Backdoor.Win32.Buterat : netprotocole.exe

Dernière Mise à jour le

Backdoor.Win32.Buterat est une backdoor de type stealer qui vise en autre les mots de passe des navigateurs WEB.

Backdoor.Win32.Buterat : netprotocole.exe
Détection de Backdoor.Win32.Buterat : netprotocole.exe

Ajoute la ligne suivante sur HijackThis :

O4 – HKLM\..\Run: [Netprotocol] C:\Documents and Settings\Mak\Application Data\netprotocol.exe

ainsi que le fichier : C:\Documents and Settings\Mak\Application Data\netprotdrvss

effectue des connexions vers des pages WEB nconfirm.php / njob.php – ex :

1303197524.465    162 192.168.1.27 TCP_MISS/200 341 GET http://flamenvi.com/nconfirm.php?rev=328&code=3&param=0&num=62007703833600 – DIRECT/77.79.4.117 text/html
1303197524.589    281 192.168.1.27 TCP_MISS/200 388 GET http://flamenvi.com/njob.php?num=6580665488222260224&rev=328 – DIRECT/77.79.4.117 text/html
1303197524.755    160 192.168.1.27 TCP_MISS/200 341 GET http://flamenvi.com/nconfirm.php?rev=328&code=7&param=0&num=62007703833600 – DIRECT/77.79.4.117 text/html
1303197526.014    162 192.168.1.27 TCP_MISS/200 341 GET http://flamenvi.com/nconfirm.php?rev=328&code=8&param=0&num=62007703833600 – DIRECT/77.79.4.117 text/html
1303197545.971    160 192.168.1.27 TCP_MISS/200 341 GET http://flamenvi.com/nconfirm.php?rev=328&code=9&param=0&num=62007703833600 – DIRECT/77.79.4.117 text/html
1303197549.026    530 192.168.1.27 TCP_MISS/200 331 GET http://flamenvi.com/njob.php?num=6580665488222260224&rev=328 – DIRECT/77.79.4.117 text/html
1303198236.738    202 192.168.1.27 TCP_MISS/200 331 GET http://flamenvi.com/njob.php?num=6580665488222260224&rev=328 – DIRECT/77.79.4.117 text/html

Se met à jour en téléchargent un fichier netprotocole.exe – ex :

1303160057.622   1021 192.168.1.26 TCP_MISS/200 70619 GET http://fallyric.in/img/netprotocol.exe – DIRECT/76.73.53.187 application/x-msdownload
1303196878.442    965 192.168.1.26 TCP_MISS/200 71131 GET http://hommort.in/u/netprotocol.exe – DIRECT/76.73.53.187 application/x-msdownload

Vous trouvez une description plus détaillée à l’adresse : http://www.totalmalwareinfo.com/eng/Backdoor.Win32.Buterat.afj

 

Exemple de détection :

http://www.virustotal.com/file-scan/report.html?id=88d02feb797aafd3c31b1e8a68bc9d676b1d9687e72871bf503588e65088e857-1303197896

File name: netprotocol.exe
Submission date: 2011-04-19 07:07:49 (UTC)
Current status: finished
Result: 6/ 41 (14.6%)

Antivirus     Version     Last Update     Result
AhnLab-V3    2011.04.19.01    2011.04.19    –
AntiVir    7.11.6.177    2011.04.19    –
Antiy-AVL    2.0.3.7    2011.04.18    –
Avast    4.8.1351.0    2011.04.18    –
Avast5    5.0.677.0    2011.04.18    –
AVG    10.0.0.1190    2011.04.18    –
BitDefender    7.2    2011.04.19    Trojan.Generic.KD.194566
CAT-QuickHeal    11.00    2011.04.19    –
ClamAV    0.97.0.0    2011.04.19    –
Commtouch    5.3.2.6    2011.04.19    –
Comodo    8396    2011.04.19    Heur.Suspicious
DrWeb    5.0.2.03300    2011.04.19    –
eSafe    7.0.17.0    2011.04.18    –
eTrust-Vet    36.1.8278    2011.04.18    –
F-Prot    4.6.2.117    2011.04.19    –
F-Secure    9.0.16440.0    2011.04.19    Trojan.Generic.KD.194566
Fortinet    4.2.257.0    2011.04.19    –
GData    22    2011.04.19    Trojan.Generic.KD.194566
Ikarus    T3.1.1.103.0    2011.04.19    –
Jiangmin    13.0.900    2011.04.18    –
K7AntiVirus    9.96.4412    2011.04.18    –
Kaspersky    7.0.0.125    2011.04.19    –
McAfee    5.400.0.1158    2011.04.19    W32/Bamital.p
McAfee-GW-Edition    2010.1D    2011.04.19    –
Microsoft    1.6802    2011.04.19    –
NOD32    6053    2011.04.19    –
Norman    6.07.07    2011.04.18    –
Panda    10.0.3.5    2011.04.18    Suspicious file
PCTools    7.0.3.5    2011.04.18    –
Prevx    3.0    2011.04.19    –
Rising    23.54.00.06    2011.04.18    –
Sophos    4.64.0    2011.04.19    –
SUPERAntiSpyware    4.40.0.1006    2011.04.16    –
Symantec    20101.3.2.89    2011.04.19    –
TheHacker    6.7.0.1.176    2011.04.18    –
TrendMicro    9.200.0.1012    2011.04.19    –
TrendMicro-HouseCall    9.200.0.1012    2011.04.19    –
VBA32    3.12.16.0    2011.04.18    –
VIPRE    9056    2011.04.19    –
ViRobot    2011.4.19.4417    2011.04.19    –
VirusBuster    13.6.311.0    2011.04.18    –
Additional information
MD5   : 910e3628586f338707846c5c448e077c
SHA1  : 6db1c0b107e2efb6f56f208ba5cdaeb22de7bc10
SHA256: 88d02feb797aafd3c31b1e8a68bc9d676b1d9687e72871bf503588e65088e857

http://www.virustotal.com/file-scan/report.html?id=e16836cb27cb6ca9787776d9d97bb5c51ddc54f1961ab563d403abb11ddcb900-1303197793

File name: netprotocol.exe
Submission date: 2011-04-19 07:23:13 (UTC)
Current status: finished
Result: 13/ 41 (31.7%)

Antivirus     Version     Last Update     Result
AhnLab-V3    2011.04.19.01    2011.04.19    –
AntiVir    7.11.6.177    2011.04.19    TR/Kazy.19671
Antiy-AVL    2.0.3.7    2011.04.18    –
Avast    4.8.1351.0    2011.04.18    –
Avast5    5.0.677.0    2011.04.18    –
AVG    10.0.0.1190    2011.04.18    –
BitDefender    7.2    2011.04.19    Gen:Variant.Kazy.19671
CAT-QuickHeal    11.00    2011.04.19    –
ClamAV    0.97.0.0    2011.04.19    –
Commtouch    5.3.2.6    2011.04.19    –
Comodo    8396    2011.04.19    Heur.Suspicious
DrWeb    5.0.2.03300    2011.04.19    Trojan.Hottrend
eSafe    7.0.17.0    2011.04.18    –
eTrust-Vet    36.1.8278    2011.04.18    –
F-Prot    4.6.2.117    2011.04.19    –
F-Secure    9.0.16440.0    2011.04.19    Gen:Variant.Kazy.19671
Fortinet    4.2.257.0    2011.04.19    –
GData    22    2011.04.19    Gen:Variant.Kazy.19671
Ikarus    T3.1.1.103.0    2011.04.19    Gen.Variant.Kazy
Jiangmin    13.0.900    2011.04.18    –
K7AntiVirus    9.96.4412    2011.04.18    –
Kaspersky    7.0.0.125    2011.04.19    –
McAfee    5.400.0.1158    2011.04.19    W32/Bamital.p
McAfee-GW-Edition    2010.1D    2011.04.19    –
Microsoft    1.6802    2011.04.19    Trojan:Win32/Vundo
NOD32    6053    2011.04.19    a variant of Win32/Kryptik.MTK
Norman    6.07.07    2011.04.18    –
Panda    10.0.3.5    2011.04.18    Suspicious file
PCTools    7.0.3.5    2011.04.18    –
Prevx    3.0    2011.04.19    –
Rising    23.54.00.06    2011.04.18    –
Sophos    4.64.0    2011.04.19    Mal/FakeAV-JX
SUPERAntiSpyware    4.40.0.1006    2011.04.16    –
Symantec    20101.3.2.89    2011.04.19    –
TheHacker    6.7.0.1.176    2011.04.18    –
TrendMicro    9.200.0.1012    2011.04.19    –
TrendMicro-HouseCall    9.200.0.1012    2011.04.19    BKDR_BUTERAT.AE
VBA32    3.12.16.0    2011.04.18    –
VIPRE    9056    2011.04.19    –
ViRobot    2011.4.19.4417    2011.04.19    –
VirusBuster    13.6.311.0    2011.04.18    –
Additional information
MD5   : 28c1f688df4c56323c7beb7f4ea8943c
SHA1  : 5951c29fd231577541704e0d99629c86456fab4d
SHA256: e16836cb27cb6ca9787776d9d97bb5c51ddc54f1961ab563d403abb11ddcb900

Suppression de Backdoor.Win32.Buterat : netprotocole.exe

Il est donc conseillé de suivre le Tutorial et Guide Procédure standard de désinfection de virus

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Backdoor.Win32.Buterat : netprotocole.exe mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum


Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum

Laisser un commentaire

0 Partages
Tweetez
Partagez
Enregistrer
Partagez