Cheval de troie SystemUpgrade.exe

Le
JB
Bonjour,

Rencontré chez un client le cheval de Troie C:Program FilesCommon
FilesSystemSystemUpgrade.exe (Win32.Kobot.B).

Pas trouvé grand chose , notamment sur l'origine de la contamination. Le
PC infecté est 'normalement'
enfermé à clé et utilisé uniquement pour dérouler des applications
d'interfaçage non interactives.

Je serais intéressé pour toute info complémentaire si quelqu'un l'a
rencontré.

Merci

J.Bratières.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Webinter
Le #6624931
JB à hiéroglyphé sur ma banquise :
Bonjour,
Rencontré chez un client le cheval de Troie C:Program FilesCommon
FilesSystemSystemUpgrade.exe (Win32.Kobot.B).
Je serais intéressé pour toute info complémentaire si quelqu'un l'a
rencontré.
Merci

seulement trouvé ceci :

http://www.incodesolutions.com/threats2/CommonFilesFolderSystemSystemUpgradeexe.php
je sait pas ce que vaut ce site, tout est en anglais.

--
Joël...

JB
Le #6624921
Le Wed, 14 May 2008 16:55:29 +0200, Webinter
JB à hiéroglyphé sur ma banquise :
Bonjour,
Rencontré chez un client le cheval de Troie C:Program FilesCommon
FilesSystemSystemUpgrade.exe (Win32.Kobot.B).
Je serais intéressé pour toute info complémentaire si quelqu'un l'a
rencontré.
Merci

seulement trouvé ceci :

http://www.incodesolutions.com/threats2/CommonFilesFolderSystemSystemUpgradeexe.php
je sait pas ce que vaut ce site, tout est en anglais.



Merci , plutôt de la pub!!!
J'avais trouvé ceci : http://endellion.me.uk/bored.htm qui est plus
intéressant mais n'aide pas
à trouver le mode de contamination.


DePassage
Le #6626361
JB wrote:
Bonjour,

Rencontré chez un client le cheval de Troie C:Program FilesCommon
FilesSystemSystemUpgrade.exe (Win32.Kobot.B).


cheval de troie connu seulement d'une société... et pour cause, le
programme lié ne fait que dans l'analyse de l'enveloppe et non du contenu.

Tu as regardé la taille du fichier, et tu l'as fait analyer par
www.virustotal.com ??

Avec quoi as tu détecté ce cheval de troie ?


Pas trouvé grand chose , notamment sur l'origine de la contamination. Le
PC infecté est 'normalement'
enfermé à clé et utilisé uniquement pour dérouler des applications
d'interfaçage non interactives.

Je serais intéressé pour toute info complémentaire si quelqu'un l'a
rencontré.


Bah c'est simple. A la base on a un programme "rogue"

La société X crée un faux trojan et en ACHETANT SA SOLUTION on s'en
débarasse.

RemoveIT Pro est un vieux loup de mer que l'on croise régulièrement.

http://www.incodesolutions.com/index2.html

et pour le pourquoi du comment :

http://assiste.com.free.fr/p/craptheque/removeit_pro.html

oéoé re --
Le #6628301
"Webinter"

seulement trouvé ceci :

http://www.incodesolutions.com/threats2/CommonFilesFolderSystemSystemUpgr adeexe.php
je sait pas ce que vaut ce site, tout est en anglais.


http://assiste.com.free.fr/p/craptheque/removeit_pro.html

Méfiance, donc !!


JB
Le #6629281
Le Wed, 14 May 2008 20:13:45 +0200, DePassage écrit:

JB wrote:
Bonjour,
Rencontré chez un client le cheval de Troie C:Program FilesCommon
FilesSystemSystemUpgrade.exe (Win32.Kobot.B).


cheval de troie connu seulement d'une société... et pour cause, le
programme lié ne fait que dans l'analyse de l'enveloppe et non du
contenu.

Tu as regardé la taille du fichier, et tu l'as fait analyer par
www.virustotal.com ??

Avec quoi as tu détecté ce cheval de troie ?

Problèmes de connexions réseau , journal des évènements -> nombre de

connexions TCP dépassé,
currports et seem : un process SystemUpgrade.exe avec une quinzaine de
connexions en attente

Viré par Msconfig , analyse par NAV server (désolé , c'est celui de ce
client) qui l'a
mis en quarantaine + Housecall F-secure et trend pour vérification

Pas trouvé grand chose , notamment sur l'origine de la contamination.
Le PC infecté est 'normalement'
enfermé à clé et utilisé uniquement pour dérouler des applications
d'interfaçage non interactives.
Je serais intéressé pour toute info complémentaire si quelqu'un l'a
rencontré.


Bah c'est simple. A la base on a un programme "rogue"

La société X crée un faux trojan et en ACHETANT SA SOLUTION on s'en
débarasse.

RemoveIT Pro est un vieux loup de mer que l'on croise régulièrement.

http://www.incodesolutions.com/index2.html

et pour le pourquoi du comment :

http://assiste.com.free.fr/p/craptheque/removeit_pro.html


D'accord,je comprends. Je cherche surtout comment cela est arrivé sur ce
poste (il y a eu deux installs
de logiciels par des tiers).


Publicité
Poster une réponse
Anonyme