FlagCounter started on March 21, 2010
Autres rapports : cfr notre sommaire général (dont Malwares 2011).
Juin 2011 : un malware qui
imite Windows Update
Sophos met en avant un malware qui n'est opérationnel que sous le navigateur
Firefox alors que « le vrai Microsoft Update nécessite Internet Explorer ». La
vigilance est donc de mise, dans la mesure où cette belle imitation de Windows
Update tente bien évidemment d'installer des logiciels malveillants sur
l'ordinateur de la cible, en les faisant passer pour des mises à jour ...
Clubic.
Juin 2011F06PHISHING-VISA - BE CARE
Acceder A Votre Compte = d2f1dsfdf1fsdf1sdfdsfds http://commad10.ns13-wistee.fr/Authentification.verified-moi-information.[removed]
This subdomain inherits the reputation of ns13-wistee.fr -> Warning! This site has a poor reputation.
Received: from server46.lritat.com (unknown [203.169.165.46]) by [removed]
(Postfix) with ESMTP id 6A336316BCF for <[removed]@vinoso[removed]>; Mon, 6 Jun
2011 22:30:45 +0200 (CEST)
Received: from [41.142.144.154] (helo=poste-05
Maroc Telecom) by server46.lritat.com with esmtpa (Exim 4.60)
(envelope-from <service@vbv.fr>) id 1QTgU1-00042X-Al; Tue, 07 Jun 2011 04:33:10
+0800
From: "Verified By VISA" <service@vbv.fr>
Subject: Cher client de Visa Card , Votre Carte Bancaire est suspendue.
Message-Id: <20110[removed]6316BCF@[removed]>
<img src="http://www.abnamro.nl/en/images/Generiek/Afbeeldingen/020_Priv%25C3%25A9/Blikvangers/Securecode.jpg"
alt="Verifedbyvisa" title="Crdit Agricole" height="75" width="140"><img src="http://www.nationwide.co.uk/NR/rdonlyres/11A3028D-9777-47D5-8F68-B7A3F308AD10/0/vbvnew.gif"
alt="Verifedbyvisa" title="Crdit Agricole" height="75" width="186"></span><span
class="q" id="ecxq_1239e6f6a1f06ba9_2"><blockquote>
<p><font style="font-size: 9pt;" face="Tahoma">Cher client ...
Autre référence 2011L31MI :
« Tout savoir sur votre compte » = wildcatch.nl/wp-admin/network/ - You don't have permission to access /thesite/pix/sponsoren/974424876!fid494/etap1.html on this server.
Wild Catch is een nieuwe speler in hengelsportland die zich vooral richt op kwaliteitsproducten voor de karpervisserij.
Juin 2011F01pop3.live.com
Les password's des comptes Windows Live - Hotmail sont très recherchés :
NE PAS REPONDRE A CE TYPE DE MESSAGE
Dear Valued Member,
We encountered a problem with our database and a lot of records were lost, we
are restoring our database to enable us serve you better. Your Windows Live!
Account details are required in our database to keep your account active.
Failure to do this will make you lose your account permanently. Click the reply
button and fill the details below :
User name:.......................
Password:......................
Date of Birth:....................
Country:........................
After updating your account information, your account will not be interrupted
and will continue to work as normal. Thanks for your attention to this request.
Note: YOUR DETAILS WILL NOT BE SHARED.
Thanks for using Hotmail !
Copyright © 2011 Hotmail ! Inc.
All rights reserved
X-SID-PRA: Windows Live Team
<ericguedea@hotmail.com>
Received: from col0-omc3-s11.col0.hotmail.com ([65.55.34.149]) by
COL0-HMMC2-F8.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675); Wed, 1 Jun
2011 13:01:40 -0700
Received: from COL106-W45 ([65.55.34.137]) by col0-omc3-s11.col0.hotmail.com
with Microsoft SMTPSVC(6.0.3790.4675); Wed, 1 Jun 2011 13:00:37 -0700
Message-ID: <COL106-W45D2E[removed]D0@phx.gbl>
Return-Path: ericguedea@hotmail.com
X-Originating-IP: [193.33.187.15]
: RackSRV Communications Ltd - Corringham, Essex,
UK
From: Windows Live Team
<ericguedea@hotmail.com>
Subject: Update! (Final Notice)
Date: Wed, 1 Jun 2011 13:00:36 -0700 ...
Facebook; un conseil.
Utilisez une connexion sécurisée lorsque possible.
|
|
https://www.facebook.com
|
|
Related 11E17 : http://184.107.77.69 = www. arkjj.info (208.64.126.193, LA USA)
Navigation / Surf en mars 2011C02 : alerte de MSIE (rare)
www.windowsreference.com : en cherchant des renseignements sur HOSTS de Seven.
Décembre 2010L01 : disparition des icônes du bureau, disparition du gestionnaire de tâches, et autres anomalies (dont l'impossibilité de changer le fond d'écran qui est devenu noir uniforme, et d'autres du genre :
Le PC est un Toshiba L550 sous Windows Seven 32-bit.
Plus de gestionnaire des tâches
Des fichiers temporaires à gogo (516 répertoires !)
Apparition d'une nouvelle icône : le programme source des dysfonctionnements : Win HDD (que nous avons détruit).
Win HDD is a counterfeit utility software for Windows that was originated from the family of fake hard drive defragmenter. Win HDD, also known as the WinHDD virus will discover multiple errors on the computer such as hard disk problems and software faults. Having these alerts does not necessary mean that you must pay attention to it, in fact all of these doesn’t not really occur on the PC. It is just an scare tactics employed by Win HDD to convince users into getting the paid version of the program.
Très probablement indépendant du souci principal mais témoignant d'une installation indésirée :
|
Norton Security Scan
|
Novembre 2010 : un (superbe Core i3) nouveau PC est livré à un Utilisateur averti et prudent mais ... quelques jours ont suffit pour qu'il soit devenu quasiment utilisable !
Source du malware : simplement en ouvrant un message dans un forum (tout ce qu'il y a de plus sérieux).
Win32/Kryptik can be downloaded by just visiting a website equipped with a malicious script !
Voici les deux fenêtres spontanées qui empêchent de travailler :
|
|
Le système opératoire est en français. Cette alerte est en anglais et ne provient donc pas du Centre de Sécurité du système. |
Antivirus Studio 2010 est un rogue. Sa désinstallation est impossible. C'est également un virus (trojan) ... une "horreur".
Ci-dessus : le processus actif.
Ci-dessous : la registry s'y rapportant.
Nous récupérons (sur une clé USB, avant de les détruire) une grosse partie des fichiers que nous considérons comme dangereux malgré que Symantec Antivirus (résident dans le PC infecté) ne donne aucune alerte. Et les soumettons à une analyse par Eset Nod32 (dans un de nos PC's d'atelier) qui signale un Variant of Win32/Kryptik.IJK.trojan
|
|
|
|
|
|
Note : la homepage des navigateurs internet est devenue : http://search.sweetim.com (malicious downloads and socket puppets).
Parmi les fichiers temporaires, on trouve de nombreux éxécutables ...
... aux noms "cabalistiques" ou "évocateurs" comme cocksucker.exe que nous soumettons à VirusTotal :
|
|
|
|
L'exécutable qui est localisé dans les fichiers temporaires et qui est actif en mémoire est : m.2E6D2.tmp.exe (qui serait un Trojan.Agent/Gen-FakeAlert).
Nous soumettons ce fichier à VirusTotal pour vérification :
|
|
Notre expérience dans ce domaine fait que se séparer de cette saloperie est un jeu d'enfant.
Message piégé, octobre 2010 (Merci pour le retour à la Hotmail :-)
Il n'y a pas besoin d'aller bien loin pour repérer l'arnaque (prise de contrôle de votre compte hotmail) : l'expéditeur se présente sous le nom de Olivier Cornut avec l'adresse email suivante : peinture-lemania @ hotmail.com; ce qui est bien loin d'une évetuelle correspondance en provenance du Team de Microsoft Hotmail.
PC devenu inexploitable suite à un rogue/trojan (SecurityTool Fraud - origin : Russian Federation)
Impossible d'exécuter quelque programme que ce soit car SecurityTool signale qu'il y a un virus dans tous les exe que l'on tente d'exécuter.
Le gestionnaire des tâches est inopérant.
-> Live Boot-CD et Explore/Search; infection trouvée en User-AppData-Local : 057529912.exe
et sa copie conforme 9193211471.exe (953.320 bytes) qui est un Rogue:Win32/Winwebsec
Rogue:Win32/Winwebsec is a family of programs that claim to scan for malware and display fake warnings of “malicious programs and viruses”. They then inform the user that they need to pay money to register the software in order to remove these non-existent threats. Win32/Winwebsec has been distributed with several different names. The user interface varies to reflect each variant’s individual branding.
Spybot complet : pas de mouchard / Antivirus scan complet : plus d'alerte.
Antivirus 2010 Security Centre
Septembre 2010 - Avatar n° PC080MC2010i24 : une semaine plus tard, le même PC que ci-dessus revient en cet état :
Une nouvelle attaque par un rogue semble avoir affecté le fichier userinit.exe du system32 selon une référence trouvée dans la registry :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{F00A3A54-C293-8F64-7C6D-9A4C09106FD8}]
"NoModify"=dword:00000001
"NoRepair"=dword:00000001
"u"=dword:00000147
"t"=dword:00000001
"a"=dword:00000000
"DisplayName"="Antivirus
2010"
"Publisher"="WebTop
Software Limited"
"URLInfoAbout"="http://www.webtopbilling.com/"
: 213.174.147.8 - ADVANCEDHOSTERS LIMITED
- LONDON, CV1 2FL, United Kingdom
"UninstallString"="\\\\.\\globalroot\\systemroot\\system32\\usеrinit.exe
/uninstall"
"DisplayIcon"="\\\\.\\globalroot\\systemroot\\system32\\usеrinit.exe"
Test du site référencé -> "The server at www.webtopbilling.com is taking too long to respond"
Le processus malin est caché derrière une instance de svchost.exe.
Le gestionnaire des tâches de Windows 7 permet son arrêt.
Parmi les anomalies : Spybot ne fonctionne plus et sa réinstallation se solde par un échec.
Notre solution : récupération de l'image disque saine effectuée après l'avatar précédent (datant d'une semaine).
à la bonne attention des spammeurs de nos adresses de messagerie :
1/ nos filtres antispam éliminent 95% de vos cochoncetés
2/ même si nous étions intéressés par une de vos offres, nous chercherions partout sauf chez vous le produit qui a retenu notre intérêt ... simplement parce que votre méthode relève de celles que nous attribuons à des merdeux. Vos messages ont donc l'effet inverse de celui escompté.
Encore faudrait-il pouvoir lire ces spam's :-)
Related : artnua@hotmail.com = davidbulk@hotmail.com : Mr. Frank Leo, HSBC BANK NIGERIA PLC - From 163.20.179.1 TANet Taipei NCCU Regional Taiwan - harleysbike_1@verizon.net = western_union2009@azet.sk = Barrister Peter Reuben = Mr Johnson Darry, Western Union Department Financial Bank Benin - From 41.191.85.45 African Network Information Center Ebene - Ile Maurice - mullah21965@att.net = missionarycarolmitchell@yahoo.com : I am Rev. Sister Carol Mitchell a Missionary in St Peters Catholic Church London - From 41.138.191.78 African Network Information Center Ebene - Ile Maurice - netmonitor11@poczta.onet.pl = africardatm@live.com = DR. DAVID MARK - OFFICE OF THE HEAD OF SENATE - FEDERAL REPUBLIC OF NIGERIA - From 82.12.79.163 NTL Infrastructure - Waltham Park - Winchester - Hampshire - SO21 2QA - UK - evansgreen002933@hotm4il.com = evansg002@hotm4il.com = I am Evans Green, I work with Bank Of England : 60% for me, 40% for you - From 78.138.3.237 Vic Biz International #104 Benin, Nigeria - lottoitpromo@yahoo.cn = zonalclaimsenquiries@yahoo.cn = dcfoster@hopper.net = International Lotto Promotion : Mrs Martha Hans. - From 151.82.9.163 IUnet Milano - Italy. Ainsi que : james.rempel@efex-services.eu - efexwdwserv@inmail24.com - apcbeentjes@hetnet.nl - nokia.2010@feynet.cn - K.Sommen@kpnplanet.nl - euromillions_claims44@yahoo.com.hk - directorviva@cable.net.co - info@fuf.co.uk - fufclaimsdept@rexagon.com - adepetris@luiss.it - fidelity.ukfuf@rexagon.com - mapfreseguros@ozu.es - totoes.esp@terra.es - marthinsuj@jmail.co.za - morganoffice3@alice.it : Efex Worldwide Financial Services - Gary Morgan - Peter Hills - Duka MIke - Fidelity UK Foundation - Angela Morris - Sung Johnson - Ewa Morgan - Julio Gonzalez - Barrister D. Morgan - freelotto@lotto.com - vivekarora12@yahoo.co.jp - geneticamolecular@hc.ufu.br - western.union@mail.vikns.rs - une vague de saloperies en septembre 2010 -> règle sur corps = http://adult1... et le tour est joué.
Comment installer un logiciel sans s'en vraiment rendre compte ?
En faisant une mise à jour gratuite de DivX, la case pré-cochée est : "Inclure Norton Security Scan"
Sur la toile :
- http://www.sur-la-toile.com/discussion-148561-1-norton-security-scan-apparait-tout-seul.html
- related : Google Pack (anciennement) & Adobe Shockwave Player - norton-security-scan-gratuit
- Norton Security Scan reinstalls automatically when you restart the computer : removal procedure (toute simple)
- Site dangereux proposant ce logiciel : norton-security-scan.gooofull.com
Norton Security Scan est un système informatique qui est dirigé à que les usagers sachent si son ordinateur est protégé contre toutes les menaces connues. Norton Security Scan va identifier toute sorte de virus, Spyware, adware pas désiré, Chevaux de Troie dans votre équipe et lui, il vous indiquera l’état actuel de protection avec la quelle vous comptez. Il peut et c’est conseillé d’être actualisé à travers d’Internet avec un seul clic sur le bouton d’actualisation.
Autres exemples :
Registry Mechanic avec Adobe Shockwave Player : à l'essai puis ... difficile de ne pas passer à la caisse.
Et McAfee Security Scan Plus accompagne Adobe Flash Player
Comment choper Uniblue RegistryBooster:
En téléchargeant Free MediaCoder x64, par exemple.
Il y a moyen, sans se forcer, d'en pomper tellement de ce genre que le PC peut devenir totalement inexploitable; exemples : Norton Internet Security & McAfee Security Scan, Family Toolbar, Application Updater, Installer, Uniblue, ... PCFix ["C'est ... un piège à fric"], ...
Mars/Avril 2011 :
Registry Mechanic avec DivX
VinoSoft a beau installer un maximum d'outils de sécurité, certains Utilisateurs s'en foutent comme de leur première culotte ...
SpywareBlaster & Spybot qui bloquent de nombreux sites piègés.
(+/- 170.000 sites à eux deux)
La mise à jour date de notre dernière intrevention sur ce PC !
Symptômes (sous XP) :
Antivirus en rade
|
|
|
L'antivirus doit être réinstallé et il donne alors la nature de l'infection :
Downloader.MisleadApp in Temp Dir & Trojan.Sasfis in Temp Dir
Documentation :
- How to Remove the Downloader MisleadApp Virus : www.ehow.com
When the Downloader.MisleadApp
Trojan is executed, it may create several .exe files in the following folder:
C:\Documents and Settings\[USER NAME]\Local Settings\Temp
Next, the Trojan may create a registry entry under the following subkey so that
it executes whenever Windows starts:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
It then downloads misleading
applications on to the compromised computer.
-
Trojan.Sasfis is a
dangerous Trojan -
Trojan.Sasfis can basically compromise the
computer that it is installed on allowing a remote attacker to gain access.
Trojan.Sasfis should be removed immediately after detection to limit further destruction.
When the
Sasfis Trojan
is executed, it creates a temp.file
The worm modifies the following registry entry:
HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security\"AccessVBOM" =
"1"
It then opens Microsoft Word, if it is installed, and runs a VBA script that
loads %Temp%\1.tmp
and executes it.
The Trojan then opens an instance of svchost.exe and injects itself into the
service.
It then copies itself as the following DLL file: %System%\[RANDOMLY NAMED FILE]
The Trojan creates the following subkey: HKEY_CLASSES_ROOT\idid
The Trojan then deletes the original executable.
The Trojan modifies the following registry entry, so that it starts when Windows
starts: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\"Shell" = " Explorer.exe rundll32.exe
%System%\[RANDOMLY NAMED FILE] [5 OR 6 RANDOM CHARACTERS]"
It then connects to the following IP
address using HTTP on TCP port 80: 193.104.27.91 - The Trojan may then download
and execute additional files.
Nettoyage; mots-clés : Boot-CD/Del temp - Registry : wash malware commands - Antivir & AntiSpyware : full scans - Updates : Java & Adobe Acrobat.
Sauvegarde : image-disque de C-propre en D et des c-documents en D. Le disque externe USB prévu a cet effet n'est pas disponible.
Infection du 05/08/2010
Référence interne : PCT088C8/2010H06
Informations fournies par l'Utilisateur : "Norton Antivirus signale un trojan et propose de le supprimer via un reboot; après rédemarrage, le logiciel de messagerie envoie des dizaines de messages sans aucune demande de ma part".
"Reboot required" pour éradication d'un Trojan.FakeAV!gen35
Trojan.FakeAV!gen35 is a heuristic detection used to detect threats associated with the Trojan.FakeAV family. Discovered on July 13, 2010.
Users may encounter this kind of threat when they visit Web sites that attempt to convince them to remove non-existent malware or security risks from their computers by installing the bogus software. The Trojan can also be installed by other malware, drive-by downloads, and when downloading and installing other software. The programs may also be downloaded on to the computer by other threats such as : Backdoor.Tidserv - Trojan.Vundo - W32.Waledac - W32.Virut. Users may be directed to Web sites that attempt to convince them to remove non-existent malware or security risks from their computers by installing the bogus software, by way of the following methods : * Spam emails that contain links or attachments * Blogs and forums that are spammed with links to adult videos * User-generated content spam (e.g. fake videos) * Malicious banner advertisements * Pirated software (‘warez’) and pornography sites * Search Engine Optimization (SEO) poisoning * Fake torrent files or files on file sharing networks * Web pages containing exploits.
L'historique de la navigation de notre Client du jour de l'infection ne nous donne pas de renseignement interessant.
Si ce n'est que notre Client cherche un portable à acheter à la concurrence ... vive le 64-bit (Carrefour, Promo chez MediaMarkt ... :-)) - nous lui conseillons un 32-bit.
|
|
|
Parmi les derniers sites visités, on trouve erotisme2010.be qui peut paraître en rapport avec les spécifications du virus mais ce n'est nullement le cas : le site annonce le festival de l'érotisme aux Caves de Cureghem en mars 2011.
Remarque : nous ne faisons pas dans la dentelle car ce PC est un outil de travail dans une PME; notre seul objectif est donc de dévéroler le plus rapidement possible et réexpédier une machine saine chez son Propriétaire: la documentation de l'avatar est vraiment secondaire.
Comme toujours dans ces cas, la première chose à faire est d'identifier le processus malin.
Il est bien camouflé car il porte un nom similaire à un processus (Service Host Process) qui tourne normalement dans tous les PC's (sains) et ce, en plusieurs instances : son nom est schnost.exe alors que le processus sain est svchost.exe. Pas trop con le fabriquant de la nuisance mais cela ne peut quand même pas échapper à notre sagacité.
svchost.exe est un processus générique de XP servant d'hôte pour les autres processus dont le fonctionnement repose sur des librairies dynamiques (DLLs); il existe ainsi autant d'entrées svchost qu'il y a de processus qui l'utilisent.
Nous aimerions effectuer un test par Spybot mais cela n'est pas possible immédiatement ...
... car le virus (qui se fait appeler "zzzzzzzzxzxzxzxz" : cela est beaucoup moins malin) provoque des erreurs :
Nous vérifions que ce svcnost.exe est bien un virus via une recherche sur Google et en expédiant le ficher chez VirusTotal :
Pas de lézard : un vrai malware.
Nous stoppons le process et détruisons le fichier; ainsi que son prefetch :
Avant d'aller plus loin, il faut identifier la méthode utilisée par cette soloperie pour démarrer en même temps que Windows.
Il doit très probablement être programmé dans la registry; soit
- en [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run], soit en
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Effectivement, [HKEY_CURRENT_USER\...\Run] contient deux belles merdes : Ihl.exe et iyrmrbdtssd.exe
Et on en retouve une en [HKEY_LOCAL_MACHINE\...\Run] : iyrmrbdtssd.exe
Note :
"gemstrmw.exe"
is for a GemPlus smart card reader.
Nous éliminons les lignes de la registry et les fichiers référencés.
Nous désactivons le XP System Restore.
Redémarrage ->
Windows se rend compte qu'un processus peut être dangereux.
Nous acceptons le blocage par le Firewall XP ...
... mais on est toujours infecté : svcnost process.
Voici donc venu le temps de se promener dans les répertoires les plus souvent contaminés par ce genre de bestiole :
Dans le répertoire temporaire (d:\tmp), on trouve deux cochoncetés :
0.3575444....exe (de la date originale de l'infection) et le .DEL qui est le fichier 4428463.exe (repéré comme dangereux par le pare-feu de XP) renommé par nos soins.
Dans le répertoire ...\system32, on trouve un "Ikotua.exe" portant la date de l'infection :
Il est renommé en .DEL et expédié chez VirusTotal :
Pas de lézard : un vrai malware.
Dans le répertoire ...\system32, on trouve également un IHK.exe du 05/05/2010 qui est un Trojan.Agent/Gen-Koobface et que nous supprimons :
Note : Trojan.Agent peut infecter "userinit.exe" : cfr. plus loin; il peut aussi être en rapport avec AdWare Virtumonde qui est dans cette machine.
Et après ces premiers nettoyages, nous rebootons et ... la bestiole est de retour :
On retouve svcnost.exe en d:\Tmp, sous deux versions : l'exécutable et un tmp...tmp (une copie de secours, probablement)
L'antivirus donne une alerte : une autre nuisance est de retour : 4428463.exe
Signifiant ces fichiers se reproduisent à chaque démarrage, à partir d'une autre saloperie restante, non encore identifiée.
Nous retentons un Spybot :
Avec succès et laissons le logiciel faire les deux éliminations.
Ces corrections ne sont pas les bonnes car au redémarrage ...... la bestiole est de retour.
En investigant plus loin dans le system32 ...
... on remarque que deux fichiers (normalement présents dans ce répertoire) ont la date de l'infection (05/08/2010) alors qu'ils devraient avoir une date en avril 2008 (selon le SP et les WinUpdates). C'est donc probablement userinit.exe qui repond la nuisance.
Vérifcation que ce fichier est bien une vérole :
Pas de lézard : un vrai malware.
Note : selon VirusTotal notre userinit.exe de 2010 et le svcnost.exe sont identiques (même MD5 : f21446159d9c3d6f654fad59679fceda).
Ce qui explique la reponte de ce dernier à chaque démarrage.
Nous ne supprimons ni ne remplacons jamais les fichiers du system32 "à vif".
Nous démarrons donc sur un Boot-CD, renommons ces deux fichiers (.del) et les remplacons par ceux prélevés dans une machine saine d'atelier sous le même OS et le même ServicePack :
Clôture de l'avatar après toutes les vérifications d'usage sur les fonctionnalités usuelles de notre Client.
Nouvelle sauvegarde du système (diskimage sur le second disque dur interne) et éxpédition du PC sain chez son Propriétaire par BMS Delivery of course :-)
Saloperie de banque qui "can only send $5000 per day" - il faudra 60 transferts pour avoir notre pognon ...
Quel est le but de ce spam ?
à part "juste prendre contact pour démarrer une arnaque" ou "validation de l'adresse email", nous ne voyons rien ?
Headers :
Return-path: <info@yahoo.com>
X-Spam-Score: 6
Received: from [removed]
(unverified [removed])
by [removed]
with SMTP id <B0049332722@[removed]>;
Sun, 8 Aug 2010 14:25:22 +0200
Received: from mail.lszjy.com ([61.175.243.4]) by
[removed];
Sun, 8 Aug 2010 14:25:22 +0200
Received: from mail.lszjy.com (localhost.localdomain [127.0.0.1] (may be
forged)) by mail.lszjy.com (8.13.8/8.13.8) with ESMTP id o7344r6M011488; Tue, 3
Aug 2010 12:04:54 +0800
From: "Mr. Ken Derrick" <info@yahoo.com>
Reply-To: w.uniondept@live.hk
Subject: RE
Date: Tue, 3 Aug 2010 12:04:53 +0800
Message-Id: <201023[removed].M27268@yahoo.com>
X-Mailer: OpenWebMail 2.43
X-OriginatingIP:
195.245.109.83 (ls2886123) -
Satcom, Machtarot, Raanana ,
Israel
MIME-Version: 1.0
Content-Type: text/plain;
charset=gb2312
X-Spam-Status: No, score=1.5 required=9.0 tests=ALL_TRUSTED,FORGED_YAHOO_RCVD,
MISSING_HEADERS autolearn=disabled version=3.2.5
X-Spam-Level: *
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on mail.lszjy.com
Related : Hafiza Baksh MTCN - Mr. Ken Derrick - Phone: +234-805 731 2093 - w.uniondept@live.hk - wu_mike@discuz.org - Mr. Mike Edward - +2348053533904 - sheela@sigmainfotech.co.in - I am writing to inform you that we have sent $5000 Usd via western union as we have given the mandate to transfer your payment of the total compensation of $200,000 via western union by the United Nation, Send Your Name, Address, Phone Number. of control please call: +23480535 33904. Processing your first payment of $5000, to collect/ Sender Simeon Chinedu MTCN 7751238546. - We have sent 5000.00 USD already through western union, as we are mandated to transfer you the total sum of $300,000USD through Western Union by the Government of United Nations,(ECOWAS) the united nations are supporting individial due to the worldwide economy meltdown , so your email was picked amoung other 100 people in this year 2010,send Name, address, phone number,we have Process your first payment of $ 5,000 USD. to collect / Sender: 1618805134 Go to western union and pick up the $5000, and call to inform me so that i can send another $5000 because, western union can only send $5000 per day, you can track @ www.westernunion.com before going to their office for confirmation.
Un nouveau pactole de $200,000 mais saloperie de banque qui "can only send $5000 per day" - il faudra 40 transferts de plus pour avoir notre pognon ...
Headers :
Return-path:
<sheela@sigmainfotech.co.in>
X-Spam-Score: 4
Received: from in.nettlinx.com (unverified [202.53.64.194]) by [removed]
with ESMTP id <B00493[removed]@[removed]>
for <[removed]>;
Sun, 8 Aug 2010 23:31:23 +0200
Received: (qmail 30661 invoked by uid 0); 8 Aug 2010 21:24:37 -0000
Received: from
ml82.128.16.197.multilinks.com (HELO User) (designs@shplcylinders.com@82.128.16.197)
by in.nettlinx.com with ESMTPA; 8 Aug 2010 21:24:36 -0000
82.128.16.197 : Multilinks Telecommunications Limited - Victoria Island, Lagos, Nigeria 4-1-9 (comme Arnaque Nigériane : scam 419)
Reply-To: <wu_un@discuz.org>
From: "western union"<sheela@sigmainfotech.co.in>
Subject: CALL Tel: +2348053533904
Date: Sun, 8 Aug 2010 22:24:28 -0700
MIME-Version: 1.0
Content-Type: text/plain;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Antivirus: avast! (VPS 100808-0, 08/08/2010), Outbound message
X-Antivirus-Status: Not-Tested
DHL nous envoie le suivi (tracing) d'un colis que nous n'avons pas envoyé :
La pièce jointe (en format compressé.zip qui cache un fichier.EXE) contient un virus :
Win32/Oficla.IC trojan selon Nod32 [Trojan.Sasfis (Symantec), Trojan:Win32/Meredrop (Microsoft)] - Rapport de VirusTotal :
When the Trojan is executed, it
creates the following file: %Temp%\1.tmp
The worm modifies the following registry entry:
HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security\"AccessVBOM" =
"1"
It then opens Microsoft Word, if it is installed, and runs a VBA script that
loads %Temp%\1.tmp and executes it.
The Trojan then opens an instance of svchost.exe and injects itself into the
service.
It then copies itself as the following DLL file: %System%\[RANDOMLY NAMED FILE]
Note: [RANDOMLY NAMED FILE] is a variable for the file name. It is made up of a
random four-letter file name and a random three-letter file extension.
The Trojan creates the following subkey: HKEY_CLASSES_ROOT\idid
The Trojan then deletes the original executable.
The Trojan modifies the following registry entry, so that it starts when Windows
starts: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\"Shell" = " Explorer.exe rundll32.exe
%System%\[RANDOMLY NAMED FILE] [5 OR 6 RANDOM CHARACTERS]"
It then connects to the following IP address using HTTP on TCP port 80:
193.104.27.91 = Kamushnoy
Vladimir Vasulyovich - Omsk, Russia
The Trojan may then download and execute additional files.
Headers :
Return-Path:
<eloquentwom2@shellfire.de>
X-Original-To: nathalie@[removed].com
Delivered-To: [removed].be
Received: from
150.red.187.225.212.user.ptvtelecom.com
(unknown [212.225.187.150]) by
[removed].be
(Postfix) with ESMTP id 6F015317000 for <nathalie@[removed].com>;
Fri, 20 Aug 2010 15:26:57 +0200 (CEST)
150.red.187.225.212.user.ptvtelecom.com : PROCONO, S.A. - Avda. de Cadiz, 58 -
14013 -
CORDOBA
Received: from 212.225.187.150 by
mail.shellfire.de; Fri, 20 Aug 2010 08:26:46 -0600
Message-ID: <000d01cb[removed]400a8c0@eloquentwom2>
From: "DHL Tracing Support" <customer.services@dhl.com>
Subject: [virus
Win32/Oficla.IC trojan] DHL
Tracking NR 7520170272
Un bon antivirus que ce Symantec :
feetspicy.com
"This message was checked by NOD32 antivirus system" : qui n'a rien vu (récupération sur un autre PC).
Related : Trojan Horse de Marcelino Triplett : http://feetspicy.com - reinhardtn2090@aaikman.freeserve.co.uk
More virus : septembre 2010i20 - catched by Eset Nod32
IMON email message from: "Lucinda Xiong" <winterizessz75@raymorgan.com> with subject [virus JS/Redirector.NAU trojan]
Return-Path:
<winterizessz75@raymorgan.com>
X-Original-To: info@[removed]
Received: from X241.bbn07-086.lipetsk.ru (unknown [178.234.83.152]) by
[removed]
(Postfix) with ESMTP id 174B7AFAB8 for <info@[removed]>;
Mon, 20 Sep 2010 19:29:48 +0200 (CEST)
Received: from
mta804.raymorgan.com (mta840.raymorgan.com [151.193.64.1])
by smx.raymorgan.com.redcondor.net (8.13.7+Sun/8.13.7) with ESMTP id
f3belhw7f812058 for <info@[removed]>;
Mon, 20 Sep 2010 21:29:46 +0300
Date: Mon, 20 Sep 2010 21:29:46 +0300
From: "Lucinda Xiong" <winterizessz75@raymorgan.com>
Message-ID: <411334[removed]735827.JavaMail.microsofbe646d@elt2kf.raymorgan.com>
Subject: [virus JS/Redirector.NAU trojan] Background Release
X-NOD32Result: Infected, JS/Redirector.NAU trojan
Hi, Scan this and email it back to me. I will process as soon as I have it. As
soon as I get the response back I will be able to make the formal offer. Send me
2-3 references as well. If you have any questions, give me a call. Thank you.
Received from : svtmail01.prod.sabre.com = 151.193.64.1 (Southlake, TX - USA)
Août 2010 : un P4 Dell de 2003 (sous XP) est attaqué par un rogue ...
... qui a désactivé l'antivirus et qui empêche l'utilisation du PC (les popup's s'ouvrent plus rapidement que le temps nécessaire pour les fermer et le PC est fortement ralenti).
Nous avons éliminé cette saloperie (Security Master AV) mais des dégâts collatéraux entraînent de gros problèmes résiduels.
http://www.youtube.com/watch?v=KQy2JnZE5Og - http://www.youtube.com/watch?v=9w8nKkq2LL8
|
|
Transfert de deux fichiers liés à l'infection vers un autre PC protégé par Nod32 :
27/08/2010 18:42:21 AMON file I:\ToBe.DEL\775a50f.del\SM775a_2121.exe Win32/Adware.VirusAlarmPro application
27/08/2010 18:42:16 AMON file I:\ToBe.DEL\775a50f.del\1672.mof Win32/RogueAV.A trojan
Le gestionnaire des tâches est inopérant.
Il est devenu impossible d'installer un antivirus (Avast Free, Eset, Symantec)
Note : Wiki wikipedia.org - Rogue_security_software#cite_note-123 référence spyware-fix.net - remove-security-master-av qui est un site "à risques".
à étudier, juste des soupçons (réf. PJ2011B) - NE PAS CLIQUER POUR LE MOMENT
- http://whats-my-computer-doing.en.softonic.com/universaldownloader-launch
- http://www.itsth.com/en/produkte/Whats-my-computer-doing.php
- http://www.freefixer.com/library/file/60898/
- http://www.fixexeproblems.com/file/WhatsMyComputerDoing.exe.html - http://www.mywot.com/fr/scorecard/fixexeproblems.com
Sur la Toile : "What is
WhatsMyComputerDoing.exe
?"
WhatsMyComputerDoing.exe serves as a common process denoting an executable
program in the DOS, OpenVMS, Microsoft Windows, Symbian, and OS/2 operating
systems. WhatsMyComputerDoing.exe is an essential component of windows operating
system which located in C:\windows\system32. WhatsMyComputerDoing.exe error is
caused by program confliction within the related file. It is the most common
executable files because it is used to run programs, so it can be used as a
malicious delivery system for adware, spyware and malware.
Confirmation de nos soupçons :
26/02/2011 : file AdvancedPCTweaker.exe.part containes a variant of Win32/Adware.AdvPCTweak application.