VinoSoft Malware Report

Annexe (suite) - Sécurité - Page 2

Archives (page 1, 2006)

La suite (fin 2007 et 2008) sera en http://www.vinosoft.com/malware.htm

Noël 2007 : Storm Worm du 24/12/2007 : Mrs. Clause Gone Wild

Zhelatin.PD se présente sous la forme d'un message sans fichier joint faisant la promotion d'un site intitulé "Mrs. Clause",

qui invite à télécharger un programme censé permettre de déshabiller de jeunes femmes déguisées en Père Noël.

Il ne faut pas cliquer sur le lien ni télécharger le fichier concerné

stripshow.exe est une variante du virus Storm Worm.

Si ce fichier est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité les plus populaires puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".

Décembre 2007

Soyez prudents : encore un faux AntiSpyware : AntiSpyShield (rogue) et VirusProtect infection.

Note : l'antivirus du Client a été désinstallé par les "AntySpyShield/VirusProtect" nuisances.

L'information ci-dessus est fausse.

Il ne faut cliquer sur rien, fermer iexplore.exe via le gestionnaire de tâches.

Sinon ->

Bonjour les dégâts présents et à venir puisque l'on se retrouve sans antivirus.

www.antispyshield.com (69.50.167.18, USA) = http://antispyshield.com (InterCage, Inc.)

Cette saloperie ricaine est relativement récente : 12 Septembre 2007.

AntiSpyShield is known to be pushed/advertised by various trojan horse programs that use aggressive and deceptive techniques to frighten the user into purchasing the program.

AntiSpyShield may report exaggerated claims of spyware found or false positives but will not remove spyware unless the user purchases the program.

Quan nous parlons de saloperie, ce n'est vraiment pas une méchanceté gratuite :

allez sur le site de antispyshield.com et (ne) cliquez (pas) sur "start free scan" (ou n'importe quel autre bouton) ...

... car le résultat est (NAV) : AntiSpywareShieldSetup[1].exe : Downloader.MisleadApp

...\Temporary Internet Files\Content.IE5\...\,Infected; it downloads misleading applications on to the compromised computer.

Après un premier nettoyage des répertoires qui peuvent être détruits sans problème comme celui de AntiSpyShield et après inhibition du System_Restore, test Spybot :

- Smitfraud-C.: Réglages Autorun (Valeur du registre)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\start
VirusProtect: Class ID (Clé du registre)
- HKEY_CLASSES_ROOT\CLSID\{B7C9058D-0F9C-32C0-83B6-740DFD8A6726}
- Zlob.Downloader.oid: Réglages utilisateur (Clé du registre)
HKEY_USERS\S-1-5-21-1729697498-643571872-1238661117-1007\Software\Online Add-on
- Zlob.Downloader.vdt: Réglages utilisateur (Valeur du registre)
HKEY_USERS\S-1-5-21-1729697498-643571872-1238661117-1007\Software\Online Add-on\Path=...C:\Program Files\Video Add-on...

Malheureusement, Spybot signale qu'il ne peut pas détruire la totalité de ces spywares (Zlob) -> run at restart; résultat : "pas de mouchard".

Or, selon CounterSpy, il en reste :

+ to be continued (voir ci-dessous)

- Trojan-Downloader.Zlob.Media-Codec is a program that typically purports to be a needed upgrade to Windows Media Player in order to view adult oriented videos on certain websites. However, Trojan-Downloader.Zlob.Media-Codec actually downloads and installs additional malware on the user's machine.

- I-Spy (the_seed) Password Cracker/Stealer is a kind of spyware program that captures passwords of dialup, cached, e-mail, network and Mozilla in a text file and uploads that file automatically to a predefined web address.
- Dialer.FastVideoPlayer Porn Dialer

- AntiSpyShield Rogue Security Program is a purported anti-spyware application to scan for and remove spyware from users' computers.

Documentation : Symptômes de Zlob :
Il existe plusieurs signes que votre ordinateur a été infecté par Zlob ou par une autre infection d‘espiogiciel. La détection à temps des symptômes de Zlob peut aider de réduire les dommages à votre ordinateur.Il y a plusieurs symptômes possibles de Zlob que votre ordinateur pourrait avoir.Les symptômes d‘espiogiciel peuvent varier selon le type d‘espiogiciel que vous avez.
- Vous voyez des fenêtres publicitaires excessives. Certains logiciels espion indésirables tels que Zlob peuvent vous attaquer par des fenêtres publicitaires pendant que vous naviguez sur le Web et même quand vous ne le faites pas.Si vous voyez des fenêtres publicitaires qui proviennent des sites web douteux, alors vous pourrez avoir Zlob ou d‘autres types d‘espiogiciel dans votre ordinateur.
- Votre navigateur web possède des composants supplémentaires que vous n‘avez pas demandé de télécharger. L‘espiogiciel peut installer à votre insu une barre d‘outils de recherche ou de navigateur Internet qui apparait flottant sur votre écran ou dans votre navigateur Web. Si vous appercevez certaines icônes ou outils que vous ne vous rappelez pas d‘avoir ajouté, alors il se peut que vous soyez infectés par Zlob ou d‘autres types d‘espiogiciel dans votre ordinateur.
- Vos paramètres ont été changés à votre insu. Certains logiciels espion indésirables tels que Zlob peuvent changer votre page d‘accueil de défaut ou les paramètres de la page de recherche ce qui signifie que la page web de défaut que vous sélectionnez ou la page qui apparaît quand vous faites la recherche a été commutée à la page que vous ne connaissez pas. Même si vous essayez de restaurer vos paramètres, l‘espiogiciel Zlob peut la commuter de nouveau quand vous redémarrez votre ordinateur.
- Votre ordinateur est plus lent que d‘habitude. Zlob peut utiliser les ressources de système de votre ordinateur pour exécuter ces tâches malicieuses. Zlob peut se servir de votre mémoire, connections à l‘Internet et de votre bande passante pour s‘exécuter. Le changement brusque de la vitesse de votre ordinateur peut signaler qu‘il est infecté par Zlob ou d‘autres types d‘espiogiciel dans votre ordinateur.

Zlob est d'habitude installé par les trous de sécurité dans un navigateur ou installé par des mass-média codec (c'est le cas dans cet ordinateur : un fichier vidéo avec une blaque !, selon l'Utilisateur)

Zlob créera un trou de sécurité où un logiciel espion et anti-logiciel espion frauduleux peuvent être installés.

Soyez prudents - décembre 2007 - méfiez-vous des PostCards !

Le message :

Via les "headers", le "Click here" donne : http://host188-235-static.112-81-b.business.telecomitalia.it/~mysql/postcard.gif.exe

- "postcard.gif" peut laisser croire à une image mais le .exe invalide cette idée et confère une caractère potentiellement dangereux

- la synthaxe du lien semble bien loin du site (inoffensif) de Hallmark Ecard

- ce site (www.hallmark.com) est américain et nous le voyons peu héberger ses cartes postales (exécutables) sur TELECOM ITALIA

Expéditeur du message : ns.km22403-04.keymachine.de (87.118.98.91; Allemagne)

Received: from www.weiss.de ([87.118.98.91]) by bay0-mc5-f19.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2668); Sun, 16 Dec 2007 04:58:19 -0800
Received: by www.weiss.de (Postfix, from userid 33) id DEE8B1D973C; Sun, 16 Dec 2007 13:50:37 +0100 (CET)

Ne pas cliquer sur ce genre de message, même en période de fêtes de fin d'année, car (nous l'avons fait pour Vous) :

(NOD32)

Décembre 2007, spam, soupçon de piège (Christmas Greeting)

Un spam nous conduit sur un site :

- qui nous paraît douteux : americangreetings.846123.cn (= Chine) alors que le site original est en www1.americangreetings.com

americangreetings.846123.cn (202.83.212.250) : Singtel, Hong Kong
www1.americangreetings.com (72.247.238.178) : Akamai Technologies, USA

americangreetings.com (64.14.122.163) : Savvis, USA

- qui veut installer Adobe Flash Player édité par Jeanette K Murphy et signé du 23/12/2007

Alors que sur le site Adobe, ce Flash Player Installer est édité par Adobe et signé du 04/12/2007

Le test de validation de "piège-soupçonné" n'a pas été effectué.

Décembre 2007

Le nombre de programmes malveillants a doublé en 2007, selon F-Secure. L'éditeur de logiciels antivirus indique disposer d'environ 500 000 signatures de programmes malveillants (malwares) en cette fin 2007, contre quelque 250 000 douze mois plus tôt. « Nous avons détecté autant de nouveaux malwares cette année qu'au cours des vingt dernières années », précise F-Secure. ... La majorité de malwares circulant sur le Net ciblent Windows XP. En 2008, ils devraient aussi s'intéresser de près à Windows Vista, prédit F-Secure.

Nous n'avions plus reçu de message électronique contenant un virus depuis le 27 août 2007 !

Voici celui qui rompt la tranquilité de nos comptes de messagerie après quasi trois mois d'accalmie, expédié par un Germain :

Received: from gimpmaschine (unverified [84.158.254.147]) by mail.register.be (Rockliffe SMTPRA 7.0.6) with SMTP id <B0050768818@mail.register.be> for <notre_adresse>; Sat, 24 Nov 2007 14:25:30 +0100
Message-ID: <B0050768818@mail.register.be>
Received: (qmail 1491 invoked by uid 0); Sat, 24 Nov 2007 14:23:21 -0000)
Received: from unknown (HELO ffzfmhrcwphr) (84.158.254.134) by 84.158.254.147 with SMTP; Sat, 24 Nov 2007 14:23:21 -0000
From: linda <linda.thompson@selectplans.com>
To: <notre_adresse>
Subject: [virus Win32/Stration.XW worm] Your Information.
Dear mister Green/Grin, According to your request we are sending you the instruction for your personal account access and the authorization module. We kindly ask you to keep this module in a safe place on your computer and escape the situations of losing or damaging it. Please feel free to contact our Customer Support representatives in case of any problems via the phone number 8 - 800 195 200 100 - Best regards, Customer Suppport - Bank Trust Corp.
Warning: NOD32 antivirus system found the following in the message: access.exe - Win32/Stration.XW worm - renamed to access.vexe

Content-Disposition: attachment; filename="WriteDown.pdf"

Expéditeur du virus : 84.158.254.134

GERMANY

BADEN-WURTTEMBERG

BAD WILDBAD

DEUTSCHE TELEKOM AG

La bestiole : Warezov.PK = Win32/Stration.XW de NOD32 est un virus qui se propage par courrier électronique. Il se présente accompagné d'un ou plusieurs fichiers joints sous la forme d'un message contenant en apparence des données sensibles (résultats d'analyse médicale, factures), laissant croire au destinataire qu'il lui a été envoyé par erreur afin d'exciter sa curiosité. Si le fichier joint exécutable "comme access.exe" est exécuté, le virus se copie sur le disque dur, modifie la base de registres pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, s'envoie aux adresses figurant dans le carnet d'adresses Windows et divers fichiers, puis tente de télécharger et d'exécuter un fichier depuis un site web distant.

Le domaine de l'adresse de l'expéditeur est bien répertoriée dans Google : environ 208 résultats pour "selectplans.com" + virus

Ce domaine n'existe pas : Unable to resolve hostname selectplans.com to IP address.

Novembre - Décembre 2007

le faux AntiSpyware, rogue SWS AntiSpyware 2007 sévit toujours.

Le popup (fenêtre indésirée, s'affichant spontanément à l'ouverture du navigateur Internet) :

Code PC044LI4_Braine_P4 - 2007K27-L01 - Symptôme : Blue Screen of Death

Après résolution de l'"écran bleu de la mort" cher à l'ami Bill, le PC a été nettoyé suite à une double attaque :

par le Trojan.Skintrim & par W32.IRCBot.Gen

Cfr plus bas dans cette page, en octobre 2007.

Dans le cas présent, le PC n'est pas affecté d'un ralentissement dans son fonctionnement.

Nous suspectons que cette infection "de traîne" soit liée à un spyware qui n'a pas été détruit car :

1/ spybot n'y est pas parvenu

2/ la toolbar eBay est un outil intensivement exploité par l'Utilisatrice.

PC à revoir pour éradiquer cette nuisance résiduelle puisque cette toolbar semble être infectée ?

Documentation : cfr. Google

Et : cet adware est probablement installé, entre autre, par les programmes suivants : go-astro - Instant Access - InternetGameBox - GoRecord - HotTVPlayer - MailSkinner - Messenger Skinner - sudoplanet - Webmediaplayer.

Investigation : URL du popup :

http://fp.pc-on-internet.com/sws/021/?al2=1&alfl2=1&nums=N03HBEH9Z-FCC1QqhAAK&login=5029564&mediaid_prefix=005&asked_billing_id=2&time=312e3433

Dans notre navigateur "Avant" : http://fp.pc-on-internet.com = Oops, we can't open the web page you requested ...

Dans Firefox : http://fp.pc-on-internet.com redirige sur http://www.pc-on-internet.com/ mais " Firefox ne peut établir de connexion avec le serveur à l'adresse www.pc-on-internet.com"

Il n'y a non plus pas de page Web sur http://87.242.90.133/ : "The requested HTTP/1.1 virtual host was not found on this server."

Or SmartWhois signale :

87.242.90.133

RUSSIAN FEDERATION

MOSKVA

MOSCOW

FAVORIT-MASTER

Explication : ce site est (judicieusement) bloqué dans notre PC de test, par Spybot Assistant IE :

Sur Google, la recherche de cette URL donne :

Le cache de Google donne :

Autre popup disponible sur ce même site russe (de merde) :

http://fp.pc-on-internet.com/sws/017/?al2=1&nums=N000FRH5Z-FCC1QqLAAe&login=672125&mediaid_prefix=005&asked_billing_id=2&time=312e323132

Une proposition de solution probable, trouvée dans les forum's, est : "Télécharge Navilog sur le site de l'Auteur " (à utiliser avec précautions).

... à suivre.

Octobre - Novembre 2007 - Secuser Info : fichier PDF piégé : soyez prudents !

Pidief.A se présente sous la forme d'un courrier électronique accompagné d'un fichier PDF, en tentant de se faire passer pour une facture ou un autre document. C'est un programme malicieux de type cheval de Troie, c'est-à-dire un programme hostile incapable de se multiplier et de se propager par lui-même contrairement aux virus. ... son auteur utilise la technique du spamming pour le diffuser. Le cheval de Troie se présente sous la forme d'un courrier électronique dont le titre, le corps et le nom du fichier joint sont variables. L'adresse de l'expéditeur du message est usurpée ou composée aléatoirement. Quelques titres de messages : "INVOICE alacrity" "INVOICE depredate" "STATEMET indigene". La pièce jointe est un fichier possédant une extension .pdf, dont la taille est environ 4 Ko : "INVOICE.pdf" "YOUR_BILL.pdf" "BILL.pdf" "STATEMET.pdf". Si ce fichier est ouvert sur un ordinateur Windows XP non à jour dans ses correctifs de sécurité, le cheval de Troie se copie sur le disque sous le nom ldr.exe, s'exécute en exploitant la faille PDF, désactive le pare-feu de Windows puis tente de télécharger et d'exécuter d'autres programmes malicieux depuis un site distant.

Pour éviter ce danger : mettre à jour Adobe Acrobat PDF Reader

Cas concret : message contenant un PDF vérolé, chez un de nos Clients (dépisté / détruit par Nod32) :

Received: from (host-196.218.185.228.tedata.net [196.218.185.228] (may be forged)) by itaipu.is.scarlet.be with ESMTP id l9TNwrWw022526;Tue, 30 Oct 2007 00:59:02 +0100
Received: from [196.218.185.228] by mx1.icq.mail2world.com; Tue, 30 Oct 2007 02:21:38 +0200
Message-ID: <01c81a9b$99cb9c10$e4b9dac4@tfire>
From: "Clinton Stubbs" <tfire@icqmail.com>
To: <[renoved]@tiscali.be>
Subject: [virus PDF/Exploit.Shell.A trojan] Financial statement - Please review your Financial statement.

Warning: NOD32 antivirus system found the following in the message : debt.2007.10.29.6430407.pdf

Expéditeur du virus (may be forged) : 196.218.185.228

EGYPT

AL QAHIRAH

CAIRO

AUTO-ZONE-DSL

Avira : EXP/CVE-5020.A - Exploit = Mcafee : Exploit-PDF = Eset Nod32 : PDF/Exploit.Shell.A trojan - Date de la découverte : 23/10/2007

Documentation, chez Avira : Effets secondaires : BILL.PDF - YOUR_BILL.PDF - INVOICE.PDF - STATEMENT.PDF : arrêt des applications de sécurité - télécharge un fichier malveillant ...

Faux antivirus découvert dans un PC en novembre 2007 : WinAntiVirusPro2006 (parmi d'autres spywares)

Note :

étrangement ce logiciel WinAntiVirusPro2006 considéré par Spybot comme un spyware est en téléchargement chez ZDNet.fr :

Est-ce possible que ZDNet propose le téléchargement d'un logiciel plus que douteux ?

Encore plus étrange sur Zdnet : le logiciel aurait été mis en ligne le 1 janvier 1970 !

Tout aussi bizarre, lorque l'on demande le téléchargement du logiciel, on arrive sur :

1.-

2.- rien ne démarre

3.- "cliquez ici" donne une page chez CNET qui ne propose pas le téléchargement ?

4.- : "Search" chez CNET donne : "Sorry, we didn't find any matches for "WinAntiVirusPro2006" at CNET"

Et 5.- si l'on recherche selon "Search for "WinAntiVirusPro2006" on downloads with CNET Download.com", on obtient :

Ce logiciel a donc probablement été enlevé (suite à sa "toxicité") des téléchargements chez Cnet et chez ZDNet.

Selon ZDNet : Auteur/Editeur de WinAntiVirusPro2006 = Winsoftware; le lien référencé sur ZDNet donne : http://winantivirus.com qui n'est pas accessible dans notre navigateur :

Or, selon SmartWhois de all-nettools.com, le domaine existe (au Canada) :

66.244.254.64

CANADA

ONTARIO

PETERBOROUGH

BIG PIPE INC

Interrongons whois.net ->

L'IP rapportée par Whois.net est différente de celle affichée par SmartWhois de all-nettools.com ?

Elle serait au Colorado, USA ?

128.121.95.55

USA

COLORADO

ENGLEWOOD

NTT AMERICA INC

Interrongons le Registrat : whois.tucows.com ->

Le domaine serait enregistré par un Ukrainien (Kiev)

Documentation générale en matière de rogues : The Spyware Warrior List of Rogue/Suspect Anti-Spyware Products & Web Sites.

Novembre 2007 - Secuser Info : virus pour MSN Live Messenger

Sdbot.CHA est un virus qui se propage via le logiciel de messagerie instantanée Microsoft MSN Messenger. Il se présente sous la forme d'un message contenant un fichier Dance_dec_jpg.zip prétendument envoyé par un contact.

Aliases : HEUR/Crypted (Antivir) - Backdoor.Sdbot.BNI (BitDefender) - PUA.Packed.Themida (ClamAV) - BackDoor.IRC.Sdbot.2091 (Dr.Web) - SDBot.gen9 (F-Secure) - Backdoor.Win32.SdBot.cha (Kaspersky) - SDBot.gen9 (Norman).

Si ce fichier est exécuté, le virus se copie sur le disque dur sous les noms et aux emplacements suivants :

C:\Windows\Dance_dec_jpg.zip & C:\Windows\ccSvcHst.exe
Sdbot.CHA modifie ensuite la base de registres pour s'exécuter automatiquement à chaque démarrage de l'ordinateur, s'envoie à tous les contacts MSN en indiquant aux destinataires que l'expéditeur est absent (afin de les dissuader de vérifier la véracité de cet envoi auprès du contact concerné) puis ouvre une porte dérobée, se mettant en attente d'instructions qui permettent la prise de contrôle à distance de l'ordinateur par un individu malveillant. Si vous recevez des messages semblables, c'est parce que l'ordinateur d'au moins un de vos correspondants est infecté : afin de stopper Sdbot.CHA, contactez la personne indiquée comme étant l'expéditrice des messages par Messenger ou par courriel pour l'informer que son ordinateur envoie des virus et suggérez-lui de contacter l'ensemble de ses contacts MSN pour les prévenir de ne pas ouvrir les fichiers Dance_dec_jpg.zip ou sinon de désinfecter leur ordinateur (ils peuvent rechercher le fichier Dance_dec_jpg.zip sur leur disque dur pour savoir s'ils sont infectés).

Novembre 2007 - Les Nouvelles.Net : Captcha & Melissa

Documentation : « Captcha » est l'acronyme de l'anglais « Completely Automated Public Turing test to Tell Computers and Humans Apart », soit en français, « test public de Turing complètement automatique ayant pour but de différencier les humains des ordinateurs ». Ce test est utilisé sur Internet dans les formulaires pour se prémunir contre les soumissions automatisées et intensives réalisées par des robots malveillants. La vérification utilise la capacité d'analyse d'image ou de son de l'être humain. Un Captcha usuel requiert ainsi que l'utilisateur tape les lettres et les chiffres visibles sur une image distordue qui apparait à l'écran.

La dernière proposition en date des escrocs : aidez des spammers à résoudre le problème des captchas, et vous pourrez voir Melissa toute nue. Il ne s'agit pas d'un jeu vidéo traditionnel : un programme est téléchargé de force sur les ordinateurs des internautes déjà infectés par un autre code malicieux, probablement un bot. Puisque ces captchas sont si difficiles à résoudre par un ordinateur, mais si simples pour les humains, les spammeurs ont décidés d'offrir un peu de frisson en échange de votre temps libre : chaque captcha résolu déshabillera un peu plus Melissa, mais surtout sera envoyé à un serveur distant. Les spammeurs se construisent ainsi une librairie de captchas pré-calculés, qu'ils pourront mettre à profit pour ouvrir de nouveaux comptes sur des webmails ou, plus probablement, publier en masse des commentaires publicitaires sur des blogs.

Le cheval de Troie est identifié sous le nom de Captchar.A par Trend Micro et RompeCaptchas.A par Panda Software.

30 octobre 2007 - Secuser Info : nouveau venu dans la famille de l'infection Storm Worm, Halloween, soyez prudents !

Zhelatin.LJ est un virus qui se propage par courrier électronique. Il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un message sans fichier joint faisant la promotion d'un site dédié à Halloween. Ce dernier invite à télécharger un jeu nommé "Dancing Skeleton", se proposant de faire danser un squelette en musique. Il ne faut pas cliquer sur ce lien ni télécharger le fichier concerné, car il s'agit en réalité d'une variante du virus Storm Worm. Si ce fichier est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité les plus populaires puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".

Exemple d'arnaque du type "fraude 4-1-9" (aussi appelée scam 419, ou arnaque nigériane) via autoscout.be , en annexe-scam

Spam's : en annexe-spam

Win32/Surila.X cheval de Troie & Win32/VB.NEI worm - From AFRICNIC, IP 212.96.25.236, en annexe 1

Win32/Bagle.gen.zip worm - From WANADOO France Telecom (Bayonne), en annexe 2

Win32/Mydoom.R worm - en annexe 3 (start : 21 septembre 2006 - end : 31 janvier 2007)

Statistiques (live) SPAM - VIRUS - EMAILS "PROPRES"

29 Septembre 2007

Quelques exemples de virus détectés par NOD32 (et/ou NAV) dans des email's ou des pages Internet

Et quelques exemples d'avatars (comme les spam's).

Novembre 2007 : infection Ciadoor in Microsoft Scvhost32 Protocol en annexe

Octobre 2007 : infection non enrayée par Antivirus -> PC devenu très lent : cfr rapport Trojan.Skintrim en annexe

Octobre 2007 - PC devenu très lent : SWS AntiSpyware 2007 est un rogue - même attaque par le Trojan.Skintrim

(réf. Sylvie C. - 2007J11)

Source : NAV report (extraits)

20/07/2007 12:26:36,jsujxlfxl.exe,Trojan.Skintrim,File,Deleted,WINUSER-3E62FA9,SYSTEM,C:\WINDOWS\system32\,Deleted

24/07/2007 12:05:31,A0060789.exe

Trojan.Skintrim,File,Deleted,WINUSER-3E62FA9,SYSTEM,C:\System Volume Information\_restore{...}\RP280\,Deleted

20/08/2007 08:12:13,heltgpga.exe,Trojan.Skintrim,File,Deleted,WINUSER-3E62FA9,SYSTEM,C:\WINDOWS\system32\,Deleted

21/08/2007 13:43:47,A0065032.exe

Trojan.Skintrim,File,Deleted,WINUSER-3E62FA9,SYSTEM,C:\System Volume Information\_restore{...}\RP307\,Deleted

25/09/2007 12:44:03,A0076349.exe

Trojan.Skintrim,File,Deleted,WINUSER-3E62FA9,SYSTEM,C:\System Volume Information\_restore{...}\RP335\,Deleted

Octobre 2007 - PC en échec complet : BLUE SCREEN OF DEATH (DefLib.sys)

Selon l'Utilisatrice : un message MSN Messenger de type "see my photo" est à l'origine du dysfonctionnement.

Note : on retrouve le Trojan Vundo qui était déjà invoqué dans une infection précédente liée selon l'Utilisateur à un message MSN Messenger du même type.

NAV reports (quarantaine & backup, extraits)

Date,Filename,Threat,Original Location,Status

8/10/2007 23:43:05,mails[1].exe,Trojan Horse,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

8/10/2007 23:42:57,mnfveg.exe,Trojan Horse,C:\,Infected

8/10/2007 23:42:55,tqqyzfxnp[1].htm,Trojan Horse,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

6/10/2007 16:11:11,winh32.exe,Trojan Horse,C:\WINDOWS\,Infected

6/10/2007 15:59:51,mnfveg.exe,Trojan Horse,C:\,Infected

6/10/2007 15:59:50,tqqyzfxnp[1].htm,Trojan Horse,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

6/10/2007 15:52:02,winh32.exe,Trojan Horse,C:\WINDOWS\,Infected

6/10/2007 15:42:43,mnfveg.exe,Trojan Horse,C:\,Infected

6/10/2007 15:42:43,tqqyzfxnp[1].htm,Trojan Horse,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

6/10/2007 14:52:28,winh32.exe,Trojan Horse,C:\WINDOWS\,Infected

6/10/2007 14:47:57,mnfveg.exe,Trojan Horse,C:\,Infected

6/10/2007 14:47:57,tqqyzfxnp[1].htm,Trojan Horse,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

6/10/2007 11:58:55,winh32.exe,Trojan Horse,C:\WINDOWS\,Infected

6/10/2007 11:41:31,mnfveg.exe,Trojan Horse,C:\,Infected

6/10/2007 11:41:31,tqqyzfxnp[1].htm,Trojan Horse,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

6/10/2007 11:16:27,mnfveg.exe,Trojan Horse,C:\,Infected

6/10/2007 11:16:27,tqqyzfxnp[1].htm,Trojan Horse,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

5/10/2007 9:14:50,mnfveg.exe,Trojan Horse,C:\,Infected

5/10/2007 9:14:46,tqqyzfxnp[1].htm,Trojan Horse,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

4/10/2007 22:43:27,mnfveg.exe,Trojan Horse,C:\,Infected

4/10/2007 22:43:27,tqqyzfxnp[1].htm,Trojan Horse,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

3/10/2007 20:28:34,mnfveg.exe,Trojan Horse,C:\,Infected

3/10/2007 20:28:34,tqqyzfxnp[1].htm,Trojan Horse,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

3/10/2007 19:18:25,mnfveg.exe,Trojan Horse,C:\,Infected

3/10/2007 19:18:25,tqqyzfxnp[1].htm,Trojan Horse,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

8/10/2007 23:47:46,asc3550o.SYS,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:37,WDICA.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:36,TDTCP.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:35,TDPIPE.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:31,Sfloppy.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:30,RDPWD.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:28,PDRFRAME.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:28,PDRELI.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:28,PDFRAME.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:27,PDCOMP.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:27,PCIDump.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:27,ParVdm.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:26,Null.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:26,NDIS.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:24,Modem.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:22,mnmdd.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:21,lbrtfdc.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:18,Imapi.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:15,i2omgmt.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:14,Fips.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:12,Changer.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:10,Cdaudio.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:43:09,Beep.sys,Hacktool.Spammer,C:\WINDOWS\System32\Drivers\,Infected

8/10/2007 23:42:54,tppxvu.exe,Trojan.Anserin,C:\,Infected

8/10/2007 23:42:53,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

8/10/2007 23:42:53,exe3.exe,Downloader,C:\DOCUME~1\Bellie\LOCALS~1\Temp\,Infected

8/10/2007 23:42:53,tppxvu.exe,Trojan.Anserin,C:\,Infected

8/10/2007 23:42:52,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

6/10/2007 16:01:16,17331801.exe,Trojan.Pandex,C:\DOCUME~1\Bellie\LOCALS~1\Temp\,Infected

6/10/2007 16:00:47,runtime.sys,Trojan.Pandex,C:\WINDOWS\System32\drivers\,Infected

6/10/2007 15:59:50,tppxvu.exe,Trojan.Anserin,C:\,Infected

6/10/2007 15:59:50,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

6/10/2007 15:59:48,tppxvu.exe,Trojan.Anserin,C:\,Infected

6/10/2007 15:59:29,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

6/10/2007 15:43:51,16286178.exe,Trojan.Pandex,C:\DOCUME~1\Bellie\LOCALS~1\Temp\,Infected

6/10/2007 15:43:32,runtime.sys,Trojan.Pandex,C:\WINDOWS\System32\drivers\,Infected

6/10/2007 15:42:42,tppxvu.exe,Trojan.Anserin,C:\,Infected

6/10/2007 15:42:42,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

6/10/2007 15:42:40,tppxvu.exe,Trojan.Anserin,C:\,Infected

6/10/2007 15:42:25,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

6/10/2007 14:49:26,13024247.exe,Trojan.Vundo,C:\DOCUME~1\Bellie\LOCALS~1\Temp\,Infected

6/10/2007 11:41:36,1755344.exe,Trojan.Vundo,C:\DOCUME~1\Bellie\LOCALS~1\Temp\,Infected

6/10/2007 11:41:35,1754382.exe,Trojan.Pandex,C:\DOCUME~1\Bellie\LOCALS~1\Temp\,Infected

6/10/2007 11:41:33,ohyxte.exe,Hacktool.Rootkit,C:\,Infected

6/10/2007 11:41:33,wibtms[1].htm,Hacktool.Rootkit,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

6/10/2007 11:41:32,runtime.sys,Trojan.Pandex,C:\WINDOWS\System32\drivers\,Infected

6/10/2007 11:41:30,tppxvu.exe,Trojan.Anserin,C:\,Infected

6/10/2007 11:41:30,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

6/10/2007 11:41:29,tppxvu.exe,Trojan.Anserin,C:\,Infected

6/10/2007 11:41:28,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

6/10/2007 11:16:49,266763.exe,Trojan.Vundo,C:\DOCUME~1\Bellie\LOCALS~1\Temp\,Infected

6/10/2007 11:16:45,264009.exe,Trojan.Pandex,C:\DOCUME~1\Bellie\LOCALS~1\Temp\,Infected

6/10/2007 11:16:36,runtime.sys,Trojan.Pandex,C:\WINDOWS\System32\drivers\,Infected

6/10/2007 11:16:31,ohyxte.exe,Hacktool.Rootkit,C:\,Infected

6/10/2007 11:16:30,wibtms[1].htm,Hacktool.Rootkit,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

6/10/2007 11:16:26,tppxvu.exe,Trojan.Anserin,C:\,Infected

6/10/2007 11:16:26,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

6/10/2007 11:16:26,tppxvu.exe,Trojan.Anserin,C:\,Infected

6/10/2007 11:16:24,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

5/10/2007 9:14:58,171326.exe,Trojan.Vundo,C:\DOCUME~1\Bellie\LOCALS~1\Temp\,Infected

5/10/2007 9:14:53,163805.exe,Trojan.Pandex,C:\DOCUME~1\Bellie\LOCALS~1\Temp\,Infected

5/10/2007 9:14:53,runtime.sys,Trojan.Pandex,C:\WINDOWS\System32\drivers\,Infected

5/10/2007 9:14:53,aiqidr.exe,Downloader,C:\,Infected

5/10/2007 9:14:52,bakqw[1].txt,Downloader,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

5/10/2007 9:14:52,ohyxte.exe,Backdoor.Trojan,C:\,Infected

5/10/2007 9:14:52,wibtms[1].htm,Backdoor.Trojan,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

5/10/2007 9:14:44,tppxvu.exe,Trojan.Anserin,C:\,Infected

5/10/2007 9:14:41,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

5/10/2007 9:14:39,tppxvu.exe,Trojan.Anserin,C:\,Infected

5/10/2007 9:14:28,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

5/10/2007 9:14:11,tsitra801.exe,Trojan.Vundo,C:\WINDOWS\,Infected

4/10/2007 22:43:44,139470.exe,Trojan.Pandex,C:\DOCUME~1\Bellie\LOCALS~1\Temp\,Infected

4/10/2007 22:43:39,runtime.sys,Trojan.Pandex,C:\WINDOWS\System32\drivers\,Infected

4/10/2007 22:43:36,ohyxte.exe,Backdoor.Trojan,C:\,Infected

4/10/2007 22:43:35,wibtms[1].htm,Backdoor.Trojan,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

4/10/2007 22:43:26,tppxvu.exe,Trojan.Anserin,C:\,Infected

4/10/2007 22:43:26,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

4/10/2007 22:43:26,tppxvu.exe,Trojan.Anserin,C:\,Infected

4/10/2007 22:43:24,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

3/10/2007 20:28:39,28080127.exe,Trojan.Pandex,C:\DOCUME~1\Bellie\LOCALS~1\Temp\,Infected

3/10/2007 20:28:36,runtime.sys,Trojan.Pandex,C:\WINDOWS\System32\drivers\,Infected

3/10/2007 20:28:35,evliyvf.exe,Hacktool.Rootkit,C:\,Infected

3/10/2007 20:28:35,goqjpyep[1].htm,Hacktool.Rootkit,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

3/10/2007 20:28:34,tppxvu.exe,Trojan.Anserin,C:\,Infected

3/10/2007 20:28:34,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

3/10/2007 20:28:33,tppxvu.exe,Trojan.Anserin,C:\,Infected

3/10/2007 20:28:33,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

3/10/2007 19:19:26,23927395.exe,Trojan.Pandex,C:\DOCUME~1\Bellie\LOCALS~1\Temp\,Infected

3/10/2007 19:18:29,runtime.sys,Trojan.Pandex,C:\WINDOWS\System32\drivers\,Infected

3/10/2007 19:18:26,evliyvf.exe,Hacktool.Rootkit,C:\,Infected

3/10/2007 19:18:26,goqjpyep[1].htm,Hacktool.Rootkit,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

3/10/2007 19:18:23,tppxvu.exe,Trojan.Anserin,C:\,Infected

3/10/2007 19:18:23,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

3/10/2007 19:18:22,tppxvu.exe,Trojan.Anserin,C:\,Infected

3/10/2007 19:18:21,ushxpvoh[1].htm,Trojan.Anserin,C:\Documents and Settings\Bellie\Local Settings\Temporary Internet Files\...\,Infected

5/07/2006 18:42:21,Nathaniell,??????,Mail System,Still contains 1 infected items

5/07/2006 18:42:16,Syndony,??????,Mail System,Still contains 1 infected items

3/07/2006 9:57:21,Alyce,??????,Mail System,Still contains 1 infected items

Voila ce que nous appelons un "système solidement rongé"

Et certains de nos Clients se demandent pourquoi nous déconseillons (du moins, sur des PC's professionnels) l'installation de MSN Messenger !

Note : NAV n'est plus actif au 11/10/2007 (très probablement depuis le 08/10/2007, vers 23H48) :

File scanned: 0

Norton Antivirus ne travaille pas, mais sans la barre rouge traditionnelle sur cette icône : l'Utilisatrice pense donc être protégée.

Restart NAV (pas évident), scan (partiel) ->

- Stop XP_System_Restore.

- Boot with Live CD : "delete all suspictious files" & "all temp_files" (fichiers que nous avons identifiés grâce à [entre autres] NAV, SPYBOT et AD-AWARE avec une recherche minutieuse sur Internet de leur probabilité de nuisance lorsque le nom du fichier est inconnu de nos expériences précédentes)

- Full Rescan w/a-lot-of AntiMalware.

- Vérification des fonctionnalités logicielles principales.

- Full Security Windows Update.

- Restart XP_System_Restore.

- Full System Backup on second partition.

Désinfection assez pénible vu les performances de la machine : un AIO AMD de cinq ans de cave.

Anabelle 2007J11

Octobre 2007 : S E C U S E R S E C U R I T E

09/10/2007 : Correctifs critiques pour Internet Explorer, Word, Windows Mail, Outlook Express et Windows. Sept défauts de sécurité ont été identifiés dans des logiciels Microsoft. L'exploitation des failles les plus sévères permet à un individu malveillant de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter via une page web, une image ou un document piégé.

http://www.secuser.com/vulnerabilite/2007/071009_iexplorer.htm
http://www.secuser.com/vulnerabilite/2007/071009_office.htm
http://www.secuser.com/vulnerabilite/2007/071009_outlook.htm
http://www.secuser.com/vulnerabilite/2007/071009_windows.htm

12/10/2007 : Zhelatin.KI est un virus qui se propage par courrier électronique. Il fait partie de l'infection Storm Worm.

Il se présente sous la forme d'un message sans fichier joint faisant la promotion d'un faux site de cartes virtuelles imitant le site SuperLaugh.com et invitant à installer une animation humoristique et sonore représentant un chaton rieur.

17/10/2007 : Tibs.CN est un virus qui se propage par courrier électronique. Il fait partie de l'infection Storm Worm.

Il se présente sous la forme d'un message sans fichier joint faisant la promotion du site d'un nouveau réseau communautaire nommé Krackin, qui invite à installer une application multifonctions (chat, blog, musique, film, etc.). ... Si ce fichier est exécuté, le virus s'installe sur le disque dur, tente de désactiver les antivirus et logiciels de sécurité les plus populaires puis ouvre une porte dérobée permettant la prise de contrôle à distance de l'ordinateur infecté par une personne malveillante, constituant un gigantesque réseau d'ordinateurs "zombies".

Septembre 2007 : infection non enrayée par Antivirus -> plus de MSN Messenger

Symptôme : malgré plusieurs désinstallations / réinstallations de Live Messenger Last Version, le PC ne peut plus dialoguer via MSN.

Au démarrage du PC, dès l'apparition du bureau :

Scan NAV : pas d'alerte.

Scan NOD32 : pas d'alerte

Spybot :

Nettoyage -> pas d'amélioration MSN Service.

Analyse de la registry, de l'histrorique de NAV et des répertoires à la recherche d'anomalies :

1/ Registry :

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"KNOB BURN"="C:\\DOCUME~1\\DVDRW2L\\APPLIC~1\\Errordrv\\Slow remote.exe"

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVMixerTray"="\"C:\\Program Files\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe\""
"ccApp"="\"C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe\""
"vptray"="C:\\PROGRA~1\\SYMANT~1\\VPTray.exe"
"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"
"LVCOMSX"="C:\\WINDOWS\\system32\\LVCOMSX.EXE"
"ref active barb global"="C:\\Documents and Settings\\All Users\\Application Data\\drv roam ref active\\rule keep.exe"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_03\\bin\\jusched.exe\""

2/ File Explorer : fichiers indésirés (extraits) :

3/ Historique NAV (extraits, STATUS = INFECTED) :

30/06/2007 15:04:14,wnsegobi.exe,Bloodhound.Packed.30,C:\Documents and Settings\DVDRW2L\Application Data\Errordrv\,Infected
30/06/2007 15:04:14,tqqlxlvr.exe,Bloodhound.Packed.30,C:\Documents and Settings\DVDRW2L\Application Data\Errordrv\,Infected
30/06/2007 15:04:14,ifuzuqfr.exe,Downloader.Lop,C:\Documents and Settings\DVDRW2L\Application Data\Errordrv\,Infected
30/06/2007 15:04:14,FilmRegsLiesInter.exe,Bloodhound.Packed.30,C:\Documents and Settings\DVDRW2L\Application Data\Errordrv\,Infected
30/06/2007 15:04:13,BLEH MOVE DOES.exe,Bloodhound.Packed.30,C:\Documents and Settings\DVDRW2L\Application Data\Errordrv\,Infected
30/06/2007 15:04:03,rule keep.exe,Bloodhound.Packed.30,C:\Documents and Settings\All Users\Application Data\drv roam ref active\,Infected
30/06/2007 15:04:03,kind drv.exe,Bloodhound.Packed.30,C:\Documents and Settings\All Users\Application Data\drv roam ref active\,Infected

Documentation : Downloader.Lop chez Symantec

When Downloader.Lop is executed, it downloads files from predetermined Web sites. These files may be a copy of Adware.Lop. Next, the Trojan may launch Internet Explorer as a hidden window and inject itself into the Internet Explorer process. - Cela correspond à ce qui a été remarqué : deux processus iexplore.exe sont visibles dans le gestionaire de tâche et ce, sans avoir ouvert Internet Explorer.

Documentation : Bloodhound.Packed.30 chez Symantec, Discovered: 15 June 2007

A packer is a tool that compresses, encrypts or obfuscates executable files. Malware authors often use packers to conceal threats [cacher les menaces] from detection by antivirus software. Bloodhound.Packed.30 detects a packer that is not known to be used for legitimate purposes. Files that are detected as Bloodhound.Packed.30 are considered malicious.

Désinstallation de Live Messenger & désactivation du XP-SystemRestore (infecté).

NAV : 07/07/2007 13:12:53,A0046178.exe,Downloader.Lop,C:\System Volume Information\_restore{E5DEAE47-0C07-40A7-9E78-072A271D5A7B}\...
Nombreuses interventions de Undesired-Infected Files Deletetion (via "Boot on Live CD").

Nombreuses intreventions en Registry (suppression de clés : indésirées comme ci-dessus en 1/, et certaines de MSN).

Réinstallation de Live Messenger, test = ok.

Résactivation du XP-SystemRestore.

(référence interne : pc035aspireT140-simplement_m[removed] @ hotmail.com)

Octobre 2007 - pages piègées :

2005-search.com (85.255.117.212) du "classique" Andrei Kislizin - OOO Inhoster, Ukraine
search-biz.org (85.255.117.213) du "classique" Andrei Kislizin - OOO Inhoster, Ukraine

85.255.117.212 & 213

UKRAINE

KHARKIVS'KA OBLAST'

KHARKIV

INHOSTER HOSTING COMPANY

JS/TrojanDownloader.Agent.NAY trojan sur 85.255.120.138

85.255.120.138

UKRAINE

KHARKIVS'KA OBLAST'

KHARKIV

INHOSTER HOSTING COMPANY

Septembre 2007, avatar : vague de "empty mails"

[messages vides : pas d'objet, pas d'expéditeur, pas de destinataire, pas de corps]

30 en moins de quatre jours (sur cinq adresses) : une fréquence inhabituelle.

Soyez prudents - 25 septembre 2007 - cartes virtuelles

Banload.DRS est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courriel avec un fichier joint possédant une extension .zip, en tentant de se faire passer pour une carte virtuelle ou une image.
Alias : Worm/Ntech.J (Antivir) - Downloader.Banload.FCP (AVG) - Trojan.Agent.AFID (BitDefender) - Trojan.Downloader-14091 (ClamAV) - BackDoor.Bulknet.75 (Dr.Web) - W32/Downldr2.AHNZ (F-Prot) - Trojan-Downloader.Win32.Banload.drs (F-Secure) - Trojan-Downloader.Win32.Banload.drs (Kaspersky) - Spy-Agent.bv.gen (McAfee) - Win32/TrojanDownloader.Agent.NRB (NOD32) - Hacktool/NTRootkit.AM (Panda) - Troj/BankDl-CX (Sophos) - Trojan Horse (Symantec)

Exemple : Helo, man!
Monica T. sent you animated card. You can check this in your attachment. (zip)
Best regards,
Your Funny Cards

Si le fichier contenu dans l'archive ZIP est exécuté, le cheval de Troie s'installe en se dissimulant via une technologie de type rootkit, modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, puis tente de télécharger et d'exécuter d'autres programmes malicieux depuis des sites distants.

Septembre 2007 - Un virus de "13 ans de cave" infecte Vista

1994 was a year that saw the arrival of a boot sector computer virus known as Stoned.Angelina which moved the original master boot record to cylinder 0, head 0, sector 9. Concerne : Aldi Medion laptops, Model MD96290 with Windows Vista x86 Home Premium Edition.

Soyez prudents - Septembre 2007 - faux site de jeux

(après YouTube, Tor & Football; cfr. plus bas dans cette page)

1000+ Free Games! - Free online games - Life is just a little bit more fun - Quick, grab this

Zhelatin.JP est un virus qui se propage par courrier électronique. Avec ses multiples variantes, il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un message sans fichier joint, renvoyant vers un faux site de jeux en ligne incitant à télécharger des jeux gratuits (Brighton BountyHunter, PacMan 2007, Bush Shootout, etc.).

ALIAS : JS:Agent-Q [Trj] (Avast) - Win32:Tibser (Avast) - Downloader.Tibs (AVG) - Trojan.Packed.142 (Dr.Web) - Win32/Sintun.AF (eTrust) - W32/Tibs6!Generic (F-Prot) - Tibs.gen134 (F-Secure) - Email-Worm.Win32.Zhelatin.jp (Kaspersky) - Tibs-Packed (McAfee) - Tibs.gen134 (Norman) - Mal/Dorf-D (Sophos) - Trojan.Packed.13 (Symantec) - Storm Worm

Soyez prudents - Septembre 2007 - faux site d'humour

Anomalies qui nous forcent à être prudents :

1/ Marianne Delhaye a une adresse @skynet [ISP, ADSL Belgique] mais parle "America Latina"

2/ le lien "Visualizar..." est associé à une URL http://www.komplettdach.at [théoriquement en Autriche, réellement en Allemagne]

alors que nous nous attendons à un lien sur le site Humor Tadela : http://humortadela.uol.com.br au Brésil

3/ ce lien redirige vers un site .de (en Allemagne) [souvent suspect] :

4/ le fichier proposé en téléchargement est doté d'une double extension [toujours suspect] :

- .jpg laisse croire qu'il s'agit d'une image (surtout avec un nom contenant "foto")

- mais .scr est un fichier exécutable (donc aussi dangereux qu'un .exe ou un .com ou un .bat)

http:// hugosbestefreunde.de /bilder/motions/foto07_euevc.jpg%20%20%7c%20%20(%20Tipo%20-%20Imagem%20JPEG%20)%20.sCR

Si ce fichier est exécuté, un troyen s'installe puis tente de télécharger et d'exécuter d'autres programmes malicieux.

Test : Run ->

Pas d'alarme ni de NAV ni de Nod32 ? -> nom de malware inconnu; il pourrait s'agir de Banker Trojan ?

Fichiers incriminés suite au RUN :

Nous les avons détruits puisque nos antivirus ne l'ont pas fait (C:\WINDOWS\MEDIA\LTaskup.exe & C:\WINDOWS\lnk_dados_2.dll)

Received: from mailler1.lwserv1.com (unverified [80.248.217.22]) by mail.register.be (Rockliffe SMTPRA 7.0.6) with SMTP id <B0039226237@mail.register.be> for <...@emailonline.info>; Tue, 11 Sep 2007 07:44:49 +0200

mailler1.lwserv1.com (80.248.217.22) - Ligne Web Services - 4 rue galvani - 75017 PARIS - France

Received: from lwsweb7 ([193.37.145.13]) by mailler1.lwserv1.com with hMailServer ; Tue, 11 Sep 2007 07:45:47 +0200
Message-ID: <4C7456FC-98E6-49B4-91DA-FBF9DAD7658D@mailler1.lwserv1.com>
Date: Tue, 11 Sep 2007 07:43:21 +0200
Subject: EssA voce teM que VER
From: "Marianne Delhaye" <mar.delhaye@skynet.be>

193.37.145.13

FRANCE

ILE-DE-FRANCE

PARIS

LWS SERVERS SUBNET

C'est donc un message, envoyé par une adresse liée à un internet-abonnement belge mais expédié de Paris, contenant un texte en langue America Latina, qui vous envoie vers un site.at (mais en allemagne) redirigeant vers un second site allemand, pour y pomper un fichier exécutable se faisant passer pour un fichier image.

www.komplettdach.at (80.67.17.109)

80.67.17.109

GERMANY

BERLIN

DOMAINFACTORY

Hébergement du fichier piègé : hugosbestefreunde.de (212.72.183.22)

212.72.183.22

GERMANY

HAMBURG

CYBERWEBHOSTING IP NET

Elle insiste, la Marianne :

Autre URL dans cette deuxième série : http://www.carit.de/muster/anaxp/abre_charges.php.... qui redirige sur le même site piègé que celui de la première série http://hugosbestefreunde.de/bilder/motions/foto...

www.carit.de = 80.83.114.17

GERMANY

WEBWIDE INTERNET COMMUNICATION GMBH

Received: from smtp-easy.fr.clara.net (unverified [212.43.206.152]) by mail.register.be (Rockliffe SMTPRA 7.0.6) with ESMTP id <B0063617149@mail.register.be> for <...@emailonline.info>; Wed, 12 Sep 2007 01:34:43 +0200
Received: from garonne.fr.clara.net (garonne.fr.clara.net [212.43.241.173]) by smtp-easy.fr.clara.net (Postfix) with ESMTP id 93E3C2CC071 for <...@emailonline.info>; Wed, 12 Sep 2007 01:45:39 +0200 (CEST)
Received: from bizmachine11.co.fr.clara.net (bizmachine11.co.fr.clara.net [212.43.241.174]) by garonne.fr.clara.net (Postfix) with ESMTP id 704E6AF83 for <...@emailonline.info>; Wed, 12 Sep 2007 01:34:48 +0200 (CEST)

212.43.241.174

FRANCE

ILE-DE-FRANCE

PARIS

SHARED-SERVERS-NETS

Cet avatar est répertorié sur SecuNews le 11/09/2007 : il s'agit de Banload.DGE = cheval de Troie.

Alias : - TR/Delphi.Downloader.Gen (Antivir) - Dowloader.Banload (AVG) - Trojan.Downloader (BitDefender) - Trojan-Downloader.Win32.Banload.dge (F-Secure) - Trojan-Downloader.Win32.Banload.dge (Kaspersky) - TrojanDownloader:Win32/Agent.AFL (Microsoft) - W32/Banload.QKC (Norman)

Et sur Secuser, le 10/09/2007.

Suivi de ce type d'avatar, octobre 2007 :

Websense® Security Labs(TM) has discovered a new Trojan Horse being distributed via spam email in Latin America. The email message is written in Spanish, and includes the subject line : "Espero que te guste"
The email acts as a lure, attempting to get users to click a link and download a greeting card. There are several versions of the spam message, but the main difference is the location where the malicious code is stored. In all versions discovered to date, the file name is always "mexico.exe"... In all samples, the file has been stored on compromised websites. If users click on the link and run the code, a browser window to Univision.com opens as a means of hiding what is happening in the background. The malicious code also connects to one or more additional websites to download an additional binary file, "file56.gif". This file is actually a Windows executable. The "file56.gif" binary can come from any of five different compromised sites. The file is downloaded to the Windows system32 directory and given the name "html.txt". The "html.txt" file is then renamed "html.exe" and run. The payload of the code is written in Delphi and packed with RLpack. It disables Task Manager, deletes the host file, and changes some startup options and Start menu options. It also includes an information stealing component.

Soyez prudents - 30 août 2007 - faux site antispyware

www.spyware-secure.com

Spyware Secure c'est un "rogue", un faux antispyware.

Comment enlever spyware-secure ?

Scan1 Online : http://www.emsisoft.net/fr/software/ax/
Scan2 Online : http://security.symantec.com/sscv6/default.asp?productid=symhome&langid=in&venid=sym

Référence : Georges K. Compaq EVO

Dans le même PC, un second faux antimalware : DriveCleaner est un pseudo logiciel de sécurité diffusant des alertes exagérées et pratiquant un harcèlement publicitaire afin d'inciter les internautes à installer une version gratuite du logiciel puis à acheter une version payante.

NOD32 : 30/08/2007 10:49:01 Kernel file C:\Windows\mikaserv.exe probably a variant of Win32/Genetik trojan
NOD32 : 30/08/2007 10:48:34 Kernel file C:\Windows\system32\zmnjwji.exe a variant of Win32/Rbot trojan

Registry : DriveCleaner & Windows Lol Layer & Spyware-Secure

Remarque : DriveCleaner a été rencontré comme popup d'un site "free pictures" (renseigné par un spam) :

http://www.drivecleaner.com/.freeware/?p=14&a=1&j=0&pp=0&w=0&ex=1&ap=0&ed=1&aid=9g9in9dd&lid=728&affid=&mpt=[CACHEBUSTER]&aid=9g9in9dd_rdt

Note : ce PC est arrivé en notre atelier pour réparer un tout autre problème :

Nous n'avons pas pu établir si la disparition du driver est en rapport avec les infections ?

La remise en fonction de la carte réseau a été pénible.

Soyez prudents - août 2007 / septembre 2007 - méfiez-vous des Spam's "déguisés" en YOUTUBE !

(derrière le lien http://www.youtube.com/..., se cache un site piègé en http://70.126.39.206)

Received: from gate.our-town.com (206.64.104.37) by gollum.mailclub.fr with SMTP; 26 Aug 2007 11:59:42 +0200
Received: from vnkvdas by gate.our-town.com with local (Exim 4.64 (FreeBSD)) id 1IPF0%-000G56-2Q for vinosoft@[REMOVED]; Sun, 26 Aug 2007 04:59:42 -0500
Subject: LOL, dude what are you doing
From: <shureschott_505@de.schlecker.net>
Message-Id: <1IPF0%-000G56-2Q@gate.our-town.com>
Sender: User vnkvdas <vnkvdas@gate.our-town.com>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html> <body>
If your dad see this video you made, he is gonna kill you. go look at it...

<a href="http://70.126.39.206/">http://www.youtube.com/watch?v=GNGRI3mibre</a>

26/08/2007 12:14:36 IMON file http://70.126.39.206/video.exe probably a variant of Win32/Nuwar worm
La même bestiole que celle en rapport avec "méfiez-vous des PostCards !" (cfr. ci-dessous)

http://www.viruslist.com/en/search?VN=Trojan-Downloader.JS.Agent.kd&referer=kav

Expéditeur du spam : gate.our-town.com (206.64.104.37)

206.64.104.37

USA

TEXAS

STEPHENVILLE

EAGLE INFORMATION SYSTEMS

Site piègé : 206-39.126-70.tampabay.res.rr.com (70.126.39.206)

70.126.39.206

USA

FLORIDA

LARGO

ROAD RUNNER HOLDCO LLC

Informations du 29 août 2007 sur Internet : une nouvelle campagne visant à propager Storm Worm pour transformer les machines des victimes en PC zombie. Les courriels envoyés invitent le destinataire à visionner une vidéo sur YouTube, et le redirige vers une page web piégée ... Une routine JavaScript tente alors d'exploiter toute une série de vulnérabilités du navigateur web, du système d'exploitation Windows et d'autres applications pour installer un cheval de Troie sur leur machine et la transformer en « PC zombie ». Contrôlés à distance par les pirates, ces PC zombies sont mis ensuite à contribution pour déclencher des campagnes de spamming sur internet ou des attaques de déni de service. ... Depuis la fin juin 2007, plusieurs campagnes de ce type ont été lancées avec des dizaines de variantes du même programme malicieux, identifié par McAfee comme étant le virus W32/Nuwar. Ce dernier est capable de « s'auto-envoyer » à toutes les adresses e-mails collectées sur une machine infectée.

Informations du 06 septembre 2007 : Zhelatin est un virus qui se propage par courrier électronique. Il fait partie de l'infection Storm Worm. Il se présente sous la forme d'un courriel sans fichier joint mettant en garde contre la surveillance des téléchargements par les maisons de disques et invitant à installer un logiciel appelé Tor pour être anonyme sur Internet. ... Si l'internaute clique sur le lien hypertexte, il est dirigé vers une page web qui tente d'installer automatiquement le programme malicieux en exploitant plusieurs failles de sécurité et qui incite à télécharger un fichier tor.exe [ne surtout pas télécharger ce fichier tor.exe]

Informations du 08 septembre 2007 : Tibs.BS est un programme malicieux de type cheval de Troie qui fait partie de l'infection Storm Worm. Il se présente sous la forme d'un courrier électronique sans fichier joint, renvoyant vers un site d'apparence officielle et incitant à télécharger un prétendu logiciel gratuit d'information sportive et de collecte des résultats de football.

Soyez prudents - août 2007 - méfiez-vous des PostCards !

Le message :

Exéditeur du message : Received: (qmail 17428 invoked from network); 12 Aug 2007 08:47:26 -0000
Received: from 062016156097.customer.alfanett.no (62.16.156.97) by gollum.mailclub.fr with SMTP; 12 Aug 2007 10:47:26 +0200
Received: from piat.vjvei ([165.203.151.43]) by 062016156097.customer.alfanett.no with Microsoft SMTPSVC(5.0.2195.6713); Sun, 12 Aug 2007 10:47:12 +0200
Message-ID: <003001c7dcbd$6013d2b0$2b97cba5@piat.vjvei> - From: "PostcardsFrom.Com" <clpo@allstream.com>

165.203.151.43

USA

TEXAS

IRVING

ASSOCIATES BANCORP

Le lien référencé : http://75.182.88.19/?498bb5cc61301cba46921636c804814655dc2

75.182.88.19

USA

VIRGINIA

HERNDON

ROAD RUNNER HOLDCO LLC

cpe-075-182-088-019.nc.res.rr.com (75.182.88.19)

Virus : Trojan-Downloader.JS.Agent.kd selon Kaspersky

ou file http://75.182.88.19/ecard.exe probably a variant of Win32/Nuwar worm selon Nod32

Autres liens référencés par des spam's :

27/08/2007 IMON file http://85.255.117.170/users/mayk/web/188.ani a variant of Win32/TrojanDownloader.Ani.Gen trojan
85.255.117.170-xbox.dedi.inhoster.com (85.255.117.170)

85.255.117.170

UKRAINE

KHARKIVS'KA OBLAST'

KHARKIV

INHOSTER HOSTING COMPANY

6/09/2007 IMON file http://www.kongomovies.com/ JS/TrojanDownloader.Agent.AB trojan

62.119.28.227

SWEDEN

SKANE

ÄNGELHOLM

FSDATA-NET

7/09/2007 IMON file http://pop3mailers.info/qt.php Exploit.Multi.Qtp.B trojan

89.38.113.98

ROMANIA

BUCURESTI

BUCHAREST

SC OLCAB TELECOM SRL - hostmaster@olcab.ro

22/09/2007 17:52:28 IMON file http://64.191.104.68/download/167212/movie.qtl Exploit.Multi.Qtp.B trojan

64.191.104.68 : www.acuexcomac.gob.mx

USA

ILLINOIS

CHICAGO

NETWORK OPERATIONS CENTER INC

NOD32 : 27/09/2007 IMON archive http://mediacount.net/adv/026/count.jar Java/ClassLoader.AA trojan
NOD32 : 27/09/2007 IMON file http://mediacount.net/dl/026/sploit.anr a variant of Win32/TrojanDownloader.Ani.Gen trojan
mediacount.net (88.255.90.14) = AbdAllah Internet Hizmetleri

88.255.90.14

TURKEY

PROVIDER LOCAL REGISTRY

NAV 27/09/2007 : Event: Threat Found! - Threat: Trojan.ByteVerify : ...\Temporary Internet Files\Content.IE5\...\count[1].jar

Mytob.FT est un virus (découvert le 31 août 2007) qui se propage par courrier électronique. Il se présente sous la forme d'un message prétendument envoyé par le fournisseur d'accès ou l'organisation du destinataire, accompagné d'un fichier en .zip protégé par un mot de passe fourni dans le texte. Si le fichier contenu dans cette archive est exécuté, le virus s'envoie aux adresses récoltées sur l'ordinateur puis tente d'effectuer diverses actions malveillantes. Si ce fichier est exécuté, le virus s'installe sur le disque dur, modifie la base de registres pour s'exécuter à chaque démarrage de l'ordinateur, s'envoie aux adresses figurant dans le carnet d'adresses Windows et divers autres fichiers en évitant certains destinataires et en utilisant une adresse d'expéditeur falsifiée, puis installe une porte dérobée autorisant la prise de contrôle à distance de l'ordinateur infecté par un individu malveillant par un canal IRC ... Secuser.com

Méfiance - juillet 2007 - MSN MESSENGER

Selon un de nos Clients, l'infection récente de son PC est (avec certitude) en rapport avec un message reçu sur MSN Messenger en provenance "d'un contact ami" (identité usurpée) comme :

Premier message d'alerte de Norton Antivirus (fichiers internet temporaires) : Trojan.Vundo

Symptômes d'infection :

- il faut le voir pour le croire : au démarrage du PC, MSN Messenger présente l'écran de logon et à ce moment :

-- l'écran clignote et se retourne (pivote de 180°), tout est à l'envers

-- la souris est givrée et le clavier est bloqué pendant 1-2 minutes

Investigations :

- à tâtonnements (souris et bureau inversés) : désinstallation de MSN Messenger et étude des fichiers selon notre intuition (et notre expérience de ce type de malware)

[remarque : nous avions interdit l'installation de ce logiciel sur ce PC professionnel; l'Utilisateur n'a pas tenu compte de notre conseil; il ne s'est connecté sur MSN que deux fois : cela a suffit pour payer la désinfection de son ordinateur devenu inutilisable]

- reboot, et dès le bureau affiche : gestionnaire de tâches : kill "winbash.exe", puis : étude (tranquille) des fichiers selon notre intuition -> découverte (à la date indiquée par l'Utilisateur correspondant au début de l'infection, 26/07/2007) de plusieurs fichiers dont ceux en \system32 comme : "gebyw.dll", "xxyabbx.dll", "xxyaxuv.dll"

et :

Destruction d'une partie de ces fichiers dont "wybeg.bak1", "wybeg.bak2" et "wybeg.ini" et "winbash.exe" (qui est en root du bootdisk) mais XP refuse l'effacement des .dll (du \system32)

- reboot : "winbck.exe" apparaît (fabriqué au démarrage) - kill process - delete file - ne réapparaîtra plus ?

- reboot : "winbash.exe" est de retour (refabriqué au démarrage)

- regedit : delete toute référence à "gebyw.dll" et à "xxyabbx.dll" et à "xxyaxuv.dll"

comme [HKEY_CLASSES_ROOT\CLSID\{72BE8679-EAED-470A-BA24-CA80CFA9B75F}\InprocServer32]
@="C:\\WINDOWS\\system32\\xxyabbx.dll"
"ThreadingModel"="Both"

- reboot : "winbash.exe" est de retour (refabriqué au démarrage)

Task Manager :

-----

sans connexion réseau ----- avec connexion réseau

Suspect, à investiguer (118.784 bytes: kill process mais il redémarre immédiatement) : bmwebcfg.exe is located in the folder C:\Windows\System32. Known file sizes on Windows XP are 118784 bytes (71% of all occurrence), 122880 bytes. The program is not visible. File bmwebcfg.exe is not a Windows system file. The process can be removed using the control panel Add\Remove programs applet. bmwebcfg.exe is able to hide itself, monitor applications. Therefore the technical security rating is 37% dangerous, however also read the users reviews. - This is a component of Bytemobile Optimization Client : an application designed to maximize data transfer speeds to mobile phones.

Investigation : notre Client a bien installé des utilitaires de type "Mobile Phone" -> probablement pas un malware. Par sécurité, le fichier est sauvegardé sous forme compressée.rar et détruit en temps qu'exécutable dans le répertoire \system32. Su bug, le Client réinstallera son utilitaire GSM.

Note : apparition de nombreux popup's comme :

- http:// web.tickle.com /tests/uiq/index-pop.jsp?sid=&supp=&z=

64.34.174.158 - Peer 1 Network Inc. - New York, USA

- http://www. bestdietforme.com /Fitness/Fitness.htm

64.34.174.158 - Peer 1 Network Inc. - New York, USA

- http:// be.celldorado.com

/BE/ADS/66168116/index.php?trackid=1616424315&clickid=0001kx004p4E1B4yEdbJ&ce_cid=0001kx004p4E1B4yEdbJ

194.140.230.200 - Blinck International Hostmaster - Amsterdam - The Netherlands

- http:// www. amaena.com

66.244.254.64 - Big Pipe Inc. - Calgary - Canada

Tests avec Spybot & Ad-Aware SE : aucune alarme.

PC inactif, connecté à Internet mais sans aucune instance d'un Internet Browser ; et pourtant :

Threat: Downloader
File: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\NFCHI6E0\masiyxanidi[1]
Location: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\NFCHI6E0
&
Threat: Trojan.Vundo
File: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\3JP4Y4OC\adfcook[1]
Location: C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\3JP4Y4OC

C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\NFCHI6E0\,Infected

kcehc_eicooc20070702[1],Trojan.Vundo,File,Left alone

Le PC est toujours infecté.

Aux grands maux, aux grands remèdes :

- boot sur Rescue Live CD, file manager : delete "gebyw.dll", "xxyabbx.dll", "xxyaxuv.dll" ... wybeg.bak1", "wybeg.bak2", "wybeg.ini" et les fichiers trouvés en \user\temp :

- boot computer normally, une erreur est signalée :

Recherche dans la registry :

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="\"C:\\Program Files\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime -Delay"
"SmoothView"="C:\\Program Files\\TOSHIBA\\Utilitaire de zoom TOSHIBA\\SmoothView.exe"
"DLA"="C:\\WINDOWS\\System32\\DLA\\DLACTRLW.EXE"
"IntelZeroConfig"="\"C:\\Program Files\\Intel\\Wireless\\bin\\ZCfgSvc.exe\""
"IntelWireless"="\"C:\\Program Files\\Intel\\Wireless\\Bin\\ifrmewrk.exe\" /tf Intel PROSet/Wireless"
"ccApp"="\"C:\\Program Files\\Fichiers communs\\Symantec Shared\\ccApp.exe\""
"vptray"="C:\\PROGRA~1\\SYMANT~1\\VPTray.exe"
"Adobe Reader Speed Launcher"="\"C:\\Program Files\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\""
DELETE : "MemoryManager"="rundll32.exe \"C:\\WINDOWS\\system32\\dxvonikv.dll\",sitypnow"

On aurait pu penser être sorti de l'auberge mais une autre intervention est nécessaire car si plus aucun symptôme n'est apparent, le fichier winbash.exe est de nouveau présent en root du bootdisk !
Démarrer, Exécuter : "services.msc" - Chercher : Microsoft Genuine Update Advantage; double-clic et dans "type de démarrage" mettre "désactivé"

Reboot; rechercher mswan.exe en bootdisk\windows\system32\dllcache et si présent : supprimer.

Ce fichier (mswan.exe, 487.424 bytes) est bien un malware :

Le PC est maintenant (enfin) désinfecté.

Infos : Trojan.Vundo se compose de quatre éléments :
- Du code HTML qui exploite la vulnérabilité de débordement de tampon IFRAME d'Internet Explorer.
- Un composant de téléchargement.
- Un logiciel publicitaire.
- Un module DLL installé par le logiciel publicitaire.

Pour mémoire : autres fichiers indésirés de type Vundo : C:\windows\system32\duvynqdn.exe - C:\windows\system32\itiqgxdk.exe - C:\windows\system32\jkkijjj.dll - C:\windows\system32\jkkjhii.dll - C:\windows\system32\lxkejnqi.exe - C:\windows\system32\mljkklm.dll - C:\WINDOWS\system32\ocngpbup.dll - C:\WINDOWS\system32\pyltmkeu.dll - C:\windows\system32\ssqpqqo.dll - C:\WINDOWS\system32\uekmtlyp.ini - un FIX existe : http://www.atribune.org/public-beta/VundoFix.exe

Repost sur demande : site de connexion à Yahoo Messenger ou à MSN Messenger (sans installation sur le PC) :

- http://fr.webmessenger.yahoo.com

- http://webmessenger.msn.com

Soyez prudents - juin-août 2007 - méfiez-vous des PostCards !

Août 2007 : les variantes du programme malicieux Agent.AF se présentent désormais sous la forme de cartes électroniques encore davantage réalistes et auraient infecté déjà plus de 2 millions d'ordinateurs dans le monde. Une nouvelle variante du cheval de Troie Agent.BRK utilise quant à elle à nouveau le scénario du jeu pornographique mettant en scène des célébrités hollywoodiennes.

Agent.AF est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courriel sans fichier joint, en tentant notamment de se faire passer pour une carte électronique prétendument envoyé par un proche.

Agent.BRK est un programme malicieux de type cheval de Troie. Il se présente sous la forme d'un courrier électronique accompagné d'un fichier joint dont l'extension est .ZIP, en tentant de se faire passer pour un jeu Flash pornographique ou des photos dénudées avec Milla Jovovich, Lara Croft, Angelina Jolie ou Carrie Ann Moss.

ALIAS du BRK : DR/Dldr.Agent.brk.1 (Antivir) - Win32:Agent-JPK (Avast) - Downloader.Agent.NZZ (AVG) - Trojan.Downloader.Agent.YJF (BitDefender) - Trojan.Downloader-11827 (ClamAV) - Trojan.MulDrop.7173 (Dr.Web) - Win32/Cutwail.S (eTrust) - W32/Downldr2.AOUA (F-Prot) - Trojan-Downloader.Win32.Agent.brk (F-Secure) - Trojan-Downloader.Win32.Agent.brk (Kaspersky) - Spy-Agent.bv.dldr (McAfee) - TrojanDownloader:Win32/Agent!B97B (Microsoft) - TrojanDownloader.Agent.NPW (NOD32) - W32/Agent.BXBD (Norman) - Trj/Downloader.MDW (Panda) - Troj/Agent-FZA (Sophos) - Trojan.Pandex (Symantec)

ALIAS du AF : SPR/Spam.Agent.AF.9 (Antivir) - Downloader.Tibs.5.BI (AVG) - Trojan.Peed.HXN (BitDefender) - Trojan.Small-2718 (ClamAV) - Trojan.Packed.140 (Dr.Web) - W32/Tibs.TU (F-Prot) - SpamTool.Win32.Agent.af (Kaspersky) - Downloader-ASH.gen (McAfee) - W32/Zhelatin.gen!eml (Mc Afee) - Spammer:Win32/Agent.AA (Microsoft) - Tibs.gen118 (Norman) - Trj/Downloader.MDW (Panda) - Mal/EncPk-Q (Sophos) - Trojan.Packed.13 (Symantec) - WORM_NUWAR.GU (Trend Micro) - Storm Worm - Ver de la tempête.

Soyez prudents - août 2007 - méfiez-vous des freeweb(greetings)cards !

Le message :

Expéditeur du message : jhhz@worldonline.fr : 133.100.230.145

JAPAN

TOKYO

JAPAN NETWORK INFORMATION CENTER

Le virus-1 est un "Downloader"

- , répondre NON.

Hébergeur des virus : 82.38.99.144

ENGLAND

DONCASTER

TELEWEST-HSD_1-BRADFORD

Various worms and backdoor Trojans use Downloader.Trojan to spread themselves over the Internet.

Vous ne devez surtout pas le faire : test [sur un (autre) ordinateur dédié à ce type d'activité, équipé d'une image disque du système sain] : enregistrer le fichier ([sur clé USB], sous le nom de "ecard-exe.suspect" pour se souvenir du caractère de dangérosité au cas où l'antivirus de service ne le détruirait pas et pour que son extension ne soit plus exécutable; cette manipulation de sécurité n'était pas pas nécessaire dans le cas présent car la destruction par NOD32 est immédiate) :

Le virus-2 est "probably a variant of Win32/Nuwar worm" [cheval de Troie]

Informations : Win32/Nuwar worm est un alias de Trojan.Peacomm de NAV

(déjà rencontré en janvier, février, avril et juillet 2007, cfr. plus bas dans cette page)

Soyez prudents - juillet 2007 - méfiez-vous des 2000Greetings Cards [ecard.exe] !

Le message :

Clic sur le lien référencé :

et :

Et la bestiole est interceptée si vous avez un (bon) antivirus à jour :

20/07/2007 7:25:26 IMON file http://69.209.115.46/ecard.exe probably a variant of Win32/Statik trojan
Probablement une variante du Trojan.Peacomm.B

Selon les headers :

- l'expéditeur du message piègé est Turc :

Received: (qmail 8463 invoked from network); 19 Jul 2007 17:25:46 -0000
Received: from dsl88-229-36750.ttnet.net.tr (88.229.143.142) by gollum.mailclub.fr with SMTP; 19 Jul 2007 19:25:46 +0200
Received: from ykhx.uxphx ([120.228.33.114]) by dsl88-229-36750.ttnet.net.tr with Microsoft SMTPSVC(6.0.3790.1830); Thu, 19 Jul 2007 20:24:51 +0300
Message-ID: <002e01c7ca29$b70645e0$7221e478@ykhx.uxphx>

88.229.143.142

TURKEY

ICEL

MERSIN

TT ADSL-ALCATEL DINAMIK_ULUS

- le fichier vérolé est hébergé aux USA :

69.209.115.46

USA

MICHIGAN

GRAND RAPIDS

PPPOX POOL - RBACK6 KLMZMI

Soyez prudents - juillet 2007 - méfiez-vous des GreetingsCards !

ppp-124.121.165.133.revip2.asianet.co.th (124.121.165.133)

TRUE IP ADMINISTRATION - Din Daeng, Bangkok

- l'expéditeur du message piègé est ricain

Received: (qmail 14708 invoked from network); 24 Jul 2007 15:42:43 -0000
Received: from cox-66-210-40-243-static.coxinet.net (66.210.40.243) by gollum.mailclub.fr with SMTP; 24 Jul 2007 17:42:43 +0200
Received: from plh.lfef ([55.103.114.208]) by COX-66-210-40-243-static.coxinet.net with Microsoft SMTPSVC(6.0.3790.1830); Tue, 24 Jul 2007 10:41:51 -0500
Message-ID: <002801c7ce09$27bb1cb0$d0726737@plh.lfef>
From: "GreetingCards.Com" <nyav@adams.edu>

55.103.114.208

USA

ARIZONA

FT. HUACHUCA

HEADQUARTERS USAAISC

- le site piégé est hébergé en Thaïlande :

124.121.165.133

THAILAND

KRUNG THEP MAHANAKHON

BANGKOK

TRUEBB-NET

Autre IP pour le même message 28/07/2007

http://70.61.235.61/?73383e1a7a85955ab65e8517a3

70.61.235.61

USA

OHIO

KENT

ROAD RUNNER HOLDCO LLC

Expéditeur du message : triband-mum-59.183.5.182.mtnl.net.in (59.183.5.182)

59.183.5.182

INDIA

MAHARASHTRA

MUMBAI

MTNL CAT B ISP

Soyez prudents - juillet 2007 - faux site antivirus

http://www.xp-vista.com/spyware-removal/virusprotectpro-removal-instructions

services, dont iesmn et iesmin.exe

popup's

faux message d'infection

error message

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\TypeLib\{8E9D2F33-4585-4404-AA57-15B2B03707F4}\1.0\0\win32]
@="C:\\Program Files\\VirusProtectPro 3.4\\VirusProtectPro 3.4.exe"

Process : PID: 2640 (2328) C:\Program Files\Video ActiveX Access\iesmn.exe
Process : PID: 2732 (2640) C:\Program Files\Video ActiveX Access\iesmin.exe

Après une petite dizaine de scan's avec divers antimalware's, cette saloperie de VirusProtectPro est toujours présente :

Code interne : pc044linda, Pentium II 450 MHz n° 10091999.

Note : l'historique de navigation (et notre expérience en infections) nous laisse à penser que cette crasse peut trouver son origine dans des sites peu recommandables : [du genre xxxgothxgirls, freeporn, matures sexe, exploser le fion, ...]

Un autre site à éviter : www.allsecureinfo.com (85.255.118.214) - Andrei Kislizin - OOO Inhoster, Kiev, Ukraine

http://www.allsecureinfo.com/vc/09-38945934/

Méfiance aussi sur : go.winantivirus.com (204.16.204.56) - trojansfiltre.com (85.12.60.32) - antivirusgolden.com (85.255.119.251 Andrei Kislizin) - antiver2008.com (85.12.60.32) - go.drivecleaner.com (204.16.204.56) - rescue.goldenantispy.com (87.233.161.106)

Méfiance - juillet 2007 - checkMessenger NET

Selon un de nos Clients, une forte probabilité de l'infection récente de son PC est en rapport avec l'email suivant :

Des malwares ou des dangers sont bien répertoriés comme étant liés à CheckMessenger NET :

- J'ai reçu ce soir ce message (anonyme) ayant pour objet "Je te recommande visiter CheckMessenger.NET" ...

- Attention au site (www.checkmessenger.net), qui soit disant peux vous donner la liste des gens qui vous on bloqué sur MSN ...

- Qui s'est fait arnaquer par CheckMessenger.NET ? ...

- Hoax Forum ...

- Méfiance avec Checkmessenger.net ! ...

- ...

Nuisances mal définies mais éradiquées :

- popup toutes les +/- 3 minutes

et ???

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ANIWZCSdService]
"Type"=dword:00000120 - "Start"=dword:00000004 - "ErrorControl"=dword:00000000
"DisplayName"="ANIWZCSd Service" [Related to Alpha_Networks] ???

et (Logfile of HijackThis v1.99.1)

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

Soyez prudents - juillet 2007 - méfiez-vous des PostCards !

Received: (qmail 11716 invoked from network); 12 Jul 2007 05:15:32 -0000
Received: from www.accesscmiis.com (24.234.188.23) by gollum.mailclub.fr with SMTP; 12 Jul 2007 07:15:32 +0200
Received: from ai.njcwj ([72.198.35.197]) by www.accesscmiis.com with Microsoft SMTPSVC(6.0.3790.0); Wed, 11 Jul 2007 22:07:42 -0700
Message-ID: <002401c7c442$935cb300$c523c648@ai.njcwj>
From: "2000Greetings.Com" <kujzz@aposner.net>
To: <vinosoft@[removed].com>
Subject: You've received a greeting ecard from a Family member!

1/ le message :

2/ le site référencé et la bestiole

12/07/2007 7:32:35 AMON file ...\Temporary Internet Files\Content.IE5\...\patch[1].exe Win32/Nuwar worm deleted

Informations : Win32/Nuwar worm est un alias de Trojan.Peacomm de NAV

(déjà rencontré en janvier, février et avril 2007, cfr. plus bas dans cette page)

L'expediteur du message est ricain

24.234.188.23

USA

NEVADA

LAS VEGAS

COX COMMUNICATIONS INC

Le virus est hébergé en Virginie en http://68.55.20.34

68.55.20.34

USA

VIRGINIA

ALEXANDRIA

COMCAST CABLE COMMUNICATIONS INC

Soyez prudents - juillet 2007 - méfiez-vous des PostCards !

Received: from it-host01.insane.net.au (unverified [67.15.80.93]) by mail.register.be (Rockliffe SMTPRA 7.0.6) with ESMTP id <B0055591753@mail.register.be> for <admin@vinosoft.com>; Tue, 10 Jul 2007 08:28:30 +0200
Received: (qmail 14893 invoked by uid 10159); 4 Jul 2007 11:22:58 +1000 Received: from 127.0.0.1 by it-host01.insane.net.au (envelope-from <anonymous@it-host01.insane.net.au>, uid 48) with qmail-scanner-2.01st (clamdscan: 0.88.7/3586. spamassassin: 3.1.7. perlscan: 2.01st. Processed in 0.060129 secs); 04 Jul 2007 01:22:58 -0000
Date: 4 Jul 2007 11:22:58 +1000
Message-ID: <20070704012258.14884.qmail@it-host01.insane.net.au>
To: admin@vinosoft.com
Subject: You have just received a virtual postcard from a friend !
From: received@postcard.org <received@postcard.org>

1/ le message :

2/ le site référencé

3/ le virus :

10/07/2007 8:56:18 IMON self-extracting archive http://69.88.135.100/~gulliver/postcard.jpg.exe : multiple infiltrations (trojans) - Connection terminated

L'expediteur du message est ricain

67.15.80.93 - insane.net.au

USA

EVERYONES INTERNET

Le virus est hébergé en Californie en http://69.88.135.100 /~gulliver/postcard.jpg.exe

69.88.135.100

USA

CALIFORNIA

IRVINE

VITALSTREAM HOLDINGS INC

Soyez prudents - juin 2007 - site antispyware piégé

Cas de figure :

1/ un popup s'ouvre spontanément, contenant ce message :

2/ une nouvelle barre apparaît dans Internet Explorer

"Warning: Your computer is infected ....

Le lien de cette barre est le fichier pt.htm

qui est dans un répetoire ne contenant habituellement pas de pages de navigation Internet :

c:\windows\system32\drivers contient des fichiers .sys(tem) et .dll associés ainsi que le HOST File et quelques autres fichiers associés au drivers comme des .cod, cty, dls, vwd, dat ... mais pas de .htm.

Attendons la redirection automatique (popup) ou cliquons sur ce lien ->

Ce site est connu comme étant un site piégé, proposant des rogues

Fix problem by SmitFraudFix v2.195

Soyez prudents - mai 2007 (reçu chez nous) - faux téléchargement de Microsoft Internet Explorer

Win32/TrojanDownloader.Small.NSS trojan

en annexe-MSIE

Soyez prudents - avril 2007 (reçus chez nous et chez nos Clients) - faux patch Microsoft, Update-KB5206-x86.zip

A variant of Win32/Stration.XW worm

Soyez prudents : 20/04/2007 : Un troyen qui s'appuie sur le drame de Virginie

L'email envoyé massivement indique contenir un lien qui conduit vers une vidéo exclusive, capturée depuis un téléphone mobile et réalisée pendant la fusillade survenue dans l'université américaine de « Virginia Tech ». L'email est accompagné d'une photo de l'étudiant en question qui s'est suicidé après le carnage. Le corps de l'email offre un lien censé conduire vers une vidéo hébergée par un site brésilien. En réalité, le lien mène directement vers un pseudo fichier d'économiseur d'écran (TERROR_EM_VIRGINIA.SCR) qui installe un cheval de Troie. Une fois installé sur la machine ciblée, ce Troyen vole et communique mots de passe, noms d'utilisateur et bien d'autres informations confidentielles et sensibles.

Soyez prudents (mai 2007) : méfiez-vous des PostCards !

Si vous cliquez sur l'mage de ce courrier ->

Si vous enregistrez le fichier proposé -> Trojan Win32/Genetik

Cette bestiole est dans le "Top 10 Malware Seen by NOD32, May 2007"

Troj/Graybird-EX est un cheval de Troie fonctionnant sous la plateforme Windows.

Troj/Graybird-EX inclut des fonctionnalités lui permettant d'accéder à internet et communiquer avec un serveur distant via HTTP.

Alias : Win32/Genetik - Downloader.q - TROJ_KOVIN.A - 05 mai 2007

Selon les headers du message reçu :

Received: from ns1.hosting101.biz ([72.232.98.98]) by bay0-mc9-f11.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2668); Wed, 16 May 2007 10:44:21 -0700 // Received: from [24.234.143.98] (helo=User) by ns1.hosting101.biz with esmtpa (Exim 4.66) (envelope-from <card@bluemountain.com>) id 1HoNXP-0000gT-9x; Wed, 16 May 2007 13:43:47 -0400

L'expéditeur, se faisant passer pour bluemontain, est ricain : wsip-24-234-143-98.lv.lv.cox.net (24.234.143.98)

24.234.143.98

USA

NEVADA

LAS VEGAS

COX COMMUNICATIONS INC

Les fausses images du respectable site Blue Montain sont hébergées aux USA :

http://img244.imageshack.us/img244/3318/inter01ty8.gif

img244.imageshack.us (38.99.76.206)

38.99.76.206

USA

DISTRICT OF COLUMBIA

WASHINGTON

PERFORMANCE SYSTEMS INTERNATIONAL INC

http://img502.imageshack.us/img502/8435/inter02wj0.gif - http://img502.imageshack.us/img502/1445/inter03ym0.gif, ...

Le toxique est hébergé en Argentine chez http://mail.ubbi.com.br (200.42.96.13)

http://mail.ubbi.com.br/vdRfc2att/rfc2attach20.dll?f=9fFMbiBE7PwEFSJaUtQuIsiRiI%2BnoEf%2F3sedxbt%2B4hf0oFCYlNiGvKed%2FQyc2jKAjf6%2BI5s2uDK8CzYdnHITBG5QI7e5Kbf9Nwcm2Re5ELKyC5oQES1S4L30%2Fv%2FjncBqpO9FuX97pTkPDOiqRlO1k8il&fb=1585&lb=166939

200.42.96.13

ARGENTINA

BUENOS AIRES

PRIMA S.A

Soyez prudents : méfiez-vous des PostCards !

Return-path: <anonymous@02.bluewebhost.com>
X-Spam-Score: 1
Received: from 02.bluewebhost.com (unverified [83.136.83.210]) by mail.register.be (Rockliffe SMTPRA 7.0.6) with ESMTP id <B0042197009@mail.register.be> for <....@emailonline.info>; Tue, 20 Mar 2007 17:36:07 +0100 - Received: (qmail 31334 invoked by uid 30); 20 Mar 2007 15:48:09 +0100 - Date: 20 Mar 2007 15:48:09 +0100 - Message-ID: <20070320144809.31332.qmail@02.bluewebhost.com>
To: ....@emailonline.info
Subject: You have received a postcard !
From: postcard.com <postcard@postcard.com>
Content-Type: text/html
</div>
Hello friend ! 
You have just received a postcard from someone who cares about you! 
This is a part of the message: 
"Hy there! It has been a long time since I haven't heared about you! 
I've just found out about this service from Claire, a friend of mine who also told me that..." 
If you'd like to see the rest of the message click <a
href="http://Basarabi.sunt.ws/postcards.gif.exe">here</a> to
receive your animated postcard! 
=================== 
Thank you for using www.yourpostcard.com 's services !!! 
Please take this opportunity to let your friends hear about us by sending them a postcard from our collection ! 
==================
</div>

Save -> le fichier est détruit par l'antivirus

20/03/2007 17:52:31 IMON self-extracting archive http://basarabi.sunt.ws/postcards.gif.exe multiple infiltrations

Expéditeur du spam (référencant un virus) : 83.136.83.210

GERMANY

GLIDEPATH DUESSELDORF AG

Le site du virus : Basarabi.sunt.ws : 86.35.4.250

ROMANIA

ARTELECOM DIALUP

IRC/Zapchast.Y.trojan - IRC/Zapchast.trojan - IRC/Zapchast.J.trojan - IRC/Zapchast.H.trojan - IRC/Cloner.AT.trojan : Drops more malware, leaves non-infected files on computer, installs adware.

Quelques références de cet avatar déjà bien documenté sur Internet :

- Bitdefender Romania : http://www.bitdefender.ro/VIRUS-110588-ro--Trojan.Zapchas.F.html
- en anglais : http://www.bitdefender.com/VIRUS-110588-en--Trojan.Zapchas.F.html

- Trojans Masquerade as Postcard & Bogus Postcard Messages

Soyez prudents : méfiez-vous des liens envoyés par les Spam's !

Page piègée au TrojanDownloader.Ani.Gen trojan (renseignée par un (X-)spam)

10 Août 2007 http://search-biz.org/2.ani a variant of Win32/TrojanDownloader.Ani.Gen trojan
search-biz.org (85.255.117.213) - Andrei Kislizin - OOO Inhoster, ul.Antonova 5, Kiev, 03186, Ukraine

85.255.117.213

UKRAINE

KHARKIVS'KA OBLAST'

KHARKIV

INHOSTER HOSTING COMPANY

Norton Antivitus Auto-Protect - Event: Threat Found! - Threat: Trojan.Exploit.131
File: \Temporary Internet Files\Content.IE5\697HBFP4\2[1].ani

Trojan.Exploit.131 is a heuristic detection for a zero-day vulnerability affecting Microsoft Animated Cursor (ANI) file parsers. Discovered: March 30, 2007.

The exploit can be triggered by viewing an HTML page referencing an ANI file in a vulnerable version of Internet Explorer.

Même nuisance sur http://taboo-tattoo.search-biz.org/2.ani

taboo-tattoo.search-biz.org (85.255.117.213) : même IP que http://search-biz.org

ou que http://bill-davieyes-day-i-summer-took-we-went-when.search-biz.org/

ou que http://disease-dog-german-in-shepard.search-biz.org/ ou http://rosewood-village.search-biz.org/

Page piègée au JS/TrojanDownloader.Agent.BI trojan (renseignée par un (X-)spam)

http:// 85.255.117.174/ users/mexx/web/count.php?id=nan17

85.255.117.174

UKRAINE

KHARKIVS'KA OBLAST'

KHARKIV

INHOSTER HOSTING COMPANY

85.255.117.174-xbox.dedi.inhoster.com (85.255.117.174)
Inhoster hosting company - Andrei Kislizin - OOO Inhoster, ul.Antonova 5, Kiev, 03186, Ukraine

Page piègée au JJS/TrojanDownloader.Agent.AB trojan (renseignée par un (X-)spam)

http:// xduraaabco.com/dl/adv557.php

81.95.153.109

RUSSIAN FEDERATION

AKI MON TELECOM

xduraaabco.com (81.95.153.109) - Sergey Startsev - Russia, St.Petersburg - ripe@ akimon.com

03 Juillet 2007 : page piègée à une variante de Java/ClassLoader.K trojan (renseignée par un (X-)spam)

85.255.118.43

UKRAINE

KHARKIVS'KA OBLAST'

KHARKIV

INHOSTER HOSTING COMPANY

06 Juillet 2007 : pages piègées par diverses nuisances :

1/ http://all1count.net (81.95.146.112)

81.95.146.112

PANAMA

RBUSINESS NETWORK

a variant of Win32/TrojanDownloader.Ani.Gen trojan

2/ http://s133.msiesettings.com : account suspended for violation of hosting terms and conditions 07/07/2007
Registrant: Privacyprotect.org PO Box 83-000 Johnsonville - Wellington, NZ, +45.36946676

Privacy Protection is a WHOIS privacy service for domain name owners that we provide through our partners.

When buying a domain name you have to provide accurate contact information or else your domain registration could be terminated as it would be in violation of the registration agreement. This information has to be made publicly available to everyone via the public WHOIS database as required by ICANN, the international governing body for domain names. Everyday, this valuable source of accurate contact information is targeted and harvested by spammers and telemarketers resulting in unwanted and unsolicited contact. Also since your contact information is public, you are at risk for identity theft and fraud and of being contacted by harassers and stalkers. Privacy Protection ensures that your private information is not published by replacing all your publicly visible contact details with alternate contact information.

The A record for msiesettings.com : 81.95.148.14

81.95.148.14

PANAMA

RBUSINESS NETWORK

JS/TrojanDownloader.Psyme.CG trojan

Mais : http://s133.msiesettings.com/check/n404-3.htm "fonctionne" bien :

3/ http://setup.bestmanage.org (82.208.60.239 - Created On : 14-May-2007 - Vasiliy I. Petrov) - Admin Email : ha-xep@mail.ru

82.208.60.239

CZECH REPUBLIC

UPL TELECOM S.R.O

Java/ClassLoader.AA trojan

Mais http://setup.bestmanage.org/setup.php?aff_id=1018 "fonctionne" bien

Page piègée - 17/07/2007 14:01:02 IMON : Exploit.Multi.Qtp.B

Exploit.Multi.Qtp.B trojan

66.96.218.85

USA

NEW YORK

MIDDLE ISLAND

NETWORK OPERATIONS CENTER INC

Pages piègées par diverses nuisances :
24/07/2007 - http://85.255.117.170/users/mayk/web/188.ani a variant of Win32/TrojanDownloader.Ani.Gen trojan

85.255.117.170

UKRAINE

KHARKIVS'KA OBLAST'

KHARKIV

INHOSTER HOSTING COMPANY

Page piègée

28/07/2007 15:00:06 IMON file http://sexvideostation.info - JS/TrojanDownloader.Agent.BI trojan

64.28.185.3

USA

CALIFORNIA

NEWHALL

CERNEL INC

Juilet 2007 - virus Win32/Sality.NAJ virus en provenance d'Inde

Return-path: <MAILER-DAEMON@vinosoft.com>
X-Spam-Score: 7
Received: from vinosoft.com (unverified [203.212.216.224]) by mail.register.be (Rockliffe SMTPRA 7.0.3) with ESMTP id <B0030202327@mail.register.be> for <vinosoft@vinosoft.com>; Wed, 4 Jul 2007 07:31:45 +0200
Message-ID: <B0030202327@mail.register.be>
From: "Post Office" <MAILER-DAEMON@vinosoft.com>
To: vinosoft@vinosoft.com
Subject: [virus Win32/Sality.NAJ virus] Message could not be delivered

Warning: NOD32 antivirus system found the following in the message: vinosoft.com - Win32/Sality.NAJ virus - renamed to vinosoft.vcom

Expéditeur du message vérolé : 203.212.216.224

INDIA

MAHARASHTRA

MUMBAI

HATHWAY IP OVER CABLE INTERNET ACCESS SERVICE

La bestiole :

Aliases:	Virus.Win32.Sality.q (Kaspersky), W32/Sality.x (McAfee), W32.Sality.U (Symantec)
Size/Date:	20480 Bytes / August 14, 2006
Affected platforms:	Microsoft Windows
Short description:	Win32/Sality.NAJ is a polymorphic file infector. It is able to spread via shared folders. The virus tries to download and execute several files from the Internet. W32/Sality-AA est un virus qui fait aussi office d'enregistreur de touches : il enregistre des frappes de touches dans certaines fenêtres, ainsi que des informations sur l'ordinateur infecté. Ces données enregistrées sont périodiquement soumises à un site Web distant. Installation : the following file is dropped in the %windir% folder: vcmgcd32.dll The library is loaded and injected in all processes. The following Registry entry is set: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "GlobalUserOffline" = 0 The following file is modified: %windir%\system.ini The virus infects files referenced by the following Registry entries: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run This causes the virus to be executed on every system start.

13-13 août 2007 - virus Win32/Mydoom.R worm : cette bestiole découverte en juillet 2004 (il y a plus de 3 ans) est vraiment tenace.

Received: from vinosoft.com (unverified [203.83.191.53]) by mail.register.be (Rockliffe SMTPRA 7.0.3) with ESMTP id <B0034885496@mail.register.be> for <vinosoft@vinosoft.com>; Sun, 12 Aug 2007 12:06:55 +0200
Message-ID: <B0034885496@mail.register.be>
From: "Mail Delivery Subsystem" <postmaster@vinosoft.com>
Subject: [virus Win32/Mydoom.R worm] test

Expéditeur du message vérolé : 203.83.191.53

BANGLADESH

DHAKA

GRAMEEN CYBERNET

Grameen CyberNet = Internet Service Provider - Ghulam Mohiuddin - azhar@citechco.net

Received: from vinosoft.com (unverified [203.83.191.53]) by mail.register.be (Rockliffe SMTPRA 7.0.6) with ESMTP id <B0059365716@mail.register.be> for <vinosoft@vinosoft.com>; Mon, 13 Aug 2007 13:07:21 +0200
Message-ID: <B0059365716@mail.register.be>
From: "MAILER-DAEMON" <MAILER-DAEMON@vinosoft.com>
To: vinosoft@vinosoft.com
Subject: [virus Win32/Mydoom.R worm] Mail System Error - Returned Mail

Expéditeur du message vérolé : idem précédent

Received: from vinosoft.com (unverified [203.83.191.53]) by mail.register.be (Rockliffe SMTPRA 7.0.6) with ESMTP id <B0059369959@mail.register.be> for <vinosoft@vinosoft.com>; Mon, 13 Aug 2007 13:41:17 +0200
Message-ID: <B0059369959@mail.register.be>
From: "Mail Administrator" <noreply@vinosoft.com>
To: vinosoft@vinosoft.com
Subject: [virus Win32/Mydoom.R worm] report

Expéditeur du message vérolé : idem précédent

Vague précédente de ce virus (une bonne centaine) : septembre 2006 - janvier 2007, en provenance de 21 pays différents :

BELGIQUE - FRANCE - ITALY - SWITZERLAND - SPAIN - ROMANIA - LATVIA - RUSSIA - UKRAINE - GEORGIA - KAZAKHSTAN - LITHUANIA - EGYPT - BANGLADESH - SOUTH AFRICA - USA - BOLIVIA - THAILANDE - KOREA - CHINA - ANTIGUA AND BARBUDA (Antilles) [technique du spamming]

Juilet 2007 - virus Win32/Mydoom.R worm

Received: from vinosoft.com (unverified [59.37.236.48]) by mail.register.be (Rockliffe SMTPRA 7.0.3) with ESMTP id <B0032340074@mail.register.be> for <vinosoft@vinosoft.com>; Sun, 22 Jul 2007 11:07:48 +0200
Message-ID: <B0032340074@mail.register.be>
From: "The Post Office" <MAILER-DAEMON@vinosoft.com>
To: vinosoft@vinosoft.com
Subject: [virus Win32/Mydoom.R worm] bwwlg moohhlpu

Expéditeur du message vérolé : 59.37.236.48

CHINA

GUANGZHOU

CHINANET GUANGDONG PROVINCE NETWORK

Juin 2007 - virus Win32/Mydoom.R worm

Expéditeurs des 3 virus ci-dessus :

- Received: from vinosoft.com [125.93.163.152]

125.93.163.152

CHINA

GUANGDONG

SHENZHEN

CHINANET GUANGDONG PROVINCE NETWORK

- Received: from vinosoft.com [202.181.138.188]

202.181.138.188

HONG KONG

HKCIX

- Received: from access.digex.net [61.142.23.137]

61.142.23.137

CHINA

GUANGDONG

GUANGZHOU

CHINANET GUANGDONG PROVINCE NETWORK

Juin 2007 - virus Win32/Mydoom.R worm en provenance d'Angleterre

Received: from vinosoft.com (unverified [86.147.141.252]) by mail.register.be (Rockliffe SMTPRA 7.0.6) with ESMTP id <B0053669656@mail.register.be> for <vinosoft@vinosoft.com>; Fri, 22 Jun 2007 16:08:16 +0200
Message-ID: <B0053669656@mail.register.be>
From: "Returned mail" <MAILER-DAEMON@vinosoft.com>
To: vinosoft@vinosoft.com
Subject: [virus Win32/Mydoom.R worm] qcksgqiysjdvvdy
... Warning: NOD32 antivirus system found the following in the message: vinosoft@vinosoft.com.zip ...

Expéditeur du message vérolé : 86.147.141.252

UNITED KINGDOM

BT-CENTRAL-PLUS

Juin 2007 - virus Win32/Mydoom.R worm en provenance d'Angleterre

Received: from vinosoft.com (unverified [81.100.100.187]) by mail.register.be (Rockliffe SMTPRA 7.0.3) with ESMTP id <B0028541755@mail.register.be> for <vinosoft@vinosoft.com>; Wed, 20 Jun 2007 14:47:57 +0200
Message-ID: <B0028541755@mail.register.be>
From: "MAILER-DAEMON" <noreply@vinosoft.com>
To: vinosoft@vinosoft.com
Subject: [virus Win32/Mydoom.R worm] Delivery reports about your e-mail
... Warning: NOD32 antivirus system found the following in the message: vinosoft.com.zip - Win32/Mydoom.R worm - renamed to vinosoft.com.vzip
vinosoft.com.zip > ZIP > vinosoft.com.zip - Win32/Mydoom.R worm - is a part of the renamed object

Expéditeur du message vérolé : 81.100.100.187

UNITED KINGDOM

ENGLAND

BOURNEMOUTH

NTLI

Juin 2007 - virus Win32/Mydoom.R worm en provenance de België

Received: from outmx003.isp.belgacom.be (outmx003.isp.belgacom.be [195.238.4.100]) by privinmx005.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-IN-2.32) with ESMTP id l5ABTJ25017689 for <vinosoft@skynet.be>; Sun, 10 Jun 2007 13:29:19 +0200 (envelope-from <postmaster@skynet.be>)
Received: from outmx003.isp.belgacom.be (localhost.localdomain [127.0.0.1]) by outmx003.isp.belgacom.be (8.13.4/8.12.11/Skynet-OUT-2.22) with ESMTP id l5ABTDVK003045 for <vinosoft@skynet.be>; Sun, 10 Jun 2007 13:29:13 +0200 (envelope-from <postmaster@skynet.be>)
Received: from skynet.be (237.33-245-81.adsl-dyn.isp.belgacom.be [81.245.33.237]) by outmx003.isp.belgacom.be (8.13.4/8.13.4/Skynet-OUT-2.22) with ESMTP id l5ABTBcu003028 for <vinosoft@skynet.be>; Sun, 10 Jun 2007 13:29:11 +0200 (envelope-from <postmaster@skynet.be>)
Message-Id: <200706101129.l5ABTBcu003028@outmx003.isp.belgacom.be>
From: "The Post Office" <postmaster@skynet.be>
To: vinosoft@skynet.be
Subject: [virus Win32/Mydoom.R worm] report
... Warning: NOD32 antivirus system found the following in the message: message.zip - Win32/Mydoom.R worm - renamed to message.vzip

L'expéditeur du message vérolé est un Skynet's User : même IP que le message précédent, ci-dessous

Juin 2007 - virus Win32/Mydoom.R worm en provenance de België

Return-Path: <noreply@skynet.be>
Received: from outmx003.isp.belgacom.be (outmx003.isp.belgacom.be [195.238.4.100]) by privinmx003.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-IN-2.32) with ESMTP id l59EG9Fh020341 for <vinosoft@skynet.be>; Sat, 9 Jun 2007 16:16:09 +0200 (envelope-from <noreply@skynet.be>)
Received: from outmx003.isp.belgacom.be (localhost.localdomain [127.0.0.1]) by outmx003.isp.belgacom.be (8.13.4/8.12.11/Skynet-OUT-2.22) with ESMTP id l59Drwcg023284 for <vinosoft@skynet.be>; Sat, 9 Jun 2007 15:53:58 +0200 (envelope-from <noreply@skynet.be>)
Received: from skynet.be (237.33-245-81.adsl-dyn.isp.belgacom.be [81.245.33.237]) by outmx003.isp.belgacom.be (8.13.4/8.13.4/Skynet-OUT-2.22) with ESMTP id l59Drn2r023244 for <vinosoft@skynet.be>; Sat, 9 Jun 2007 15:53:49 +0200 (envelope-from <noreply@skynet.be>)
Message-Id: <200706091353.l59Drn2r023244@outmx003.isp.belgacom.be>
From: "Returned mail" <noreply@skynet.be>
To: vinosoft@skynet.be
Subject: [virus Win32/Mydoom.R worm] Delivery reports about your e-mail
X-NOD32Result: Infected, Win32/Mydoom.R worm
Warning: NOD32 antivirus system found the following in the message: transcript.zip - Win32/Mydoom.R worm - renamed to transcript.vzip
L'expéditeur du message vérolé est un Skynet's User : 237.33-245-81.adsl-dyn.isp.belgacom.be (81.245.33.237)

81.245.33.237

BELGIUM

ANTWERPEN

Geel

BELGACOM-ADSL

Juin 2007 - virus Win32/Mydoom.R worm avec usurpation d'adresse :

Le Postmaster de Belgacom-Skynet nous averti de la non distribution d'un message soit-disant émanant de notre adresse @skynet avec pour raison : ----- The following addresses had permanent fatal errors ----- <speak2us@kelkoo.co.uk> - (reason: 554 5.6.1 Certain attachments are not allowed for security reasons.Your message has been rejected.)

Nous n'avons jamais envoyé d'email à un user...@kelkoo.co.uk.

Notre soit-disant message est annexé à cette notification de non distribution; ce qui devrait nous permettre d'identifier le réseau qui a envoyé le courriel accompagné d'un virus Win32/Mydoom.R worm en notre nom :

Received: from outmx003.isp.belgacom.be (localhost.localdomain [127.0.0.1]) by outmx003.isp.belgacom.be (8.13.4/8.12.11/Skynet-OUT-2.22) with ESMTP id l58NOCLQ003443 for <speak2us@kelkoo.co.uk>; Sat, 9 Jun 2007 01:24:12 +0200 (envelope-from <vinosoft@skynet.be>)
Received: from skynet.be (209.143-4-62.powered-by.skynet.be [62.4.143.209]) by outmx003.isp.belgacom.be (8.13.4/8.13.4/Skynet-OUT-2.22) with ESMTP id l58NNjP7003308 for <speak2us@kelkoo.co.uk>; Sat, 9 Jun 2007 01:23:58 +0200 (envelope-from <vinosoft@skynet.be>)
Message-Id: <200706082323.l58NNjP7003308@outmx003.isp.belgacom.be>
From: vinosoft@skynet.be
To: speak2us@kelkoo.co.uk
Subject: speak2us@kelkoo.co.uk

Content-Type: application/octet-stream; name="attachment.zip" Content-Transfer-Encoding: base64

[le fichier attaché est un .zip mais renommé (deux fois) par notre antivirus]

Dans le cas présent (qui est rare parmi les avatars relevés dans nos messageries), selon l'IP, l'expéditeur est un abonné ADSL de Belgacom Skynet : 209.143-4-62.powered-by.skynet.be (62.4.143.209) : comme nous; les headers ne prouvent donc pas que ce n'est pas nous qui avons envoyé la vérole. Seul Skynet pourrait le prouver en effectuant la corrélation entre l'IP attribuée et la date/heure de l'expédition du message [corrélation qui identifierait l'abonné].

Le contenu de notre soit-disant message (vérolé) est le suivant

(se faisant passer pour une notification de non-distribution) :

The original message was received at Sat, 9 Jun 2007 01:33:24 +0200 from skynet.be [73.50.204.177]
----- The following addresses had permanent fatal errors ----- <speak2us@kelkoo.co.uk>

L'expéditeur du message vérolé serait donc 73.50.204.177 qui n'est nullement "from skynet.be" comme indiqué

73.50.204.177

USA

NEW JERSEY

MT. LAUREL

COMCAST IP SERVICES L.L.C

Mai 2007 - Avatar (identique à ceux rapportés par plusieurs de nos Clients) : usurpation d'adresse :

Le Postmaster de Neuf.fr nous signale la non distribution d'un courrier avec pour raison "Denied by policy" :

Le Postmaster y joint (les headers de) notre (soit-disant) message :

"Return-path: <vinosoft@skynet.be>
Received: from tcp-daemon.sp604003mt.gpm.neuf.ld by sp604003mt.gpm.neuf.ld (Sun Java System Messaging Server 6.2-5.05 (built Feb 16 2006)) id <0JHP00106THWVK00@sp604003mt.gpm.neuf.ld>; Tue, 08 May 2007 11:10:44 +0200 (CEST)
Received: from skynet.be ([86.74.33.46]) by sp604003mt.gpm.neuf.ld (Sun Java System Messaging Server 6.2-5.05 (built Feb 16 2006)) with ESMTP id <0JHP00LD3THNIZ40@sp604003mt.gpm.neuf.ld> for christophe.knab@c2r.tdf.fr; Tue, 08 May 2007 11:10:44 +0200 (CEST)
Date: Wed, 28 Mar 2012 13:08:26 +0200 .... "

Nous ne connaissons christophe.knab ni d'Eve ni d'Adam.

Le "Received: from" nous donne la situation géographique de l'expéditeur :

86.74.33.46

FRANCE

DYNAMIC POOLS

qui exclut que ce soit en provenance d'un Skynet's User (en Belgique)

L'IP expéditrice correspond à : 46.33.74-86.rev.gaoland.net (86.74.33.46) - LDCOM Legal Contact - neuf telecom - 92659 Boulogne Billancourt - France

Mai 2007 - Avatar (identique à ceux rapportés par plusieurs de nos Clients) : usurpation d'adresse :

Le Postmaster de Neuf.fr nous signale la non distribution d'un courrier avec pour raison "Denied by policy" :

Ce rapport fait référence à un message envoyé avec les champs d'en-tête suivants :
Message-id: <0JHR00KDIOT0L500@sp604001mt.gpm.neuf.ld>
Date: Wed, 28 Mar 2012 14:58:13 +0200
From: vinosoft@skynet.be
To: thierry.bernard@tdf.fr
Subject: Mail System Error - Returned Mail
Le message ne peut pas être remis aux destinataires suivants :
Adresse du destinataire : thierry.bernard@tdf.fr
Raison : SMTP transmission failure has occurred
Code de diagnostic : smtp;550 Denied by policy.
Système distant : dns;smtp.tdf.fr (TCP|84.96.92.60|63499|195.101.233.14|25) (smtp.tdf.fr)

Le Postmaster y joint (les headers de) notre (soit-disant) message :

Return-path: <vinosoft@skynet.be>
Received: from tcp-daemon.sp604001mt.gpm.neuf.ld by sp604001mt.gpm.neuf.ld (Sun Java System Messaging Server 6.2-5.05 (built Feb 16 2006)) id <0JHR00K6ZOXKY000@sp604001mt.gpm.neuf.ld>; Wed, 09 May 2007 11:27:21 +0200 (CEST)
Received: from skynet.be ([84.102.199.19]) by sp604001mt.gpm.neuf.ld (Sun Java System Messaging Server 6.2-5.05 (built Feb 16 2006)) with ESMTP id <0JHR00KD8OSTL500@sp604001mt.gpm.neuf.ld> for thierry.bernard@tdf.fr; Wed, 09 May 2007 11:24:41 +0200 (CEST)
Date: Wed, 28 Mar 2012 14:58:13 +0200

Nous ne connaissons thierry.bernard ni d'Eve ni d'Adam.

Le "Received: from" nous donne la situation géographique de l'expéditeur :

84.102.199.19

FRANCE

DYNAMIC POOLS

qui exclut que ce soit en provenance d'un Skynet's User (en Belgique)

30 Mai 2007 - Message Espagnol, vérolé : Win32/Mydoom.R worm

Return-path: <sburrow@actu.asn.au>
X-Spam-Score: 1
Received: from actu.asn.au (unverified [213.97.58.101]) by mail.register.be (Rockliffe SMTPRA 7.0.3) with ESMTP id <B0025513324@mail.register.be> for <vinosoft@vinosoft.com>; Wed, 30 May 2007 17:32:45 +0200
Message-ID: <B0025513324@mail.register.be>
From: sburrow@actu.asn.au
To: vinosoft@vinosoft.com
Subject: [virus Win32/Mydoom.R worm] Delivery reports about your e-mail
... Warning: NOD32 antivirus system found the following in the message: vinosoft@vinosoft.com.zip - Win32/Mydoom.R worm

Expéditeur du virus :213.97.58.101

SPAIN

CATALUñA

BARCELONA

TELEFONICA DE ESPANA SAU

19 Mai 2007 - Message d'un Skynet's User, vérolé : Win32/Mydoom.R worm

Received: from outmx003.isp.belgacom.be (outmx003.isp.belgacom.be [195.238.4.100]) by privinmx002.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-IN-2.32) with ESMTP id l4JB8VRX022523 for <vinosoft@skynet.be>; Sat, 19 May 2007 13:08:31 +0200 (envelope-from <postmaster@skynet.be>)
Received: from outmx003.isp.belgacom.be (localhost.localdomain [127.0.0.1]) by outmx003.isp.belgacom.be (8.13.4/8.12.11/Skynet-OUT-2.22) with ESMTP id l4JB8RV7001994 for <vinosoft@skynet.be>; Sat, 19 May 2007 13:08:27 +0200 (envelope-from <postmaster@skynet.be>)
Received: from skynet.be (31.130-4-62.powered-by.skynet.be [62.4.130.31]) by outmx003.isp.belgacom.be (8.13.4/8.13.4/Skynet-OUT-2.22) with ESMTP id l4JB6Fx9001117 for <vinosoft@skynet.be>; Sat, 19 May 2007 13:06:47 +0200 (envelope-from <postmaster@skynet.be>)
Message-Id: <200705191106.l4JB6Fx9001117@outmx003.isp.belgacom.be>
From: "MAILER-DAEMON" <postmaster@skynet.be>
To: vinosoft@skynet.be
Subject: [virus Win32/Mydoom.R worm] DELIVERY FAILED

... Content-Type: application/octet-stream; name="sxhdwxm.zip"

Expéditeur du virus : 62.4.130.31

BELGIUM

BRUSSELS

DIAL-UP SKYNET

20/05/2007 6:41:15 AMON file sxhdwxm.zip Win32/Mydoom.R worm quarantined - deleted

Event occurred on a new file created by the application: ...:\Program Files\Outlook Express\msimn.exe.

The file was moved to quarantine. You may close this window.

18 Mai 2007 - Message d'un Belgacom's User, vérolé : Win32/Mydoom.R worm

Return-Path: <fmartin@pandora.be>
Received: from outmx003.isp.belgacom.be (outmx003.isp.belgacom.be [195.238.4.100]) by privinmx002.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-IN-2.32) with ESMTP id l4ICBnI7021932 for <vinosoft@skynet.be>; Fri, 18 May 2007 14:11:49 +0200 (envelope-from <fmartin@pandora.be>)
Received: from outmx003.isp.belgacom.be (localhost.localdomain [127.0.0.1]) by outmx003.isp.belgacom.be (8.13.4/8.12.11/Skynet-OUT-2.22) with ESMTP id l4ICBlAV005598 for <vinosoft@skynet.be>; Fri, 18 May 2007 14:11:47 +0200 (envelope-from <fmartin@pandora.be>)
Received: from pandora.be (70.144-200-80.adsl-dyn.isp.belgacom.be [80.200.144.70]) by outmx003.isp.belgacom.be (8.13.4/8.13.4/Skynet-OUT-2.22) with ESMTP id l4ICBjP0005582 for <vinosoft@skynet.be>; Fri, 18 May 2007 14:11:45 +0200 (envelope-from <fmartin@pandora.be>)
Message-Id: <200705181211.l4ICBjP0005582@outmx003.isp.belgacom.be>
From: fmartin@pandora.be
To: vinosoft@skynet.be
Subject: [virus Win32/Mydoom.R worm] Tjhdhae
... Warning: NOD32 antivirus system found the following in the message: file.zip - Win32/Mydoom.R worm - renamed to file.vzip
Content-Type: application/octet-stream; name="file.vzip"

Expéditeur du virus : 80.200.144.70

BELGIUM

BRABANT WALLON

OTTIGNIES

BELGACOM-ADSL

24 Avril 2007 - Message d'un Skynet's User, vérolé : Win32/Mydoom.R worm

Return-Path: <jylam@lnxscene.org>
Received: from outmx024.isp.belgacom.be (outmx024.isp.belgacom.be [195.238.4.128]) by privinmx004.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-IN-2.32) with ESMTP id l3ODsxqI031757 for <vinosoft@skynet.be>; Tue, 24 Apr 2007 15:54:59 +0200 (envelope-from <jylam@lnxscene.org>)
Received: from outmx024.isp.belgacom.be (localhost [127.0.0.1]) by outmx024.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-OUT-2.22) with ESMTP id l3ODsrpP024478 for <vinosoft@skynet.be>; Tue, 24 Apr 2007 15:54:53 +0200 (envelope-from <jylam@lnxscene.org>)
Received: from lnxscene.org (46.80-201-80.adsl-dyn.isp.belgacom.be [80.201.80.46]) by outmx024.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-OUT-2.22) with ESMTP id l3ODsiec024390 for <vinosoft@skynet.be>; Tue, 24 Apr 2007 15:54:44 +0200 (envelope-from <jylam@lnxscene.org>)
Message-Id: <200704241354.l3ODsiec024390@outmx024.isp.belgacom.be>
From: jylam@lnxscene.org
To: vinosoft@skynet.be
Subject: [virus Win32/Mydoom.R worm] Sedl
The original message was received at Tue, 24 Apr 2007 15:54:24 +0200
from [2.46.118.15]
----- The following addresses had permanent fatal errors -----
<vinosoft@skynet.be>
Content-Disposition: attachment; filename="document.zip"

Même expéditeur que le message du 23 avril 2007, ci-dessous

23 Avril 2007 - Message d'un Skynet's User, vérolé : Win32/Mydoom.R worm

Return-Path: <postmaster@skynet.be>
Received: from outmx024.isp.belgacom.be (outmx024.isp.belgacom.be [195.238.4.128]) by privinmx006.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-IN-2.32) with ESMTP id l3NFT1E5010230 for <vinosoft@skynet.be>; Mon, 23 Apr 2007 17:29:01 +0200 (envelope-from <postmaster@skynet.be>)
Received: from outmx024.isp.belgacom.be (localhost [127.0.0.1]) by outmx024.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-OUT-2.22) with ESMTP id l3NFSvuu031646 for <vinosoft@skynet.be>; Mon, 23 Apr 2007 17:28:58 +0200 (envelope-from <postmaster@skynet.be>)
Received: from skynet.be (46.80-201-80.adsl-dyn.isp.belgacom.be [80.201.80.46]) by outmx024.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-OUT-2.22) with ESMTP id l3NFSu3N031636 for <vinosoft@skynet.be>; Mon, 23 Apr 2007 17:28:56 +0200 (envelope-from <postmaster@skynet.be>)
Message-Id: <200704231528.l3NFSu3N031636@outmx024.isp.belgacom.be>
From: "Post Office" <postmaster@skynet.be>
To: vinosoft@skynet.be
Subject: [virus Win32/Mydoom.R worm] ldtwhlozzcke
Warning: NOD32 antivirus system found the following in the message: mail.zip - Win32/Mydoom.R worm - renamed to mail.vzip

23 Avril 2007 - Message vérolé expédié en usurpant notre adresse email.

L'email a été expédié par une IP située en Egypte, en se faisant passer pour un Skynet User

Il était destiné à un hôtel égyptien : hr @ mirabelresort.net

Il a été rejeté par le responsable [postmaster @ iberotel-eg.com - 217.139.60.25]

217.139.60.25

EGYPT

AL QAHIRAH

CAIRO

THE NOOR GROUP

de la mailbox de ce Destinataire car il contient un virus

Le Postmater nous previent de la non distribution de notre (soit-disant) courrier.

Received: from skynet.be [212.12.234.125] mais 212.12.234.125 = Egypt

[Hatem Aref - Advechems - 22, Syria St - Mohandeseen , Cairo - Egypt ; Maged William - The Wayout - 45, El Batal Ahmed Abdel Aziz St., Mohandessen, Giza - Egypt.]

Le corps de notre soit-disant message :

This message was undeliverable due to the following reason(s):
Your message was not delivered because the destination server was unreachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configuration parameters. Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now. Your message could not be delivered within 8 days: Host 118.52.165.51 is not responding. The following recipients could not receive this message: <hr@mirabelresort.net>
Please reply to postmaster@mirabelresort.net if you feel this message to be in error.
Content-Type: application/octet-stream; name="instruction.zip"

File Attachment "instruction.zip" fait partie des caractéristiques des virus de la famille Mydoom, comme W32.Mydoom.M@mm

The attachment name may also be one of the following : readme - instruction - transcript - mail - letter - file - text - attachment - document - message with one of the following extensions : .cmd - .bat - .com - .exe - .pif - .scr - .zip

Google : http://www.google.be/search?hl=fr&q=instruction.zip+%2B+virus+%2B+mydoom&btnG=Rechercher&meta=lr%3D

Vague précédente de cette famille de virus (une bonne centaine) : septembre 2006 - janvier 2007, en provenance de 21 pays différents

BELGIQUE - FRANCE - ITALY - SWITZERLAND - SPAIN - ROMANIA - LATVIA - RUSSIA - UKRAINE - GEORGIA - KAZAKHSTAN - LITHUANIA - EGYPT - BANGLADESH - SOUTH AFRICA - USA - BOLIVIA - THAILANDE - KOREA - CHINA - ANTIGUA AND BARBUDA (Antilles)

19 Avril 2007 - Message Israëlien vérolé : faux patch Microsoft, Update-KB5206-x86.zip

A variant of Win32/Stration.XW worm

Return-path: <sec@iinet.net.au>
X-Spam-Score: 1
Received: from IBM-966FC292045 (unverified [84.94.48.96]) by mail.register.be (Rockliffe SMTPRA 7.0.3) with SMTP id <B0019882677@mail.register.be> for <vinosoft@vinosoft.com>; Thu, 19 Apr 2007 08:43:32 +0200 Message-ID: <B0019882677@mail.register.be>
Received: (qmail 3149 invoked by uid 0); Thu, 19 Apr 2007 09:40:50 -0000)
Received: from unknown (HELO swcbrfzzk) (172.20.16.72) by 172.20.16.200 with SMTP; Thu, 19 Apr 2007 09:40:50 -0000
Date: Thu, 19 Apr 2007 09:32:50 +0300
From: sec@iinet.net.au
Mime-Version: 1.0
To: vinosoft@vinosoft.com
Subject: [virus a variant of Win32/Stration.XW worm] Mail server report.
Do not reply to this message
Dear Customer,
Our robot has fixed an abnormal activity from your IP address on sending e-mails.
Probably it is connected with the last epidemic of a worm which does not have patches at the moment.
We recommend you to install a firewall module and it will stop e-mail sending. Otherwise your account will be blocked until you do not eliminate
malfunction.
Customer support center robot
Update-KB5206-x86.zip - a variant of Win32/Stration.XW worm
Update-KB5206-x86.zip > ZIP > Update-KB5206-x86.exe - a variant of Win32/Stration.XW worm
Content-Type: APPLICATION/OCTET-STREAM; name="Update-KB5206-x86.zip"

Expéditeur : 84.94.48.96

ISRAEL

TEL AVIV

GOLDENLINES-CABLE

Virus also known as TR/Dldr.Stration.Gen (Antivir) - Win32:Warezov-BDJ (Avast) - I-Worm/Stration.CHC (AVG) - Win32.Warezov.BE@mm (Bit Defender) - Worm.Stration.pac (ClamAV) - W32/Warezov.gen!W32DL (F-Prot) - Email-Worm.Win32.Warezov.jx (F-Secure) - Email-Worm.Win32.Warezov.jx (Kaspersky) - Win32/Stration.XW (NOD32) - W32.Stration.CX@mm (Symantec) - Découverte de la bestiole : 03/03/2007.

- Si ce fichier joint est exécuté, le ver se copie dans le répertoire système de Windows sous un nom aléatoire
- Modifie la base de registres pour s'exécuter automatiquement à chaque démarrage de l'ordinateur
- S'envoie automatiquement aux adresses figurant dans le carnet d'adresses Windows et divers fichiers
- Puis tente de télécharger et d'exécuter un fichier depuis un site web distant.

19 Avril 2007 - Message Israëlien vérolé : a variant of Win32/Stration.XW worm - faux patch Microsoft, Update-KB5206-x86.zip

Return-path: <serv@scholzes.com>
X-Spam-Score: 1
Received: from IBM-966FC292045 (unverified [84.94.48.96]) by mail.register.be (Rockliffe SMTPRA 7.0.3) with SMTP id <B0019883112@mail.register.be> for <vinosoft@vinosoft.com>; Thu, 19 Apr 2007 08:47:36 +0200
Message-ID: <B0019883112@mail.register.be>
Received: (qmail 1728 invoked by uid 0); , 19 XÇ 2007 09:45:54 -0000)
Received: from unknown (HELO vdngvu) (172.20.16.82) by 172.20.16.200 with SMTP; , 19 XÇ 2007 09:45:54 -0000
Date: , 19 XÇ 2007 09:37:54 +0300
From: serv@scholzes.com
Mime-Version: 1.0
To: vinosoft@vinosoft.com
Subject: [virus a variant of Win32/Stration.XW worm] Mail server report.
Do not reply to this message
Dear Customer,
Our robot has fixed an abnormal activity from your IP address on sending e-mails.
Probably it is connected with the last epidemic of a worm which does not have patches at the moment.
We recommend you to install a firewall module and it will stop e-mail sending. Otherwise your account will be blocked until you do not eliminate
malfunction.
Customer support center robot
Update-KB5206-x86.zip - a variant of Win32/Stration.XW worm
Update-KB5206-x86.zip > ZIP > Update-KB5206-x86.exe - a variant of Win32/Stration.XW worm
Content-Type: APPLICATION/OCTET-STREAM; name="Update-KB5206-x86.zip"

Expéditeur : 84.94.48.96

ISRAEL

TEL AVIV

GOLDENLINES-CABLE

14 Avril 2007 - Message d'un Skynet's User, vérolé : Win32/Mydoom.R worm

Return-Path: <noreply@skynet.be>
Received: from outmx024.isp.belgacom.be (outmx024.isp.belgacom.be [195.238.4.128]) by privinmx009.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-IN-2.32) with ESMTP id l3EFCVGk014925 for <vinosoft@skynet.be>; Sat, 14 Apr 2007 17:12:31 +0200 (envelope-from <noreply@skynet.be>)
Received: from outmx024.isp.belgacom.be (localhost [127.0.0.1]) by outmx024.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-OUT-2.22) with ESMTP id l3EFCUai029246 for <vinosoft@skynet.be>; Sat, 14 Apr 2007 17:12:30 +0200 (envelope-from <noreply@skynet.be>)
Received: from skynet.be (40.113-240-81.adsl-dyn.isp.belgacom.be [81.240.113.40]) by outmx024.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-OUT-2.22) with ESMTP id l3EFCK4q029187 for <vinosoft@skynet.be>; Sat, 14 Apr 2007 17:12:21 +0200 (envelope-from <noreply@skynet.be>)
Message-Id: <200704141512.l3EFCK4q029187@outmx024.isp.belgacom.be>
From: "Automatic Email Delivery Software" <noreply@skynet.be>
To: vinosoft@skynet.be
Subject: [virus Win32/Mydoom.R worm] Returned mail: Data format error
... Dear user of skynet.be,
We have detected that your e-mail account has been used to send a huge amount of spam during the last week.
We suspect that your computer was infected and now contains a hidden proxy server.
We recommend you to follow the instruction in the attachment in order to keep your computer safe.
Sincerely yours,
skynet.be technical support team.
Content-Type: application/octet-stream; name="mail.zip"
Expéditeur : 40.113-240-81.adsl-dyn.isp.belgacom.be (81.240.113.40)

15/04/2007 6:05:41 IMON email message from: "Automatic Email Delivery Software" <noreply@skynet.be> to: vinosoft@skynet.be with subject Returned mail: Data format error dated Sat, 14 Apr 2007 17:01:01 +0200 downloaded from server 195.238.5.116:110 Win32/Mydoom.R worm contained infected files

03 Avril 2007 - Message péruvien vérolé : Email-Worm.Win32.Mydoom.m.log

Received: from inmx005.isp.belgacom.be (inmx005.isp.belgacom.be [195.238.5.148]) by inas013.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-IN-AS-2.03) with ESMTP id l33DvqxX031280 for <vinosoft@skynet.be>; Tue, 3 Apr 2007 15:57:52 +0200 (envelope-from <postmaster@skynet.be>)
Received: from mailgate103.isp.belgacom.be (mailgate103.isp.belgacom.be [195.238.6.84]) by inmx005.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-IN-2.32) with ESMTP id l33DvdVW023496 for <vinosoft@skynet.be>; Tue, 3 Apr 2007 15:57:51 +0200 (envelope-from <postmaster@skynet.be>)
Message-Id: <5ropmb$1c1jtg@in.mx.skynet.be>
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: Ao8CABr5EUbJ5l1JdGdsb2JhbACHXYgtAYEuKA
Received: from client-201.230.93.73.speedy.net.pe (HELO skynet.be) ([201.230.93.73]) by in.mx.skynet.be with ESMTP; 03 Apr 2007 15:50:06 +0200
From: "Bounced mail" <postmaster@skynet.be>
To: vinosoft@skynet.be
Subject: Returned mail: Data format error

Content-Disposition: attachment; filename="attachment.zip"

Expéditeur : 201.230.93.73

PERU

LIMA

TDPERX11-LACNIC

Pas d'alerte Nod32

mais Kaspersky :

Email-Worm.Win32.Mydoom.m.log (2004?) - description

Mars 2007 - Virus dans notre messagerie Skynet : Win32/Mydoom.R worm

Received: from outmx003.isp.belgacom.be (outmx003.isp.belgacom.be [195.238.4.100]) by privinmx001.isp.belgacom.be (8.12.11.20060308/8.12.11/Skynet-IN-2.32) with ESMTP id l2N9Qt4X031946 for <vinosoft@skynet.be>; Fri, 23 Mar 2007 10:26:55 +0100 (envelope-from <noreply@skynet.be>)
Received: from outmx003.isp.belgacom.be (localhost.localdomain [127.0.0.1]) by outmx003.isp.belgacom.be (8.13.4/8.12.11/Skynet-OUT-2.22) with ESMTP id l2N9QnDH017062 for <vinosoft@skynet.be>; Fri, 23 Mar 2007 10:26:49 +0100 (envelope-from <noreply@skynet.be>)
Received: from skynet.be (220.172-201-80.adsl-dyn.isp.belgacom.be [80.201.172.220]) by outmx003.isp.belgacom.be (8.13.4/8.13.4/Skynet-OUT-2.22) with ESMTP id l2N9Qdb0016934 for <vinosoft@skynet.be>; Fri, 23 Mar 2007 10:26:39 +0100 (envelope-from <noreply@skynet.be>)
Message-Id: <200703230926.l2N9Qdb0016934@outmx003.isp.belgacom.be>
From: "Automatic Email Delivery Software" <noreply@skynet.be>
To: vinosoft@skynet.be
Subject: [virus Win32/Mydoom.R worm] Mail System Error - Returned Mail

Content-Type: application/octet-stream; name="message.zip"

Expéditeur du virus : 80.201.172.220

BELGIUM

BRUSSELS

BELGACOM-ADSL

Virus Win32/Mydoom.R is an e-mail worm for Microsoft Windows systems. Its file is approximately 28 kilobytes long, compressed by UPX. After decompression, its size is about 40kB. Upon execution the form copies itself in the %windir% using the name java.exe. It also saves a file called services.exe there. This file is a backdoor component, that operates on TCP port 1034.
The following Registry entries are set to point to worm executables:
HKEY_LOCAL_MACCHINE\Software\Microsoft\Windows\CurrentVersion\Run\JavaVM
HKEY_LOCAL_MACCHINE\Software\Microsoft\Windows\CurrentVersion\Run\Services
The first entry contains path to java.exe, and the other points to services.exe.
The worm looks for e-mail addresses in local files having one of the extensions: adb, asp, dbx, ht*, ph*, pl*, sht, tbb, tx*, wab
It also tries to search for addresses using Google, Yahoo, Lycos and Altavista. Win32/Mydoom.R filters the addresses it finds using a long list of strings. If one of the strings is contained in an address, the address is ignored. - Virus découvert le 26/07/2004 : le ver utilise son propre moteur SMTP pour s'expédier aux adresses électroniques qu'il a trouvées sur l'ordinateur infecté.

Vague précédente de ce virus (une bonne centaine) : septembre 2006 - janvier 2007, en provenance de 21 pays différents :

10 février 2007 : page (multi-)piègée (renseignée par un (X-)spam) - http:// best4all.net

216.240.149.117

USA

CALIFORNIA

ARCADIA

ATMLINK INC

10/02/2007 12:34:29 IMON file http://prevedtraf.biz/adv/new.php?adv=151 JS/TrojanDownloader.Agent.BI trojan Connection terminated

prevedtraf.biz (81.177.22.109)

81.177.22.109

RUSSIAN FEDERATION

NETPLACE PROFESSIONAL INTERNET SERVICES

10/02/2007 12:33:37 AMON file ...\Temporary Internet Files\Content.IE5\EJ2BQD23\exp4[1].htm probably a variant of HTML/Exploit.VMLFill trojan
10/02/2007 12:33:35 AMON file ...\Temporary Internet Files\Content.IE5\U9URKXI3\exp4[1].htm probably a variant of HTML/Exploit.VMLFill trojan
10/02/2007 12:33:08 IMON archive http://prevedtraf.biz/adv/151/count.jar Java/ClassLoader.AA trojan Connection terminated
10/02/2007 12:33:08 IMON file http://prevedtraf.biz/adv/151/sploit.anr Win32/TrojanDownloader.Ani.gen trojan Connection terminated
10/02/2007 12:32:59 IMON file http://prevedtraf.biz/adv/new.php?adv=151 JS/TrojanDownloader.Agent.BI trojan Connection terminated
10/02/2007 12:32:57 IMON file http://prevedtraf.biz/strong/151/exp4.htm HTML/Exploit.VMLFill trojan Connection terminated
10/02/2007 12:32:52 IMON file http://prevedtraf.biz/adv/new.php?adv=151 JS/TrojanDownloader.Agent.BI trojan Connection terminated
10/02/2007 12:32:51 IMON file http://prevedtraf.biz/strong/151/exp4.htm probably a variant of HTML/Exploit.VMLFill trojan
10/02/2007 12:32:47 IMON file http://85.255.117.174/users/mexx/web/count.php?id=nan94 JS/TrojanDownloader.Agent.BI trojan Connection terminated

85.255.117.174

UKRAINE

KHARKIVS'KA OBLAST'

KHARKIV

INHOSTER HOSTING COMPANY

08 février 2007 : page piègée, JAVA

85.255.118.43

UKRAINE

KHARKIVS'KA OBLAST'

KHARKIV

INHOSTER HOSTING COMPANY

85.255.118.43 is listed in the SBL (SpamHaus)

04 février 2007 : Win32/Nuwar.gen worm est un alias de Trojan.Peacomm de NAV (cfr. 19-21 janvier 2007, ci-dessous)

Received: from triband-del-59.180.79.189.bol.net.in (unverified [59.180.79.189]) by mail.register.be (Rockliffe SMTPRA 7.0.3) with SMTP id <B0038910091@mail.register.be> for <REMOVED@emailonline.info>; Sun, 4 Feb 2007 11:15:53 +0100
Received: from prsx ([223.107.115.78]) by triband-del-59.180.79.189.bol.net.in with Microsoft SMTPSVC(5.0.2195.5329); Sun, 4 Feb 2007 15:45:29 +0530
Message-ID: <45C5B241.9050002@the-registry.org>
Date: Sun, 4 Feb 2007 15:45:29 +0530
From: Chavez O. Sara <flrk@the-registry.org>
User-Agent: Thunderbird 1.5.0.9 (Windows/20061207)
To: REMOVED@emailonline.info
Subject: [virus Win32/Nuwar.gen worm] A Little (sex) Card
... Warning: NOD32 antivirus system found the following in the message: flash postcard.exe - Win32/Nuwar.gen worm - renamed to flash postcard.vexe

Volume Statistics for this IP : http://spamcop.net/w3m?action=checkblock&ip=59.180.79.189 05/02/2007

59.180.79.189 listed in bl.spamcop.net - Change vs. Average : Last day : 41569% - Last 30 days : 244%
59.180.79.189 is listed in dynablock.njabl.org - 59.180.79.189 resolves to triband-del-59.180.79.189.bol.net.in

59.180.79.189

INDIA

MTNL CAT B ISP

21-22/01/07 : diffusion d'une nouvelle variante de Trojan.Peacomm de NAV.

Quelques nouveaux titres de message : Happy World Religion Day! - Bewitching Moonlight - Peek-A-Boo - Only You - Until the Day - Emptiness Inside Me - Want to Meet? - Dinner Coupon - Baby, I'll Be There - I'll Be Your Man - You Rock Me! - A Romantic Place - All For You - A Little (sex) Card - Our Love is Strong

Quelques nouveaux noms de pièce jointe : Click Here.exe - Greeting Postcard.exe - flash postcard.exe - Greeting Card.exe - Postcard.exe - postcard.exe - greeting card.exe - Flash Postcard.exe

Suivi, avril 2007 : Symantec Security Response surveille actuellement de près la propagation du courrier indésirable renfermant la menace Trojan.Peacomm (également connue sous le nom de Storm Trojan). Cette attaque de spam présente l'un des taux de propagation les plus importants identifiés au cours des derniers mois. La menace a initialement été découverte en janvier 2007, mais elle connait à présent un nouvel essor grâce à cette nouvelle forme de dissémination. Ses caractéristiques évoluent avec le temps. Il s'agit là du dernier exemple en date des activités des pirates informatiques, qui tentent de compromettre un grand nombre de systèmes non protégés. Ce cheval de Troie se propage sous la forme d'une pièce jointe à un courrier électronique prétendant contenir un correctif de sécurité. Ce courrier avertit l'utilisateur de l'existence d'une menace malveillante, contre laquelle il propose le correctif de sécurité disponible en pièce jointe, supposé protéger l'utilisateur de l'attaque en question. Il se trouve que la pièce jointe renferme une menace malveillante.

19 janvier 2007 : Malicious Virus Trojan.Packed.8 (reçu dans des messages renvoyés par les Postmaster); il s'agit du Win32/Fuclip.B worm qui sera bien caractérisé par la mise à jour de Nod32 du 21/01/2006; c'est le Trojan.Peacomm de NAV.

Elsie G. Holden = evtv @ vinoplanet.com = une adresse inventée avec un de nos noms de domaine, utilisée pour véhiculer un malware.

Norton Antivirus : A packer is a tool that compresses or encrypts Windows PE files (Portable Executable files). Malware authors often use packers to conceal (cacher) threats from detection by antivirus software. Bloodhound.Packed.8 (14/12/2006) detects a packer that is not known to be used for legitimate purposes. Files that are detected as Bloodhound.Packed.8 may be malicious. [ = Trojan.Downloader.Win32.Small.dam ]

Received: from unknown (HELO gw.eyou.com) (172.16.16.4) by 0.0.0.0 with SMTP; Fri, 19 Jan 2007 11:19:10 +0800
X-EYOU-SPAMVALUE:10
Received: (eyou anti_spam gateway 3.0); Fri, 19 Jan 2007 11:19:11 +0800
Message-ID: <369176751.03037@gw.eyou.com>
Received: from 211.171.123.194 by 61.136.62.87 with SMTP; Fri, 19 Jan 2007 11:19:09 +0800
Received: from qgr ([139.82.57.204]) by dmvi (8.13.3/8.13.3) with SMTP id l0J3Lfnf063960;
Fri, 19 Jan 2007 12:21:41 +0900

Expéditeur du trojan : 139.82.57.204

BRAZIL

PONTIFICIA UNIVERSIDADE CATOLICA DO RIO DE JANEIRO

Note : plusieurs exemplaires de ce type [expédiés par une adresse inventée avec un de nos noms de domaine] ont été réçus le 19/01/2007 :

- -

Received: from ozzghrp ([221.186.171.185]) by mail.telenordest.it (Lotus Domino Release 5.0.13a) with SMTP id 2007011903412646:118184 ; Fri, 19 Jan 2007 03:41:26 +0100 - Received: (qmail 20667 invoked from network); Fri, 19 Jan 2007 11:54:21 +0900
Received: from unknown (HELO olzzm) (113.89.185.101) by ozzghrp with SMTP; Fri, 19 Jan 2007 11:54:21 +0900

221.186.171.185

CHINA

GUANGDONG

GUANGZHOU

YANAGAWA SHOJI CO. LTD

Received: from webshield.rapid.ch ([212.98.39.205]) by srvexch.rapid1.intra with Microsoft SMTPSVC(5.0.2195.6713);
Fri, 19 Jan 2007 04:47:10 +0100
Received: from (59.53.173.36) by webshield.rapid.ch via smtp id 70ac_a94af822_a76c_11db_8409_001143ceb9ee; Fri, 19 Jan 2007 04:25:32 +0100
Received: from xtj ([63.181.190.114]) by dibrvs (8.13.2/8.13.2) with SMTP id l0J3mZVb063960; Fri, 19 Jan 2007 11:48:35 +0800

63.181.190.114

USA

SPRINT

Received: from kmrij ([211.200.71.248]) by flpi126.sbcis.sbc.com (8.13.8 inb/8.13.8) with SMTP id l0J3RfVq007201 for <breezey@sbcglobal.net>; Thu, 18 Jan 2007 19:27:42 -0800
Received: (qmail 26267 invoked from network); Fri, 19 Jan 2007 12:27:54 +0900
Received: from unknown (HELO yqvj) (149.188.81.92) by kmrij with SMTP; Fri, 19 Jan 2007 12:27:54 +0900

149.188.81.92

UNITED KINGDOM

AMOCO CORPORATION

Received: from xhjrp (unknown [211.171.123.194]) by mail.absoluteagency.com (Postfix) with SMTP id 71CD6B40440 for <a_busch@absolutelyagency.lt>; Fri, 19 Jan 2007 04:46:12 +0200 (EET)
Received: from yxby ([135.174.71.181]) by xhjrp with Microsoft SMTPSVC(6.0.3790.1830); Fri, 19 Jan 2007 11:46:09 +0900

135.174.71.181

USA

FLORIDA

LAKE MARY

AT&T BELL LABORATORIES

L'infection par usurpation d'adresse continue : quelques exemples de messages vérolés, non distribués, qui nous sont renvoyés par les Postmasters :

Received: from unknown (HELO ztfpumh) ([125.27.17.237]) by mailex15.paran.com with SMTP; 20 Jan 2007 13:03:41 +0900
Received: from syguph ([222.93.146.235]) by ztfpumh with Microsoft SMTPSVC(6.0.3790.211); Sat, 20 Jan 2007 10:56:18 -1200
Message-ID: <45B29E12.7070708@vinoplanet.com>
Date: Sat, 20 Jan 2007 10:56:18 -1200
From: John Holloway <oukj@vinoplanet.com>
User-Agent: Thunderbird 1.5.0.9 (Windows/20061207)
To: choihl@magicn.com
Subject: Russian missle shot down USA satellite
Content-Type: application/x-msdownload; name="Full Text.exe" - Trojan.Packed.8

Expéditeur réel : 222.93.146.235

CHINA

JIANGSU

CHINANET JIANGSU PROVINCE NETWORK

Received: from metis.starhub.net.sg (metis.starhub.net.sg [203.117.3.21]) by vf3.starhub.net.sg (Postfix) with ESMTP id 2D246608B4 for <disseminates@starhub.net.sg>; Sat, 20 Jan 2007 10:03:38 +0800 (SGT)
Received: from unknown (HELO part) ([124.111.45.236]) by metis.starhub.net.sg with SMTP; 20 Jan 2007 10:03:30 +0800
Received: from dfuj ([219.151.187.76]) by part (8.13.3/8.13.3) with SMTP id l0K24JLL003767; Sat, 20 Jan 2007 11:04:19 +0900
Message-ID: <45B17872.3060209@vinoplanet.com>
Date: Sat, 20 Jan 2007 11:03:30 +0900
From: Tybalt Perry <amrcg@vinoplanet.com>
To: disseminates@starhub.net.sg
Subject: Sadam Hussein alive!
Content-Type: application/x-msdownload; name="Full News.exe" - Trojan.Packed.8

Expéditeur réel : 219.151.187.76

CHINA

CHONGQING

CHINANET CHONGQING PROVINCE NETWORK

Received: from asl.cscs.se ([192.168.99.1]) by TA40FE01.nonstopmessaging.se with Microsoft SMTPSVC(6.0.3790.1830); Sat, 20 Jan 2007 02:58:15 +0100
Received-SPF: none (asl.cscs.se: 124.111.45.236 is neither permitted nor denied by domain of vinoplanet.com) client-ip=124.111.45.236; envelope-from=oupoh@vinoplanet.com; helo=qooe;

Received: from [124.111.45.236] (helo=qooe) by asl.cscs.se with smtp (Exim 4.43) id 1H85JT-0003W8-Fe for ewa@imho.se; Sat, 20 Jan 2007 02:46:40 +0100
Received: from uaoldv ([192.125.175.129]) by qooe (8.13.6/8.13.6) with SMTP id l0K1oDNk026822; Sat, 20 Jan 2007 10:50:13 +0900
Message-ID: <45B1747B.3050109@vinoplanet.com>
Date: Sat, 20 Jan 2007 10:46:35 +0900
From: Sadie Cordova <oupoh@vinoplanet.com>
To: ewa@imho.se
Subject: Chinese missile shot down Russian satellite
Content-Type: application/x-msdownload; name="Video.exe" - Trojan.Packed.8

Expéditeur réel : 192.125.175.129

GERMANY

MANNESMANN DATENVERARBEITUNG GMBH

Janvier 2007 : Win32/Fuclip.B worm, en primeur (Trojan.Peacomm)

Ce n'est que la caractérisation de : "Malicious Virus Trojan.Packed.8" ci-dessus

Received: from softbank218131206007.bbtec.net (unverified [218.131.206.7]) by mail.register.be (Rockliffe SMTPRA 7.0.3) with SMTP id <B0007261765@mail.register.be> for <vinosoft@emailonline.info>; Sun, 21 Jan 2007 08:05:00 +0100
Received: (qmail 11701 invoked from network); Sun, 21 Jan 2007 16:05:02 +0900
Received: from unknown (HELO gmz) (36.176.115.24) by softbank218131206007.bbtec.net with SMTP; Sun, 21 Jan 2007 16:05:02 +0900
Message-ID: <45B3109E.5050703@bwadvertising.com>
Date: Sun, 21 Jan 2007 16:05:02 +0900
From: sincerely <nes@bwadvertising.com>
To: vinosoft@emailonline.info
Subject: [virus Win32/Fuclip.B worm] Chinese missile shot down USA satellite

Warning: NOD32 antivirus system found the following in the message: Full Story.exe - Win32/Fuclip.B worm
Content-Type: application/x-msdownload; name="Full Story.exe"

36.176.115.24 : Internet Assigned Numbers Authority - IANA

218.131.206.7

JAPAN

TOKYO

JAPAN NATION-WIDE NETWORK OF SOFTBANK BB CORP

Note : le fichier attaché (infecté) présente une forte similitude avec ceux de la série (ci-dessus) : "3b/ Malicious Virus Trojan.Packed.8" (Full ...exe) et on retrouve le même sujet "Chinese missile shot down Russian satellite"

"First captured by Nod32" le 20 janvier 2007; nous le recevons

- identifié sous forme générique (Trojan.Packed.8) : les 19 et 20 janvier 2007.

- bien identifié (Win32/Fuclip.B worm) : le 21 janvier 2007.

Last 24 hours (from 2007-01-20 08:00:00 to 2007-01-21 07:59:59)

Cette bestiole a été découverte par Symantec Norton Antivirus le 19 janvier 2007 sous le nom de Trojan.Peacomm

Payload : Downloads additional security threats. - Degrades Performance : Sent UDP packets may degrade performance. - Ports : UDP port 4000

Trojan.Peacomm is a Trojan horse that drops a driver program file to download additional security threats.

Attachment : One of the following: FullVideo.exe - Full Story.exe - Video.exe - Read More.exe - FullClip.exe

May download and execute the following :
217.107.217.187/[REMOVED]/game0.exe - copy of Trojan.Abwiz.F

217.107.217.187

RUSSIAN FEDERATION

MOSKVA

CO-LOCATION AND DEDICATED SERVICE- vandal@allforum.ru

81.177.3.169/[REMOVED]/game1.exe - copy of W32.Mixor.Q@mm
81.177.3.169/[REMOVED]/game2.exe - copy of W32.Mixor.Q@mm
81.177.3.169/[REMOVED]/game4.exe - copy of W32.Mixor.Q@mm

81.177.3.169

RUSSIAN FEDERATION

MOSKVA

BESTTEST - HW LAB - vandal@allforum.ru

Plus d'informations (FR) : Peacomm (Downloader.BAI, Small.DBY, Storm Worm) - Secuser (22/01/2007)

Pour mémoire, PC infecté (par tous les "game_.exe") 20-22/01/2007 - nettoyé 24/01/2007 : PC103HE8 -> blue screen on wincom32.sys &

Reg_..._Run : "sysinter"="C:\\WINDOWS\\system32\\adirss.exe" & "Agent"="C:\\WINDOWS\\system32\\alsys.exe"

22/01/2007 16:56:18,game.exe,W32.Mixor!inf,

En finale : 345 22/01 + 1.105 24/01/2007 = 1.450 fichiers infectés selon NAV !

		Recherche avancée Préférences Outils linguistiques
Rechercher dans : Web Pages francophones