Virus MSN G038_jpg.zip & S_00305_jpg.zip

Infection se propageant par MSN, toujours en proposant de télécharger des photos via les zip G038_jpg.zip & S_00305_jpg.zip
Les messages de propagation sont en divers langues, du style :

En Français :
eeeh c mes tof :p
c seulement mes tof de derniers vacances
tu dois voire les tof de notre bande
comment est-ce que je regarde sur cette photo ?
le lol ceci est dre
ma soeur a voulu que tu regarde ca

En vrac :
dessa egentligen trevliga: P
gyckel mte se dig detta fotografera
du fick se detta dess galet :p
estes s realmente agradeis 😛
wow voc?viu este?
como voc?gosta de me nesta foto
voc?comeu ver este seu assim engrado
Bu resimler nasil sence bir bakarmisin 🙂
su komik resimlerime baksana 😀
bak 😛
Kiz kardesim bunlari sana yollamami sledi 😉
bu resimler space in nasil
Space ime bun resimleri eklesem sence nasil olur
avete ottenuto vedere questo relativo cos?divertente
come lo pensate osservi qui sguardo di lol
a questo controllo di distorsione di velocit?questo fuori
el lol mi hermana quisiera que le enviara este bum de foto
vengo de fi este foto bum
ey i que hace el bum de foto!
Si vea el loL del em
l tipo, me acepta por favor su solamente bum de foto: (!
lol meine Schwester wscht mich Ihnen dieses Fotoalbum schicken
Geck, nehmen bitte sein nur mich Fotoalbum an: (!
he mhten mein neues Fotoalbum sehen?
hoe vind je dit er uit zien ?
hoe vind je dit ?
echt erg kijk dan
zo hee moet je dit zien echt niet normaal
zo moet je me hier op zien lol
lol he hoe vind je me hier op
daut de la reproduction sonore avez-vous vu ceci ?
looooook :p
loooooooooooool 😀
lol he looks weird on this photo
omg check this out man this is funny
lol you got to see this 😛


Détection Backdoor.Win32.IRCBot.aex ( G038_jpg.zip & S_00305_jpg.zip)

variante G038_jpg.zip

Une fois infectée, l’infection ajoute la ligne suivante sur HijackThis :
O4 – HKLM..Run: [CDSpeed.exe] %Windows%CDSpeed.exe

Modifie les fichiers systèmes :
C:\Windows\System32ftp.exe
C:\Windows\System32tftp.exe
C:\Windows\System32dllcacheftp.exe
C:\Windows\System32dllcachetftp.exe

Variante S_00305_jpg.zip

Ajoute le service : Performance Monitor chargeant le fichier : C:WINDOWSperfmon.exe

Modifie les fichiers systèmes :
C:\Windows\System32ftp.exe
C:\Windows\System32tftp.exe
C:\Windows\System32dllcacheftp.exe
C:\Windows\System32dllcachetftp.exe

L’infection ajoute la clef sur HijackThis :
O4 – HKLM..Run: [SetPoint.exe] C:WINDOWSSetPoint.exe

Le scan du zip :

Comme vous allez le constater Avast! ne le détecte pas à l’heure où j’écris cet article,
En conséquence, voici pourquoi je recommande plutôt Antivir qu’Avast!, voir les deux sujets :


Fichier S_00305_jpg.zip reçu le 2007.08.28 18:44:10 (CET)
Situation actuelle: en cours de chargement … mis en file d’attente en attente en cours d’analyse terminé NON TROUVE ARRETE
Résultat: 10/32 (31.25%)

Antivirus    Version    Dernière mise à jour    Résultat
AhnLab-V3   2007.8.29.0   2007.08.28   –
AntiVir   7.4.1.63   2007.08.28   HEUR/Crypted
Authentium   4.93.8   2007.08.28   –
Avast   4.7.1029.0   2007.08.28   –
AVG   7.5.0.484   2007.08.27   SHeur.ICG
BitDefender   7.2   2007.08.28   DeepScan:Generic.Sdbot.27281F70
CAT-QuickHeal   9.00   2007.08.25   Backdoor.SdBot.gen
ClamAV   0.91.2   2007.08.28   –
DrWeb   4.33   2007.08.28   –
eSafe   7.0.15.0   2007.08.28   –
eTrust-Vet   31.1.5091   2007.08.28   –
Ewido   4.0   2007.08.28   –
FileAdvisor   1   2007.08.28   –
Fortinet   2.91.0.0   2007.08.28   –
F-Prot   4.3.2.48   2007.08.28   –
F-Secure   6.70.13030.0   2007.08.28   –
Ikarus   T3.1.1.12   2007.08.28   Generic.Sdbot
Kaspersky   4.0.2.24   2007.08.28   –
McAfee   5106   2007.08.27   –
Microsoft   1.2803   2007.08.28   –
NOD32v2   2488   2007.08.28   –
Norman   5.80.02   2007.08.28   –
Panda   9.0.0.4   2007.08.28   Bck/Sdbot.LBM
Prevx1   V2   2007.08.28   Backdoor.SdBot.gen
Rising   19.38.12.00   2007.08.28   –
Sophos   4.21.0   2007.08.28   –
Sunbelt   2.2.907.0   2007.08.25   VIPRE.Suspicious
Symantec   10   2007.08.28   W32.Spybot.Worm
TheHacker   6.1.9.175   2007.08.28   –
VBA32   3.12.2.3   2007.08.28   –
VirusBuster   4.3.26:9   2007.08.28   –
Webwasher-Gateway   6.0.1   2007.08.28   Heuristic.Crypted
Information additionnelle
File size: 388240 bytes
MD5: 543b5120e1e5301b7560dfabf0afd3e6
SHA1: 162c8e320da1967e27ba4e1fe1f15c06f1eb99c8
packers: Themida

 

Suppression Backdoor.Win32.IRCBot.aex ( G038_jpg.zip & S_00305_jpg.zip)


Attention pour le nouveau ver avec photo8.com ( et pas photos.zip) voir ce lien : Supprimer Trojan-Downloader.Win32.Agent.bt
Lisez bien la description de l’infection pour voir si elle correspond bien à la votre.

  • Téléchargez MSNFix.zip (de !aur3n7) sur votre bureau:
    http://sosvirus.changelog.fr/MSNFix.zip (Tutorial d’aide pour utiliser MSNFix)
  • Décompressez-le (clic droit >> Extraire ici) et double cliquer sur le fichier MSNFix.bat.
    • Exécutez l’option R.
    • Si l’infection est détectée, un message l’indiquera et il suffira de presser une touche pour lancer le nettoyage
      • Note :
        Si une erreur de suppression est détectée un message s’affichera demandant de redémarrer l’ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l’ordinateur en mode normal
  • Téléchargez et installez Malwarebyte’s Anti-Malware anti-malware recommandé
  • Télécharger clean.zip, décompressez-le sur votre bureau (clic droit / extraire tout), vous obtenez alors un dossier clean
  • Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
  • Ouvrez le dossier clean qui se trouve sur ton bureau, et double-cliquez sur clean.cmd, une fenêtre noire va apparaître , choisissez l’option 2 et laissez l’operation de nettoyage s’effectuer
  • Afin de supprimer toutes traces du spyware et d’autres élements qu’il aurait pu installer, scannez votre ordinateur avec :
  • Redémarrez l’ordinateur
  • Je vous conseil aussi de scanner votre ordinateur avec un antivirus à jour, si vous êtes infecté, il y a des chances que vous n’en aillez pas, utilisez alors un antivirus en ligne :
  • Nettoyez votre base de registre à l’aide de l’utilitaire regcleaner
  • Nettoyez les fichiers temporaires/caches etc.. avec CCleaner
  • Si vous rencontrez toujours des problèmes, générez un log à l’aide HijackThismode d’emploi et venez le poster sur le forum du site

Redémarrez votre ordinateur en mode normal, si le spyware est encore là, rescannez votre ordinateur avec SpyBot et Ad-Aware.

Consulter le forum malware-complaints et créez votre message selon votre type d’infection, plus vous serez nombreux, plus nous aurons de poids pour faire réagir les autorités face aux malwares !

Cela prend 5 minutes!

Autres Liens

Pour plus d’informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)

Print Friendly, PDF & Email
(Visité 22 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet