 2271 05.16.2007 no virus found
Norman 5.80.02 05.16.2007 no virus found
Panda 9.0.0.4 05.16.2007 no virus found
Prevx1 V2 05.17.2007 no virus found
Sophos 4.17.0 05.16.2007 no virus found
Sunbelt 2.2.907.0 05.12.2007 no virus found
Symantec 10 05.16.2007 Backdoor.Rustock.B
TheHacker 6.1.6.115 05.15.2007 no virus found
VBA32 3.12.0 05.16.2007 no virus found
VirusBuster 4.3.7:9 05.16.2007 no virus found
Webwasher-Gateway 6.0.1 05.16.2007 Trojan.Rootkit.Gen

Aditional Information
File size: 78560 bytes
MD5: b3e928ac94a9044fc41be27e7a7c0295
SHA1: a4ede043b9e9350320bbe0fe4e781259a0d693c0
Complete scanning result of "aknfbede.exe", received in VirusTotal at 05.17.2007, 11:01:33 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.16.1 05.17.2007 no virus found
AntiVir 7.4.0.23 05.17.2007 TR/Click.Costrat.AT
Authentium 4.93.8 05.16.2007 no virus found
Avast 4.7.997.0 05.16.2007 no virus found
AVG 7.5.0.467 05.16.2007 no virus found
BitDefender 7.2 05.17.2007 no virus found
CAT-QuickHeal 9.00 05.16.2007 (Suspicious) - DNAScan
ClamAV devel-20070416 05.16.2007 no virus found
DrWeb 4.33 05.17.2007 no virus found
eSafe 7.0.15.0 05.16.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3639 05.17.2007 no virus found
Ewido 4.0 05.16.2007 no virus found
FileAdvisor 1 05.17.2007 no virus found
Fortinet 2.85.0.0 05.17.2007 Adware/Costrat
F-Prot 4.3.2.48 05.16.2007 no virus found
F-Secure 6.70.13030.0 05.17.2007 Trojan-Clicker.Win32.Costrat.at
Ikarus T3.1.1.7 05.17.2007 Trojan-Clicker.Win32.Costrat.at
Kaspersky 4.0.2.24 05.17.2007 Trojan-Clicker.Win32.Costrat.at
McAfee 5032 05.16.2007 no virus found
Microsoft 1.2503 05.17.2007 no virus found
NOD32v2 2272 05.17.2007 no virus found
Norman 5.80.02 05.17.2007 no virus found
Panda 9.0.0.4 05.17.2007 Suspicious file
Prevx1 V2 05.17.2007 no virus found
Sophos 4.17.0 05.16.2007 no virus found
Sunbelt 2.2.907.0 05.17.2007 no virus found
Symantec 10 05.17.2007 no virus found
TheHacker 6.1.6.115 05.15.2007 no virus found
VBA32 3.12.0 05.16.2007 no virus found
VirusBuster 4.3.7:9 05.16.2007 no virus found
Webwasher-Gateway 6.0.1 05.17.2007 Trojan.Click.Costrat.AT

Aditional Information
File size: 82944 bytes
MD5: 99372f278975c6a4096105a61044d941
SHA1: a450bcc221f8eec8d97c6435bd2e5512d7f65126
Image


Attention, des fichiers ressemblants sont eux des infections Haxdoor/Goldun Voir Voir le sujet sur Haxdoor

Variante d'Haxdoor
<Windows system folder>\xptpmm.sys
<Windows system folder>\xptptt.dll

ou :
xptp16
O20 - Winlogon Notify: xptp16 - C:\WINDOWS\SYSTEM32\xptp16.dll
XPPTP winsock version 2: \??\C:\WINDOWS\System32\xptp24.sys (autostart)
XPPTP winsock: \??\C:\WINDOWS\System32\xptp24.sys (system)


Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87648
Inscription : 10 sept. 2005 13:57
Contact :

Variante xpdx.sys

Message par Malekal_morte » 05 juin 2007 07:31

Une autre variante de rustock c:\windows\system32\xpdx.sys sans ADS.
Le driver se charge par le service : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\xpdx

Quelques scans :
GMER 1.0.12.12317 - http://www.gmer.net
Rootkit scan 2007-06-01 09:14:32
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.12 ----

SSDT \SystemRoot\System32\DRIVERS\xpdx.sys ZwCreateKey
SSDT \SystemRoot\System32\DRIVERS\xpdx.sys ZwOpenKey
SSDT \SystemRoot\System32\DRIVERS\xpdx.sys ZwTerminateProcess

---- Kernel code sections - GMER 1.0.12 ----

? D:\WINDOWS\System32\DRIVERS\xpdx.sys The system cannot find the file specified.

---- Devices - GMER 1.0.12 ----

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE [B9682006] xpdx.sys


---- EOF - GMER 1.0.12 ----

Voia le scan au 30/05 :
Complete scanning result of "xpdx.sys", received in VirusTotal at 05.30.2007, 23:50:56 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.5.30.0 05.30.2007 no virus found
AntiVir 7.4.0.29 05.30.2007 no virus found
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 05.30.2007 no virus found
AVG 7.5.0.467 05.30.2007 BackDoor.Generic6.AAMQ
BitDefender 7.2 05.30.2007 no virus found
CAT-QuickHeal 9.00 05.30.2007 no virus found
ClamAV devel-20070416 05.30.2007 no virus found
DrWeb 4.33 05.30.2007 no virus found
eSafe 7.0.15.0 05.30.2007 no virus found
eTrust-Vet 30.7.3678 05.30.2007 no virus found
Ewido 4.0 05.29.2007 no virus found
FileAdvisor 1 05.30.2007 no virus found
Fortinet 2.85.0.0 05.30.2007 suspicious
F-Prot 4.3.2.48 05.30.2007 no virus found
F-Secure 6.70.13030.0 05.30.2007 no virus found
Ikarus T3.1.1.8 05.30.2007 no virus found
Kaspersky 4.0.2.24 05.30.2007 no virus found
McAfee 5042 05.30.2007 no virus found
Microsoft 1.2503 05.30.2007 no virus found
NOD32v2 2299 05.30.2007 Win32/Rustock.NBT
Norman 5.80.02 05.30.2007 no virus found
Panda 9.0.0.4 05.30.2007 no virus found
Prevx1 V2 05.31.2007 no virus found
Sophos 4.18.0 05.28.2007 no virus found
Sunbelt 2.2.907.0 05.30.2007 no virus found
Symantec 10 05.30.2007 no virus found
TheHacker 6.1.6.126 05.30.2007 no virus found
VBA32 3.12.0 05.30.2007 no virus found
VirusBuster 4.3.23:9 05.30.2007 no virus found
Webwasher-Gateway 6.0.1 05.30.2007 Win32.Malware.gen!82 (suspicious)

Aditional Information
File size: 61088 bytes
MD5: ca844fb5787d28fb2684b79f0fd94172
SHA1: dae8a582065a58f6662fa4673909a92e7e9ecb42
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87648
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rootkit Pe386 / Rustock

Message par Malekal_morte » 22 janv. 2008 18:37

Rustock revient avec de nouvelles variantes : viewtopic.php?p=57008#p57008
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87648
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rootkit Pe386 / Rustock

Message par Malekal_morte » 03 févr. 2008 12:00

Deux pages sur le rootkit Rustock :
* Supprimer le rootkit Rustock
* Une description détaillée de l'infection ljpvbhqw.exe - fnhoje (Rustock rootkit), Trojan-Downloader.Win32.Agent.ind sur Bluetack
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87648
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rootkit Pe386 / Rustock

Message par Malekal_morte » 30 oct. 2008 15:05

MS dit avoir nettoyé 100k machines infectées par Rustock via le MSRT, voir : http://blogs.technet.com/mmpc/archive/2 ... -seek.aspx
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87648
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rootkit Pe386 / Rustock

Message par Malekal_morte » 26 nov. 2008 10:04

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87648
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rootkit Pe386 / Rustock

Message par Malekal_morte » 26 oct. 2009 12:59

Exemple de d'infection Rustock avec un driver aléatoire (mélange de lettres et chiffres) :

catchme :
scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bb8bc2e6]
"ImagePath"="\SystemRoot\System32\drivers\bb8bc2e6.sys"
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\bb8bc2e6]
"ImagePath"="\SystemRoot\System32\drivers\bb8bc2e6.sys"
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
et un rapport GMER :
GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-10-26 02:58:01
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\drivers\bb8bc2e6.sys ZwCreateEvent [0xF860E695] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\drivers\bb8bc2e6.sys ZwCreateKey [0xF860C685] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\drivers\bb8bc2e6.sys ZwOpenKey [0xF860C745] <-- ROOTKIT !!!

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 23B8 805010BC 2 Bytes [95, E6]
? C:\WINDOWS\System32\drivers\bb8bc2e6.sys The system cannot find the file specified.


---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs bb8bc2e6.sys
Device \Driver\Tcpip \Device\Ip bb8bc2e6.sys
Device \Driver\Tcpip \Device\Tcp bb8bc2e6.sys
Device \Driver\Tcpip \Device\Udp bb8bc2e6.sys
Device \Driver\Tcpip \Device\RawIp bb8bc2e6.sys
Device \Driver\Tcpip \Device\IPMULTICAST bb8bc2e6.sys

---- Modules - GMER 1.0.15 ----

Module (noname) (*** hidden *** ) 00400000-00702000 (3153920 bytes)

---- Processes - GMER 1.0.15 ----

Process C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\init.exe (*** hidden *** ) 1328

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\System32\drivers\bb8bc2e6.sys (*** hidden *** ) [SYSTEM] bb8bc2e6 <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\bb8bc2e6@ImagePath \SystemRoot\System32\drivers\bb8bc2e6.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\bb8bc2e6@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\bb8bc2e6@Start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\bb8bc2e6@ErrorControl 1
Reg HKLM\SYSTEM\ControlSet002\Services\bb8bc2e6@ImagePath \SystemRoot\System32\drivers\bb8bc2e6.sys
Reg HKLM\SYSTEM\ControlSet002\Services\bb8bc2e6@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\bb8bc2e6@Start 1
Reg HKLM\SYSTEM\ControlSet002\Services\bb8bc2e6@ErrorControl 1

---- Files - GMER 1.0.15 ----


---- EOF - GMER 1.0.15 ----


Le scan VirusTotal du driver :
File Dc1.sys received on 2009.10.24 20:17:55 (UTC)
Current status: finished

Result: 31/39 (79.49%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.10.24 Backdoor.WinNT.Rustock!IK
AhnLab-V3 5.0.0.2 2009.10.23 -
AntiVir 7.9.1.44 2009.10.23 BDS/NewRest.IF
Antiy-AVL 2.0.3.7 2009.10.23 Backdoor/Win32.NewRest.gen
Authentium 5.1.2.4 2009.10.24 W32/Backdoor2.FPOZ
Avast 4.8.1351.0 2009.10.24 Win32:RustNT
AVG 8.5.0.423 2009.10.24 Win32/Rustock.M
BitDefender 7.2 2009.10.24 Trojan.Generic.2420156
CAT-QuickHeal 10.00 2009.10.24 Backdoor.NewRest.if
ClamAV 0.94.1 2009.10.24 -
Comodo 2717 2009.10.24 Backdoor.Win32.NewRest.~D
DrWeb 5.0.0.12182 2009.10.24 Trojan.Spambot.4616
eSafe 7.0.17.0 2009.10.22 -
eTrust-Vet 35.1.7082 2009.10.23 Win32/Rustock.IK
F-Prot 4.5.1.85 2009.10.24 W32/Backdoor2.FPOZ
F-Secure 9.0.15370.0 2009.10.22 Trojan.Generic.2420156
Fortinet 3.120.0.0 2009.10.24 W32/NewRest.IF!tr.bdr
GData 19 2009.10.24 Trojan.Generic.2420156
Ikarus T3.1.1.72.0 2009.10.24 Backdoor.WinNT.Rustock
Jiangmin 11.0.800 2009.10.24 Backdoor/NewRest.aea
K7AntiVirus 7.10.879 2009.10.24 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.10.24 Backdoor.Win32.NewRest.if
McAfee 5781 2009.10.24 Generic BackDoor!bad
McAfee+Artemis 5781 2009.10.24 Generic BackDoor!bad
McAfee-GW-Edition 6.8.5 2009.10.24 Heuristic.LooksLike.Trojan.PCK.Tdss.B
Microsoft 1.5202 2009.10.24 Backdoor:WinNT/Rustock.AN
NOD32 4539 2009.10.24 Win32/Rustock
Norman 6.03.02 2009.10.23 Rustock.AAM
nProtect 2009.1.8.0 2009.10.24 -
PCTools 4.4.2.0 2009.10.19 -
Rising 21.52.52.00 2009.10.24 RootKit.Win32.Mnless.bdy
Sophos 4.46.0 2009.10.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.10.24 -
Symantec 1.4.4.12 2009.10.24 Trojan.Pandex
TheHacker 6.5.0.2.053 2009.10.24 Backdoor/NewRest.if
TrendMicro 8.950.0.1094 2009.10.24 BKDR_RUSTOCK.SMB
VBA32 3.12.10.11 2009.10.23 Backdoor.Win32.NewRest.if
ViRobot 2009.10.23.2003 2009.10.23 -
VirusBuster 4.6.5.0 2009.10.24 -
Additional information
File size: 83456 bytes
MD5 : 5d8ecd457babd3d6353eccf63b738a25
SHA1 : 85938dc7e6e10c0c41ae5aad2b00b30804001490
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87648
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rootkit Pe386 / Rustock

Message par Malekal_morte » 08 nov. 2009 18:22

Code : Tout sélectionner

1257703838.052   1624 192.168.1.120 TCP_MISS/200 46146 GET http://eshera.cn/img1/load.php?id=0 - DIRECT/202.39.17.61 application/octet-stream
File load_7_.exe received on 2009.11.08 16:03:21 (UTC)
Current status: finished
Result: 7/40 (17.50%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.08 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.06 -
Antiy-AVL 2.0.3.7 2009.11.05 -
Authentium 5.2.0.5 2009.11.08 -
Avast 4.8.1351.0 2009.11.08 -
AVG 8.5.0.423 2009.11.08 Packed.Revolt
BitDefender 7.2 2009.11.08 -
CAT-QuickHeal 10.00 2009.11.07 Win32.TrojanDownloader.Small.FC.4
ClamAV 0.94.1 2009.11.08 -
Comodo 2884 2009.11.08 -
DrWeb 5.0.0.12182 2009.11.08 -
eTrust-Vet 35.1.7108 2009.11.06 -
F-Prot 4.5.1.85 2009.11.07 -
F-Secure 9.0.15370.0 2009.11.04 -
Fortinet 3.120.0.0 2009.11.08 -
GData 19 2009.11.08 -
Ikarus T3.1.1.74.0 2009.11.08 -
Jiangmin 11.0.800 2009.11.08 -
K7AntiVirus 7.10.891 2009.11.07 -
Kaspersky 7.0.0.125 2009.11.08 -
McAfee 5796 2009.11.08 -
McAfee+Artemis 5796 2009.11.08 Artemis!922EFE1B2316
McAfee-GW-Edition 6.8.5 2009.11.08 -
Microsoft 1.5202 2009.11.08 -
NOD32 4584 2009.11.08 a variant of Win32/Kryptik.AOL
Norman 6.03.02 2009.11.06 -
nProtect 2009.1.8.0 2009.11.08 -
Panda 10.0.2.2 2009.11.08 -
PCTools 7.0.3.5 2009.11.06 -
Prevx 3.0 2009.11.08 Medium Risk Malware
Rising 21.54.62.00 2009.11.08 -
Sophos 4.47.0 2009.11.08 -
Sunbelt 3.2.1858.2 2009.11.08 -
Symantec 1.4.4.12 2009.11.08 Packed.Generic.265
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.08 -
VBA32 3.12.10.11 2009.11.07 -
ViRobot 2009.11.6.2025 2009.11.06 -
VirusBuster 4.6.5.0 2009.11.07 Trojan.Fraudload.Gen!Pac.5
Additional information
File size: 58368 bytes
MD5 : 922efe1b23163441ddfa39d4591309a6
SHA1 : ad3862fddc27837e53a117fafd8e40985a98dcb7
~~

Le driver a un nom aléatoire sans chiffre et est bien détecté, mais combien d'antivirus vont passer à côté du fait que Rustock utilise des technologies de rootkit ?
File driver.sys received on 2009.11.08 16:14:45 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 19/40 (47.5%)
Loading server information...


Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.08 Backdoor.WinNT.Rustock!IK
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.06 TR/Rootkit.Gen
Antiy-AVL 2.0.3.7 2009.11.05 -
Authentium 5.2.0.5 2009.11.08 -
Avast 4.8.1351.0 2009.11.08 Win32:Rootkit-gen
AVG 8.5.0.423 2009.11.08 DDoS.K
BitDefender 7.2 2009.11.08 Gen:Rootkit.Heur.bi4@rSFPZYf
CAT-QuickHeal 10.00 2009.11.07 -
ClamAV 0.94.1 2009.11.08 -
Comodo 2885 2009.11.08 UnclassifiedMalware
DrWeb 5.0.0.12182 2009.11.08 -
eTrust-Vet 35.1.7108 2009.11.06 -
F-Prot 4.5.1.85 2009.11.08 -
F-Secure 9.0.15370.0 2009.11.04 Gen:Rootkit.Heur.bi4@rSFPZYf
Fortinet 3.120.0.0 2009.11.08 -
GData 19 2009.11.08 Gen:Rootkit.Heur.bi4@rSFPZYf
Ikarus T3.1.1.74.0 2009.11.08 Backdoor.WinNT.Rustock
Jiangmin 11.0.800 2009.11.08 -
K7AntiVirus 7.10.891 2009.11.07 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.11.08 -
McAfee 5796 2009.11.08 -
McAfee+Artemis 5796 2009.11.08 Artemis!BD5B0BA56657
McAfee-GW-Edition 6.8.5 2009.11.08 Trojan.Rootkit.Gen
Microsoft 1.5202 2009.11.08 Backdoor:WinNT/Rustock.H
NOD32 4584 2009.11.08 -
Norman 6.03.02 2009.11.06 W32/Rootkit.BAYJ
nProtect 2009.1.8.0 2009.11.08 -
Panda 10.0.2.2 2009.11.08 Generic Malware
PCTools 7.0.3.5 2009.11.06 Hacktool.Rootkit
Prevx 3.0 2009.11.08 Medium Risk Malware
Rising 21.54.62.00 2009.11.08 -
Sophos 4.47.0 2009.11.08 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.11.08 -
Symantec 1.4.4.12 2009.11.08 Hacktool.Rootkit
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.08 -
VBA32 3.12.10.11 2009.11.07 -
ViRobot 2009.11.6.2025 2009.11.06 -
VirusBuster 4.6.5.0 2009.11.07 -
Additional information
File size: 30720 bytes
MD5...: bd5b0ba56657bfcecf662fcdfbca548c
SHA1..: a5cf18f18982639e9c038acf6bb33ba42cb9a8a7
Pièces jointes
gmer_Rustock.txt
Rapport GMER avec Rustock
(183.56 Kio) Téléchargé 154 fois
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité