Analyse VirusTotal

hervax · le 03 Juin 2010 18:19

Salut à tous,

Cette fois, je n'ai besoin que d'un avis concernant un fichier que j'ai fait analyser en ligne par VirusTotal. Je vous copie ci-dessous le résultat, et j'aimerais savoir ce que vous en pensez...

Bien sincèrement,
RV.

Code: Tout sélectionner: a-squared 5.0.0.26 2010.05.31 - AhnLab-V3 2010.05.30.00 2010.05.29 - AntiVir 8.2.1.242 2010.05.31 Worm/AInfBot.BK.1 Antiy-AVL 2.0.3.7 2010.05.31 - Authentium 5.2.0.5 2010.05.31 - Avast 4.8.1351.0 2010.05.31 Win32:Trojan-gen Avast5 5.0.332.0 2010.05.31 Win32:Trojan-gen AVG 9.0.0.787 2010.05.31 - BitDefender 7.2 2010.05.31 - CAT-QuickHeal 10.00 2010.05.31 - ClamAV 0.96.0.3-git 2010.05.31 - Comodo 4965 2010.05.31 - DrWeb 5.0.2.03300 2010.05.31 Trojan.PWS.Dybalom eSafe 7.0.17.0 2010.05.30 - eTrust-Vet 35.2.7522 2010.05.31 - F-Prot 4.6.0.103 2010.05.31 - F-Secure 9.0.15370.0 2010.05.31 - Fortinet 4.1.133.0 2010.05.30 - GData 21 2010.05.31 Win32:Trojan-gen Ikarus T3.1.1.84.0 2010.05.31 - Jiangmin 13.0.900 2010.05.30 - Kaspersky 7.0.0.125 2010.05.31 Worm.Win32.AInfBot.bk McAfee 5.400.0.1158 2010.05.31 - McAfee-GW-Edition 2010.1 2010.05.31 Artemis!91B305B9CAC5 Microsoft 1.5802 2010.05.31 - NOD32 5158 2010.05.31 a variant of Win32/Injector.BVU Norman 6.04.12 2010.05.31 - nProtect 2010-05-31.01 2010.05.31 - Panda 10.0.2.7 2010.05.30 Suspicious file PCTools 7.0.3.5 2010.05.31 - Prevx 3.0 2010.05.31 - Rising 22.50.00.04 2010.05.31 - Sophos 4.53.0 2010.05.31 Mal/Generic-L Sunbelt 6382 2010.05.31 - Symantec 20101.1.0.89 2010.05.31 - TheHacker 6.5.2.0.290 2010.05.31 - TrendMicro 9.120.0.1004 2010.05.31 - TrendMicro-HouseCall 9.120.0.1004 2010.05.31 - VBA32 3.12.12.5 2010.05.31 - ViRobot 2010.5.31.2331 2010.05.31 - VirusBuster 5.0.27.0 2010.05.31 - Information additionnelle File size: 1462272 bytes MD5 : 91b305b9cac5271a25b1756829487e6d SHA1 : b3dffc65efa200bcf947242d86bb368b87145c8a SHA256: 24df72b3e5fc9d6f6dd3d183fce829600e544c4e70ff37fd79de70a11754dfbf PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x17D8 timedatestamp.....: 0x4BFF8587 (Fri May 28 10:57:43 2010) machinetype.......: 0x14C (Intel I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0xE3DC 0xF000 5.38 4442dd8a0469de17d33ab86bb2af80c5 .data 0x10000 0x964 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110 .rsrc 0x11000 0x1537F8 0x154000 7.91 44ad86ef68070efd2f35267a67e24774 ( 1 imports ) > msvbvm60.dll: __vbaVarSub, __vbaStrI2, _CIcos, _adj_fptan, __vbaVarMove, __vbaFreeVar, __vbaAryMove, __vbaLenBstr, __vbaStrVarMove, __vbaFreeVarList, _adj_fdiv_m64, -, _adj_fprem1, __vbaRecAnsiToUni, -, __vbaStrCat, __vbaLsetFixstr, __vbaSetSystemError, __vbaRecDestruct, __vbaHresultCheckObj, _adj_fdiv_m32, -, __vbaAryVar, __vbaAryDestruct, -, -, __vbaOnError, -, _adj_fdiv_m16i, _adj_fdivr_m16i, -, -, _CIsin, -, __vbaErase, __vbaVarCmpGt, __vbaVarZero, -, __vbaChkstk, __vbaFileClose, __vbaGenerateBoundsError, __vbaStrCmp, __vbaPutOwner3, __vbaVarTstEq, __vbaAryConstruct2, __vbaI2I4, DllFunctionCall, __vbaRedimPreserve, _adj_fpatan, __vbaFixstrConstruct, __vbaRedim, __vbaUI1ErrVar, __vbaRecUniToAnsi, __vbaUI1I2, _CIsqrt, __vbaExceptHandler, _adj_fprem, _adj_fdivr_m64, -, __vbaFPException, __vbaInStrVar, -, __vbaGetOwner3, __vbaUbound, __vbaStrVarVal, __vbaVarCat, -, -, _CIlog, __vbaErrorOverflow, __vbaFileOpen, __vbaR8Str, -, __vbaNew2, __vbaInStr, __vbaVar2Vec, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, __vbaI4Str, -, __vbaFreeStrList, __vbaDerefAry1, _adj_fdivr_m32, _adj_fdiv_r, -, -, __vbaI4Var, __vbaVarCmpEq, __vbaAryLock, __vbaStrToAnsi, __vbaVarDup, __vbaAryVarVarg, __vbaFpI4, __vbaRecDestructAnsi, -, _CIatan, __vbaStrMove, __vbaAryCopy, -, __vbaStrVarCopy, _allmul, _CItan, __vbaAryUnlock, __vbaFPInt, _CIexp, __vbaFreeObj, __vbaFreeStr ( 0 exports ) TrID : File type identification Win32 Executable Generic (68.0%) Generic Win/DOS Executable (15.9%) DOS Executable Generic (15.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) Symantec reputation: Suspicious.Insight http://www.symantec.com/security_response/writeup.jsp?docid=2010-021223-0550-99 ssdeep: 24576:Gbk6gx8EvFtnveKn1BX/OT2WlABXNwWdepzKurH/k5xyMi0BYawnei:P8Ev6K1BXz6AEHpmu7WxPDBYaw sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned PEiD : - RDS : NSRL Reference Data Set -

jeanmimigab · le 03 Juin 2010 19:04

hello,

Tu as le nom exact et l'emplacement de ce fichier stp...? :wink:

jeanmimigab · le 03 Juin 2010 19:06

re,

il ne se trouve pas dans %temp% par hasard

EDIT
Le mD5 conduit ici...http://www.threatexpert.com/report.aspx ... 6829487e6d

hervax · le 03 Juin 2010 20:03

Salut, et merci pour ce lien!

Pas pensé à tester à partir du MD5. Le fichier d'origine, que j'avais reçu par mail, devait être un soi-disant keygen pour un produit Krosoft...

A+, RV.

PS: j'ai re-tenté une analyse par VirusTotal, il me trouve maintenant 25 positifs sur 41 au lieu de 10 il y a seulement 3 jours...

jeanmimigab · le 03 Juin 2010 20:10

c'est un dropper, est ce que tu peux le zipper et me l'envoyer par mail (je te le file en MP)>> tu mets le mot de passe infected quand tu le compresses, sinon ton Antivirus ou celui de ma boite Hotmail va couiner et bloquer l'envoie

merci d'avance :wink:

hervax · le 03 Juin 2010 21:19

C'est parti. Peux-tu juste me dire ce que tu entends par "c'est un dropper" ?

jeanmimigab · le 04 Juin 2010 05:50

re,

c'est à dire que ce fichier n'est pas infectieux à proprement dit, mais il a des propriété de BotIRC qui fait qu'il se connectera à un serveur distant afin de télécharger 9/10 fois des roques destinés à générer de fausse alertes virales afin de te faire acheter une version payante, bref une grosse arnaque
un rogue c'est ça...
viewtopic-47974-0-asc-135.html#p383495

en général, quand tu l'exécutes, il disparait de son emplacement d'origine et va se loger dans les fichiers temps ou dans le menu démarrer, ainsi il s'exécuter à chaque démarrage, certain modifie même la séquence de démarrage de windows

merci pour le fichier, je le test et te tient au parfum pour te dire de quoi il en résulte exactement :wink:

bonne journée

hervax · le 04 Juin 2010 06:07

Ok! Merci pour l'explication.
J'ai donc bien fait de m'abstenir pour le moment. J'avais déjà demandé de l'aide à bernard53 il y a 3 mois pour débarrasser l'ordi d'un collègue de Dr.Guard (sur ce lien: infection-dr-guard-et-vt-49962.html).
A+, RV.

jeanmimigab · le 04 Juin 2010 20:06

hello,

ben heureusement que tu ne l'as pas installer,

il m'a planter mon pc en 15 minutes, et deux heure de boulot pour arriver à redémarre le pc :roll:

le dropper se connecte et rapatrie un fichier qui patch le driver tcpip et un rootkit

le script exécuter sous OTLPE ppour pouvoir redémarrer le pc

:Files
C:\WINDOWS\System32\explorer.exe <<< UN EXPLORER.EXE DANS SYSTEM32 LOL
C:\WINDOWS\system32\sshnas21.dll
C:\WINDOWS\system32\drivers\kpjly.sys <<<< LE ROOTKIT
C:\WINDOWS\System32\net.net
C:\WINDOWS\raidhost.exe ()
D:\Documents and Settings\papa\Local Settings\Application Data\kqwaknekq\cgnejlptssd.exe
c:\Apps\HDReg\HDRegApp.exe
C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
C:\WINDOWS\System32\gmsykbkmfo.dll
C:\WINDOWS\System32\mmscslbd.dll
C:\WINDOWS\System32\juaswxmu.dll
C:\WINDOWS\System32\rplzdgqr.exe
B:\Documents and Settings\Default User\Desktop\Internet Explorer.lnk
C:\WINDOWS\system32\drivers\tcpip.sys | C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\tcpip.sys /replace <<< LA RESTAURATION DE MON DRIVER PATCHE

:OTL
SRV - (SSHNAS) -- C:\WINDOWS\system32\sshnas21.dll ()
DRV - (kpjly) -- C:\WINDOWS\system32\drivers\kpjly.sys ()
O4 - HKLM\..\Run: [net] C:\WINDOWS\System32\net.net (Privat)
O4 - HKLM\..\Run: [raidhost.exe] C:\WINDOWS\raidhost.exe () <<< LE DROPPER qui est dans ton keygen
O4 - HKU\papa_ON_E\..\Run: [fqchseyy] D:\Documents and Settings\papa\Local Settings\Application Data\kqwaknekq\cgnejlptssd.exe File not found
O4 - HKLM\..\RunOnce: [HDReg] c:\Apps\HDReg\HDRegApp.exe (Altwood Systems Ltd)
O7 - HKU\papa_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\papa_ON_E\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EditLevel = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLogOff = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFileMenu = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCommonGroups = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoUserNameInStartMenu = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: StartMenuLogoff = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispBackgroundPage = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispScrSavPage = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoColorChoice = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoSizeChoice = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoVisualStyleChoice = 0
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: SetVisualStyle = %SystemRoot%\Resources\Themes\Luna.theme ()
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\System32\explorer.exe [2010/05/31 04:18:02 | 000,000,000 | -H-D | M]
ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player

Le fichier téléchargé par le dropper qui a installé l'infection n'est pas dans le script, je l'ai viré manuellement

Le rogue qui a été installé est un faux "AntiVir"
il a mis un foutoir dans mon pc test :roll:

Bref, que du bonheur :lol:

hervax · le 04 Juin 2010 22:04

Bien content d'avoir pu te rendre service :lol:

jeanmimigab · le 05 Juin 2010 06:32

hello,

Bien content d'avoir pu te rendre service

Tu crois pas si bien dire, c'est dernier temps les roques plantent le pc en pagaille et pouvoir l'étudier nous facilitera le dépannage des pc qui sont plantés ou ne démarre qu'en mode sans échec.

Encore merci pour le fichier :wink:

bonWE

NEO HYUGA · le 05 Juin 2010 11:19

jeanmimigab a écrit:
en général, quand tu l'exécutes, il disparait de son emplacement d'origine et va se loger dans les fichiers temps ou dans le menu démarrer, ainsi il s'exécuter à chaque démarrage, certain modifie même la séquence de démarrage de windows

jean mi, tu sais pas des fois si ca change aussi l ordre de boot des gadgets de vista ?

jeanmimigab · le 06 Juin 2010 10:10

hello Neo Hyuga,

pas à ma connaissant....

Quand je parle de modifier la "séquence de démarrage de windows", je parle d'une modification de la clef "winlogon".
La donnée de la valeur 'userinit" et modifiée comme cela par exemple:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"UserInit"="C:\WINDOWS\system32\vilain.exe"
La vrais donnée de cette valeur est "C:\WINDOWS\system32\userinit.exe," et non "C:\WINDOWS\system32\vilain.exe,"
Dans ce cas la au lieu d'appeler le fichier "userinit.exe", c'est vilain.exe qui est appelé (il contrôle totalement le démarrage de la cession)
Ici le gros souci c'est que si ton anti-virus vire le fichier "vilain.exe" ton pc ne démarre plus (même en MSE)

========================================================================================================

Mais aussi du shell spawning.....ici ce n'est pas le vrais "explorer.exe" qui est appelé (le vrais est dans %windir%)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\WINDOWS\System32\explorer.exe"

La vrais donnée de cette valeur est "Explorer.exe" et non""C:\WINDOWS\System32\explorer.exe"
Idem que pour le cas précédent, Ici le gros souci c'est que si ton anti-virus vire le fichier "C:\WINDOWS\System32\explorer.exe" tu te retrouve (normalement, car je n'ai jamais testé) avec une page noir à la place du bureau, ce qui peux laisser croire que le pc est planté.

Après je passe les problèmes le problème plus compliqués de modification de la MBR et du Kernel...quand certains rootkits sont là...

Mais pour les gadgets de Vista, je n'ai jamais vue de souci lié à une infection.
La seule chose qui pourrait éventuellement jouer sur l'ordre de chargement de ces gadget, c'est leur rapidité à s'ouvrir à mon avis ( aussi si il se connecte au web, météo, bourse etc)

@++

NEO HYUGA · le 06 Juin 2010 12:23

ok merci jeanmi

Analyse VirusTotal

Analyse VirusTotal

Re: Analyse VirusTotal

Re: Analyse VirusTotal

Re: Analyse VirusTotal

Re: Analyse VirusTotal

Re: Analyse VirusTotal

Re: Analyse VirusTotal

Re: Analyse VirusTotal

Re: Analyse VirusTotal

Re: Analyse VirusTotal

Re: Analyse VirusTotal

Re: Analyse VirusTotal

Re: Analyse VirusTotal

Re: Analyse VirusTotal

Sujets similaires

Qui est en ligne