J'ai trouvé un truc bizarre, non repéré par Symantec & McAfee (les 2 à
jour évidemment...)
Dans C:\Windows\System, WinUpdate.exe, taille 5120 octets.
Compressé avec UPX, et scramblé pour éviter la décompression.
Il reste résident en mémoire, et crée des entrées dans LOCAL__MACHINE /
Windows / Run & CURRENT_USER / Windows / Run.
Un core-dump montre un téléchargement de fichiers de configurations
depuis http://oriongalaxy.com (adresse qui ne répond pas actuellement)
Ce nom de domaine est déposé en russie, de manière anonyme.
J'ai déja scanné avec SpyBot & Ad-aware....Et rien....
joke0 wrote:
Salut,
Mathieu MARCIACQ:
Vu le type de mail, je dirais qu'ils l'ont analysé en vitesse....
En effet. La réponse du boss en personne ;o) Ils n'ont pas encore testé leurs ajoûts quotidiens pour voir s'ils ne produisent pas de faux positifs.
A propos, y'a une autre saleté sur son PC, mais là, je comprend plus....
Il faudrait commencer par passer un coup d'anti-spyware: Ad-aware et Spybot sont en français et gratuits: http://security.kolla.de http://www.lavasoft.com
Si ça ne résoud pas le pb, il faudra envisager d'autres possibilités.
-- joke0
J'ai déja scanné avec SpyBot & Ad-aware....Et rien....
joke0 wrote:
Salut,
Mathieu MARCIACQ:
Vu le type de mail, je dirais qu'ils l'ont analysé en vitesse....
En effet. La réponse du boss en personne ;o)
Ils n'ont pas encore testé leurs ajoûts quotidiens pour voir s'ils
ne produisent pas de faux positifs.
A propos, y'a une autre saleté sur son PC, mais là, je comprend
plus....
Il faudrait commencer par passer un coup d'anti-spyware:
Ad-aware et Spybot sont en français et gratuits:
http://security.kolla.de
http://www.lavasoft.com
Si ça ne résoud pas le pb, il faudra envisager d'autres possibilités.
J'ai déja scanné avec SpyBot & Ad-aware....Et rien....
joke0 wrote:
Salut,
Mathieu MARCIACQ:
Vu le type de mail, je dirais qu'ils l'ont analysé en vitesse....
En effet. La réponse du boss en personne ;o) Ils n'ont pas encore testé leurs ajoûts quotidiens pour voir s'ils ne produisent pas de faux positifs.
A propos, y'a une autre saleté sur son PC, mais là, je comprend plus....
Il faudrait commencer par passer un coup d'anti-spyware: Ad-aware et Spybot sont en français et gratuits: http://security.kolla.de http://www.lavasoft.com
Si ça ne résoud pas le pb, il faudra envisager d'autres possibilités.
-- joke0
joke0
Salut,
Mathieu MARCIACQ:
J'ai déja scanné avec SpyBot & Ad-aware....Et rien....
C'est quoi ces adresses?
-- joke0
Salut,
Mathieu MARCIACQ:
J'ai déja scanné avec SpyBot & Ad-aware....Et rien....
salut "Mathieu MARCIACQ" a écrit dans le message news:
attention à ta façon de répondre
http://www.giromini.org/usenet-fr/repondre.html
c'est sans malice, hein :D @tchao
joke0
Salut,
Mathieu MARCIACQ:
Ben comme déja dit, ils sont en vacances...Donc j'ai rien d'autre que ce dont je me rappelle.... J'ai encore en tête http://www.moon quelquechose....Désolé....
Si tes parents utilise Kazaa, il pourrait s'agir des spyware livrés d'origine avec Kazaa. Prendre Kazaa Ligth plutôt.
Avec une adresse ce serait plus facile
-- joke0
Salut,
Mathieu MARCIACQ:
Ben comme déja dit, ils sont en vacances...Donc j'ai rien d'autre
que ce dont je me rappelle....
J'ai encore en tête http://www.moon quelquechose....Désolé....
Si tes parents utilise Kazaa, il pourrait s'agir des spyware livrés
d'origine avec Kazaa. Prendre Kazaa Ligth plutôt.
Ben comme déja dit, ils sont en vacances...Donc j'ai rien d'autre que ce dont je me rappelle.... J'ai encore en tête http://www.moon quelquechose....Désolé....
Si tes parents utilise Kazaa, il pourrait s'agir des spyware livrés d'origine avec Kazaa. Prendre Kazaa Ligth plutôt.
Avec une adresse ce serait plus facile
-- joke0
Mathieu MARCIACQ
Salut,
Mathieu MARCIACQ:
Ben comme déja dit, ils sont en vacances...Donc j'ai rien d'autre que ce dont je me rappelle.... J'ai encore en tête http://www.moon quelquechose....Désolé....
Si tes parents utilise Kazaa, il pourrait s'agir des spyware livrés d'origine avec Kazaa. Prendre Kazaa Ligth plutôt.
Vi, j'ai bien pensé à des saletés de ce genre, mais le truc qui m'intrigue, c'est que je n'arrive pas a trouver comment ça fonctionne, comme je trouve rien dans les .INI ou la base de registre....
Salut,
Mathieu MARCIACQ:
Ben comme déja dit, ils sont en vacances...Donc j'ai rien d'autre
que ce dont je me rappelle....
J'ai encore en tête http://www.moon quelquechose....Désolé....
Si tes parents utilise Kazaa, il pourrait s'agir des spyware livrés
d'origine avec Kazaa. Prendre Kazaa Ligth plutôt.
Vi, j'ai bien pensé à des saletés de ce genre, mais le truc qui
m'intrigue, c'est que je n'arrive pas a trouver comment ça fonctionne,
comme je trouve rien dans les .INI ou la base de registre....
Ben comme déja dit, ils sont en vacances...Donc j'ai rien d'autre que ce dont je me rappelle.... J'ai encore en tête http://www.moon quelquechose....Désolé....
Si tes parents utilise Kazaa, il pourrait s'agir des spyware livrés d'origine avec Kazaa. Prendre Kazaa Ligth plutôt.
Vi, j'ai bien pensé à des saletés de ce genre, mais le truc qui m'intrigue, c'est que je n'arrive pas a trouver comment ça fonctionne, comme je trouve rien dans les .INI ou la base de registre....
Mathieu MARCIACQ
Mathieu MARCIACQ wrote:
Salut,
Mathieu MARCIACQ:
Ben comme déja dit, ils sont en vacances...Donc j'ai rien d'autre que ce dont je me rappelle.... J'ai encore en tête http://www.moon quelquechose....Désolé....
Si tes parents utilise Kazaa, il pourrait s'agir des spyware livrés d'origine avec Kazaa. Prendre Kazaa Ligth plutôt.
Vi, j'ai bien pensé à des saletés de ce genre, mais le truc qui m'intrigue, c'est que je n'arrive pas a trouver comment ça fonctionne, comme je trouve rien dans les .INI ou la base de registre....
Et si je ne me trompe pas, ils sont detectés par Adaware & SpyBot....
Mathieu MARCIACQ wrote:
Salut,
Mathieu MARCIACQ:
Ben comme déja dit, ils sont en vacances...Donc j'ai rien d'autre
que ce dont je me rappelle....
J'ai encore en tête http://www.moon quelquechose....Désolé....
Si tes parents utilise Kazaa, il pourrait s'agir des spyware livrés
d'origine avec Kazaa. Prendre Kazaa Ligth plutôt.
Vi, j'ai bien pensé à des saletés de ce genre, mais le truc qui
m'intrigue, c'est que je n'arrive pas a trouver comment ça fonctionne,
comme je trouve rien dans les .INI ou la base de registre....
Et si je ne me trompe pas, ils sont detectés par Adaware & SpyBot....
Ben comme déja dit, ils sont en vacances...Donc j'ai rien d'autre que ce dont je me rappelle.... J'ai encore en tête http://www.moon quelquechose....Désolé....
Si tes parents utilise Kazaa, il pourrait s'agir des spyware livrés d'origine avec Kazaa. Prendre Kazaa Ligth plutôt.
Vi, j'ai bien pensé à des saletés de ce genre, mais le truc qui m'intrigue, c'est que je n'arrive pas a trouver comment ça fonctionne, comme je trouve rien dans les .INI ou la base de registre....
Et si je ne me trompe pas, ils sont detectés par Adaware & SpyBot....
Tweakie
Bonjour,
Mon environnement de test est encore tres incomplet (en particulier, manque de support reseau - meme si un serveur SMTP/POP3 a ete' installe' localement), mais voici quelques precisions sur votre malware :
Cree la clef : HKLMSoftwareMicrosoftWinUpdateUID
Cree/modifie les valeurs :
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWindows Update HKCUSoftwareMicrosoftWindowsCurrentVersionRunWindows Update --> Pointent vers l'emplacement de la backdoor
- Pas de modification de Kazaa ni de mIRC - Pas d'envois de mails via Outlook - Autres activites suspectes : voir logs envoyes par email...
-- Tweakie
-- Ce message a été posté via la plateforme Web club-Internet.fr This message has been posted by the Web platform club-Internet.fr
http://forums.club-internet.fr/
Bonjour,
Mon environnement de test est encore tres incomplet (en particulier, manque
de support reseau - meme si un serveur SMTP/POP3 a ete' installe' localement),
mais voici quelques precisions sur votre malware :
Cree la clef :
HKLMSoftwareMicrosoftWinUpdateUID
Cree/modifie les valeurs :
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWindows Update
HKCUSoftwareMicrosoftWindowsCurrentVersionRunWindows Update
--> Pointent vers l'emplacement de la backdoor
Mon environnement de test est encore tres incomplet (en particulier, manque de support reseau - meme si un serveur SMTP/POP3 a ete' installe' localement), mais voici quelques precisions sur votre malware :
Cree la clef : HKLMSoftwareMicrosoftWinUpdateUID
Cree/modifie les valeurs :
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWindows Update HKCUSoftwareMicrosoftWindowsCurrentVersionRunWindows Update --> Pointent vers l'emplacement de la backdoor
