J'ai bien un mail (détecté par ClamAV) redirigeant vers la page
exploitant la faille, mais pas de machine sacrificielle sous la main pour
récupérer le CHM ou l'EXE ("alpha.exe" ?)
Pour moi, ce ver est ITW depuis au moins Lundi aprèm. Vous ne trouvez pas les éditeurs particulièrement lents ?
Ben, ca depend, j'ai la flemme de regarder qui le detecte (au moins KAV, Trend et NAI) et qui ne le detecte pas encore.
Tu peux m'envoyer une copie (sous zip avec pass) a tweakie-at-mail.nu, STP ?
-- Tweakie
NOD32 aussi depuis hier PM -- JacK
Frederic Bonroy
J'ai écrit:
Curieusement F-Prot ne le détecte pas avec les définitions les plus récentes (hier). Mais avec le paramètre /paranoid il voit un nouveau virus.
Je me suis trompé, il voit bien Wallon.A dans l'un des 4 fichiers de joke0, mais je n'ai pas encore déterminé ce qu'ils sont censés représenter. Ce sont tous des PE.
Il y en a 3 de 151552 octets mais de CRC32 différents... c'est le quatrième fichier de 150528 qui provoque l'alerte. C'est sans doute ce qui correspond à alpha.exe dans la description de F-Secure?
http://www.f-secure.com/v-descs/wallon.shtml
J'ai écrit:
Curieusement F-Prot ne le détecte pas avec les définitions les plus
récentes (hier). Mais avec le paramètre /paranoid il voit un nouveau virus.
Je me suis trompé, il voit bien Wallon.A dans l'un des 4 fichiers de
joke0, mais je n'ai pas encore déterminé ce qu'ils sont censés
représenter. Ce sont tous des PE.
Il y en a 3 de 151552 octets mais de CRC32 différents... c'est le
quatrième fichier de 150528 qui provoque l'alerte. C'est sans doute ce
qui correspond à alpha.exe dans la description de F-Secure?
Curieusement F-Prot ne le détecte pas avec les définitions les plus récentes (hier). Mais avec le paramètre /paranoid il voit un nouveau virus.
Je me suis trompé, il voit bien Wallon.A dans l'un des 4 fichiers de joke0, mais je n'ai pas encore déterminé ce qu'ils sont censés représenter. Ce sont tous des PE.
Il y en a 3 de 151552 octets mais de CRC32 différents... c'est le quatrième fichier de 150528 qui provoque l'alerte. C'est sans doute ce qui correspond à alpha.exe dans la description de F-Secure?
http://www.f-secure.com/v-descs/wallon.shtml
Nicob
On Wed, 12 May 2004 12:40:29 +0000, Tweakie wrote:
Ben, ca depend, j'ai la flemme de regarder qui le detecte (au moins KAV, Trend et NAI) et qui ne le detecte pas encore.
J'ai des résultats très bizarres. J'hésite d'ailleurs à mettre en cause ma config ...
KAV : TrojanDownloader.VBS.Psyme-based Trend : Clean F-Prot : "virus dropper" ClamAV : Clean NAI : "VBS/Psyme trojan" dans "newe.htm"
Tu peux m'envoyer une copie (sous zip avec pass) a tweakie-at-mail.nu
Fait ...
Nicob
Nicob
On Wed, 12 May 2004 14:59:04 +0200, Frederic Bonroy wrote:
Il y en a 3 de 151552 octets mais de CRC32 différents... c'est le quatrième fichier de 150528 qui provoque l'alerte. C'est sans doute ce qui correspond à alpha.exe dans la description de F-Secure?
Sur ma machine infectée, HouseCall ne voit comme infectés que les fichiers temporaires d'IE et un "x.exe" à la racine de C:
Mais d'autres personnes ont effectivement vu un "alpha.exe" ...
D'un point de vue réseau, sys.chm (11482 octets) et sys.exe (36532 octets) sont téléchargés.
Nicob
On Wed, 12 May 2004 14:59:04 +0200, Frederic Bonroy wrote:
Il y en a 3 de 151552 octets mais de CRC32 différents... c'est le
quatrième fichier de 150528 qui provoque l'alerte. C'est sans doute ce
qui correspond à alpha.exe dans la description de F-Secure?
Sur ma machine infectée, HouseCall ne voit comme infectés que les
fichiers temporaires d'IE et un "x.exe" à la racine de C:
Mais d'autres personnes ont effectivement vu un "alpha.exe" ...
D'un point de vue réseau, sys.chm (11482 octets) et sys.exe (36532
octets) sont téléchargés.
On Wed, 12 May 2004 14:59:04 +0200, Frederic Bonroy wrote:
Il y en a 3 de 151552 octets mais de CRC32 différents... c'est le quatrième fichier de 150528 qui provoque l'alerte. C'est sans doute ce qui correspond à alpha.exe dans la description de F-Secure?
Sur ma machine infectée, HouseCall ne voit comme infectés que les fichiers temporaires d'IE et un "x.exe" à la racine de C:
Mais d'autres personnes ont effectivement vu un "alpha.exe" ...
D'un point de vue réseau, sys.chm (11482 octets) et sys.exe (36532 octets) sont téléchargés.
Nicob
Frederic Bonroy
Nicob wrote:
Sur ma machine infectée, HouseCall ne voit comme infectés que les fichiers temporaires d'IE et un "x.exe" à la racine de C:
Mais d'autres personnes ont effectivement vu un "alpha.exe" ...
D'un point de vue réseau, sys.chm (11482 octets) et sys.exe (36532 octets) sont téléchargés.
Je viens de faire quelques tests. Sys.chm apparemment ne fonctionne pas chez moi, mais sys.exe télécharge et installe alpha.exe. J'ai utilisé un vieux Windows 98 avec un vieux IE 5 qui n'a jamais vu un correctif de sa vie.
Sys.exe est également détecté en tant que Wallon.A par F-Prot.
Petite capture d'écran du code "décisif" de sys.exe: http://www.uni-koblenz.de/~fbonroy/wallon-sys.png
Nicob wrote:
Sur ma machine infectée, HouseCall ne voit comme infectés que les
fichiers temporaires d'IE et un "x.exe" à la racine de C:
Mais d'autres personnes ont effectivement vu un "alpha.exe" ...
D'un point de vue réseau, sys.chm (11482 octets) et sys.exe (36532
octets) sont téléchargés.
Je viens de faire quelques tests. Sys.chm apparemment ne fonctionne pas
chez moi, mais sys.exe télécharge et installe alpha.exe.
J'ai utilisé un vieux Windows 98 avec un vieux IE 5 qui n'a jamais vu un
correctif de sa vie.
Sys.exe est également détecté en tant que Wallon.A par F-Prot.
Petite capture d'écran du code "décisif" de sys.exe:
http://www.uni-koblenz.de/~fbonroy/wallon-sys.png
Sur ma machine infectée, HouseCall ne voit comme infectés que les fichiers temporaires d'IE et un "x.exe" à la racine de C:
Mais d'autres personnes ont effectivement vu un "alpha.exe" ...
D'un point de vue réseau, sys.chm (11482 octets) et sys.exe (36532 octets) sont téléchargés.
Je viens de faire quelques tests. Sys.chm apparemment ne fonctionne pas chez moi, mais sys.exe télécharge et installe alpha.exe. J'ai utilisé un vieux Windows 98 avec un vieux IE 5 qui n'a jamais vu un correctif de sa vie.
Sys.exe est également détecté en tant que Wallon.A par F-Prot.
Petite capture d'écran du code "décisif" de sys.exe: http://www.uni-koblenz.de/~fbonroy/wallon-sys.png
NO_eikaewt_SPAM
Frederic Bonroy wrote:
Curieusement F-Prot ne le détecte pas avec les définitions les plus récentes (hier). Mais avec le paramètre /paranoid il voit un nouveau virus.
Norman identifie le vers depuis ce matin. Avec les definitions precedentes, il detectait l'exe en tant que Sandbox:W32/Downloader, mais pas le chm.
Voila leur explication sur les differents fichiers :
"Some of the .exe files are compressed using ASPACK and may be 151,552, 150,528 or 36,352, bytes long. The other .exe files are compressed using UPX and are diallers with file sizes of either 9,216, 9,200 or 9,112 bytes. The .chm files are either 11, 486, 11,484, 11,482, 11,476 or 11,450 bytes long. "
Le fichier sys.exe fait partie de la premiere categorie : c'est un downloader et un hijacker*, packe' avec ASPACK.
D'apres la sandbox, il fait beaucoup de rififi dans la base de registre, et telecharge le fichier suivant :
http://c0unter.spr0s.c0m/2/not.exe (toujours dispo a l'heure actuelle - adresse legerement editee), lui meme pake' avec ASPack et reconnu comme Wallon.A
*beaucoup de references a http://www.google.com.super-fast-search.apsua.com/(...)
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Frederic Bonroy wrote:
Curieusement F-Prot ne le détecte pas avec les définitions les plus
récentes (hier). Mais avec le paramètre /paranoid il voit un nouveau virus.
Norman identifie le vers depuis ce matin. Avec les definitions precedentes,
il detectait l'exe en tant que Sandbox:W32/Downloader, mais pas le chm.
Voila leur explication sur les differents fichiers :
"Some of the .exe files are compressed using ASPACK
and may be 151,552, 150,528 or 36,352, bytes long.
The other .exe files are compressed using UPX and are
diallers with file sizes of either 9,216, 9,200 or 9,112 bytes.
The .chm files are either 11, 486, 11,484, 11,482, 11,476 or
11,450 bytes long. "
Le fichier sys.exe fait partie de la premiere categorie :
c'est un downloader et un hijacker*, packe' avec ASPACK.
D'apres la sandbox, il fait beaucoup de rififi dans la base
de registre, et telecharge le fichier suivant :
http://c0unter.spr0s.c0m/2/not.exe (toujours dispo a l'heure
actuelle - adresse legerement editee), lui meme pake' avec
ASPack et reconnu comme Wallon.A
*beaucoup de references a
http://www.google.com.super-fast-search.apsua.com/(...)
--
Tweakie
--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To: abuse@webatou.net
Curieusement F-Prot ne le détecte pas avec les définitions les plus récentes (hier). Mais avec le paramètre /paranoid il voit un nouveau virus.
Norman identifie le vers depuis ce matin. Avec les definitions precedentes, il detectait l'exe en tant que Sandbox:W32/Downloader, mais pas le chm.
Voila leur explication sur les differents fichiers :
"Some of the .exe files are compressed using ASPACK and may be 151,552, 150,528 or 36,352, bytes long. The other .exe files are compressed using UPX and are diallers with file sizes of either 9,216, 9,200 or 9,112 bytes. The .chm files are either 11, 486, 11,484, 11,482, 11,476 or 11,450 bytes long. "
Le fichier sys.exe fait partie de la premiere categorie : c'est un downloader et un hijacker*, packe' avec ASPACK.
D'apres la sandbox, il fait beaucoup de rififi dans la base de registre, et telecharge le fichier suivant :
http://c0unter.spr0s.c0m/2/not.exe (toujours dispo a l'heure actuelle - adresse legerement editee), lui meme pake' avec ASPack et reconnu comme Wallon.A
*beaucoup de references a http://www.google.com.super-fast-search.apsua.com/(...)
-- Tweakie
-- Posté via http://www.webatou.net/ Usenet dans votre navigateur ! Complaints-To:
Frederic Bonroy
joke0 wrote:
Il y en a 3 de 151552 octets mais de CRC32 différents... c'est le quatrième fichier de 150528 qui provoque l'alerte. C'est sans doute ce qui correspond à alpha.exe dans la description de F-Secure?
« It downloads a file called NOT.EXE and puts it as ALPHA.EXE »
Non, je ne crois pas.
Je suppose que si puisque alpha.exe fait également 147 ko (quoique je n'ai pas regardé sa taille exacte). J'avais lancé ce fichier et il a par exemple bien créé la valeur dans la base de registre. Par contre j'ai attendu en vain le message d'erreur censé être affiché lorsque le carnet d'adresses est vide.
joke0 wrote:
Il y en a 3 de 151552 octets mais de CRC32 différents... c'est
le quatrième fichier de 150528 qui provoque l'alerte. C'est
sans doute ce qui correspond à alpha.exe dans la description
de F-Secure?
« It downloads a file called NOT.EXE and puts it as ALPHA.EXE »
Non, je ne crois pas.
Je suppose que si puisque alpha.exe fait également 147 ko (quoique je
n'ai pas regardé sa taille exacte). J'avais lancé ce fichier et il a par
exemple bien créé la valeur dans la base de registre. Par contre j'ai
attendu en vain le message d'erreur censé être affiché lorsque le carnet
d'adresses est vide.
Il y en a 3 de 151552 octets mais de CRC32 différents... c'est le quatrième fichier de 150528 qui provoque l'alerte. C'est sans doute ce qui correspond à alpha.exe dans la description de F-Secure?
« It downloads a file called NOT.EXE and puts it as ALPHA.EXE »
Non, je ne crois pas.
Je suppose que si puisque alpha.exe fait également 147 ko (quoique je n'ai pas regardé sa taille exacte). J'avais lancé ce fichier et il a par exemple bien créé la valeur dans la base de registre. Par contre j'ai attendu en vain le message d'erreur censé être affiché lorsque le carnet d'adresses est vide.
