TrojanDropper.VBS.Zerolin

Hello,

depuis ce Vendredi, j'ai vu passer un bon paquet de mails (126) détectés
comme TrojanDropper.VBS.Zerolin par KAV et ClamAV. Après investigation
manuelle, il s'avère que sous les apparences d'un spam "classique" se
cache un p'tit bout de code ayant été Jscript.Encodé et menant après
plusieurs redirections à un binaire nommé ss.exe et détecté comme suit :

KAV : Trojan.Win32.Genme.c
Trend : nada
ClamAV : Trojan.Xebiz.A
F-Prot : W32/Xebiz.A
NAI : nada

Ce qui nous mène ici :

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.xebiz.html
A large scale spamming of messages contained a link to a Web page hosting
the backdoor. Following the link downloads the file Links.HTA, which in
turn downloads and executes the Trojan as ss.exe

Z'avez vous aussi vu passé ces mails ?


Nicob