J'ai decouverts li y a deux jours que 5 machines (win2000pro et XPpro) de
mon réseau (5000 machines environs) avaient été compromises et utilisées en
tant que relais SMTP.
En investiguant un peu, j'ai trouver trace dans le registre (les fameuses
clé Run et runonce) d'une dll au nom généré aléatoirement et chargée de la
manière suivante :
Rundll32 C:\winnt\system32:xxxx.dll, init 1
Comme vous pouvez le voir cette DLL est donc écrite dans un stream, ce qui
me semble pour le moins nouveau pour un virus ou spyware....
Vos comentaires dessus ?
PS: je suis en train de voir avec Symantec pour qu'un de leurs representant
viennent recupere le disque dur d'unedes machines car ils n'ont pas trace de
virus de ce genre...
Comme vous pouvez le voir cette DLL est donc écrite dans un stream, ce qui me semble pour le moins nouveau pour un virus ou spyware....
Nouveau, non. Cela date de 2000: http://www.viruslist.com/eng/viruslist.html?
Vos comentaires dessus ?
J'aimerais bien avoir le fichier concerné pour en parler (). Mais avant envoies-en une copie là:
(zippé, passw= infected)
Il s'agit peut-être d'une bestiole de collection que NAV n'avait pas dans ses bases.
-- joke0
Salut,
Sebastien Dellabella:
Comme vous pouvez le voir cette DLL est donc écrite dans un
stream, ce qui me semble pour le moins nouveau pour un virus ou
spyware....
Nouveau, non. Cela date de 2000:
http://www.viruslist.com/eng/viruslist.html?id@78
Vos comentaires dessus ?
J'aimerais bien avoir le fichier concerné pour en parler
(joke0@free.fr). Mais avant envoies-en une copie là:
submit-virus@avp.ch
virus_research@nai.com (zippé, passw= infected)
Il s'agit peut-être d'une bestiole de collection que NAV n'avait pas
dans ses bases.
Comme vous pouvez le voir cette DLL est donc écrite dans un stream, ce qui me semble pour le moins nouveau pour un virus ou spyware....
Nouveau, non. Cela date de 2000: http://www.viruslist.com/eng/viruslist.html?
Vos comentaires dessus ?
J'aimerais bien avoir le fichier concerné pour en parler (). Mais avant envoies-en une copie là:
(zippé, passw= infected)
Il s'agit peut-être d'une bestiole de collection que NAV n'avait pas dans ses bases.
-- joke0
Sebastien Dellabella
"joke0" wrote in message news:
Salut,
Sebastien Dellabella:
Comme vous pouvez le voir cette DLL est donc écrite dans un stream, ce qui me semble pour le moins nouveau pour un virus ou spyware....
Nouveau, non. Cela date de 2000: http://www.viruslist.com/eng/viruslist.html?
Vos comentaires dessus ?
J'aimerais bien avoir le fichier concerné pour en parler (). Mais avant envoies-en une copie là:
(zippé, passw= infected)
Il s'agit peut-être d'une bestiole de collection que NAV n'avait pas dans ses bases.
-- joke0
J'aimerai bien en faire une copie pour l'envoyer, mais je ne peux ou ne sais absolument pas comment recopier un stream :( il n'eest visible nul part, donc comment le copier ? :/
"joke0" <404pagenotfound-delete-nopam@caramail.com> wrote in message
news:XnF94007F6833674164N@joke0.net...
Salut,
Sebastien Dellabella:
Comme vous pouvez le voir cette DLL est donc écrite dans un
stream, ce qui me semble pour le moins nouveau pour un virus ou
spyware....
Nouveau, non. Cela date de 2000:
http://www.viruslist.com/eng/viruslist.html?id@78
Vos comentaires dessus ?
J'aimerais bien avoir le fichier concerné pour en parler
(joke0@free.fr). Mais avant envoies-en une copie là:
submit-virus@avp.ch
virus_research@nai.com (zippé, passw= infected)
Il s'agit peut-être d'une bestiole de collection que NAV n'avait pas
dans ses bases.
--
joke0
J'aimerai bien en faire une copie pour l'envoyer, mais je ne peux ou ne sais
absolument pas comment recopier un stream :(
il n'eest visible nul part, donc comment le copier ? :/
Comme vous pouvez le voir cette DLL est donc écrite dans un stream, ce qui me semble pour le moins nouveau pour un virus ou spyware....
Nouveau, non. Cela date de 2000: http://www.viruslist.com/eng/viruslist.html?
Vos comentaires dessus ?
J'aimerais bien avoir le fichier concerné pour en parler (). Mais avant envoies-en une copie là:
(zippé, passw= infected)
Il s'agit peut-être d'une bestiole de collection que NAV n'avait pas dans ses bases.
-- joke0
J'aimerai bien en faire une copie pour l'envoyer, mais je ne peux ou ne sais absolument pas comment recopier un stream :( il n'eest visible nul part, donc comment le copier ? :/
Patrick Peccatte
"joke0" a écrit dans le message de news:
[...]
J'aimerais bien avoir le fichier concerné pour en parler (). Mais avant envoies-en une copie là:
(zippé, passw= infected)
zippé, ça le fera pas, les streams ne seront pas conservés il vaut mieux utiliser Rar qui possède une option pour conserver les streams ou ShowStream/CmdStream de JC Bellamy: http://bellamyjc.org/fr/stream.html -- Patrick Peccatte www.softexperience.com
"joke0" <404pagenotfound-delete-nopam@caramail.com> a écrit dans le message
de news:XnF94007F6833674164N@joke0.net...
[...]
J'aimerais bien avoir le fichier concerné pour en parler
(joke0@free.fr). Mais avant envoies-en une copie là:
submit-virus@avp.ch
virus_research@nai.com (zippé, passw= infected)
zippé, ça le fera pas, les streams ne seront pas conservés
il vaut mieux utiliser Rar qui possède une option pour conserver les streams
ou ShowStream/CmdStream de JC Bellamy:
http://bellamyjc.org/fr/stream.html
--
Patrick Peccatte
www.softexperience.com
J'aimerais bien avoir le fichier concerné pour en parler (). Mais avant envoies-en une copie là:
(zippé, passw= infected)
zippé, ça le fera pas, les streams ne seront pas conservés il vaut mieux utiliser Rar qui possède une option pour conserver les streams ou ShowStream/CmdStream de JC Bellamy: http://bellamyjc.org/fr/stream.html -- Patrick Peccatte www.softexperience.com
joke0
Salut,
Sebastien Dellabella:
J'aimerai bien en faire une copie pour l'envoyer, mais je ne peux ou ne sais absolument pas comment recopier un stream :( il n'eest visible nul part, donc comment le copier ? :/
Oui, je vois le problème: le stream est dans le fichier, mais uniquement sur la partition NTFS. Dès que vous faites une copie zippée du fichier le stream supplémentaire disparait (mais si vous faites une copie normale du fichier, le stream reste).
Patrick au dessus dit qu'avec winrar il est possible d'y arriver. Dans ce cas, ce n'est pas la peine de l'envoyer à McAfee, ils ne prennent que les zip.
Dans la description de KAV, je lis: « In the Windows package there is no standard tool to view/edit file streams. To "manually" view file streams you need to use special utilities, for instance the FAR utility with the file steams support plug-in (Ctrl-PgDn displays file streams for selected file). »
-- joke0
Salut,
Sebastien Dellabella:
J'aimerai bien en faire une copie pour l'envoyer, mais je ne peux
ou ne sais absolument pas comment recopier un stream :(
il n'eest visible nul part, donc comment le copier ? :/
Oui, je vois le problème: le stream est dans le fichier, mais
uniquement sur la partition NTFS. Dès que vous faites une copie
zippée du fichier le stream supplémentaire disparait (mais si vous
faites une copie normale du fichier, le stream reste).
Patrick au dessus dit qu'avec winrar il est possible d'y arriver.
Dans ce cas, ce n'est pas la peine de l'envoyer à McAfee, ils ne
prennent que les zip.
Dans la description de KAV, je lis:
« In the Windows package there is no standard tool to view/edit file
streams. To "manually" view file streams you need to use special
utilities, for instance the FAR utility with the file steams support
plug-in (Ctrl-PgDn displays file streams for selected file). »
J'aimerai bien en faire une copie pour l'envoyer, mais je ne peux ou ne sais absolument pas comment recopier un stream :( il n'eest visible nul part, donc comment le copier ? :/
Oui, je vois le problème: le stream est dans le fichier, mais uniquement sur la partition NTFS. Dès que vous faites une copie zippée du fichier le stream supplémentaire disparait (mais si vous faites une copie normale du fichier, le stream reste).
Patrick au dessus dit qu'avec winrar il est possible d'y arriver. Dans ce cas, ce n'est pas la peine de l'envoyer à McAfee, ils ne prennent que les zip.
Dans la description de KAV, je lis: « In the Windows package there is no standard tool to view/edit file streams. To "manually" view file streams you need to use special utilities, for instance the FAR utility with the file steams support plug-in (Ctrl-PgDn displays file streams for selected file). »
-- joke0
Arnold McDonald \(AMcD\)
Sebastien Dellabella wrote:
Rundll32 C:winntsystem32:xxxx.dll, init 1
Comme vous pouvez le voir cette DLL est donc écrite dans un stream, ce qui me semble pour le moins nouveau pour un virus ou spyware....
Salut ! Heu je suis en train d'écrire un (long) article là-dessus. Tu peux me faire parvenir cette DLL ? Voire le stream du dossier.
Merci
-- AMcD
http://arnold.mcdonald.free.fr/
Sebastien Dellabella wrote:
Rundll32 C:winntsystem32:xxxx.dll, init 1
Comme vous pouvez le voir cette DLL est donc écrite dans un stream,
ce qui me semble pour le moins nouveau pour un virus ou spyware....
Salut ! Heu je suis en train d'écrire un (long) article là-dessus. Tu peux
me faire parvenir cette DLL ? Voire le stream du dossier.
Car le virus/spyware à crée un flux sur le repertoire system32...plutot gros pour etre raré lol
Quelle taille? La bestiole stocke peut-être des données peu importantes dans des flux séparés?
-- joke0
Sebastien Dellabella
"joke0" wrote in message news:
Salut,
Sebastien Dellabella:
Car le virus/spyware à crée un flux sur le repertoire system32...plutot gros pour etre raré lol
Quelle taille? La bestiole stocke peut-être des données peu importantes dans des flux séparés?
-- joke0
La taille d'un repertoire c:winntsystem32 est de l'ordre de 450mo":P par mail ca vafaire long lol Plus serieusement je pense plutot essaye d'extraire le flux avec un des utilitaires proposé plus haut :)
X..., c'est un millefeuille avec une couche de crème patissière, une de sauce tomate et une de crème d'anchois... Mais c'est vrai que c'est un système ouvert: tu peux y rajouter des pépites de chocolat... -+- Ol in Guide du linuxien pervers - "Remettez m'en une couche !" -+-
"joke0" <404pagenotfound-delete-nopam@caramail.com> wrote in message
news:XnF94008E24A81D44164N@joke0.net...
Salut,
Sebastien Dellabella:
Car le virus/spyware à crée un flux sur le repertoire
system32...plutot gros pour etre raré lol
Quelle taille? La bestiole stocke peut-être des données peu
importantes dans des flux séparés?
--
joke0
La taille d'un repertoire c:winntsystem32 est de l'ordre de 450mo":P
par mail ca vafaire long lol
Plus serieusement je pense plutot essaye d'extraire le flux avec un des
utilitaires proposé plus haut :)
X..., c'est un millefeuille avec une couche de crème patissière, une
de sauce tomate et une de crème d'anchois... Mais c'est vrai que
c'est un système ouvert: tu peux y rajouter des pépites de chocolat...
-+- Ol in Guide du linuxien pervers - "Remettez m'en une couche !" -+-
Car le virus/spyware à crée un flux sur le repertoire system32...plutot gros pour etre raré lol
Quelle taille? La bestiole stocke peut-être des données peu importantes dans des flux séparés?
-- joke0
La taille d'un repertoire c:winntsystem32 est de l'ordre de 450mo":P par mail ca vafaire long lol Plus serieusement je pense plutot essaye d'extraire le flux avec un des utilitaires proposé plus haut :)
X..., c'est un millefeuille avec une couche de crème patissière, une de sauce tomate et une de crème d'anchois... Mais c'est vrai que c'est un système ouvert: tu peux y rajouter des pépites de chocolat... -+- Ol in Guide du linuxien pervers - "Remettez m'en une couche !" -+-
Petite rectification, le stream est lié à un repertoire !
Je ne suis pas un spécialiste NT et encore moins NTFS, mais il semble pas que ce soit possible. Il me semble logique que le flux soit associé à un fichier. (J'espère que qqn de plus compétant que moi viendra confirmer/infirmer mon avis)
La syntaxe est bonne tu es sûr? Il me semble que le flux suspect est Init1 dans la dll xxxx.
Dans ce cas la syntaxe serait plutôt:
Rundll32 C:winntsystem32xxxx.dll:init1
-- I disclaim everything. The contents of this message might be totally inaccurate, inappropriate, misguided, or otherwise perverse - except for my nick (you can probably trust me on that).
Salut,
Sebastien Dellabella:
Petite rectification, le stream est lié à un repertoire !
Je ne suis pas un spécialiste NT et encore moins NTFS, mais il
semble pas que ce soit possible. Il me semble logique que le flux
soit associé à un fichier. (J'espère que qqn de plus compétant que
moi viendra confirmer/infirmer mon avis)
La syntaxe est bonne tu es sûr? Il me semble que le flux suspect est
Init1 dans la dll xxxx.
Dans ce cas la syntaxe serait plutôt:
Rundll32 C:winntsystem32xxxx.dll:init1
--
I disclaim everything. The contents of this message might be totally
inaccurate, inappropriate, misguided, or otherwise perverse - except for
my nick (you can probably trust me on that).
Petite rectification, le stream est lié à un repertoire !
Je ne suis pas un spécialiste NT et encore moins NTFS, mais il semble pas que ce soit possible. Il me semble logique que le flux soit associé à un fichier. (J'espère que qqn de plus compétant que moi viendra confirmer/infirmer mon avis)
La syntaxe est bonne tu es sûr? Il me semble que le flux suspect est Init1 dans la dll xxxx.
Dans ce cas la syntaxe serait plutôt:
Rundll32 C:winntsystem32xxxx.dll:init1
-- I disclaim everything. The contents of this message might be totally inaccurate, inappropriate, misguided, or otherwise perverse - except for my nick (you can probably trust me on that).
Sebastien Dellabella
"joke0" wrote in message news:
Salut,
Sebastien Dellabella:
Petite rectification, le stream est lié à un repertoire !
Je ne suis pas un spécialiste NT et encore moins NTFS, mais il semble pas que ce soit possible. Il me semble logique que le flux soit associé à un fichier. (J'espère que qqn de plus compétant que moi viendra confirmer/infirmer mon avis)
La syntaxe est bonne tu es sûr? Il me semble que le flux suspect est Init1 dans la dll xxxx.
Dans ce cas la syntaxe serait plutôt:
Rundll32 C:winntsystem32xxxx.dll:init1
-- I disclaim everything. The contents of this message might be totally inaccurate, inappropriate, misguided, or otherwise perverse - except for my nick (you can probably trust me on that).
Re :)
Oui je te confirme la syntaxe, j'ai sous les yeux le screenshot que j'ai fait hier sur une machine infectée. la syntaxe est bien
Rundll32 C:winntsystem32:xxxx.dll, init 1
Ce qui prouve bien que le stream est rattaché a un folder. Après tout un folder n'est en fait rien d'autre qu'un fichier, c'est notre interpretation via le système d'exploitation qui lui donne la forme que nous connaissons :) Je peux poster le screenshot sur le newsgroup, mais je ne sais pas si c'est permis ici :/ Voici quelques info que j'ai trouvé qui confirme qu'un stream peut-être attaché à un repertoire :
What are the main dangers associated with NTFS streams? - Streams are only visible to specialised software such as TDS-3 that has the capability of enumerating streams from their parents. - Public awareness of streams is exceptionally low, especially compared to the awareness of other file-hiding techniques such as hidden file attributes. - Streams can not only attach themselves to files, they can also attach themselves to directories. - Streams can't actually be deleted. The parent they're attached to must be deleted in order for the stream to be removed. However, - Streams attached to the root directory of a drive, such as "C::MyStream" cannot be deleted. - "Available Disk Space" as shown by programs such as Windows Explorer do not take into account disk space consumed by streams. - A malicious program could continue writing to a stream, filling up the disk and make cleaning up very difficult. - Streams, as they are essentially still files, can be executed. - Executed streams do not have their filenames display correctly in Windows NT/2K/XP Task Manager, the utility commonly used to view running processes. For example, if the stream "c:test.txt:mystream" was running, Task Manager would only show "test.txt".
Source : http://www.diamondcs.com.au
"joke0" <404pagenotfound-delete-nopam@caramail.com> wrote in message
news:XnF940098836222C4164N@joke0.net...
Salut,
Sebastien Dellabella:
Petite rectification, le stream est lié à un repertoire !
Je ne suis pas un spécialiste NT et encore moins NTFS, mais il
semble pas que ce soit possible. Il me semble logique que le flux
soit associé à un fichier. (J'espère que qqn de plus compétant que
moi viendra confirmer/infirmer mon avis)
La syntaxe est bonne tu es sûr? Il me semble que le flux suspect est
Init1 dans la dll xxxx.
Dans ce cas la syntaxe serait plutôt:
Rundll32 C:winntsystem32xxxx.dll:init1
--
I disclaim everything. The contents of this message might be totally
inaccurate, inappropriate, misguided, or otherwise perverse - except for
my nick (you can probably trust me on that).
Re :)
Oui je te confirme la syntaxe, j'ai sous les yeux le screenshot que j'ai
fait hier sur une machine infectée.
la syntaxe est bien
Rundll32 C:winntsystem32:xxxx.dll, init 1
Ce qui prouve bien que le stream est rattaché a un folder.
Après tout un folder n'est en fait rien d'autre qu'un fichier, c'est notre
interpretation via le système d'exploitation qui lui donne la forme que nous
connaissons :)
Je peux poster le screenshot sur le newsgroup, mais je ne sais pas si c'est
permis ici :/
Voici quelques info que j'ai trouvé qui confirme qu'un stream peut-être
attaché à un repertoire :
What are the main dangers associated with NTFS streams?
- Streams are only visible to specialised software such as TDS-3 that has
the capability of enumerating streams from their parents.
- Public awareness of streams is exceptionally low, especially compared to
the awareness of other file-hiding techniques such as hidden file
attributes.
- Streams can not only attach themselves to files, they can also attach
themselves to directories.
- Streams can't actually be deleted. The parent they're attached to must be
deleted in order for the stream to be removed. However,
- Streams attached to the root directory of a drive, such as "C::MyStream"
cannot be deleted.
- "Available Disk Space" as shown by programs such as Windows Explorer do
not take into account disk space consumed by streams.
- A malicious program could continue writing to a stream, filling up the
disk and make cleaning up very difficult.
- Streams, as they are essentially still files, can be executed.
- Executed streams do not have their filenames display correctly in Windows
NT/2K/XP Task Manager, the utility commonly used to view running processes.
For example, if the stream "c:test.txt:mystream" was running, Task Manager
would only show "test.txt".
Petite rectification, le stream est lié à un repertoire !
Je ne suis pas un spécialiste NT et encore moins NTFS, mais il semble pas que ce soit possible. Il me semble logique que le flux soit associé à un fichier. (J'espère que qqn de plus compétant que moi viendra confirmer/infirmer mon avis)
La syntaxe est bonne tu es sûr? Il me semble que le flux suspect est Init1 dans la dll xxxx.
Dans ce cas la syntaxe serait plutôt:
Rundll32 C:winntsystem32xxxx.dll:init1
-- I disclaim everything. The contents of this message might be totally inaccurate, inappropriate, misguided, or otherwise perverse - except for my nick (you can probably trust me on that).
Re :)
Oui je te confirme la syntaxe, j'ai sous les yeux le screenshot que j'ai fait hier sur une machine infectée. la syntaxe est bien
Rundll32 C:winntsystem32:xxxx.dll, init 1
Ce qui prouve bien que le stream est rattaché a un folder. Après tout un folder n'est en fait rien d'autre qu'un fichier, c'est notre interpretation via le système d'exploitation qui lui donne la forme que nous connaissons :) Je peux poster le screenshot sur le newsgroup, mais je ne sais pas si c'est permis ici :/ Voici quelques info que j'ai trouvé qui confirme qu'un stream peut-être attaché à un repertoire :
What are the main dangers associated with NTFS streams? - Streams are only visible to specialised software such as TDS-3 that has the capability of enumerating streams from their parents. - Public awareness of streams is exceptionally low, especially compared to the awareness of other file-hiding techniques such as hidden file attributes. - Streams can not only attach themselves to files, they can also attach themselves to directories. - Streams can't actually be deleted. The parent they're attached to must be deleted in order for the stream to be removed. However, - Streams attached to the root directory of a drive, such as "C::MyStream" cannot be deleted. - "Available Disk Space" as shown by programs such as Windows Explorer do not take into account disk space consumed by streams. - A malicious program could continue writing to a stream, filling up the disk and make cleaning up very difficult. - Streams, as they are essentially still files, can be executed. - Executed streams do not have their filenames display correctly in Windows NT/2K/XP Task Manager, the utility commonly used to view running processes. For example, if the stream "c:test.txt:mystream" was running, Task Manager would only show "test.txt".
Source : http://www.diamondcs.com.au
joke0
Salut,
Sebastien Dellabella:
Oui je te confirme la syntaxe,
Ok.
Je peux poster le screenshot sur le newsgroup, mais je ne sais pas si c'est permis ici :/
Non, c'est interdit de poster autrechose que du texte.
[Snip description]
Intéressant, merci.
Tout ceci est extrèmement étrange. Il semble évident que vous êtes espionné et que le flux collecte et stocke des infos.
Le système a été scanné avec quels antivirus? Seulement NAV?
-- joke0
Salut,
Sebastien Dellabella:
Oui je te confirme la syntaxe,
Ok.
Je peux poster le screenshot sur le newsgroup, mais je ne sais pas
si c'est permis ici :/
Non, c'est interdit de poster autrechose que du texte.
[Snip description]
Intéressant, merci.
Tout ceci est extrèmement étrange. Il semble évident que vous êtes
espionné et que le flux collecte et stocke des infos.
Le système a été scanné avec quels antivirus? Seulement NAV?
