ZoneAlarm Antivirus et Firewall 2012 : survol rapide

Dernière Mise à jour le

Survol des protections

On commence par un malware MSN soumis à ZoneAlarm Browser Security :

Ce dernier stipule que le fichier est sans risque :
Si on lance le processus, une alerte nous signale que le dropper tente d’utiliser netsh.exe pour avoir accès à des ressources systèmes :

puis une alerte qui indique que le dropper tente de modifier le registre pour lancer bjnrmqim au démarrage.
En bloquant les alertes, l’infection ne s’installe pas.

 

Les deux nrgbot qui vont pas MSN sont détectés :

Par curiosité, j’ai désactivé la partie antivirus pour lancer le dernier dropper histoire  de voir comment le pare-feu réagit aux injections de processus systèmes

Le dropper qui émet aussi une alerte stipulant que ce dernier tente de mettre Tdvmvf au démarrage de l’ordinateur

puis que le dropper tente d’ouvrir le processus Explorer.exe pour en prendre le contrôle (injections de processus systèmes).

si on bloque, le dropper se rabat sur smss.exe

En bloquant les alertes, l’infection ne s’installe pas.

 Un Gbot / Cycbot : http://www.virustotal.com/file-scan/report.html?id=694a5cb576bba1294afa92e699c6d13b0b47695d466c60b374949778baf9d537-1319908836

File name: setup.exe
Submission date: 2011-10-29 17:20:36 (UTC)
Current status: finished
Result: 5/ 43 (11.6%)	VT Community

ByteHero	1.0.0.1	2011.09.23	Trojan.Win32.Heur.Gen
DrWeb	5.0.2.03300	2011.10.29	BackDoor.Gbot.1003
NOD32	6586	2011.10.29	a variant of Win32/Kryptik.UQJ
SUPERAntiSpyware	4.40.0.1006	2011.10.29	Trojan.Agent/Gen-Kazy
VIPRE	10910	2011.10.29	Trojan.Win32.FakeAV.IS (v)

MD5   : d28761aff7d936bb42a5766d5bca481e
SHA1  : 00e401b7ceb6ffc711bcda994d30448cf6657900
SHA256: 694a5cb576bba1294afa92e699c6d13b0b47695d466c60b374949778baf9d537

Même chose une alerte sur une tentative d’un ajout d’un programme au démarrage


Puis une tentative de requête DNS.
En bloquant les alertes, l’infection ne s’installe pas.Du côté Zaccess  / Sireref – Le crack est détecté mais ZoneAlarm Browser Security stipule que le fichier est non dangereux.

Zone Alarm effectue une alerte sur la tentative de prise de contrôle du processus explorer.exe
Si on refuse, cela s’arrete là.

Par curiosité, j’ai accepté, on obtient alors une alerte de l’antivirus et une tentative de connexion du processus X
Cela s’arrete là :

Notez que par la suite le dropper est détecté :

J’ai retenté plus tard, plus d’alerte Antivirus (j’insiste si on accepte l’alerte initiale sur la prise de contrôle d’explorer.exe) :Au niveau des exploits sur site web :

Ici l’antivirus bloque le dropper : http://www.virustotal.com/latest-report.html?resource=1cb517d4dd7086aba8011745c1f20e4d25a0ff20

File name: w.php
Submission date: 2011-10-29 15:46:38 (UTC)
Current status: finished
Result: 29 /43 (67.4%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.10.29.00	2011.10.29	Trojan/Win32.Scar
AntiVir	7.11.16.201	2011.10.28	TR/Crypt.XPACK.Gen3
Antiy-AVL	2.0.3.7	2011.10.29	Trojan/Win32.Scar.gen
Avast	6.0.1289.0	2011.10.29	Win32:Rootkit-gen [Rtk]
AVG	10.0.0.1190	2011.10.29	Generic25.AQQH
BitDefender	7.2	2011.10.29	Trojan.Generic.KDV.386934
Comodo	10594	2011.10.29	UnclassifiedMalware
DrWeb	5.0.2.03300	2011.10.29	Trojan.Siggen3.18303
Emsisoft	5.1.0.11	2011.10.29	Trojan.Win32.Scar!IK
F-Secure	9.0.16440.0	2011.10.29	Trojan.Generic.KDV.386934
Fortinet	4.3.370.0	2011.10.29	W32/Scar.EYBI!tr
GData	22	2011.10.29	Trojan.Generic.KDV.386934
Ikarus	T3.1.1.107.0	2011.10.29	Trojan.Win32.Scar
Jiangmin	13.0.900	2011.10.29	Trojan/Scar.aghv
K7AntiVirus	9.116.5354	2011.10.29	Trojan
Kaspersky	9.0.0.837	2011.10.29	Trojan.Win32.Scar.eybi
McAfee	5.400.0.1158	2011.10.29	Artemis!C7E837C32D9F
McAfee-GW-Edition	2010.1D	2011.10.28	Artemis!C7E837C32D9F
Microsoft	1.7801	2011.10.29	Trojan:Win32/Scar.Q
NOD32	6585	2011.10.29	a variant of Win32/Kryptik.UQA
nProtect	2011-10-29.01	2011.10.29	Trojan/W32.Scar.16896.L
Panda	10.0.3.5	2011.10.29	Trj/CI.A
SUPERAntiSpyware	4.40.0.1006	2011.10.29	Trojan.Dropper/Gen-PHP
Symantec	20111.2.0.82	2011.10.29	Trojan.Gen.2
TrendMicro	9.500.0.1008	2011.10.29	TROJ_GEN.R47C7JS
TrendMicro-HouseCall	9.500.0.1008	2011.10.29	TROJ_GEN.R47C7JS
VIPRE	10910	2011.10.29	Trojan.Win32.Generic!BT
VirusBuster	14.1.37.0	2011.10.29	Trojan.Scar!wvdra2y+Tus

MD5   : c7e837c32d9f6db7dbfee21999f01773
SHA1  : 1cb517d4dd7086aba8011745c1f20e4d25a0ff20
SHA256: 7527b2905f541cad23cc96f2f2289758c88db603eb623c8d012adabfbc802ae9

Le second dropper lance des alertes sur l’ajout d’un programme au démarrage et tentative de connexion HTTPS.
En refusant, l’infection ne s’installe pas.

Enfin un  exploit sur site web type Trojan.Karagany- voir Win32:Corkow / TrojanDropper:Win32/Meteit.D / Trojan.Tracur s’accouple avec ZeroAccess via des exploits

L’injection d’explorer.exe est bloquée – le dropper ne peux télécharger ses copains.

et un exploit sur site web Rloader avec une tentative de connexion HTTP et résolution DNSJ’ai interdit… En lançant Google on s’aperçoit que l’adresse Google a été modifiéeConfirmation par un pingTDSSKiller confirme le patch d’acpi.sysLe ransomware n’est pas bloqué même en refusant toutes les alertes – ce dernier se relance bien au démarage :

(Visité 135 fois, 1 visites ce jour)

0 Partages
Tweetez
Partagez
Enregistrer
Partagez