Supprimer Trojan.Cutwail / Trojan.Srizbi/ Trojan.Kobcka / Trojan.Pandex

 

 

Vous trouverez une vidéo de CutWail en action depuis ce lien : http://forum.malekal.com/les-zombis-botnet-t1020.html#p153175

Détection Trojan.Cutwail / Trojan.Srizbi/ Trojan.Kobcka / Trojan.Pandex

Il existe plusieurs variantes, voici la plus répandu.

Une DLL chargéé par winlogon.exe
O20 – Winlogon Notify: WinCtrl32 – C:WINDOWSSYSTEM32WinCtrl32.dll
ou WinNT32.dll
ou WinNT64.dll
etc..

Le driver se trouve dans C:\Windows\System32Drivers avec une suite de lettre aléatoire et deux chiffres à la fin, exemple :
C:\Windows\System32DriversaiP42.sys
C:\Windows\System32DriversbjQ31.sys
C:\Windows\System32DriversemT42.sys
C:\Windows\System32DriverssaH07.sys
C:WINDOWSSystem32driverscjQ42.sys
C:WINDOWSSystem32driversemT31.sys
C:WINDOWSSystem32driversucI64.sys
C:WINDOWSSystem32driversweL42.sys
Le nom de fichier du driver peut souvent commencer par Win* exemple :
C:\Windows\System32driversWinfl06.sys

Trojan.Cutwail/Trojan.Srizbi est très souvent installé dans un pack, la présence d’autres familles de malwares sur le PC est donc envisageables.

 

Mi 2009 :

Quelques autres drivers CutWail :

Les drivers sont détectés en Trojan.Cutwail/ Trojan.Srizbi/ Trojan.Kobcka / Trojan.Pandex ou parfois par la détection générique Hacktool.Rootkit / ou par signature Rootkit.Win32.Agent.xxx dans le cas de Kaspersky etc (voir la page Index des menaces et programmes malveillants/Malwares pour mieux comprendre les détections).

 

Les droppers CutWail sont détectés en Trojan-Dropper.Kobcka ou Trojan.Rabbit (il existe plusieurs familles de Droppers).

Par exemple… Trojan.Rabbit créé un fichier dans le profil du user avec pour nom de fichier, le nom du user courant… %UserProfile%%UserName%.exe et se charge avec une clef RUN :

# [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

* %UserName% = "%UserProfile%%UserName%.exe /i"

se dernier télécharge ensuite CutWail avec des fichiers tmp. BNXX.tmp où X sont des chiffres.

Cette partie là est spécifique à tous les droppers :

Les urls de téléchargement sont de ce type là :

1244026427.895 3687 192.168.1.25 TCP_MISS/200 97897 GET http://69.64.67.194/40E8001430303030303030303030303030303030303031306C0000002B66000000007600000642EB0005308CB3C4D3 - DIRECT/69.64.67.194 application/octet-stream

1244026874.544 3185 192.168.1.25 TCP_MISS/200 97897 GET http://69.64.67.194/40E8001430303030303030303030303030303030303031306C0000002B66000000007600000642EB0005300ED7ECFC - DIRECT/69.64.67.194 application/octet-stream

1244027684.115 2576 192.168.1.25 TCP_MISS/200 97897 GET http://69.64.67.194/40E8001430303030303030303030303030303030303031306C0000002B66000000007600000642EB000530DE344657 - DIRECT/69.64.67.194 application/octet-stream

Concernant Trojan.Rabbit, Kaspersky a ajouté une détection sur le packer qui répond au nom de : Packed.Win32.Katusha.b

Le driver Cutwail est c:windowsSystem32\driversAGP440.sys modifié – exemple : http://forum.malekal.com/restorer64-exe-backdoor-win32-harebot-t21539.html#p177661

Trojan.Cutwail/ Trojan.Srizbi/ Trojan.Kobcka / Trojan.Pandex est une famille de malwares utilisant les fonctionnalités de rootkit, le PC infecté devient un PC Zombi qui est en autre utilisé pour envoyer des mails de SPAM.

Suppression Trojan.Cutwail / Trojan.Srizbi/ Trojan.Kobcka / Trojan.Pandex

Suivre la Procédure de désinfection des Trojans/Backdoor

Autres Liens

Pour plus d’informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 35 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *