svchost.exe / shell.exe / dwm.exe : redirections Google (Gomeo etc)

Description :

Infection assez présente qui se propage comme d’habitude par diverses manières….
Faux codec : http://forum.malekal.com/faux-codec-freev-info-getflashplayer-promoid-dxluj-t29543.html
Exploit sur site WEB : http://forum.malekal.com/antivirus-2010-t28675.html#p236518

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:50370
F3 – REG:win.ini: load=C:\DOCUME~1\Mak\LOCALS~1\Temp\dwm.exe
O4 – HKLM\..\Run: [svchost] C:\Documents and Settings\Mak\Application Data\Microsoft\svchost.exe

et un fichier C:\Documents and Settings\Mak\Application Data\Microsoft\shell.exe

L’infection ajoute donc un proxy (c’est le shell.exe qui fait office de proxy), ceci permet de générer des redirections lors des recherches Google et notamment vers le site Gomeo.
(Ce n’est bien entendu pas le seul malware à provoquer des redirections vers Gomeo lors des recherches Google, Bamital s’en charge par exemple).
Les liens des pages WEB jointes avant redirections :

http://64.111.196.126/c.php?
http://68.169.92.60/c.php?r
http://n-traffic.com/clickn.php?fb= (64.111.208.39)

Désinfection :

Malwarebyte Anti-Malware supprime l’infection avec succès cependant, il ne désactive pas le proxy.. de ce fait au redémarrage après la suppression des fichiers malicieux il se peut que vous n’arrivez plus à surfer.
Vous devez désactiver les proxys sur vos navigateurs WEB, voir : http://www.malekal.com/2010/11/14/desactiver-proxy-sur-les-navigateurs-web/

Les détections :

Les détections sont assez mauvaises :

File : dwm.exe
Submission date: 2010-11-15 12:42:39 (UTC)
Current status: queued queued analysing finished
Result: 2/ 43 (4.7%)
Compact Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2010.11.15.05    2010.11.15    –
AntiVir    7.10.13.241    2010.11.15    –
Antiy-AVL    2.0.3.7    2010.11.15    –
Authentium    5.2.0.5    2010.11.15    –
Avast    4.8.1351.0    2010.11.15    –
Avast5    5.0.594.0    2010.11.15    –
AVG    9.0.0.851    2010.11.15    –
BitDefender    7.2    2010.11.15    –
CAT-QuickHeal    11.00    2010.11.09    –
ClamAV    0.96.4.0    2010.11.15    –
Comodo    6727    2010.11.15    –
DrWeb    5.0.2.03300    2010.11.15    –
Emsisoft    5.0.0.50    2010.11.15    –
eSafe    7.0.17.0    2010.11.14    –
eTrust-Vet    36.1.7976    2010.11.15    –
F-Prot    4.6.2.117    2010.11.15    –
F-Secure    9.0.16160.0    2010.11.15    –
Fortinet    4.2.249.0    2010.11.15    –
GData    21    2010.11.15    –
Ikarus    T3.1.1.90.0    2010.11.15    –
Jiangmin    13.0.900    2010.11.15    –
K7AntiVirus    9.67.2973    2010.11.12    –
Kaspersky    7.0.0.125    2010.11.15    –
McAfee    5.400.0.1158    2010.11.15    –
McAfee-GW-Edition    2010.1C    2010.11.15    –
Microsoft    1.6301    2010.11.15    –
NOD32    5620    2010.11.15    –
Norman    6.06.10    2010.11.15    –
nProtect    2010-11-15.01    2010.11.15    –
Panda    10.0.2.7    2010.11.14    –
PCTools    7.0.3.5    2010.11.15    –
Prevx    3.0    2010.11.15    High Risk Cloaked Malware
Rising    22.73.06.04    2010.11.15    –
Sophos    4.59.0    2010.11.15    –
Sunbelt    7315    2010.11.15    –
SUPERAntiSpyware    4.40.0.1006    2010.11.15    Trojan.Agent/Gen-DWM[Fake]
Symantec    20101.2.0.161    2010.11.15    –
TheHacker    6.7.0.1.083    2010.11.15    –
TrendMicro    9.120.0.1004    2010.11.15    –
TrendMicro-HouseCall    9.120.0.1004    2010.11.15    –
VBA32    3.12.14.2    2010.11.15    –
ViRobot    2010.11.15.4148    2010.11.15    –
VirusBuster    12.75.3.0    2010.11.14    –
Additional information
Show all
MD5   : 52030c0bce4ca974277eb25a01351c72
SHA1  : 3c6a76b39f9c703f2271a73275894d8fce216715
SHA256: 707e5f9e1ed29b99b0c21960810369daabc02f1ec19319de7e5beb321ded98e6
File name: svchost.exe
Submission date: 2010-11-15 09:34:11 (UTC)
Current status: queued queued analysing finished
Result: 3/ 43 (7.0%)
not reviewed
Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2010.11.15.00    2010.11.14    –
AntiVir    7.10.13.239    2010.11.15    –
Antiy-AVL    2.0.3.7    2010.11.15    –
Authentium    5.2.0.5    2010.11.15    –
Avast    4.8.1351.0    2010.11.14    –
Avast5    5.0.594.0    2010.11.14    –
AVG    9.0.0.851    2010.11.15    –
BitDefender    7.2    2010.11.15    –
CAT-QuickHeal    11.00    2010.11.09    –
ClamAV    0.96.4.0    2010.11.15    –
Comodo    6725    2010.11.15    –
DrWeb    5.0.2.03300    2010.11.15    Trojan.Siggen2.8259
Emsisoft    5.0.0.50    2010.11.15    –
eSafe    7.0.17.0    2010.11.14    –
eTrust-Vet    36.1.7976    2010.11.15    –
F-Prot    4.6.2.117    2010.11.15    –
F-Secure    9.0.16160.0    2010.11.15    –
Fortinet    4.2.249.0    2010.11.14    –
GData    21    2010.11.15    –
Ikarus    T3.1.1.90.0    2010.11.15    –
Jiangmin    13.0.900    2010.11.15    –
K7AntiVirus    9.67.2973    2010.11.12    –
Kaspersky    7.0.0.125    2010.11.15    –
McAfee    5.400.0.1158    2010.11.15    –
McAfee-GW-Edition    2010.1C    2010.11.15    –
Microsoft    1.6301    2010.11.15    –
NOD32    5619    2010.11.14    a variant of Win32/Kryptik.IDZ
Norman    6.06.10    2010.11.14    –
nProtect    2010-11-15.01    2010.11.15    –
Panda    10.0.2.7    2010.11.14    –
PCTools    7.0.3.5    2010.11.15    –
Prevx    3.0    2010.11.15    –
Rising    22.73.06.01    2010.11.15    –
Sophos    4.59.0    2010.11.15    –
Sunbelt    7314    2010.11.15    –
SUPERAntiSpyware    4.40.0.1006    2010.11.15    Trojan.Agent/Gen-Fuffan
Symantec    20101.2.0.161    2010.11.15    –
TheHacker    6.7.0.1.083    2010.11.15    –
TrendMicro    9.120.0.1004    2010.11.14    –
TrendMicro-HouseCall    9.120.0.1004    2010.11.15    –
VBA32    3.12.14.2    2010.11.15    –
ViRobot    2010.11.15.4147    2010.11.15    –
VirusBuster    12.75.3.0    2010.11.14    –
Additional information
Show all
MD5   : 67575761f79b41d52e9960ee0db244ee
SHA1  : 41d323d65d48e493d592b2d5500c3f2661e9761b
SHA256: 1a1211c4b455dd54402cc9a71ce593780e2281e2813730681e06b4b50a6b1699
File name: shell.exe
Submission date: 2010-11-15 12:46:26 (UTC)
Current status: queued (#6) queued (#3) analysing finished
Result: 2/ 43 (4.7%)
not reviewed
Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2010.11.15.05    2010.11.15    –
AntiVir    7.10.13.241    2010.11.15    –
Antiy-AVL    2.0.3.7    2010.11.15    –
Authentium    5.2.0.5    2010.11.15    –
Avast    4.8.1351.0    2010.11.15    –
Avast5    5.0.594.0    2010.11.15    –
AVG    9.0.0.851    2010.11.15    –
BitDefender    7.2    2010.11.15    –
CAT-QuickHeal    11.00    2010.11.09    –
ClamAV    0.96.4.0    2010.11.15    –
Comodo    6727    2010.11.15    –
DrWeb    5.0.2.03300    2010.11.15    –
Emsisoft    5.0.0.50    2010.11.15    –
eSafe    7.0.17.0    2010.11.14    –
eTrust-Vet    36.1.7976    2010.11.15    –
F-Prot    4.6.2.117    2010.11.15    –
F-Secure    9.0.16160.0    2010.11.15    –
Fortinet    4.2.249.0    2010.11.15    –
GData    21    2010.11.15    –
Ikarus    T3.1.1.90.0    2010.11.15    –
Jiangmin    13.0.900    2010.11.15    –
K7AntiVirus    9.67.2973    2010.11.12    –
Kaspersky    7.0.0.125    2010.11.15    –
McAfee    5.400.0.1158    2010.11.15    –
McAfee-GW-Edition    2010.1C    2010.11.15    –
Microsoft    1.6301    2010.11.15    –
NOD32    5620    2010.11.15    –
Norman    6.06.10    2010.11.15    –
nProtect    2010-11-15.01    2010.11.15    –
Panda    10.0.2.7    2010.11.14    –
PCTools    7.0.3.5    2010.11.15    –
Prevx    3.0    2010.11.15    High Risk Cloaked Malware
Rising    22.73.06.04    2010.11.15    –
Sophos    4.59.0    2010.11.15    –
Sunbelt    7315    2010.11.15    –
SUPERAntiSpyware    4.40.0.1006    2010.11.15    Trojan.Agent/Gen-Fuffan
Symantec    20101.2.0.161    2010.11.15    –
TheHacker    6.7.0.1.083    2010.11.15    –
TrendMicro    9.120.0.1004    2010.11.15    –
TrendMicro-HouseCall    9.120.0.1004    2010.11.15    –
VBA32    3.12.14.2    2010.11.15    –
ViRobot    2010.11.15.4148    2010.11.15    –
VirusBuster    12.75.3.0    2010.11.14    –
Additional information
Show all
MD5   : b338aca283358cfa9f7f59395cf5cbb2
SHA1  : 360e81541a506ab32256ad16c2c1ff2d3f4691f9
SHA256: 225c49044408b16d0928c4668e5b138e36ddf0cf782d9187d7d60f65458eaeca

EDIT Backdoor.Cycbot :

L’infection porte aussi le nom de Backdoor.Cycbot.
Néanmoins comme il y a des échanges de packers et compagnie, la détection peut aussi se faire sur des rogues.
Quelques sujets sont présents sur le forum pour ce nom de détection :
http://forum.malekal.com/infection-par-backdoor-win32-cycbot-t29260.html
http://forum.malekal.com/probleme-trojan-cycbot-bloquant-les-maj-windows-msn-t30019.html

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 40 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *