Backdoor.Win32.Buterat : netprotocole.exe

Backdoor.Win32.Buterat est une backdoor de type stealer qui vise en autre les mots de passe des navigateurs WEB.

Backdoor.Win32.Buterat : netprotocole.exeDétection de Backdoor.Win32.Buterat : netprotocole.exe

Ajoute la ligne suivante sur HijackThis :

O4 – HKLM\..\Run: [Netprotocol] C:\Documents and Settings\Mak\Application Data\netprotocol.exe

ainsi que le fichier : C:\Documents and Settings\Mak\Application Data\netprotdrvss

effectue des connexions vers des pages WEB nconfirm.php / njob.php – ex :

1303197524.465    162 192.168.1.27 TCP_MISS/200 341 GET http://flamenvi.com/nconfirm.php?rev=328&code=3&param=0&num=62007703833600 – DIRECT/77.79.4.117 text/html
1303197524.589    281 192.168.1.27 TCP_MISS/200 388 GET http://flamenvi.com/njob.php?num=6580665488222260224&rev=328 – DIRECT/77.79.4.117 text/html
1303197524.755    160 192.168.1.27 TCP_MISS/200 341 GET http://flamenvi.com/nconfirm.php?rev=328&code=7&param=0&num=62007703833600 – DIRECT/77.79.4.117 text/html
1303197526.014    162 192.168.1.27 TCP_MISS/200 341 GET http://flamenvi.com/nconfirm.php?rev=328&code=8&param=0&num=62007703833600 – DIRECT/77.79.4.117 text/html
1303197545.971    160 192.168.1.27 TCP_MISS/200 341 GET http://flamenvi.com/nconfirm.php?rev=328&code=9&param=0&num=62007703833600 – DIRECT/77.79.4.117 text/html
1303197549.026    530 192.168.1.27 TCP_MISS/200 331 GET http://flamenvi.com/njob.php?num=6580665488222260224&rev=328 – DIRECT/77.79.4.117 text/html
1303198236.738    202 192.168.1.27 TCP_MISS/200 331 GET http://flamenvi.com/njob.php?num=6580665488222260224&rev=328 – DIRECT/77.79.4.117 text/html

Se met à jour en téléchargent un fichier netprotocole.exe – ex :

1303160057.622   1021 192.168.1.26 TCP_MISS/200 70619 GET http://fallyric.in/img/netprotocol.exe – DIRECT/76.73.53.187 application/x-msdownload
1303196878.442    965 192.168.1.26 TCP_MISS/200 71131 GET http://hommort.in/u/netprotocol.exe – DIRECT/76.73.53.187 application/x-msdownload

Vous trouvez une description plus détaillée à l’adresse : http://www.totalmalwareinfo.com/eng/Backdoor.Win32.Buterat.afj

 

Exemple de détection :

http://www.virustotal.com/file-scan/report.html?id=88d02feb797aafd3c31b1e8a68bc9d676b1d9687e72871bf503588e65088e857-1303197896

File name: netprotocol.exe
Submission date: 2011-04-19 07:07:49 (UTC)
Current status: finished
Result: 6/ 41 (14.6%)

Antivirus     Version     Last Update     Result
AhnLab-V3    2011.04.19.01    2011.04.19    –
AntiVir    7.11.6.177    2011.04.19    –
Antiy-AVL    2.0.3.7    2011.04.18    –
Avast    4.8.1351.0    2011.04.18    –
Avast5    5.0.677.0    2011.04.18    –
AVG    10.0.0.1190    2011.04.18    –
BitDefender    7.2    2011.04.19    Trojan.Generic.KD.194566
CAT-QuickHeal    11.00    2011.04.19    –
ClamAV    0.97.0.0    2011.04.19    –
Commtouch    5.3.2.6    2011.04.19    –
Comodo    8396    2011.04.19    Heur.Suspicious
DrWeb    5.0.2.03300    2011.04.19    –
eSafe    7.0.17.0    2011.04.18    –
eTrust-Vet    36.1.8278    2011.04.18    –
F-Prot    4.6.2.117    2011.04.19    –
F-Secure    9.0.16440.0    2011.04.19    Trojan.Generic.KD.194566
Fortinet    4.2.257.0    2011.04.19    –
GData    22    2011.04.19    Trojan.Generic.KD.194566
Ikarus    T3.1.1.103.0    2011.04.19    –
Jiangmin    13.0.900    2011.04.18    –
K7AntiVirus    9.96.4412    2011.04.18    –
Kaspersky    7.0.0.125    2011.04.19    –
McAfee    5.400.0.1158    2011.04.19    W32/Bamital.p
McAfee-GW-Edition    2010.1D    2011.04.19    –
Microsoft    1.6802    2011.04.19    –
NOD32    6053    2011.04.19    –
Norman    6.07.07    2011.04.18    –
Panda    10.0.3.5    2011.04.18    Suspicious file
PCTools    7.0.3.5    2011.04.18    –
Prevx    3.0    2011.04.19    –
Rising    23.54.00.06    2011.04.18    –
Sophos    4.64.0    2011.04.19    –
SUPERAntiSpyware    4.40.0.1006    2011.04.16    –
Symantec    20101.3.2.89    2011.04.19    –
TheHacker    6.7.0.1.176    2011.04.18    –
TrendMicro    9.200.0.1012    2011.04.19    –
TrendMicro-HouseCall    9.200.0.1012    2011.04.19    –
VBA32    3.12.16.0    2011.04.18    –
VIPRE    9056    2011.04.19    –
ViRobot    2011.4.19.4417    2011.04.19    –
VirusBuster    13.6.311.0    2011.04.18    –
Additional information
MD5   : 910e3628586f338707846c5c448e077c
SHA1  : 6db1c0b107e2efb6f56f208ba5cdaeb22de7bc10
SHA256: 88d02feb797aafd3c31b1e8a68bc9d676b1d9687e72871bf503588e65088e857

http://www.virustotal.com/file-scan/report.html?id=e16836cb27cb6ca9787776d9d97bb5c51ddc54f1961ab563d403abb11ddcb900-1303197793

File name: netprotocol.exe
Submission date: 2011-04-19 07:23:13 (UTC)
Current status: finished
Result: 13/ 41 (31.7%)

Antivirus     Version     Last Update     Result
AhnLab-V3    2011.04.19.01    2011.04.19    –
AntiVir    7.11.6.177    2011.04.19    TR/Kazy.19671
Antiy-AVL    2.0.3.7    2011.04.18    –
Avast    4.8.1351.0    2011.04.18    –
Avast5    5.0.677.0    2011.04.18    –
AVG    10.0.0.1190    2011.04.18    –
BitDefender    7.2    2011.04.19    Gen:Variant.Kazy.19671
CAT-QuickHeal    11.00    2011.04.19    –
ClamAV    0.97.0.0    2011.04.19    –
Commtouch    5.3.2.6    2011.04.19    –
Comodo    8396    2011.04.19    Heur.Suspicious
DrWeb    5.0.2.03300    2011.04.19    Trojan.Hottrend
eSafe    7.0.17.0    2011.04.18    –
eTrust-Vet    36.1.8278    2011.04.18    –
F-Prot    4.6.2.117    2011.04.19    –
F-Secure    9.0.16440.0    2011.04.19    Gen:Variant.Kazy.19671
Fortinet    4.2.257.0    2011.04.19    –
GData    22    2011.04.19    Gen:Variant.Kazy.19671
Ikarus    T3.1.1.103.0    2011.04.19    Gen.Variant.Kazy
Jiangmin    13.0.900    2011.04.18    –
K7AntiVirus    9.96.4412    2011.04.18    –
Kaspersky    7.0.0.125    2011.04.19    –
McAfee    5.400.0.1158    2011.04.19    W32/Bamital.p
McAfee-GW-Edition    2010.1D    2011.04.19    –
Microsoft    1.6802    2011.04.19    Trojan:Win32/Vundo
NOD32    6053    2011.04.19    a variant of Win32/Kryptik.MTK
Norman    6.07.07    2011.04.18    –
Panda    10.0.3.5    2011.04.18    Suspicious file
PCTools    7.0.3.5    2011.04.18    –
Prevx    3.0    2011.04.19    –
Rising    23.54.00.06    2011.04.18    –
Sophos    4.64.0    2011.04.19    Mal/FakeAV-JX
SUPERAntiSpyware    4.40.0.1006    2011.04.16    –
Symantec    20101.3.2.89    2011.04.19    –
TheHacker    6.7.0.1.176    2011.04.18    –
TrendMicro    9.200.0.1012    2011.04.19    –
TrendMicro-HouseCall    9.200.0.1012    2011.04.19    BKDR_BUTERAT.AE
VBA32    3.12.16.0    2011.04.18    –
VIPRE    9056    2011.04.19    –
ViRobot    2011.4.19.4417    2011.04.19    –
VirusBuster    13.6.311.0    2011.04.18    –
Additional information
MD5   : 28c1f688df4c56323c7beb7f4ea8943c
SHA1  : 5951c29fd231577541704e0d99629c86456fab4d
SHA256: e16836cb27cb6ca9787776d9d97bb5c51ddc54f1961ab563d403abb11ddcb900

Suppression de Backdoor.Win32.Buterat : netprotocole.exe

Il est donc conseillé de suivre le Tutorial et Guide Procédure standard de désinfection de virus

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 25 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *