Annexe (suite) - Sécurité - Page 4

Quelques exemples de virus ou d'avatars dans des messages électroniques ou dans des pages sur la Toile

et quelques alertes de sécurité : 15 janvier 2008 -> TODAY

Antivirus "En Ligne" : http://www.inoculer.com/webantivirus.php3

Août 2008 : messages dangereux ... continued

Piège "Microsoft Patch"

Received: from 72.249.38.88 (HELO mx.tx.primate.net) : Colo4Dallas LP, USA

Le lien "Last wersion of microsoft patche. Download now!" est http:// gak.lef.sch.gr/plib/plib.php

[Greek High-School Internet Network]

Mais il redirige vers : 79.135.167.49/name.avi.exe

Hébergeur du fichier exécutable : 79.135.167.49 = ISTANBUL TELEKOM - Turquie
 

Virus en cours d'identification ... pas evident car le fichier et une archive autodécompressible ...

[name.avi.exe pèse 129 Kb mais ClamWin affiche 2.83 Mb de "data scanned" sur ce fichier] ***

Piège "admin @ microsoft / Internet Explorer Patch"

Received: from ogogo1 ([77.122.226.85]) : Volia Subnet - Ukraine

Download the latest version! -> http:// neonbible.de/imagenes/update.exe : HanseNet Telekommunikation GmbH, Allemagne

Win32/TrojanDownloader.FakeAlert.FO trojan

*** Suivi 2008H14 : virus identifié par NAV

Scan type: Auto-Protect Scan - Event: Security Risk Found! - Risk: Trojan.Fakeavalert
File: name.avi.exe - Action taken: Clean failed : Quarantine failed : Access denied - Date found: jeudi 14 août 2008 17:02:40

Août 2008 : une vague de messages dangereux

Sur le même compte, 18 email's en quatre jour avec deux types de pièges :

- référencement d'une page qui télécharge un virus ou

- pièce jointe contenant un virus

(Angelina_Jolie.rar -> Angelina_Jolie.exe [renamed before Clamwin Scan : __VIRUS___Angelina_Jolie.exe])

NOD32 9/08/2008 8:17:40 AMON file __VIRUS___Angelina_Jolie.exe Win32/TrojanDownloader.FakeAlert.FO trojan

Symantec Scan type: Auto-Protect Scan - Event: Security Risk Found! - Risk: Downloader - File: __VIRUS___Angelina_Jolie.exe

8-11 Août 2008 : des spam's référencent des sites piègés sous le couvert de CNN

OK -> 8/08/2008 15:11:41 IMON file http://inquilinos.com.br/adobe_flash.exe probably a variant of Win32/Nuwar worm
idem sur www. queenparigi.com/cnnplus.html & sur http:// web62.login-7.loginserver.ch/cnnplus.html

Headers (extraits) du spam :

Delivered-To: vinosoft@ [removed]
Received: (qmail 29675 invoked from network); 8 Aug 2008 12:35:32 -0000
Received: from 122.163.144.91 (HELO ABTS-NCR-Dynamic-082.203.163.122.airtelbroadband.in) (122.163.144.91) by mrelay1-g25.free.fr with SMTP; 8 Aug 2008 12:35:32 -0000
From: CNN Alerts <etilomra_1974@iqti.com>
Reply-To: etilomra_1974@iqti.com
Subject: CNN Alerts: My Custom Alert

Expéditeur du spam : ABTS-NCR-Dynamic-091.144.163.122.airtelbroadband.in (122.163.144.91 - New Delhi - India)
Hébergeurs du virus : inquilinos.com.br (72.52.164.89 - Lansing, USA) - queenparigi.com (213.186.33.2 - Roubaix, France)

web62.login-7.loginserver.ch (213.133.111.209 - Gunzenhausen, Allemagne)

28 Juillet - 4 Août 2008 : des spam's référencent des sites piègés; exemple :

1/ Le SPAM (adréssé à Stuart W... que nous ne connaissons ni d'Eve ni d'Adam) :

2/ Le lien est : href=3D"http://tigery.biz/modred/mod.php" qui redirige sur 79.135.167.49 :

3/ Le virus :

4/08/2008 7:36:15 IMON file http://79.135.167.49/name.avi.exe probably a variant of Win32/Statik application

Headers (extraits) du spam :

Received: from iks-engineering.de ([78.39.217.134]) by freeworld.be ; Mon, 04 Aug 2008 06:20:25 +0200
Return-Path: <Clayton@ket.org>
Received: from 168.111.10.61 (HELO in.ket.org) with esmtp ({nChar[8-12]} {nChar[4-6]}) id YbeW3p-lfwxUF-8D; Fri, 28 Jul 2006 08:50:13 +0100
Message-ID: <522f01c6b21a$753d8e20$ac1002c7@Clayton>
From: "Clayton Castillo" <Clayton@ket.org>
To: "Stuart Wheeler"
Subject: Your order is executed

Expéditeur du spam : in.ket.org (168.111.10.61) : KY Authority for Educational Television, USA
Les URL's référencées :

- tigery.biz (213.186.33.2) : OVH SAS, France
- 79.135.167.49 : ISTANBUL TELEKOM, Turquie

Autres spam's du jour -> autres liens sources de malwares :

- http://www.slmautomotive.com/modred/mod.php : 217.73.226.11, Italie

- http://galeriaeventos.com/modred/mod.php : 213.218.141.5, France

- http://missactis.net/index1.html : 65.61.216.63, In2net Network Inc., USA

28 Juillet 2008 : des spam's contiennent un cheval de Troie attaché

http:// firm-info.ru/nnov/video-nude-anjelia.avi.exe : a variant of Win32/TrojanDropper.Small.NHU trojan

Particularité de ces spam's : ils sont (semblent) expédiés par nous-même; exemple :

Return-Path: <vinot@mageos.com>
Delivered-To: 418-vinosoft@[removed]telecom.com
Received: (qmail 31756 invoked from network); 28 Jul 2008 20:54:46 +0200
Received: from unknown (HELO 027) (222.173.11.132) by gollum.mailclub.fr with SMTP; 28 Jul 2008 20:54:45 +0200
Content-Return: allowed
X-Mailer: CME-V6.5.4.3; MSN
Return-Path: communications_msn_cs_enus@cimail15.msn.com
Message-Id: <20080516105348.3110.qmail@027>
To: <vinosoft@[removed]telecom.com>
Subject: Anjelina Jolie XXX Video Free.
From: <vinosoft@[removed]telecom.com>

Return-Path: mageos.com (212.30.118.74) - JETMULTIMEDIA NOC - 78140 VELIZY - France

Expéditeur du spam vérolé : 222.173.11.132 - CHINANET SHANDONG PROVINCE NETWORK - Shandong Telecom Corporation
Hébergement du virus : firm-info.ru (83.102.146.177) - CORBINA TELECOM Network Operations - Moscow, Russia

23 juillet au 02 août 2008 : des spam's référencent des sites piègés.

1/ Le SPAM :

2/ La page vérolée référencée = www. diiorio.it/stream.html (81.31.208.12)

Tag Comunicazioni s.p.a. - Panservice - c/o CC Latinafiori T.8 Sc. B - Latina - Italia
et le malware : 23/07/2008 9:31:14 IMON file www. diiorio.it/flashcodecinstall_13_31.exe probably a variant of Win32/Nuwar worm
 

Spammeur : Return-Path: <-vic-eur_1986@ginan.gifu.gifu.jp>
Received: (qmail 18261 invoked from network); 23 Jul 2008 02:53:15 -0000
Received: from 72.38.64.130 (HELO d38-64-130.commercial1.cgocable.net) (72.38.64.130) by mrelay3-2.free.fr with SMTP; 23 Jul 2008 02:53:15 -0000
To: vinosoft@[removed]
Subject: US Olympians stopped at China Customs
Message-ID: <hs.slibvyjkrmfofj@wayne>
User-Agent: Opera Mail/9.50 (Win32)

Spammeur : d38-64-130.commercial1.cgocable.net (72.38.64.130) = Cogeco Cable Inc. - Burlington, ON - CANADA

Autre site piègé par la même saloperie (autre spam) : hajosu.de

: 82.165.80.94

Schlund NCC - 1&1 Internet AG - Karlsruhe - Germany

Autres sites piègés par la même saloperie (autres spam's des 27-28/07/2008) :

- http://crosspointbaptistchurch.org/fresh.html : 67.55.56.183, Canaca-com - Mississauga, Canada : probably a variant of Win32/Nuwar worm
 

Même malware "probably a variant of Win32/Nuwar worm" pour :

- http://www. zimmermann-ockenheim.de/fresh.html : 82.165.98.163 - Karlsruhe, Allemagne

- http://arla-rc.net/hotnews.html : 62.193.202.6, PARIS - AMEN-FR-NETWORK, France
- http://www.carpe-diem.com.mx/fresh.html : 66.225.220.4 - Chicago, USA

http://morsbaby.net/default.html : 81.19.232.111 - JAYNET-DK-GLOSTRUP-DANBBS - Ballerup, Dannemark
http://risasnc.it/fresh.html : 81.31.152.214 - Turin, Italie
http://thelittles.fr/default.html : 213.186.33.19 - OVH SAS - Roubaix, France
http://ankaraspor.com.tr/default.html : 72.233.79.122 - Layered Technologies, Inc. - Plano, USA

http://www.browsetomy.gmxhome.de/top.html : 82.165.50.35 - Schlund + Partner AG - D-76135 Karlsruhe, Allemagne

2/08/2008 9:03:54 IMON file http://www.browsetomy.gmxhome.de/get_flash_update.exe probably a variant of Win32/Nuwar worm
http://www.davidnicolas.com/whatsup.html : 209.217.36.7 - Catalog.com - Oklahoma City, USA

http://www.aquasphere.cz/tophot.html : 194.213.32.207 - GTS Czech Net s.r.o.- Praha, Czech Republic

18 Juillet 2008 : des spam's référencent des sites piègés.

1/ Le SPAM :

2/ La page vérolée référencée est en Amérique Latine :

basani.com.ar : Hernan Spaltro - Juan Agustin Garcia, 4077, Piso PB - C1407FWO - Buenos Aires

3/ L'attaque :

18/07/2008 17:51:08 IMON file www.basani.com.ar/watch.exe probably a variant of Win32/Nuwar worm
Win32/Nuwar.A is a worm that spreads via e-mail. It can also infect executable files and RAR archives.

LES HEADERS DU SPAM [extraits] :

Received: from 78.152.211.145 (HELO ?78.152.211.145?) (78.152.211.145) by mrelay1-g25.free.fr with SMTP; 18 Jul 2008 14:28:42 -0000
From: "proznick" <ytlis0_1978@abadbocardo.e.telefonica.net>
Subject: Inside Steve Job's brain

Juillet 2008 : machine contaminée dont le seul symptôme directement visible est l'apparition de popup's spontanés indésirés.

Il suffit d'ouvrir la page d'acceuil d'Internet Explorer du PC de notre Cliente et d'attendre quelques minutes ...

... voici les écrans qui apparaissent spontanément :

http://www.terminala.be/htm/213/AboutUs.htm (209.67.222.228, USA)

http://web11.terminala.com (64.92.169.190, USA)

www.simplybymobistar.be (85.255.196.39) : 9080 Lochristi, BE

Note : le service "Centre de Sécurité" de Windows XP est désactivé dans cet ordinateur.

Analyse de l'état sanitaire du PC : Spybot donne la liste des spywares suivante :

AntiSpywareShield: [SBI $F3BABACD] Réglages (Clé du registre)
VirusProtectPro: [SBI $21D7A104] Interface (nombreuses Clés du registre)
Win32.BHO.je: [SBI $F64870AB] Root class (Clé du registre)
Smitfraud-C.gp: [SBI $9E48F452] Class ID (Clé du registre)
Zlob.Downloader.oid: [SBI $DC66B3C8] Browser helper object (Clé du registre)
Le nettoyage de ces saloperies par Spybot ne résout pas le problème des popups.

C'est l'analyse minutieuse par hijackthis qui permet de se séparer de ces nuisances.

Note : ces popups réapparaîtront en aôut 2008 : http://www.kine-online.com/malwares.htm#popup

Juillet 2008 : Agent.VLI est un programme malicieux de type cheval de Troie.

Il se présente sous la forme d'un courrier électronique sans fichier joint invitant à télécharger un nouvel antivirus gratuit sur le site de son éditeur. Si le destinataire clique sur le lien hypertexte, il est dirigé vers un site Internet d'apparence professionnelle qui invite automatiquement l'utilisateur à exécuter ou télécharger un fichier AntivirusXP2008Installer.exe. S'il est ouvert, le programme malicieux se copie sur le disque dur, modifie la base de registres de Windows pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, puis télécharge et installe d'autres programmes malicieux depuis des sites web distants.

Très proche de l'avatar relaté dans cette page en "Juin 2008 : un vilain programme"

Juin 2008 : la vidéo et le site sont piégés avec pour but de créer un gigantesque réseau d'ordinateurs "zombies"

Le virus se présente sous la forme d'un message invitant le destinataire à se rendre sur un site d'information pour consulter la vidéo d'un nouveau tremblement de terre qui aurait tout juste frappé la Chine, menaçant les prochains jeux olympiques.

Le virus Storm Worm Zhelatin.ZY se propage par courrier électronique sous la forme d'un message sans fichier joint dont le titre et le corps sont variables, généralement envoyé par spamming. L'expéditeur du message est une adresse électronique usurpée ou générée automatiquement. Le corps du message est un court texte incitant le destinataire à cliquer sur un lien hypertexte http://.....cn. Il ne faut pas cliquer sur le lien ni télécharger le fichier beijing.exe. Si ce fichier est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité les plus populaires puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante.

Juin 2008 - Email pollution "info.fedexcourier001@googlemail.com"

Si cela n'est pas du spam harcelant ... ?

Fedex Courier Company, jzenk@daktel.com [dit "le bougre"]

-

HEADERS : X-SID-PRA: Fedex Courier Company <jzenk@daktel.com>
Received: from mail.daktel.com ([66.163.144.10 : North Dakota Telephone Co. - USA]) by bay0-mc9-f1.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2668); Sat, 21 Jun 2008 22:38:14 -0700
Received: (from mail.daktel.com [78.138.0.102]) by mail.daktel.com (MOS 3.7.5-GA) with HTTP/1.1 id DAS14980 (AUTH jzenk@daktel.com); Wed, 18 Jun 2008 22:29:37 -0500 (CDT)
From: Fedex Courier Company <jzenk@daktel.com> - Reply-To: info.fedexcourier001@googlemail.com - X-Mailer: Mirapoint Webmail Direct 3.7.5-GA

Il insiste "le bougre" :

-

Juin 2008 : dépannage "vite fait" grâce aux outils de sauvegarde installés dans le PC "attaqué" et au fait d'avoir déconnecté le PC d'Internet dès la première anormalité repérée (notre Client a parfaitement suivi nos consignes de "bonne réaction" en cas de dysfonctionnement suspecté d'avoir Internet comme source).

Symptôme du PC amené "en panne" : XP arrive jusqu'à un bureau impeccable et l'affiche pendant quelques secondes.

Dès que toutes les icônes sont vraiment bien affichées, elles disparaissent, laissant un bureau vide (juste le fond d'écran).

Quelques secondes plus tard, les icônes réapparaissent puis redisparaissent aussi vite ... indéfiniment.

Dépannage : connaissant la date et l'heure approximative du début de dysfonctionnement -> boot on CD et File Manager on HD.

Repérage des fichiers suivants et répertoire et sous-répertoires temporaires :

Contenu du fichier smp.bat : "c:\Tmp\A5813-tmpaASI.exe"

Sauvegarde des fichiers sur clé USB avant destruction et test antivirus dans un autre PC (par Nod32) ->

A5813-tmpaASI.exe : Win32/Adware.IeDefender.NEW - Au 5 juin 2008, la bestiole est mal documentée

Restart PC : mêmes symptômes, toujours infecté.

Restauration de la registry sauvée la veille du jour de l'infection -> problème résolu.

Note : d'après l'historique du PC, cette infection pourrait être liée à un fichier en provenance du P2P et infecté par Win32/Parite.B virus

Documentation : IEDefender est une application d'anti-espiogiciel frauduleuse. Dans la plupart des cas elle est installée par le mode furtif au travers les failles dans les fichiers de sécurité. Une fois exécuté, IEDefender se metra à afficher de fautives notifications d'alerte sur l'espiogiciel détecté dans votre ordinateur. C'est un moyen que IEDefender enterprend pour vous persuader d'acheter sa version complète. De plus, il se peut que IEDefender forme une énorme faille dans les fichiers de sécurité afin de télécharger et installer d'autres parasites.

Juin 2008 : un vilain programme dans une page de la Toile (référencée par un spam)

(http:// securityscannersite.com/2008/3/_freescan.php?aid=880400)

Note : la page piègée est très différente de celle de la root du site (qui a l'air bien normale) :

La page piègée est : ://securityscannersite.com/2008/3/_freescan.php?aid=880400

qui se termine par :

N'importe quel bouton ->

: la taille est vraiment faible pour l'installation d'un antivirus (106 Kb).

Nous n'avons pas exécuté ce fichier car Google signale sa dangerosité (rogue - famille WinFixer)

Par contre, puisque la root du site nous semble "normale", nous avons testé le bouton "TRY FREE" ->

C'est donc tout le site qui est un "TOTAL MALWARE" (counterfeit antispyware software)

Selon nous, on y arrive en liaison avec des sites Free XXX ou des spam's.

Notre comportement face à cet avatar a été celui d'un consultant en informatique habitué au "dévérolage" des PC's. Le test a été fait sur une "secure workstation" = équipée d'un second disque dur contenant une image saine du disque de démarrage.

Mais notre dernière "interview" d'un Adolescent (honnête) qui nous a amené un PC en panne est éloquente :

" - J'ai rien fait. [cela commence toujours comme cela]

- Sauf que, en surfant, une page est apparue en me signalant que le PC de la Famille est contaminé (spyware et trojan).

- Comme je ne veux pas me faire enguirlander par mes Parents et que cette même page de "XP Antivirus Online Scanner" (qui a l'air bien sérieuse) me propose de nettoyer les infections ("repair your computer" ils disent), je n'ai pas hésité et j'ai installé les "XP Antivirus Components" proposés par "securityscannersite.com" ... maintenant, il y a plein de popups ! "

SUIVI, JUIN 2008. - TEST :

Nous disposons d'une liste de sites qui nous sont connus comme "source inévitable de malware" comme : "miracleteens net" "sexocean com" "oceanporno com" : n'essayez pas ou prenez d'abord rdv pour un dépannage :-))

Nous avons bien rencontré cette URL securityscannersite.com en moins de 15 minutes de "surf de test" :

Mai 2008 : Legitimate Screensavers [économiseurs d'écran] Used in Malware Attacks ... news.softpedia

Mai 2008 : virus dans un MP3 ?

En transférant les documents pour sauvegarde à partir de la machine d'un de nos Clients ->

Scan type: Auto-Protect Scan - Event: Security Risk Found! - Risk: Trojan.Wimad (Spyware.ISearch)

File: ...\Mes documents\Ma musique\...bisnessman.mp3

Le problème n'a pas été approfondi mais il s'agit probablement d'un fichier exécutable renommé en mp3, un "faked mp3" ?

:-)) Autres virus de type "faked" - Actualité (BE) :-))

Nationale des Vendus Associés

Avril 2008 : une attaque cible les utilisateurs du logiciel de téléphonie par Internet Skype.

NE PAS SE LAISER PIEGER : il s'agit de Phishing (capture de vos données bancaires et personnelles par un un individu malveillant).

L'attaque se présente sous la forme d'un courrier électronique en anglais intitulé "Please Update Your Billing Information"

Le message est envoyé en apparence par l'éditeur du logiciel (Skype no-reply <skype-noreply @skype.com>)

Avril 2008 / NE PAS TELECHARGER : withlove.exe sur page piègée référencée par un spam de type "I Love You"

Le fichier est infecté par une variante du Storm Worm : Zhelatin.WW

Mars 2008 / NE PAS TELECHARGER : funny.exe sur page piègée référencée par un spam de type "poisson d'avril"

(April Fool's Day - carte virtuelle du site Funnypostcard)

Le fichier est infecté par une variante du Storm Worm : Dorf.BA

Documentation générale : un tour des malwares, selon lesnumeriques.com (merci Paolo).

Remarque préliminaire : nombreux sont nos Clients qui se disent effarés lorsque nous leur signalons que des virus, trojans, spywares, ... ont été trouvés dans leur ordinateur et que ces malwares peuvent être responsables des dysfonctionnements qui ont motivé leur demande d'intervention corrective ... en ces termes "Comment est-ce possible ? - Nous ne surfons jamais sur des sites dangereux".

Et pourtant l'antivirus et spybot signalent, par exemple :

(08/02/2008, sur une même machine rentrée en atelier pour "Hardware Update" *)

  & 

Une réponse vous est fournie dans un paragraphe plus bas dans cette page : même des sites d'Ambassades peuvent être piratés et contenir des codes invisibles qui sont destinés à compromettre sérieusement la sécurité des PC's.

Et ce n'est pas vraiment nouveau : en 2004, Wanadoo piraté, les internautes infectés.

Avec des noms de domaine qui semblent être des sites de recherche d'informations sur Internet, vous pourriez les décrèter "non dangereux" (comme 2005-search.com ou 1800-search.com).

Et pourtant ... cfr. "pages piégèes", plus bas dans cette page (TrojanDownloader).

Avec des contenus qui semblent inoffensifs (desktop themes, screensavers, wallpapers, emoticons, cursors, ...), certains sites sont de vrais badwares (installation of additional software without the user's knowledge or consent; installation of adware and installation of spyware"); un exemple : www.ThemeXP.org.

Même des logiciels "hyper connus" et largement distribués peuvent être de réelles nuisances. Un exemple : RealPlayer 10.5 is badware because it fails to accurately and completely disclose the fact that it installs advertising software on the user's computer. - Autres exemples (2008) : Adobe Acrobat Reader ou Yahoo! Music Jukebox ou Facebook Photo Uploader ou MySpace Uploader ou Firefox ou Skype ou Winamp ou QuickTime ...

C'est donc en toute bonne foi que nos Clients pensent pouvoir affirmer "Nous n'installons pas de logiciel dangereux".

 

Un simple petit plugin qui semble bien pratique : "FastMP3Search" et bonjour les dégâts : it behaves as a Trojan horse application, installing additional applications without disclosure. These additional applications are not only undisclosed, they also reportedly behave as badware themselves. The plugin and its bundled applications change the configuration of user settings in many ways, including, but not limited to: disabling Windows Firewall, changing the homepage, redirecting valid web addresses, running the bundled applications on startup, and running processes in the background. The user is also bombarded with pop-up advertisements, mostly from rogue anti-spyware and anti-virus applications that are reportedly bundled with badware, in an attempt to deceive the user to download even more badware applications onto their system. FastMP3Search is also difficult or impossible for the average user to uninstall.

 

* Concernant l'exemple mentionné ci-dessus, la source des problèmes rencontrés pourraient (très probablement, selon l'historique du navigateur [www. emusic.com/?fref=150286]) être :

 

 

Adware.Emusic is adware that creates links on the user's desktop and in Internet Explorer's main window.

a-squared Malware-Info : Adware.Win32.eMusic Toolbar & MacAfee

 

Note - sur le site eMusic :

It has come to our attention that Uniqads.com, Adtraff.com and Forceup.com have been fraudulently purchasing advertising on eMusic's behalf.

These companies are not authorized to act on eMusic's behalf and are distributing malware.

 

Documentation complémentaire :

- eMusic Free MP3 + EverestPoker + spyware

- eMusic Free MP3 + CoolWWWSearch" + spyware

- eMusic Free MP3 + "MagicControl.Agent" + spyware

 

Simple rappel en matière de sécurité : impérativement éviter tous les sites ou les messages électroniques spécifiant

"free MP3" ou "free movies"

 

Autre machine affichant une icône "50 Free MP3 from eMusic!" sur le bureau, juin 2008

- ref. 2008F04-06PC113TON

 

Scan Antivirus ->

4/06/2008 22:03:46,DWHB44F.tmp,Backdoor.Spakrab,E:\WINDOWS\Temp\,Infected

4/06/2008 22:03:45,DWHB038.tmp,Trojan Horse,E:\WINDOWS\Temp\,Infected
4/06/2008 22:03:15,DWH2240.tmp,Trojan.SpamThru,E:\WINDOWS\Temp\,Infected

...
Antivirus History ->

...

30/03/2008 19:45:29,n1404-1[1].htm,Downloader,File,Left alone

...\Temporary Internet Files\Content.IE5\OGHIJK3D\,Infected,Quarantine,Clean virus from file,Leave alone (log only),Defwatch Scan
30/03/2008 19:45:29,image19-www.photobucket.com,W32.IRCBot,File,Left alone

\Local Settings\Temp\,Infected,Quarantine,Clean virus from file,Leave alone (log only),Defwatch Scan

 

- 209.17.66.11

30/03/2008 19:45:29,All_version.exe,Backdoor.Graybird,File,Left alone

...\Local Settings\Temp\,Infected,Quarantine,Clean virus from file,Leave alone (log only),Defwatch Scan
...

11/05/2008 13:54:15,qriwpzf.exe,Backdoor.Spakrab,File,Left alone

...:\WINDOWS\system32\,Infected,E:\WINDOWS\system32\,Clean virus from file,Quarantine infected file,Realtime scan
... 4.839 lignes ... jusqu'au 04/06/2008 !
 

May 11, 2008 : Backdoor.Spakrab is a Trojan horse that opens a back door and may send spam emails from the compromised computer. Discovered: April 7, 2008. The Trojan may be downloaded by other malware.

When executed, the Trojan copies itself as the following file: %System%\[RANDOM LETTERS].exe [ as qriwpzf.exe ].
The Trojan attempts to connect to some IP addresses on TCP port 25 (SMTP) so that it can email the author of the malware.

The Trojan then opens a back door on the compromised computer and connects to some network addresses on TCP port 447.
 

W32.IRCBot : This Trojan contains backdoor capabilities that allows a hacker to control your computer remotely using Internet Relay Chat (IRC). This Trojan also has the ability to download and execute other files of the hacker's choice.

 

Backdoor.Graybird is a back door Trojan Horse that gives its creator unauthorized access to your computer.

Intercepts keystrokes -> steal confidential information.

Trojan's creator can perform any of the following actions:
- Deliver system and network information to the Trojan's creator, including the login names and cached network passwords.
- Install an FTP server, allowing the hacker to use the compromised computer as a temporary storage device.
- Open or close the CD-ROM drive and perform other annoying actions.
- Download and execute files.
 

Trojan.SpamThru is a Trojan horse that can be used to send unsolicited email through the compromised computer.
 

Trojan Horse est la détection générique utilisée pour divers programmes de type cheval de Troie

 

Note : désinfection par les outils classiques (dont Boot-CD for File Management & Delete all suspect files ...

... Antivirus : full scan & remove

... Spybot : remove all spywares as "Anti-Leech" ...

... Regedit : remove some residual keys as :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ...).

---

Autre Client "effaré"

Avril 2008 : ordinateur-1 rentré en notre atelier pour un simple transfert de documents vers l'ordinateur-2 (le cahier des charges de notre Client ne comporte aucune intervention en matière de sécurité).

 

Ces avatars sont donc une "surprise" pour l'Utilisateur !

Ordinateur-1 :

05/04/2008 11:12:09,pvffwzv.exe,Trojan.Skintrim,File,Left alone in Quarantine,K93QWGNK,SYSTEM,C:\windows\system32\,Infected

05/04/2008 11:12:07,A0011512.EXE,W32.Spybot.Worm,File,Left alone in Quarantine,K93QWGNK,SYSTEM,C:\System Volume Information\_restore

05/04/2008 11:12:01,A0002287.exe,W32.Linkbot.H,File,Left alone in Quarantine,K93QWGNK,SYSTEM,C:\System Volume Information\_restore

 

Win32.Skintrim is a family of trojans that downloads and executes arbitrary files. In the wild, they have been observed downloading variants of the Win32.Wintrim Family. Wintrim is a family of trojans that downloads and executes arbitrary files, and lowers the affected machine's security settings.

W32.Spybot.Worm est une détection d'une famille de vers qui se propage en utilisant le partage de fichiers KaZaA et mIRC. Ce ver peut également se propager sur les ordinateurs infectés par des chevaux de Troie de porte dérobée courants.

W32.Linkbot.H is a worm that exploits the Microsoft Windows LSASS Buffer Overrun Vulnerability in order to propagate. It also creates a back door on the system accessible through IRC.

 

Ordinateur-2 :

W32.Spybot.Worm,Terminate Process Required,taskhosst.exe,File,c:\windows\system32\,D900VMMH,frederic,Infected

Deceptively-named trojan component. Observed in the Windows System folder. This is not a legitimate Microsoft Windows file. Trojans are programs that can appear to serve a legitimate purpose but actually have an unwanted or harmful effect. A large segment of trojan programs download other harmful software components to a user's PC without his/her knowledge. This application is most likely downloaded and installed by another application that is considered to be adware or spyware.

Part of Malware group - Covert Sys Exec.

---

Autre Client "effaré"

Mars 2008 : le cahier des charges de notre Client ne comporte aucune intervention en matière de sécurité.

Simple intervention de déménagement des PC's d'un local à un autre.

Quelque soit la demande de nos Clients, nous effectuons systématiquement (si le temps nous en est laissé) un "examen sanitaire" des ordinateurs sur lesquels nous intervenons ->

 

- Poste SSCH : la messagerie est infectée (spam's - virus non caractérisés "?????") mais pas de propagation; l'Utilisatrice ne clique pas sur n'importe quoi.

song,??????,Mail System,Still contains 1 infected items

Secure Message System,??????,Mail System,Still contains 1 infected items

Telekom Nachzahlung !,??????,Mail System,Still contains 1 infected items

Unique Love,??????,Mail System,Still contains 1 infected items

deferred tax,??????,Mail System,Still contains 1 infected items

Hot game,??????,Mail System,Still contains 1 infected items

 

- Poste mobile TECRA (utilisant un compte email commun avec la messagerie SSCH -> mêmes spam's); dans ce PC, l'Utilisateur s'est laissé pièger par un de ces messages non sollicités et l'infection en provenance de ces spam's s'est propagée; et elle est bien accrochée (Root, System et la Sun Java Machine).

De plus, sans tenir compte de nos conseils maintefois répétés, l'Utilisateur à installé Windows Live Messenger.

s3p4.2j,??????,C:\,Still contains 1 infected items

cnte-dhncgts.jar-2221ef38-5514c8d4.zip,?????? C:\Documents and Settings\user\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\,Still contains 1 infected items

setup[1].exe,W32.Imaut,C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\UB2YMR81\,Infected

install[1].exe,Trojan.Vundo,C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\6P0BHYO6\,Infected

Unique Love,??????,Mail System,Still contains 1 infected items

mswan-exe,W32.IRCBot,C:\WINDOWS\system32\dllcache\,Infected

kcehc_eicooc20070702[1],Trojan.Vundo,C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\GY4MQIKV\,Infected

adfcook[1],Trojan.Vundo,C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\IHP1PF72\,Infected

deferred tax,??????,Mail System,Still contains 1 infected items

Rechnung Telekom,??????,Mail System,Still contains 1 infected items

Trojan.Vundo est un composant de logiciel publicitaire qui télécharge et affiche des publicités intempestives. Il s'installe lorsque l'utilisateur clique sur un lien contenu dans un courrier indésirable.

W32.IRCBot.Gen est une détection générique pour des variantes de W32.IRCBot. Il a également des fonctionnalités de porte dérobée qui permettent à un pirate d'utiliser Internet Relay Chat (IRC) pour contrôler à distance votre ordinateur. Ce troyen peut également télécharger et exécuter d'autres fichiers sélectionnés par le pirate.

W32.Imaut.A is a worm that spreads via Yahoo! Instant Messenger and Microsoft Windows Live Messenger. The worm may attempt to download remote files on the compromised computer.

---

RootkitPC : autre Client "effaré" et ensuite "décu"

 

Mai 2008 : un PC nous est amené car l'écran bleu de la mort apparaît systématiquement entre le moment où le bureau se présente et le moment où toutes les icônes devraient être clairement affichées. Notre Client soupçonne un problème de driver (l'écran bleu "parle" de la carte graphique).

Après quelques ajustements qui ont permis de se débarrasser de ce très désagréable Blue Screen of Death, le PC présente l'anomalie suivante : une activité disque dur permanente et un temps de réponse au clic fortement augmenté (au moins d'un facteur 10) -> le pc est inutilisable (vitesse de travail réduite aux performances d'un 80386). De nombreux messages d'erreur apparaissent (la plupart invoquant NET Framework) :

 

 

et une fausse alerte de Windows Security (en anglais) est constamment présente (le XP est en français et le service "Centre de sécurité de Windows" est désactivé).

 

 

 

Première opération = vérifier l'"état de santé" de l'antivirus Norton Internet Security & Antivirus dont l'icône n'est plus visible dans les tâches actives : plus de mise à jour possible.

 

Deuxième opération = analyse de le registry; en voici quelques extraits :

 

- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe" normal
"OM_Monitor"="C:\\Program Files\\OLYMPUS\\OLYMPUS Master\\Monitor.exe -NoStart" normal
"swg"="C:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe" normal
"msnmsgr"="\"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe\" /background" normal
"Registry Helper"="\"C:\\Program Files\\Registry Helper\\RegistryHelper.Exe\" /boot" anormal
"Router"="C:\\Program Files\\Router\\Router.exe" anormal
"Wsao"="\"C:\\WINDOWS\\system32\\SMANTE~1\\cmd.exe\" -vt yazb" anormal

 

- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdaptecDirectCD"="\"C:\\Program Files\\Roxio\\Easy CD Creator 5\\DirectCD\\DirectCD.exe\"" normal
"OM_Monitor"="C:\\Program Files\\OLYMPUS\\OLYMPUS Master\\FirstStart.exe" normal
"MimBoot"="C:\\PROGRA~1\\MUSICM~1\\MUSICM~1\\mimboot.exe" normal
"ccApp"="\"C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe\"" normal
"osCheck"="\"C:\\Program Files\\Norton Internet Security\\osCheck.exe\"" normal mais malheureusement inactif
"MMTray"="\"C:\\Program Files\\Musicmatch\\Musicmatch Jukebox\\mm_tray.exe\"" normal
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot" normal
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime" normal
"iTunesHelper"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\"" normal
"Flash Player2"="C:\\DOCUME~1\\RAPHZE~1\\LOCALS~1\\Temp\\services.exe" anormal
[le fichier "services.exe" ne doit pas se trouver en ...\Temp; il n'a rien à voir avec "Flash Player" et sa référence ne se doit pas se trouver dans cette rubrique de la registry]

"Windows Service"="C:\\Documents and Settings\\1\\hksdyj.exe" anormal
[hksdyj.exe n'est pas (à notre connaissance) un "Windows Service"]

"smgr"="mgrs.exe" anormal
[mgrs.exe est un malware connu]

"lsass"="C:\\WINDOWS\\lsass.exe" anormal
[le fichier "lsass.exe" doit se trouver en ...\System32 et sa référence ne se doit pas se trouver dans cette rubrique de la registry]

"2gb4i3hn"="C:\\WINDOWS\\TEMP\\0DF121C5.exe" anormal
[un éxécutable nécéssaire au démarrage doit pas se trouver en Windows\Temp car ce répertoire est susceptible d'être "nettoyé" par l'Utilisateur ou par des logiciels prévus à cet usage]

"cjb"="C:\\Program Files\\cjb\\cjb8.exe" anormal
[cjb8.exe est un malware connu]

"Ultimate Defender"="\"C:\\Program Files\\Ultimate Defender\\UltimateDefender.exe\" hide" anormal
[UltimateDefender.exe est un malware connu : il est responsable du popup de fausse alerte de sécurité]
"WinIFixer"="C:\\Program Files\\WinIFixer\\WinIFixer.exe" anormal

 [WinIFixer.exe est un malware "Elevated Risk" malware connu]

 

Le verdict est clair : la machine est complètement vérolée.

Désinfection :

1/ Désinstallation de Norton Internet Security & Antivirus : impossible; l'opération est refusée par le désinstallateur sous prétexte que le service de LiveUpdate est actif. Utilisation d'un outil fourni par Symantec pour éliminer tous les logiciels de cette marque présents dans l'ordinateur -> succès. Installation d'un nouveau Norton Antivirus : impossible (le service Windows Installer n'est pas disponible).

 

 

Installation de l'antivirus Nod32 : avec succès et voici quelques exemples parmi de très nombreuses alertes :

 

 

 

 

2/ Spybot Partial Results :

 

Il y aura encore des dizaines d'autres alertes Spybot (dans cette image, le scanner n'est qu'à 1/4 de ses recherches) et de nombreuses alertes Nod32 comme :

 

 

Note : les termes "naked0453.com" et "Porn Hijacker" ou "SexList" (Spybot ci-dessus) donne un renseignement sur l'origine la plus probable de l'infection.

 

Et même l' "Outil de suppression des logiciels malveillants" intégré à Windows XP :

 

Win32/Cutwail is a family of trojans with rootkit functionality that may be used to download and execute arbitrary files, either saving them to disk or injecting them into other processes. ... these files were used to send bulk email and to update Cutwail to the latest variant. Earlier variants may modify the system's "winlogon.exe" file ... securityadvisor

 

Note : aucune installation ou mise à jour de n'importe quelle version de .NET Framework n'est plus possible, e.g. :

 

 

3/ Perte du son pendant la décomtamination -> réinstall driver = ok

Remise en ordre du "Windows Installer" mais le système refuse son exploitation. Sont également inaccessibles : plusieurs fonctions du paneau de configuration dont : "Comptes d'Utilisateurs" -> impossible de créer un nouveau user ... nombreuses autres tentatives de régénération des ressources ... installation "semi-fructueuse" du SP3 ...

 

... après plus de trois heures de travail au clavier et plus de huit heures de "scan" par différents logiciels de sécurité ...

... arrêt de notre "acharnement thérapeutique" ...  XP doit être réinstallé -> "Client décu".

---

NE PAS LE TELECHARGER : A new rogue antispyware application was spotted a few days ago on the web and it may really trick you in case you’re not ready for it. Codenamed XP Antivirus, the program pretends to be a security software that cleans your computer of unwanted infections. However, it isn’t so well-intended as it may seem because it is actually a piece of rogue antispyware application which displays false security alarms in order to convince you to purchase the full version of the program. Source : Softpedia.com "Do NOT, I repeat, do NOT download it!" - Autre source : New extremely dangerous release of XPAntivirus known as XP Antivirus 2008 or Xp Antivirus Protection.

---

Mars 2008 : MSN Live Message -> page piègée -> trojan

Le cheval de Troie PWS-Banker capture et transmet les codes de vos comptes bancaires.

 

Clic sur n'importe quel lien de ce message ->

http:// live-msn.notlong.com

Téléchargement sur une clé USB (P:\)

BitDefender On-Line -> Like:Trojan Downloader.

Aucune alarme de Nod32 Antivirus ni de Kaspersky ni de Norton Symantec Antivirus.

F-Secure Online Virus Scanner -> Online Scanner has finished. No malware was found.

Panda Online : ActiveScan : Aucun virus ou autre logiciel malveillant n'a été détecté !

Cette saloperie dispose d'une forte probablilté de passer à travers les mailles du filet de votre protection antivirus.

Faut-il encore que l'Utilisateur exécute le fichier téléchargé. Au cours des cinq dernières années, nous avons "pilonnés" nos Clients d'informations agrémentées d'exemples concrets afin qu'ils adoptent une attitude d'extrême méfiance dans ce type de situation.

 

Headers du spam :

X-Message-Delivery: Vj0zLjQuMDt1cz0wO2k9MDtsPTA7YT0x - X-Message-Status: n:0 - X-SID-Result: Fail
X-Message-Info: 6sSXyD95QpVG6ScdVB9TNF6jlphGYkGw1FeW8cDOg+NvNf0kSbh7kK/JOvoYXfAuotAaiP4y6mFdMatwSV8Meg==
Received: from knight.bs2.com.br ([200.203.183.34]) by bay0-mc11-f17.bay0.hotmail.com

with Microsoft SMTPSVC(6.0.3790.2668); Sat, 29 Mar 2008 09:17:23 -0700
Message-ID: <20080329160839.6390.qmail@knight.bs2.com.br>
To: [REMOVED]@hotmail.com
Subject: Comunicado Aos Usuarios Do Hotmail.
From: Central@Msn.com <Admin@Msn.com>

Spammeur : 200.203.183.34

BRAZIL

COMITE GESTOR DA INTERNET NO BRASIL

 

Sites en rapport avec le fichier à télécharger : live-msn.notlong.com (206.111.205.169)

= w169.z206111205.lax-ca.dsl.cnc.net / XOXO-BLK-1

206.111.205.169

USA

CALIFORNIA

LOS ANGELES

XO COMMUNICATIONS

mail.ubi.com.br = 82.98.86.166 = www166.sedoparking.com (Frankfurt am Main)

82.98.86.166

GERMANY

SEDO DOMAIN PARKING

 

Suivi : test du fichier ("Suspected of: BehavesLike: Trojan.Downloader") "plugin.exe" sur un Vista :

1/ en exécutant plugin.exe (159 Kb), le fichier "a.exe" est créé (3.262 Kb), sans aucune alerte de NAV, et s'éxécute :

2/ une erreur est alors rapportée :

 

3/ le programme "a.exe" reste en cours d'utilisation (occupant 12 Mb en mémoire ***) :

 

4/ le processus peut être stoppé.

Pas d'autre information disponible à ce jour (02/04/2008) -> le côté "malin" de ce fichier (plus que) suspect n'est toujours pas caractérisé.

Anomalie : une clé de registry est apparrue :

Cette clé apparaît à chaque exécution des fichiers (plus que) suspects "plugin.exe, a.exe"

Mais aucun répertoire "C:\Arquivos de programas" n'est créé (dossier dans la langue du message d'origine)

"Arquivos de programas" est en rapport avec Trojan-Downloader à mettre en rapport avec "Suspected of: BehavesLike: Trojan.Downloader" de BitDefender Online ?

 

Test par ClamWinAntivirus : pas d'alerte [Scanned files: 1 - Infected files: 0 - Data scanned: 11.98 MB*** - Time: 11.297 sec].

D'après le "Data scanned: 11,98 MB***" et la quantité de mémoire utilisée (12.056 KB), a.exe (3.18 MB) serait (comme plugin.exe, 159 KB dont il est issu) une archive autodécompressible ?

Sur Internet, on trouve en http://www.absolutestartup.com/startup/page-480.html une association entre "plugin.exe" et "Adult content dialler" ?

(à mettre en rapport avec l'erreur "connection refused" ?).

Idem sur http://www.sysinfo.org/startuplist.php?filter=&count=50&offset=1700

 

Nouveau test 04/04/2008 : effacement du fichier "a.exe" et de la clé de registry (HKEY_LOCAL_MACHINE .... Current Version\Run) et ré-exécution de "plugin.exe" pour test du (nouveau) "a.exe" par BitDefender Online (en laissant "a.exe" en mémoire) : plus aucune alerte ? à y perdre son latin !

 

Les fichiers :

(le .vir est le a.exe du test précédent, renommé)

Avec Kaspersky Online : pas d'alerte.

Avec NAV local et Nod32 local, aucune alerte sur ces trois fichiers :

 

 

Copie du dernier "a.exe" en le renommant "a_created...(VIR).exe" sur une clé USB et exploration de celle clé sur un ordinateur équipé de McAfee Antivirus en local :

 

Voila la bestiole enfin correctement identifiée : PWS-Banker.gen.cg Trojan (Password Stealer).

 

PWS-Banker.gen.c is a password stealing trojan that captures bank account information (username/password) and sends this information to the author via different methods. Password Stealers may steal data from the hard drive.

Symptoms : The Trojan is running in the process list. Mails may be sent using Outlook in some instances, or network traffic on port 25, connecting to a remote SMTP (mail) server to send email data to the malware author. Infected user might be prompted to enter their online banking credentials after running the malware.

 

Un avant dernier test (sur un PC non protégé par McAfee en local; équipé de Nod32), le 05/04/2008 : test des fichiers "plugin.exe" et "a_created...(VIR).exe" par la version McAfee Online

 

Nous sommes obligés de placer les fichiers à analyser dans "Mes Documents" = "C:\Current"

Car McAfee Online ne propose que les options suivantes :

 

Même résultat en Online qu'en local :

Note : le fichier 2004D24...TXT contient un code récupéré dans un fichier suspect en avril 2004 (spyware category).

Le fichier "plugin.exe" contient le PWS-Banker.dldr qui est bien un Trojan.Downloader

 

McAfee documentation : Update November 1, 2007 : The risk assessment of this threat has been updated to Low-Profiled due to media attention at cxotoday.com/India. This is a generic detection for Trojans which try to download password stealers that capture bank account information (username/password) and sends this information to the author.

 

Remarque : McAfee Antivirus installé en local sur un Pentium 4 2.0 GHz (768 Mb RIMM) et sur son frère jumeau (mais avec 1 Gb RIMM) -> McShield ralenti très fort les deux PC's; il est mal adapté aux performances de ces ordinateurs de 2002; nous lui préfèrons Nod32 Antivirus.

---

Mai 2008 : phishing "débile-2"

1/ le message

2/ "Please click ..." donne : http:// aolsearch.aol.com/aol/redir?clickedItemURN=http:// 3733199559:82/cmd_run/index.php

Qui va encoder les codes de son compte sur une page AOL search ?

Ou sur la page de redirection http:// 222.132.26.199:82 ?

 

On remarquera qu'il s'agit de la même page que pour le spam-phishing de la veille (ci-dessous : phishing "débile-1"), mais en anglais.

 

Headers du "phising-spam" :

Received: from idrt.com ([74.92.151.69]) by bay0-mc11-f12.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2668); Sat, 3 May 2008 08:03:48 -0700
Received: from User ([62.58.112.202]) (authenticated bits=0) by idrt.com (8.12.11.20060308/8.12.11) with ESMTP id m43FBl4n015656; Sat, 3 May 2008 11:11:47 -0400
Message-Id: <200805031511.m43FBl4n015656@idrt.com>
Reply-To: <noreply@paypalteam.com>
From: "PayPal Inc."<noreply@paypalteam.com>
Subject: Unauthorized Access:NA (Routing Code: C840-L001-Q-T-S131) (KMJM72498486V38646L0KM)

 

Spammeur : 62.58.112.202

BELGIUM

VERSATEL CORPORATE INTERNET CUSTOMER

Phishing site : 222.132.26.199

CHINA

SHANDONG

WEIFANG

WEIFANG EDUCATION NETWORK EXPORT

---

Mai 2008 : phishing "débile-1" :-) Marocain-FBI@hotmail.com :-)

1/ le message (petit problème d'accentuation)

 

2/ ">>> Cliquez ici <<<" donne : http:// www. team-mafia87.net/pp/index.htm

Qui va encoder les codes de son compte sur une page mafia87 ?

 

 

Headers du "phising-spam" :

Received: from bay0-mc5-f3.bay0.hotmail.com ([65.54.244.139]) by bay0-imc3-s14.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2444); Thu, 1 May 2008 21:42:32 -0700
Received: from smtp28.orange.fr ([80.12.242.101]) by bay0-mc5-f3.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2668); Thu, 1 May 2008 21:42:32 -0700
Received: from smtp28.orange.fr (mwinf2823 [10.232.15.123]) by mwinf2820.orange.fr (SMTP Server) with ESMTP id 4411A1C02C98;
Fri, 2 May 2008 06:42:31 +0200 (CEST)
Received: from me-wanadoo.net (localhost [127.0.0.1]) by mwinf2823.orange.fr (SMTP Server) with ESMTP id 314A97000086; Fri, 2 May 2008 06:42:31 +0200 (CEST)
Received: from User (LMontsouris-152-61-7-117.w80-13.abo.wanadoo.fr [80.13.134.117]) by mwinf2823.orange.fr (SMTP Server) with SMTP id 5C24A7000095; Fri, 2 May 2008 06:42:29 +0200 (CEST)
X-ME-UUID: 20080502044229377.5C24A7000095@mwinf2823.orange.fr
From: "Service Alert" <paypal@security.com>
Subject: Votre compte va etre bloquer

"Votre compte va etre bloquer" : l'ortografe n'est pas le fort de cette :-) racaille (SCDF, SCDP :-)

Ziad Darif, 23 rue de la Republique, F78190 Trappes (Marocain-FBI@hotmail.com)

 

Spammeur : 80.13.134.117

FRANCE

ILE-DE-FRANCE

PARIS

IP2000-ADSL-BAS

Phishing site : www.team-mafia87.net = 80.247.228.230

FRANCE

ILE-DE-FRANCE

PARIS

NET-NFRANCE

http://www.youtube.com/watch?v=lbR7WE33I7s

---

Mars 2008 : phishing "standard"

Sans réel danger dans le cas présent :

1/ les messages sont éliminés par notre filtre antispam

2/ nous n'avons pas de compte en banque israëlienne.

 

1/ le(s) message(s) (de la banque) pour vous amener (théoriquement) chez elle :

 

 

2/ en suivant le lien du message, on arrive sur http:// mail.sweetrush.net/aligntech/bankhapoalim.co.il

mail.sweetrush.net (209.172.72.138) - Nextweb, Inc - San Jose, CA - USA

Cette URL américaine vous redirige sur http:// 91.74.100.212:443/bankhapoalim.co.il/cgi-bin/poalwwwc.html?&bank=414

qui se trouve à Dubai - Emirates Integrated Telecommunications - UAE

Alors que la Bank Otsar Ha-Hayal (alias Bank Hapoalim ***) est bankhapoalim.co.il (194.90.101.149 located at Haifa 31905 Israel)

Avec son siège internationnal = Bank Hapoalim Israel www.bankhapoalim.com (194.90.195.152) Haifa 31905 Israel.

3/ vous encodez toutes la caractéristiques et codes de votre compte bancaire en Israel mais c'est un Arabe qui les enregistre; il est peu probable que cet Arabe soit un simple collectionneur de codes; vous en aurez la certitude lorsque votre compte aura été vidé à votre insu.

 

L'IP de l'expéditeur du message d'hameconnage est americaine : "Received: from User ([69.219.222.129])"

adsl-69-219-222-129.dsl.chcgil.ameritech.net (69.219.222.129) - Richardson, TX - USA

"by mail.pcgwebhost.com (Merak 8.0.3) with ASMTP id SGI06355; Sat, 29 Mar 2008 15:22:24 -0400"

mail.pcgwebhost.com (216.137.159.80) : Alpharetta, GA - USA

 

*** Bank Otsar Ha-Hayal is an Israeli bank. The name literally means Treasury of the Soldier Bank. Otsar HaHayal was founded in 1946 in the British Mandate of Palestine as a means for Jewish war veterans to store their assets. It was a bank only for soldiers until 1972, and had business partners within the IDF. In 1972, it became an official bank and opened up to the general public, although it still largely kept its association with military assets. It was purchased by Bank Hapoalim in 1977.

 

Il insiste, le Bougre.

---

Mars 2008 : de l'intérêt de disposer d'une image saine du disque système.

Violente attaque par W32.Fujacks!html & W32.Fujacks.E (signe de l'infection : /drivers/spoclsv.exe)

Symptôme : tous les fichiers.exe sont attaqués, les uns après les autres, progressivement (d'heure en heure); idem pour les pages.htm.

 

W32.Fujacks.E is a worm that spreads by copying itself to network shares protected by weak passwords. It also copies itself to the root drive of all partitions and infects all .exe files found on the local computer. The worm ends some security-related processes and services.

W32.Fujacks!html is a generic detection for .htm, .html, .php, .asp, and .jsp files infected by the W32.Fujacks family of worms. These files will redirect a browser to a malicious Web site that may exploit the browser and then prompt for installation of other malicious threats or update the worm.

 

Il s'agit d'un virus informatique créé par des jeunes chinois en janvier 2007.

A l'âge de 25 ans, Li Jun, diplômé en informatique en 2005 mais sans emploi, ayant besoin d'argent, s'est mis à développer des talents d'auteur de logiciels malveillants : il a depuis créé et distribué W32/QQPass.worm et W32/Lewor, en plus du désormais tristement célèbre W32/Fujacks.worm. ...Les quatre pirates chinois ont vendu le virus à une douzaine de clients pour plus de 200 000 yuan, presque 19 000 euros. Hackbase.com est l'un des plus grands sites web de formation de pirates informatiques en Chine. Il va jusqu'à proposer explicitement des services de piratage rémunérés. Ce ver a ultérieurement servi à la création de nombreux programmes de vol de mot de passe de compte, notamment dans les jeux de rôle massivement multijoueur.

 

Origine du virus dans ce PC : non déterminée précisément (dépannage en urgence). La messagerie électronique est exclue comme source de cette infection. Il ne reste que la navigation sur Internet; une page piègée le plus probablement. Aucune trace de visite de sites à risques n'a été relevée (confirmant les dires de l'Utilisateur).

 

Détection par Trend Micro

 

Parade rapide : scan + sauvegarde des "user's data [sauf file*.htm*]" sur un PC en réseau (destiné à cet usage); réimplantation de l'image du disque système sain sauvegardée (en novembre 2007, sur le disque dur externe de notre Client, destiné à cet usage) et ensuite antivirus_update + scan/clean de la seconde partition également infectée et enfin réimplantation des "user's data" saines. Finalisation : Full_Antivirus_Scan, WindowsUpdate, AntiSpyware'sUpdates.

 

Détection par NAV (seconde partition)

W32.Fujacks!html,Cleaned,2,39693_FR_license_EDS.htm,File,D:\Trend Micro 2007\,P3,Jean-Pierre,18/03/2008 17:25:30

W32.Fujacks.E,Cleaned,2,wftp7.exe,File,D:\Software\WS FTP 7\,P3,Jean-Pierre,Cleaned,18/03/2008 17:24:26

W32.Fujacks!html,Cleaned,2,SETUP.HTM,File,D:\Software\FrontPage,P3,Jean-Pierre,18/03/2008 17:18:44

W32.Fujacks.E,Cleaned,2,Ghost.exe,File,D:\Norton Ghost\,P3,Jean-Pierre,18/03/2008 17:09:51

---

27 & 28/02/2008 : (méchant) virus (difficilement détectable) via spam's " E-Greetings / Hallmark E-Card"

 

 

http:// www.all-yours.net/u/view.ph p?id=a0190313376667%3c/a = http:// louder.ucoz.de/e-greetings.exe  = virus

Note :-) fôtes d'ortograf volontaires dans l'objet (pour tenter éviter certains filtres antispam ***) : E-Greetins pour E-Greetings & recivied pour received.

*** Filtre Spamihilator, si pas de fautes d'orthographe volontaires (comme dans Spam2) :

 

Spam2 :

 

Le "here" de "click here" -> http:// louder.ucoz.de/e-greetings.exe = virus

 

 

Ni Norton Antivirus (v.9 data 27/02/2008), ni Nod32 (v2.7 data 28/02/2009), ni Trojan Remover ne donne d'alerte ?

Ce qui est rare quand un Clamwin gratuit (de sourceforge.net), Portable Antivirus, repère le malware

(même avec une version qui n'est pas la dernière née) : Scan Started Thu Feb 28 : e-greetings.exe: Trojan.IRC-Script-126 FOUND

= une sale bête (this program creates SVCHOST.EXE : qui est un processus normal de Window$, en plusieurs instances -> difficile à pister, bien camouflé)

C'est le Program.mIRC.603 de Drweb
 

Extraits des Headers des spam's :

Spam1 : Received: from lynx.hostmysite.net (unverified [76.12.24.89]) by mail.register.be (Rockliffe SMTPRA 8.0.4) with ESMTP id <B0089429763@mail.register.be> for <removed>; Wed, 27 Feb 2008 22:32:19 +0100
Received: from User ([67.117.22.169]) by lynx.hostmysite.net with Microsoft SMTPSVC(6.0.3790.3959); Wed, 27 Feb 2008 16:15:14 -0500
From: "e-greetings.com"<greeting@all-yours.net>
Subject: You have recivied a E-Greetins Card
Message-ID: <LYNXsQwY6YHkidcDjoY00000b96@lynx.hostmysite.net>

Expéditeur du spam : 67.117.22.169

USA

CALIFORNIA

SAN FRANCISCO

JANE REHBERG-CALIFORNIA

 

Spam2 : Received: from nehgsmail.nehgs.local (unverified [64.69.105.42]) by mail.register.be (Rockliffe SMTPRA 8.0.4) with ESMTP id <B0089525228@mail.register.be> for <removed, same as Spam1>; Thu, 28 Feb 2008 12:51:19 +0100
Received: from User ([67.100.46.162]) by nehgsmail.nehgs.local with Microsoft SMTPSVC(6.0.3790.3959); Thu, 28 Feb 2008 06:28:37 -0500
From: "e-greetings"<e-card@all-yours.net>
Subject: You received a hallmark E-Card.
Message-ID: <NEHGSMAIL9t0CI76rOJ00001add@nehgsmail.nehgs.local>

Expéditeur du spam : 67.100.46.162

USA

PENNSYLVANIA

PHILADELPHIA

COVAD COMMUNICATIONS CO

Hébergement du virus : louder.ucoz.de

Name: louder.ucoz.de - IP Address: 208.100.5.254 - Location: Chicago - Network: STEADFAST-2 / .de comme Chicago ?

208.100.5.254 - s2.ucoz.net

USA

ILLINOIS

CHICAGO

NOZONE INC

*****************************************************************************

Un spam du 4 mars 2008 : même saloperie de la même USA-IP.

Expéditeur du spam : 67.100.46.162

USA

PENNSYLVANIA

PHILADELPHIA

COVAD COMMUNICATIONS CO

Virus dans le "click here" = http:// blax.ucoz.com/e-greetings.exe = IRC Trojan hébergé aux USA.

Scan type: Auto-Protect Scan - Event: Threat Found! - File: .. \Temporary Internet Files\Content.IE5\...\e-greetings[1].exe
Action taken: Clean failed : Delete failed : Access denied - Date found: mardi 4 mars 2008 17:45:06

blax.ucoz.com = 208.100.5.242

USA

ILLINOIS

CHICAGO

NOZONE INC

 

Received: from www11.mywonaddress.com (unverified [209.50.76.11]) by mail.register.be (Rockliffe SMTPRA 8.0.4) with ESMTP id <B0090439441@mail.register.be> for <REMOVED>; Tue, 4 Mar 2008 16:33:05 +0100
Received: from User (h-67-100-46-162.phlapafg.covad.net [67.100.46.162]) (authenticated bits=0) by www11.mywonaddress.com (8.13.1/8.13.1)

with ESMTP id m24I8n2n028699; Tue, 4 Mar 2008 10:09:01 -0800
Message-Id: <200803041809.m24I8n2n028699@www11.mywonaddress.com>
From: "e-greetings.com"<hallmark@e-greetings.com>
Subject: You received a hallmark E-Card.

*****************************************************************************

Un spam du 11 mars 2008 : même saloperie de la même USA-IP, répertoriée sur Internet

Expéditeur du spam : 67.100.46.162

USA

PENNSYLVANIA

PHILADELPHIA

COVAD COMMUNICATIONS CO

Virus dans le "click here" = http:// kinky.ucoz.lv/e-greetings.exe = IRC Trojan hébergé en Russie.

kinky.ucoz.lv = 217.199.217.9

RUSSIAN FEDERATION

LEASED-LINE CUSTOMERS

Name: s9.ucoz.ru - IP Address: 217.199.217.9 = MASTAK.RU / www.ucoz.com - Location: MOSKVA - Network: 217-RIPE

 

Note : en cliquant sur le lien, on est prévenu de la dangerosité du fichier !

Si on le télécharge quand même, on obtient :

Scan type: Auto-Protect Scan - Event: Threat Found! - Threat: IRC Trojan - File: ...\Temporary Internet Files\Content.IE5\...\e-greetings[1].exe
Action taken: Clean failed : Delete failed : Access denied - Date found: mardi 11 mars 2008 11:26:07

 

Received: from mailgate006.isp.belgacom.be (mailgate006.isp.belgacom.be [195.238.5.212]) by maildelivery018.isp.belgacom.be (Postfix) with ESMTP id 348E63AC08D for <[removed]>; Tue, 11 Mar 2008 10:29:28 +0100 (CET)
Authentication-Results: in.mx.skynet.be; dkim=neutral (message not signed) header.i=none
Received: from barracuda.gilmour.org (HELO GAFRONT.gilmour.local) ([209.57.35.5]) by in.mx.skynet.be with ESMTP; 11 Mar 2008 10:28:52 +0100
Received: from User ([67.100.46.162] RDNS failed) by GAFRONT.gilmour.local with Microsoft SMTPSVC(6.0.3790.3959); Tue, 11 Mar 2008 04:59:02 -0400
From: "e-greetings.com"<hallmark@e-greetings.com>
Subject: You received a hallmark E-Card.

*****************************************************************************

Un spam du 13 mars 2008 : même saloperie mais expédiée d'une autre IP (Allemagne)

Toujours le même message (cfr. ci-dessus, Hallmark).

Fichier très suspect dans le "click here" = http:// 216.70.123.87/~user/card.exe = hébergé aux USA.

216.70.123.87 = invisible.com.au (Dave Thomas)

USA

CALIFORNIA

SAN DIEGO

MEDIA TEMPLE INC

Pas d'alerte de NOD32 ni de NAV au 13/03/2008

Kaspersky detected : Client-IRC.Win32.mIRC.603 File: ..:\Temp\card.exe/spoolsv.exe (camouflage)

Aliases : IRC/Flood.mirc (McAfee), IRC Trojan (Symantec), IRC.Kelebek (Doctor Web), Troj/IRCBot-AB (Sophos), BKDR_IRCBOT.I (Trend Micro),

BDS/IRCBot.757248 (H+BEDV), Trojan.Ircbot.AB (SOFTWIN), Bck/mIRCBased.W (Panda), NewHeur_PE (Eset).
 

Received: from mailgate001.isp.belgacom.be (mailgate001.isp.belgacom.be [195.238.6.86])by maildelivery007.isp.belgacom.be (Postfix)

with ESMTP id 88DE145C01B for <REMOVED>; Thu, 13 Mar 2008 02:46:30 +0100 (CET)
Authentication-Results: in.mx.skynet.be; dkim=neutral (message not signed) header.i=none
Received: from unknown (HELO d29fc.uni-lueneburg.de) ([193.174.41.14])by in.mx.skynet.be with ESMTP; 13 Mar 2008 02:46:30 +0100
Received: by d29fc.uni-lueneburg.de (Postfix, from userid 1035)id 2D1E925213C; Thu, 13 Mar 2008 02:31:50 +0100 (CET)
Subject: You've received A Hallmark E-Card!
From: hallmark.com <E-Cards@hallmark.com>
Message-Id: <20080313013150.2D1E925213C@d29fc.uni-lueneburg.de>

 

Expéditeur du spam : 193.174.41.14

GERMANY

NIEDERSACHSEN

LUENEBURG

GEMEINSAMES RECHENZENTRUM

 

Suivi : 48 heures plus tard, 15/03/2008 06:15, le lien du spam affiche :

 

Name : invisible.com.au - IP Address : 216.70.123.87
Location : Inglewood - Network : MEDIATEMPLE-102

 

15/03/2008 Am : le fichier "card.exe" est placé (seul) sur une clé USB (M:\) -> test "Antivirus en ligne" : webantivirus (vous devrez télécharger de nombreux  contrôles ActiveX et vous armer de patience du style " 560 secondes restantes").

- BitDefender On-Line -> Analyse finie. Objets analysés: 1 / Objets infectés: 0
- eTrust online -> Virus scan finished. No viruses found.

- F-Secure Online Virus Scanner -> Online Scanner has finished. No malware was found.

Note : le fichier "card.exe" est probablement une archive autodécompressable car F-Secure signale 16 fichiers analysés.

- McAfee FreeScan -> on ne peut pas choisir le disque de son choix

-> abandonné par manque de convivialité.

- Symantec -> aucun choix possible de la cible à analyser et il commence par notre disque d'archives des "user's data" en L:\  : ??? -> abandonné par manque de convivialité.

- Secuser.com, antivirus gratuit : c'est le Trend Micro -> il trouve tous les disques et répertoires pour sélectionner la cible à analyser SAUF la clé USB -> transfert du fichier à analyser dans un répertoire temporaire -> HouseCall did not find any potential threats on your computer.

- Panda : "ActiveScan est mis à jour pour détecter les virus et les logiciels espions les plus récents. De plus, grâce aux Technologies TruPrevent™, ActiveScan détecte les virus et les autres menaces que les produits antivirus traditionnels ne peuvent pas détecter. " -> Analyses des processus en mémoire et M:\ ... ->

 

Virus :Bck/MIRCBased.BI CARD.EXE[spoolsv.exe]

La bestiole : mIRCBased.BI is a backdoor that allows hackers to gain remote access to the affected computer in order to carry out actions that compromise user confidentiality and impede the tasks performed on the computer. It reduces the security level of the computer: it awaits remote-control orders received through IRC. mIRCBased.BI does not spread automatically using its own means. It needs an attacking user's intervention in order to reach the affected computer. The means of transmission used include, among others, floppy disks, CD-ROMs, email messages with attached files, Internet downloads, FTP, IRC channels, peer-to-peer (P2P) file sharing networks, etc.

Il faut vraiment de la patience et "le vouloir" pour identifier cette saloperie.

 

Suivi : le fichier n'ayant pas été repéré par trois antivirus installés en local lors de son téléchargement, il a été conservé dans le répertoire Temp d'une clé USB et a été régulèrement (re)testé depuis le 13 mars 2008, au fur et à mesure des mises à jour de NAV, NOD32 et Kaspersky.

Etrangement, le 9 avril 2008, lors de l'exploration de la clé USB (S:\ dans ce PC), NAV signale : Scan type: Auto-Protect Scan - Event: Security Risk Found! - Risk: Trojan.Dropper - File: S:\Temp\card.exe - Action taken: Cleaned by Deletion.
Etrangement car le "Trojan.Dropper" de NAV est connu depuis le 2 février 2000 ?

The Trojan droppers are similar to an installer, but they only drop Trojans or back doors, and then execute them. Hackers and Trojan writers usually write the Trojan droppers.

 

Suivi : test (sur un PC équipé de Nod32 version 3), le 18/04/2008 : le fichier "card.exe" est stocké en M:\Temp dans une archive "plugin_vir.rar" contenant également deux autres fichiers infectés (cfr. plus haut dans cette page) :

 

 

 

M:\Tmp\card.exe » RAR » a.reg - REG/RunKeys.NAA trojan
M:\Tmp\card.exe » RAR » mirc.ini - IRC/Zapchast.G trojan

 

Backdoor.IRC.Zapchast installs IRC server script and configuration files that allow the infected machine to be used as a server. Certain IRC channels specified in the configuration files connect to the server, making the infected machine vulnerable to remote attackers.

 

Retest du lien qui nous avait amené ce "card.exe" : http://216.70.123.87/~user/card.exe : plus disponible mais AvantFind trouve une référence directe qui mentionne exactement cette URL : http://www.malware.unam.mx/?semana=11&anio=2008

Este binario activa el proceso llamado spoolsv para establecer una conexión a través de un canal IRC. Sin embargo, observando detenidamente la actividad del bot se encontró que el malware establece conexión con otros dos C&C.

= This binary one activates the called process spoolsv to establish a connection through a channel IRC. Nevertheless, observing at great length the activity of bot one was that malware establishes connection with other two C&C.

La finalidad de este bot es transferir archivos a sus equipos zombies ya que en su comunicación se observa que utiliza comandos de DCC (Direct Client-to-Client), un módulo de IRC para este fin. El suceso que destaca en este bot es la manera en que se puede comunicar con diferentes servidores IRC utilizando distintos nombres de usuario en cada sesión. De acuerdo con los reportes recibidos hasta el momento, este bot comienza a tener gran impacto tanto en la red nacional como hacia afuera. Continuaremos pendientes ...
= The purpose of this bot is to transfer archives to its equipment zombies since in his communication it is observed that it uses DCC commandos (Direct Client-to-Client), a module of IRC for this aim. The event that emphasizes in this bot is the way in which it is possible to be communicated with different servants IRC using different names from user in each session. In agreement with the reports received until the moment, this bot begins to as much have great impact in the national network as towards outside. We will continue pending…

---

Et il insiste, le Bougre :

le 15/03/2008, il a hébergé son virus en http:// 216.69.179.61/~test/card.exe : ip-216-69-179-61.ip.secureserver.net = www.mclanemedia.com

216.69.179.61

USA

ARIZONA

SCOTTSDALE

GODADDY.COM INC

 

Received: from mailgate007.isp.belgacom.be (mailgate007.isp.belgacom.be [195.238.5.213]) by maildelivery020.isp.belgacom.be (Postfix)

with ESMTP id 2D1AD7AC003 for <REMOVED>; Sat, 15 Mar 2008 15:47:06 +0100 (CET)
Received: from gnax-atl-southernnursery-lan20.gnax.net (HELO sna.org) ([209.51.135.180]) by in.mx.skynet.be with ESMTP; 15 Mar 2008 15:47:05 +0100
Received: from localhost (localhost [127.0.0.1]) by sna.org (Postfix) with ESMTP id 26B442BC0E5A for <REMOVED>; Fri, 14 Mar 2008 23:56:46 -0400 (EDT)
Received: from sna.org ([127.0.0.1]) by localhost (gnax-atl-southernnursery-lan8.gnax.net [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 18533-07 for <REMOVED>; Fri, 14 Mar 2008 23:56:46 -0400 (EDT)
Received: by sna.org (Postfix, from userid 1042) id 226B92B36343; Fri, 14 Mar 2008 10:15:18 -0400 (EDT)
Subject: You've received A Hallmark E-Card!
From: hallmark.com <E-Cards@hallmark.com>
Message-Id: <20080314141518.226B92B36343@sna.org>

 

Expéditeur du spam : gnax-atl-southernnursery-lan20.gnax.net : 209.51.135.180

USA

GEORGIA

ATLANTA

GLOBAL NET ACCESS LLC

sna.org (209.51.135.180), GNAX ENGINEERING

---

03/03/2008 : Zhelatin.VG est un virus qui se propage par courrier électronique. Il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un message sans fichier joint invitant à ouvrir une carte virtuelle du site Funnypostcard. Il ne faut pas cliquer sur le lien ni télécharger les fichiers ecard.exe, e-card.exe ou postcard.exe. Si un de ces fichiers est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité installés puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies.

---

12/02/2008 : Tibs.IC est un virus qui se propage par courrier électronique. Il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un message sans fichier joint invitant à télécharger une carte pour la Saint-Valentin.

Si l'internaute clique sur le lien http://IP.ADRESS, il est dirigé vers une page d'apparence variable intitulée "Your Valentine" qui invite à télécharger un fichier valentine.exe censé être une carte ou une animation pour la Saint-Valentin.

Si ce fichier est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité les plus populaires puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".

---

Soyez prudents avec les messages proposant des vidéos gratuites (février 2008)

Spamming Mailbombing

 

Exchanger.B est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courrier électronique sans fichier joint invitant à télécharger une vidéo gratuite concernant une célébrité américaine : "New naked Britney video", "Paris Hilton New Video Auditioning Topless", "Full video with Paris Hilton + 2 black guys", ...

 

See new naked Britney video in attachment!
The video is crazy!
Only 1 day trial - get this video now!
Get it now!

 

TR/Crypt.FKM.Gen (Antivir) - Trojan-Downloader.Win32.Exchanger.b (F-Secure) - Trojan-Downloader.Win32.Exchanger.b (Kaspersky) - Troj/Dload-BA (Sophos) - Downloader (Symantec).

---

Soyez prudents : les malwares de la Saint-Valentin sont déjà là (15 janvier 2008)

 

= Worm, W32/Zhelatin.PY

---

Spam avec "phishing trojan", février 2008

 

Le spam :

Le virus (cheval de Troie) :

 

Expéditeur du spam avec virus : 217.132.158.2

ISRAEL

TEL AVIV

TEL AVIV

BB-HFA

---

Page piègée, janvier 2008

 

High risk - Trojan-Downloader.JS.Psyme.HX

High risks are typically installed without user interaction through security exploits, and can severely compromise system security. Such risks may open illicit network connections, use polymorphic tactics to self-mutate, disable security software, modify system files, and install additional malware. These risks may also collect and transmit personally identifiable information (PII) without your consent and severely degrade the performance and stability of your computer.

 

hightstats.net (88.255.90.252) : AbdAllah Internet Hizmetleri - Turk Telekom - Cybercrime Hosting

88.255.90.252

TURKEY

ABDALLAH INTERNET HIZMETLERI

Le site Internet de l'ambassade de France en Libye est dangereux. En nous rendant sur la page ambafrance-ly.org, il a été découvert qu'un pirate avait caché une iFrame, une ligne de code supplémentaire, dans le code source de ce site des représentants diplomatiques Français en Libye. Cet iFrame installe, dans les ordinateurs des visiteurs, des codes malicieux. Plusieurs missions dans cette attaque. La première, publicitaire, elle affichait, au moment de notre découverte, une pharmacie en ligne basée à Hong-Kong. Seulement, cette publicité pour du Viagra et autres médicaments, semble cacher un autre dessin moins "bandant". Nous avons découvert que l'iframe allait chercher plusieurs autres codes, dont un logiciel qui semble être un keylogger, un logiciel capable d'intercepter les frappes d'un clavier. Un piége particulièrement bien mené. L'iframe renvoyait d'abord sur un site en Turquie, chez l'hébergeur AbdAllah Internet Hizmetleri, puis à Hong-Kong, chez HostFresh, pour se diviser en deux routes distinctes chez Singer-Computer Ltd (Russie) et chez TeleGroup Ltd (Ukraine). - 12 décembre 2007. & Google résultats : 9 pour "AbdAllah Internet Hizmetleri" + trojan

 

2005-search : Page piègée, janvier 2008

 

JS/TrojanDownloader.Psyme.NBZ : peu documenté

Google résultats : environ 141 pour "2005-search.com" + trojan downloader

 

Test de 2005-search.com/test

Redirige sur 1800-search.com

 

2005-search.com (85.255.117.212) & 1800-search.com (85.255.117.213)

85.255.117.212 & 213

UKRAINE

UKRTELEGROUP LTD

---

Nuisances cumulées, janvier 2008 :

- Nuisance 1, un spam polonais :

 

 

X-Message-Info: v3EOnANkQL0w7rMthpQ/zd4vz7UIELlsDcucuYrt9d8JmFMCm3Cn7aInZN8H4D5hbQyUa63rdwy8xuglA18qL4On5gKD1eh8
Received: from bay0-omc2-s35.bay0.hotmail.com ([65.54.246.171]) by bay0-imc3-s30.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2444); Sun, 20 Jan 2008 12:24:19 -0800
Received: from BAY140-W27 ([64.4.39.62]) by bay0-omc2-s35.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.3959); Sun, 20 Jan 2008 12:24:11 -0800
Message-ID: <BAY140-W2786841EC3E0C140C9547FDE3C0@phx.gbl>
Return-Path: autocoenobium.belanger_@hotmail.com
X-Originating-IP: [195.16.91.6] : lan-szombierki-91-6-nat.streamnet.pl (195.16.91.6) : Stream Communications Sp. z o.o.- 31-406 Krakow, Poland
 

URL référencée par le spam : http://www. hervinolssa.com/81/2/ : 69.208.164.199 : pornographie (hard avec des animaux)

69.208.164.199

USA

ILLINOIS

CHICAGO

PPPOX POOL - RBACK9 EMHRIL

 

- Nuisance 2 (non approfondie), le nombre de popup's de type pornographique qui s'enchaînent les uns derrière les autres d'une manière particulièrement envahissante et le PC est ralenti. Fermer et réouvrir la session utilisateur -> PC toujours ralenti. Ccleaner & IEPrivacy Keeper & reboot -> PC redevient normal.

---

Documentation : Badware is malicious software that tracks your moves online and feeds that information back to shady marketing groups so that they can ambush you with targeted ads. If your every move online is checked by a pop-up ad, it's highly likely that you, like 59 million Americans, have spyware or other malicious badware on your computer.
Exemples : ABC Scrabble - Acez Jukebox - Dollar Revenue - Drive Cleaner 2006 - Fake-Mailer - FastMP3Search Plugin - FreeWire - Funcade - Italian Soccer - Jessica Simpson Screensaver - Kazaa - Mediapipe - My SHC Community - Popcorn.net - Puzzle Desktop - RealPlayer - SpyAxe - UnSpyPC - WinAntiSpyware 2006 - WinAntiVirus 2006 - Winfixer - www.themeXP.org.

---

Archives :

- page 1, 2006

- page 2, 2007

- page 3 (janvier 2008)

 

Documentation concernant les faux logiciels de sécurité (très en vogue en 2007; cfr. page 2) : PC Astuces, Rogue Remover

Que nous réserve l'année prochaine en matière de sécurité informatique : les huit grandes menaces attendues en 2008, selon ZDNet

---

Exemple d'arnaque du type "fraude 4-1-9" (aussi appelée scam 419, ou arnaque nigériane) via autoscout.be , en annexe-scam

Spam's : en annexe-spam

---

Win32/Surila.X cheval de Troie & Win32/VB.NEI worm - From AFRICNIC, IP 212.96.25.236, en annexe 1

Win32/Bagle.gen.zip worm - From WANADOO France Telecom (Bayonne), en annexe 2

Win32/Mydoom.R worm - en annexe 3 (start : 21 septembre 2006 - end : 31 janvier 2007)

---

à mon Adorable Puce Nath Kiné-online.com - VinoSoft PC Trading Selection Computers Brussels Bruxelles Europe [atelier@1200, Kentucky@1140 & Montana@1140] - Tous nos transports par BMS Delivery - Serrurerie, une seule adresse : Symulak - Worthington Distributor : Gestimed - Electricien (et câblage réseau) : "Engineering Office Associated - Ces&Co" - Rénovation des bâtiments : Top Renove sprl - Internet : TriPod WebDesign - Internet : hébergement et stratégies marketing (Boberlin, Benjamin Bobon) - Culture : Café Théatre "des 2 gares" - Artistes Peintres : Michèle Kumps & Jacques Kumps - Auteur Compositeur de musique celtique : Alain Herickx - VinoPlanet - VinoWeb - MiniZoo - ACWeb - Amis des Oiseaux : Charlotte Webmaster - Elevage familial de bergers belges : les loups de la nuit (à Lillois; dressage à Molenhof) - MBTronics.com (composants électroniques) -  Antivirus en ligne (web-antivirus) - safeweb.norton - mywot.com (Web Of Trust).

---