Portable Toshiba complètement rongé : rogue, rootkit & trojan - avril 2010D29/PCT082TO
eclaté des pièces et tests des performances de ce Satellite A100-253 (de juin 2006) : en 2008 : pc2006-2007.htm#VAL et en 2009 : pc2006-2007.htm#VAL
Au démarrage :
Dans la registry (pcwcorwo.exe; alias de smlmmh.exe) :
Dans les processus :
pcwcorwo.exe = smlmmh.exe has been seen to perform the following behavior :
* The Process is packed and/or encrypted using a software packing process
* Writes to another Process's Virtual Memory (Process Hijacking)
* Adds a Registry Key (RUN) to auto start Programs on system start up
* This process creates other processes on disk
* This Process Deletes Other Processes From Disk
* Executes a Process
* Creates a TCP port which listens and is available for communication initiated
by other computers
* Can make outbound communication to other computers, IM chat rooms and other
services using IRC protocols
* Registers a Dynamic Link Library File
* Copies files
* Creates a new Background Service on the machine
* Injects code into other processes
* Performs DNS look ups to resolve URL IP addresses
* Found on infected systems and resists interrogation by security products
* Uses low level functions to hide itself from the user and from system/security
processes
* Disables the built in Windows File Protection System
* Can communicate with other computer systems using HTTP protocols
* Creates new folders on the system
pcwcorwo.exe = smlmmh.exe has been the subject of the following behavior:
* Added as a Registry auto start to load Program on Boot up
* Created as a process on disk
* Executed as a Process
* Has code inserted into its Virtual Memory space by other programs
* Terminated as a Process
* Registered as a Dynamic Link Library File
* Copied to multiple locations on the system
* Created as a new Background Service on the machine
Le rogue :
L'antivirus est toujours actif malgré que son icône témoin ne soit plus visible (vptray) :
|
|
|
Voici la quarantaine de l'antivirus du 29 avril et du 2 mai 2010 (le système[32] est entièrement rongé).
La bestiole "pcwcorwo" est très récente : découverte le 9 avril 2010.
|
29/04/2010 15:04:44,wdf01000.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:04:41,usbstor.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:04:36,usbser_lowerfltj.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:04:31,usbser.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:04:29,usbscan.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:04:25,usbprint.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:04:24,usbccgp.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:04:22,usbser_lowerflt.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:04:21,tosrfec.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:04:10,TDTCP.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:04:09,TDPIPE.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:04:09,symredrv.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:04:09,swmidi.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:04:08,streamip.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:04:00,capt9060.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:03:59,splitter.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:03:58,slip.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:03:58,Sfloppy.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:03:47,sffp_sd.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:03:44,sffdisk.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:03:41,Serial.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:03:37,RDPWD.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:03:37,PDRFRAME.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:03:36,PDRELI.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:03:27,PDFRAME.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:03:19,PDCOMP.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:03:19,PCIDump.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:03:15,Parport.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:03:06,nwlnkfwd.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:57,nwlnkflt.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:54,ccdcmbo.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:52,ccdcmb.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:50,ndisip.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:50,nabtsfec.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:48,mstee.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:48,mspqm.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:47,mspclock.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:47,mskssrv.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:46,lbrtfdc.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:46,kbdhid.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:45,irenum.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:44,ipinip.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:43,ipfltdrv.sys,Hacktool.Rootkit,C:\windows\system32\drivers\,Infected |
||
|
29/04/2010 15:02:33,ip6fw.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:32,ialmnt5.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:30,i2omgmt.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:28,grmnusb.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:22,Flpydisk.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:21,Fdc.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:20,entech.sys,Hacktool.Rootkit,C:\windows\system32\drivers\,Infected |
||
|
29/04/2010 15:02:19,e100b325.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:18,drmkaud.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:11,dmusic.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:09,zlgfuvrwjpq7.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:04,Changer.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:02:03,Cdaudio.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:01:57,ccdecode.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:01:53,atmarpc.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:01:40,BN2E.tmp,Trojan Horse,D:\Tmp\,Infected |
||
|
29/04/2010 15:01:39,asyncmac.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:01:33,aec.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
29/04/2010 15:01:06,znqtajujks1.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:25:36,43739546.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:25:29,znqtajujks1.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:25:16,zlgfuvrwjpq7.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:25:15,wudfrd.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:25:09,wstcodec.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:25:08,wpdusb.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:24:59,WDICA.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:24:53,wdf01000.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:24:43,usbser_lowerfltj.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:24:38,usbser.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:24:33,usbscan.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:24:27,usbprint.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:24:18,usbccgp.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:24:12,usbser_lowerflt.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:23:59,tosrfec.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:23:50,TDTCP.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:23:50,TDPIPE.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:23:38,symredrv.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:23:29,swmidi.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:23:09,streamip.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:23:08,capt9060.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:22:57,splitter.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:22:55,slip.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:22:47,Sfloppy.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:22:46,sffp_sd.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:22:36,sffdisk.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:22:34,Serial.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:22:31,RDPWD.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:22:26,PDRFRAME.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:22:26,PDRELI.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:22:15,PDFRAME.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:22:14,PDCOMP.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:22:04,PCIDump.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:21:54,Parport.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:21:52,nwlnkfwd.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:21:51,nwlnkflt.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:21:43,ccdcmbo.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:21:42,ccdcmb.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:21:32,ndisip.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:21:31,nabtsfec.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:21:22,mstee.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:21:22,mspqm.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:21:11,mspclock.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:21:10,mskssrv.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:21:01,lbrtfdc.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:20:59,kbdhid.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:20:48,irenum.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:20:47,ipnat.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:20:39,ipinip.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:20:37,ipfltdrv.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:20:28,ip6fw.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:20:27,ialmnt5.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:20:21,grmnusb.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:20:16,Flpydisk.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:20:08,Fdc.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:20:02,entech.sys,Hacktool.Rootkit,C:\windows\system32\drivers\,Infected |
||
|
02/05/2010 19:19:55,e100b325.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:19:47,drmkaud.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:19:42,dmusic.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:19:40,Changer.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:19:28,Cdaudio.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:19:22,ccdecode.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:19:12,atmarpc.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:19:04,asyncmac.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:19:00,aec.sys,Hacktool.Rootkit,C:\WINDOWS\system32\drivers\,Infected |
||
|
02/05/2010 19:17:03,BN3.tmp,Trojan Horse,C:\WINDOWS\TEMP\,Infected |
||
Connexion internet (proxy installé par le malware) :
Le rogue, suite :
Antispyware Soft, also known as: AntispywareSoft, Antispyware Soft Demo.
Une partie de l'infection (datant du 29 avril 2010 et qui se "reproduit" à chaque démarrage) :
Antispyware Soft is dangerous rogue spyware or "scareware". It is designed to overwhelm you with simulated scans and fake warnings that your computer is infected with various malware. The reason for this is to scare you into buying bogus software by making you believe that only the full version of Antispyware Soft can remove these infections, when, in fact, Antispyware Soft is the infection.
Parmi les fichiers gérant l'infection, deux batch files :
1/ ocwmusgnp.bat :
:try
del "d:\Tmp\BN32.tmp"
if exist "d:\Tmp\BN32.tmp" goto try
del "d:\Tmp\ocwmusgnp.bat"
2/ rmpgxotic.bat :
:try
del "d:\Tmp\BN24.tmp"
if exist "d:\Tmp\BN24.tmp" goto try
del "d:\Tmp\rmpgxotic.bat"
Pendant la première phase de décontamination (Live Boot-CD), nous avons sauvegardé (sur une clé USB) quelques fichiers que nous avons estimés être en rapport avec l'infection (renommés "[exe" puis compressés.rar) pour les tester sur un autre PC. Voici les résultats :
|
Win32/Pinit.AF worm
|
Win32/Kryptik.EBB trojan
|
Parmi ces fichiers "plus que suspects", l'un d'entre eux ("qhj0.exe") ne donne pas d'alerte de la part de Nod32 ni de Symantec (NAV) ni de Microsoft (MSE) ni de ClamAV.
Nous l'expédions chez VirusTotal :
|
|
Effectivement, nos quatre antivirus locaux ne repèrent rien. Mais 20 autres antivirus donnent une alerte : de "suspicious" à "trojan". |
Attaque-2 du malware par Spybot (all spyware are cleaned, en deux étapes) et ensuite par Nod32 :
Test des fonctions primordiales : passed.
Avatar considéré comme clôturé.
à mon Adorable Puce Nath Kiné-online.com - VinoSoft PC Trading Selection Computers Brussels Bruxelles Europe [Kentucky@1140 & Montana@1140] - Tous nos transports par BMS Delivery - Serrurerie, une seule adresse : Symulak - Worthington Distributor : Gestimed - Electricien (et câblage réseau) : "Engineering Office Associated - Ces&Co" - Rénovation des bâtiments : Top Renove sprl - Internet : hébergement et stratégies marketing (Boberlin, Benjamin Bobon) - Artistes Peintres : Michèle Kumps & Jacques Kumps - Auteur Compositeur de musique celtique : Alain Herickx - VinoPlanet - VinoWeb - MiniZoo - ACWeb - Amis des Oiseaux : Charlotte Webmaster - Elevage familial de bergers belges : les loups de la nuit (à Lillois; dressage à Molenhof) - MBTronics.com (composants électroniques) - Antivirus en ligne (web-antivirus) - safeweb.norton - mywot.com (Web Of Trust).
NE L'ARRÊTEZ PAS !
Cet homme marche autour du monde pour la mucoviscidose. Permettez lui d'atteindre sa destination.
Ayez une pensée pour tous ceux qui sont affectés
par cette terrible maladie.
Il parcourt le monde, par courriel ou de page
Web en page Web. Faites-le
suivre afin qu'il y parvienne !
FlagCounter started on March 21, 2010