virus backdoor.afcore.q

Bonjour,
Je suis infecté par ce virus mais je n'arrive pas à le supprimer... (sur
Windows XP)
Il y a surement un fichier à supprimer mais lequel ? (il est détecté comme
ceci C:WINDOWSSystem32:ytkkcnn.dll)
(avec ":" entre System32 et ytkkcnn.dll - évidemment pas de fichier
ytkcnn.dll sur le disque

ytkkcnn.dll ne peut pas être visible, c'est un stream attaché au
répertoire system32, et donc c'est bien lui qui est "infecté":
http://www.viruslist.com/eng/viruslist.html?id9606

Pour désinfecter il faut mettre le moniteur en désinfection automatique
avec effacement en cas de non désinfection. Après redémarrage le
moniteur devrait effacer ytkkcnn.dll avant son premier accès.

Cette backdoor est introduite par un dropper: TrojanDropper.Win32.Emaner

Roland Garcia

"Roland Garcia" <roland-garcia@wanadoo.fr> wrote in message
news:3F81CC38.9060800@wanadoo.fr...

Bonjour,
Je suis infecté par ce virus mais je n'arrive pas à le supprimer... (sur
Windows XP)
Il y a surement un fichier à supprimer mais lequel ? (il est détecté
comme

ceci C:WINDOWSSystem32:ytkkcnn.dll)
(avec ":" entre System32 et ytkkcnn.dll - évidemment pas de fichier
ytkcnn.dll sur le disque

ytkkcnn.dll ne peut pas être visible, c'est un stream attaché au
répertoire system32, et donc c'est bien lui qui est "infecté":
http://www.viruslist.com/eng/viruslist.html?id9606

Pour désinfecter il faut mettre le moniteur en désinfection automatique
avec effacement en cas de non désinfection. Après redémarrage le
moniteur devrait effacer ytkkcnn.dll avant son premier accès.

Cette backdoor est introduite par un dropper: TrojanDropper.Win32.Emaner

Roland Garcia

Bonjour Roland et Alex.

Il se trouve que j'ai un utilitaire que Symantec a developper pour nous pour
nettoyer cette backdoor.
si cela vous interesse, faite le moi savoir je vous l'enverrai ;)
Pour info cette backdoor est apparue sur 5 machines de mon reseau il y a 3
semaines maintenant.

Bonne journée :)

PS: Roland vous aviez recu mon mail a son sujet ?


--
-----------------------------------------------------------------------
Sebastien Dellabella.
-----------------------------------------------------------------------

X..., c'est un millefeuille avec une couche de crème patissière, une
de sauce tomate et une de crème d'anchois... Mais c'est vrai que
c'est un système ouvert: tu peux y rajouter des pépites de chocolat...
-+- Ol in Guide du linuxien pervers - "Remettez m'en une couche !" -+-

------------------------------------------------------------------------

Salut,

Sebastien Dellabella:

Pour info cette backdoor est apparue sur 5 machines de mon reseau il y a 3
semaines maintenant.

Quand j'ai vu le sujet ça m'a fait penser à votre problème. Je n'ai pas eu de
réponse de Kaspersky, et je viens de les relancer. Je vous tiens au courant.

--
joke0

--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr

http://forums.club-internet.fr/

Salut,

Bon, finalement j'ai la réponse du labo de KAV:

<collé>

Can you tell me:
- if a backdoor is in the stream,

Yes

- if KAV scanner is able to detect and clean streams.

No

</collé>

Y'a du boulot...

--
joke0
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr

http://forums.club-internet.fr/

Pour info, j'ai réussi à me débarasser du virus en procédant de la manière
suivante :
dans la base de registre, j'ai modifié la clé qui lançait le virus; il était
activé sur un point d'entrée qui s'appelle Init
En farfouillant sur le web, j'ai trouvé une descrption de la dll qui
mentionnait tous les services. Un de ceux là s'appelle Uninstall
J'ai donc remplacé "Init" par "Uninstall"
Un ou deux boot plus tard, le PC m'a informé qu'il n'arrivait pas à lancer
la dll
J'ai alors supprimé la clé dans la BdR.Depuis, plus d'alerte de l'antivirus!
Par contre je ne sais pas s'il ne reste pas un quelconque fichier caché au
fin fond de ma machine!

En tout cas merci à tous pour vos réponses, je les conserve précieusement.
Pou Sébastien, merci de me faire parvenir cet utilitaire miracle ... il
pourra peut être me servir pour la prochaine attaque!
Alex
"Sebastien Dellabella" <Sebastien.Dellabella@cern.ch> a écrit dans le
message de news:blu3os$4mn$1@sunnews.cern.ch...

"Roland Garcia" <roland-garcia@wanadoo.fr> wrote in message
news:3F81CC38.9060800@wanadoo.fr...

Bonjour,
Je suis infecté par ce virus mais je n'arrive pas à le supprimer...
(sur

Windows XP)
Il y a surement un fichier à supprimer mais lequel ? (il est détecté
comme

ceci C:WINDOWSSystem32:ytkkcnn.dll)
(avec ":" entre System32 et ytkkcnn.dll - évidemment pas de fichier
ytkcnn.dll sur le disque

ytkkcnn.dll ne peut pas être visible, c'est un stream attaché au
répertoire system32, et donc c'est bien lui qui est "infecté":
http://www.viruslist.com/eng/viruslist.html?id9606

Pour désinfecter il faut mettre le moniteur en désinfection automatique
avec effacement en cas de non désinfection. Après redémarrage le
moniteur devrait effacer ytkkcnn.dll avant son premier accès.

Cette backdoor est introduite par un dropper: TrojanDropper.Win32.Emaner

Roland Garcia

Bonjour Roland et Alex.

Il se trouve que j'ai un utilitaire que Symantec a developper pour nous
pour

nettoyer cette backdoor.
si cela vous interesse, faite le moi savoir je vous l'enverrai ;)
Pour info cette backdoor est apparue sur 5 machines de mon reseau il y a 3
semaines maintenant.

Bonne journée :)

PS: Roland vous aviez recu mon mail a son sujet ?


--
-----------------------------------------------------------------------
Sebastien Dellabella.
-----------------------------------------------------------------------

X..., c'est un millefeuille avec une couche de crème patissière, une
de sauce tomate et une de crème d'anchois... Mais c'est vrai que
c'est un système ouvert: tu peux y rajouter des pépites de chocolat...
-+- Ol in Guide du linuxien pervers - "Remettez m'en une couche !" -+-

------------------------------------------------------------------------

Salut,

Bon, finalement j'ai la réponse du labo de KAV:

<collé>

Can you tell me:
- if a backdoor is in the stream,

Yes

- if KAV scanner is able to detect and clean streams.

No

</collé>

Y'a du boulot...

Ben tu n'as pas compris puisque c'est KAV qui détecte justement cette
backdoor dans le stream :-)

Ce type de détection existe déjà depuis 2000:
http://www.viruslist.com/eng/index.html?tnews01&ide7

Ce qu'il n'est pas actuellement possible de faire (c'est à ça qu'ils ont
répondu non) c'est d'effacer un stream "verrouillé", mais c'est valable
pour tous les anti-virus.

Il faut soit un fix soit faire comme j'ai dit avec le moniteur.

Roland Garcia

Salut,

Roland Garcia:

Ben tu n'as pas compris puisque c'est KAV qui détecte justement cette
backdoor dans le stream :-)

J'ai très bien compris que KAV ne détecte pas la backdoor dans le stream. Cf la
réponse du technicien. L'archive RAR contenant le stream ne déclenche toujours
pas d'alerte chez AVP et pire j'ai droit à "RAR: format inconnu".

Ce type de détection existe déjà depuis 2000:
http://www.viruslist.com/eng/index.html?tnews01&ide7

Win2k.Stream est un peu particulier puisque le virus *est* le stream principal
du fichier et l'ancien stream principal est déplacé dans un flux auxiliaire. Les
fichiers infectés ont donc la même taille.

Dans le cas de la backdoor du titre, le flux est attaché à un dossier. Il n'est
donc pas le flux principal.

Ce qu'il n'est pas actuellement possible de faire (c'est à ça qu'ils ont
répondu non) c'est d'effacer un stream "verrouillé", mais c'est valable
pour tous les anti-virus.

A quoi vois-tu que le stream est vérouillé?

Ma question sur le nettoyage par le scanner est générale (j'utilise
volontairement "streams"). Il se peux néanmoins que A.Gostev ait des problèmes
de compréhension de l'anglais ;D

--
joke0
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr

http://forums.club-internet.fr/

Pour info, j'ai réussi à me débarasser du virus en procédant de la manière
suivante :
dans la base de registre, j'ai modifié la clé qui lançait le virus; il était
activé sur un point d'entrée qui s'appelle Init
En farfouillant sur le web, j'ai trouvé une descrption de la dll qui
mentionnait tous les services. Un de ceux là s'appelle Uninstall
J'ai donc remplacé "Init" par "Uninstall"
Un ou deux boot plus tard, le PC m'a informé qu'il n'arrivait pas à lancer
la dll
J'ai alors supprimé la clé dans la BdR.Depuis, plus d'alerte de l'antivirus!

Au fait, quel anti-virus ?

Roland Garcia

"Roland Garcia" <roland-garcia@wanadoo.fr> a écrit dans le message de
news:3F8326CD.7010102@wanadoo.fr...

Pour info, j'ai réussi à me débarasser du virus en procédant de la
manière

suivante :
dans la base de registre, j'ai modifié la clé qui lançait le virus; il
était

activé sur un point d'entrée qui s'appelle Init
En farfouillant sur le web, j'ai trouvé une descrption de la dll qui
mentionnait tous les services. Un de ceux là s'appelle Uninstall
J'ai donc remplacé "Init" par "Uninstall"
Un ou deux boot plus tard, le PC m'a informé qu'il n'arrivait pas à
lancer

la dll
J'ai alors supprimé la clé dans la BdR.Depuis, plus d'alerte de
l'antivirus!

Au fait, quel anti-virus ?

AVP

Roland Garcia

"Alex" <alex45800@free.fr> wrote in message
news:3f82f81c$0$27572$626a54ce@news.free.fr...

Pour info, j'ai réussi à me débarasser du virus en procédant de la manière
suivante :
dans la base de registre, j'ai modifié la clé qui lançait le virus; il
était

activé sur un point d'entrée qui s'appelle Init
En farfouillant sur le web, j'ai trouvé une descrption de la dll qui
mentionnait tous les services. Un de ceux là s'appelle Uninstall
J'ai donc remplacé "Init" par "Uninstall"
Un ou deux boot plus tard, le PC m'a informé qu'il n'arrivait pas à lancer
la dll
J'ai alors supprimé la clé dans la BdR.Depuis, plus d'alerte de
l'antivirus!

Par contre je ne sais pas s'il ne reste pas un quelconque fichier caché au
fin fond de ma machine!

En tout cas merci à tous pour vos réponses, je les conserve précieusement.
Pou Sébastien, merci de me faire parvenir cet utilitaire miracle ... il
pourra peut être me servir pour la prochaine attaque!
Alex

Bonjour Alex et Roland,

Après discussion avec les laboratoire de Symantec,Kapersky, Sophos.
Il semble que seul Sophos inclus une detection des virus dans les streams.
Elle est activable par la base de registre, mais ne scan cependant que les
fichiers :/
Donc dans notre cas, c'est complètement inutile.

Alex, pour eviter une prochaine attaque il faut que vous appliquiez le patch
MS03-032 voir MS03-040 sur tous vos systèmes.
il semble que cette backdoor utilise cettetechnique pour s'installer ?!
Roland vous pouvez confirmer ou dementir ?
je n'en suis pas sur a 100% il peut s'agir d'une coincidence dans mon cas :/

Pour l'utilitaire que Symantec a developpé pour nous, je vous l'envois de
suite...

Bonne journée :)


--
-----------------------------------------------------------------------
Sebastien Dellabella.
-----------------------------------------------------------------------

X..., c'est un millefeuille avec une couche de crème patissière, une
de sauce tomate et une de crème d'anchois... Mais c'est vrai que
c'est un système ouvert: tu peux y rajouter des pépites de chocolat...
-+- Ol in Guide du linuxien pervers - "Remettez m'en une couche !" -+-

------------------------------------------------------------------------