Trojan.Oficla : Deux Rogues

Trojan.Oficla continue a faire des siennes (voir sujet précédent Trojan.Karagany et Trojan.Oficla: Les malwares en .co.cc sont de retour !).

Malwarebot continue de poster des nouveux droppers : 91.204.48.50 / W32/Oficla / .co.cc/xxx/exe.php?x=mdac

Chose amusante (enfin pas pour tout le monde), le dernier droppe un pack malicieux qui est un mélange de ce que l’on peut trouver sur de faux sites de cracks comme hxxp://www.freeserials.ws/ ou hxxp://freeserials.spb.ru/

Le pack installe SweetIM – je précise que l’installation est silencieuse sans popup :

Trojan.Oficla droppe deux rogues

et surtout on se retrouve avec deux rogues… : Antivirus Action et HDD Tools

Maintenant que des rogues type faux défragmenteur/réparation de disque ont vu le jour, ils peuvent être mélangés avec des rogues type faux antivirus.

Trojan.Oficla droppe deux  rogues

Les lignes HijackThis ajoutées :

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:59274
R3 – URLSearchHook: SweetIM ToolbarURLSearchHook Class – {EEE6C35D-6118-11DC-9C72-001320C79847} – C:\Program Files\\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 – BHO: C:\WINDOWS\System32\\os2cjx.dll – {B1B220C1-A503-59BD-F413-02B53A2C8954} – C:\WINDOWS\System32\\os2cjx.dll
O3 – Toolbar: SweetIM Toolbar for Internet Explorer – {EEE6C35B-6118-11DC-9C72-001320C79847} – C:\Program Files\\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 – HKLM\..\Run: [svchost1407328] C:\WINDOWS\svchost.exe
O4 – HKLM\..\Run: [uPc+MV0NYlfJsiv] rundll32.exe C:\WINDOWS\System32\\i0ldbamwt.dll, SystemServer
O4 – HKLM\..\Run: [HNUdHTgsA] C:\DOCUME~1\Mak\LOCALS~1\Temp\pv99b.exe
O4 – HKLM\..\Run: [HNUdHTgne] C:\DOCUME~1\Mak\LOCALS~1\Temp\mdm.exe
O4 – HKLM\..\Run: [HNUdHTguuc] C:\DOCUME~1\Mak\LOCALS~1\Temp\system.exe
O4 – HKLM\..\Run: [MKZSc] C:\WINDOWS\avp32.exe
O4 – HKLM\..\Run: [HNUdHTgmtd] C:\DOCUME~1\Mak\LOCALS~1\Temp\iexplarer.exe
O4 – HKLM\..\Run: [HNUdHTgrA] C:\DOCUME~1\Mak\LOCALS~1\Temp\win32.exe
O4 – HKLM\..\Run: [SweetIM] C:\Program Files\\SweetIM\Messenger\SweetIM.exe
O4 – HKCU\..\Run: [uPc+MV0NYlfJsiv] rundll32.exe C:\WINDOWS\System32\\i0ldbamwt.dll, SystemServer
O4 – HKCU\..\Run: [Uvodalajun] rundll32.exe  « C:\WINDOWS\wavcex.dll »,Startup
O4 – HKCU\..\Run: [HNUdHTgsA] C:\DOCUME~1\Mak\LOCALS~1\Temp\pv99b.exe
O4 – HKCU\..\Run: [HNUdHTgne] C:\DOCUME~1\Mak\LOCALS~1\Temp\mdm.exe
O4 – HKCU\..\Run: [HNUdHTguuc] C:\DOCUME~1\Mak\LOCALS~1\Temp\system.exe
O4 – HKCU\..\Run: [kjxdyoyo] C:\DOCUME~1\Mak\LOCALS~1\Temp\kknrqltpx\qsouqmaaffm.exe
O4 – HKCU\..\Run: [MKZSc] C:\WINDOWS\avp32.exe
O4 – HKCU\..\Run: [HNUdHTgmtd] C:\DOCUME~1\Mak\LOCALS~1\Temp\iexplarer.exe
O4 – HKCU\..\Run: [HNUdHTgrA] C:\DOCUME~1\Mak\LOCALS~1\Temp\win32.exe
O22 – SharedTaskScheduler: juaw98rajewifhausihuggdd – {B1B220C1-A503-59BD-F413-02B53A2C8954} – C:\WINDOWS\System32\\os2cjx.dll

Les détections de Trojan.Oficla reste assez mauvais – exemple :

Submission date: 2010-12-15 19:51:21 (UTC)
Current status: queued (#9) queued analysing finished
Result: 4/ 43 (9.3%)

Safety score: –
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.12.15.02 2010.12.15 –
AntiVir 7.11.0.45 2010.12.15 –
Antiy-AVL 2.0.3.7 2010.12.15 –
Avast! 4.8.1351.0 2010.12.15 Win32:Oficla-BO
Avast5 5.0.677.0 2010.12.15 Win32:Oficla-BO
AVG 9.0.0.851 2010.12.15 –
BitDefender 7.2 2010.12.15 –
CAT-QuickHeal 11.00 2010.12.15 –
ClamAV 0.96.4.0 2010.12.15 –
Command 5.2.11.5 2010.12.15 –
Comodo 7072 2010.12.15 –
DrWeb 5.0.2.03300 2010.12.15 –
Emsisoft 5.1.0.1 2010.12.15 –
eSafe 7.0.17.0 2010.12.15 –
eTrust-Vet 36.1.8043 2010.12.15 –
F-Prot 4.6.2.117 2010.12.14 –
F-Secure 9.0.16160.0 2010.12.15 –
Fortinet 4.2.254.0 2010.12.15 –
GData 21 2010.12.15 Win32:Oficla-BO
Ikarus T3.1.1.90.0 2010.12.15 –
Jiangmin 13.0.900 2010.12.15 –
K7AntiVirus 9.73.3258 2010.12.15 –
Kaspersky 7.0.0.125 2010.12.15 –
McAfee 5.400.0.1158 2010.12.15 –
McAfee-GW-Edition 2010.1C 2010.12.15 –
Microsoft 1.6402 2010.12.15 –
NOD32 5706 2010.12.15 a variant of Win32/Kryptik.IWY
Norman 6.06.12 2010.12.15 –
nProtect 2010-12-15.02 2010.12.15 –
Panda 10.0.2.7 2010.12.15 –
PCTools 7.0.3.5 2010.12.15 –
Prevx 3.0 2010.12.15 –
Rising 22.78.01.04 2010.12.15 –
Sophos 4.60.0 2010.12.15 –
SUPERAntiSpyware 4.40.0.1006 2010.12.15 –
Symantec 20101.3.0.103 2010.12.15 –
TheHacker 6.7.0.1.101 2010.12.15 –
TrendMicro 9.120.0.1004 2010.12.15 –
TrendMicro-HouseCall 9.120.0.1004 2010.12.15 –
VBA32 3.12.14.2 2010.12.14 –
VIPRE 7665 2010.12.15 –
ViRobot 2010.12.15.4202 2010.12.15 –
VirusBuster 13.6.96.0 2010.12.15 –
Additional information
Show all
MD5 : 9f05734831d36e4f6564a75bd25bac88
SHA1 : ebdfda95206dc789c24f7968bc0444825fc14d90
SHA256: c88fe40d999e45e71a7bea8d25925e4ca014ec17f8e7d35328ae14fbe0de5f8a

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 17 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *