Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Sécurité Sécurité Virus Repérer le programme qui transforme ma station en zombie SMTP

Repérer le programme qui transforme ma station en zombie SMTP

4 réponses
Avatar
Maurice Polard
Bonjour à tous,

Je suis confronté depuis le 28/12 à un problème énervant - sur l'un des PC
tourne, à intervalles aléatoires, un programme SMTP qui bombarde des
domaines qui me sont inconnus de messages bizarres... Bref ma machine est
devenue un zombie à l'insu de mon plein gré...

J'ai passé 3 anti-virus différents dont 2 en ligne sur cette station sans
succès (SAV, Panda et BitDefender). J'ai même scanné complètement cette
machine depuis une autre machine du réseau sans succès.

J'ai passé 5 anti-spy sur cette machine sans succès (Ad-Aware, SpyBot,
Ewido, SmitFraudFix, XoftSpy). Lorsque les problèmes sont apparus les
modules résidents des 2 premiers logiciels étaient installés.

J'ai tenté sans succès de localiser le processus en cause via divers
utiltaires : netstat, x-netstat, gestionnaire de tâches de windows,
Se-Process Watch d'Ad-Aware, Process Explorer.

Le 28 pour avoir quelques exemplaires des messages envoyés j'ai
volontairement fait planter CCApp de Symantec afin de récupérer certains
d'entre-eux. Vous trouverez ci-dessous un exemplaire de l'un de ces messages
ainsi qu'une liste partielle de destinataires :

\---------------------------------------------
Message-ID: <0011$020d3e75$0c79b26e@MP03>
From: "Lisa
To: tyson@bouchardfnb.com
Subject: Re[19]:
Date: Thu, 29 Dec 2005 10:20:30 -0800
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0000_0F46A5B53.0F46A5B5326FD3C0B"
X-Priority: 3 (Normal)
X-Mailer: 0004$020d3e75$05358fb5@MP03

This is a multi-part message in MIME format.

------=_NextPart_000_0000_0F46A5B53.0F46A5B5326FD3C0B
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_000E_EE4E8F012.EE4E8F0120693E6BB"


------=_NextPart_001_000E_EE4E8F012.EE4E8F0120693E6BB
Content-Type: text/plain;
charset=""
Content-Transfer-Encoding: quoted-printable
\---------------------------------------------

Voici une liste de quelques destinataires :
From: "Daisy To: tyson@boudiou.com
From: "Rick To: tyson@boughtoninteriors.com
From: "Denny To: tyson@boult.com
From: "Callie To: tyson@boumacorp.com
From: "Charmaine To: tyson@bounce.colonize.com
From: "Jonathon To: tyson@bourely.com

L'objet du message est toujours RE[x] - x est un nombre apparement
aléatoire...

Pour endiguer cette épidémie j'ai bloqué le port TCP 25 en sortie sur mon
firewall matériel. J'ai également loggué les trames droppées afin de
vérifier depuis quels ports elles sont émises. A l'analyse, le port
d'origine semble varier de 1026 à 4999. Tous les ports de cette plage sont
utilisés de manière aléatoire...

Date IP Source Port Source Destination [25 - SMTP]
29/12/2005 12:45 192.168.0.3 4442 64.87.5.254
29/12/2005 12:45 192.168.0.3 4442 64.87.5.254
29/12/2005 12:45 192.168.0.3 4460 216.248.176.148
29/12/2005 12:45 192.168.0.3 4466 216.17.3.38
29/12/2005 12:45 192.168.0.3 4476 193.109.255.35
29/12/2005 12:46 192.168.0.3 4504 209.58.232.25
29/12/2005 12:46 192.168.0.3 4511 193.212.240.190
29/12/2005 12:46 192.168.0.3 4534 63.82.164.192


etc... 3 à 4 messages par minutes...

Questions :

1 - Quelqu'un a t'il entendu parlé de ce troyen ?
2 - Existe t'il un utilitaire permettant de piéger/localiser ce programme
sachant qu'il émet toujours à destination du port TCP 25.

Bref je crois être tombé sur une nouvelle merde qui semble s'être greffée
dans les bibliothèques MAPI de Microsoft.


Cordialement,
Maurice POLARD
Signaler un problème avec ce contenu

4 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Maurice Polard
Merci de votre aide,

Voici le log HijackThis :

Logfile of HijackThis v1.99.1
Scan saved at 14:12:01, on 30/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:Program FilesFichiers communsSymantec SharedccSetMgr.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesSymantec AntiVirusDefWatch.exe
C:Program Filesewido anti-malwareewidoctrl.exe
C:Program Filesewido anti-malwareewidoguard.exe
C:WINDOWSSystem32GEARSec.exe
C:WINDOWSsystem32inetsrvinetinfo.exe
C:Program FilesFichiers communsMicrosoft SharedVS7DEBUGMDM.EXE
C:BINMySQLbinmysqld-nt.exe
C:Program FilesSymantecNorton GhostAgentPQV2iSvc.exe
C:WINDOWSsystem32nvsvc32.exe
C:Program FilesFichiers communsRoxio SharedSharedCOM8RoxMediaDB.exe
C:Program FilesFichiers communsRoxio SharedSharedCOM8RoxWatch.exe
C:WINDOWSSystem32snmp.exe
C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
C:Program FilesFichiers communsMicrosoft SharedWeb Server
Extensions50binOWSTIMER.EXE
C:squidsbinsquid.exe
C:Program FilesSymantec AntiVirusRtvscan.exe
c:squidlibexecunlinkd.exe
C:WINDOWSsystem32dnsbinnamed.exe
C:Program FilesUltraVNCWinVNC.exe
C:WINDOWSsystem32MsPMSPSv.exe
C:WINDOWSExplorer.EXE
C:Program FilesAnalog DevicesSoundMAXDrvLsnr.exe
C:Program FilesCOMPAQEasy Access Button SupportStartEAK.exe
C:Program FilesAdobeAdobe Version CueControlPanelVersionCueTray.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:PROGRA~1SYMANT~1VPTray.exe
C:Program FilesMouseWaresystemem_exec.exe
C:Program FilesBroadcomBACSBacsTray.exe
C:Program FilesCompaqEasy Access Button SupportCPQEAKSYSTEMTRAY.EXE
C:Program FilesCompaqEasy Access Button SupportCPQEADM.EXE
C:Program FilesSymantecNorton GhostAgentGhostTray.exe
C:CompaqEAKDRVEAUSBKBD.EXE
C:Program FilesEye On NetworkEye On Network.exe
C:PROGRA~1CompaqEASYAC~1BttnServ.exe
C:Program FilesCloneCDCloneCDTray.exe
C:Program FilesAdobeAcrobat 7.0DistillrAcrotray.exe
C:Program FilesRoxioEasy Media Creator 8Drag to DiscDrgToDsc.exe
C:Program FilesFichiers communsRoxio SharedSharedCOM8RoxWatchTray.exe
C:Program FilesOpenOfficeprogramOOoVirgTray.exe
C:Program FilesMicrosoft MoneySystemmnyexpr.exe
C:Program Fileslotusorganizeeasyclip6.exe
C:Program FilesFichiers communsRoxio SharedSharedCOM8CPSHelpRunner.exe
C:Program FilesPopTrayPopTray.exe
C:Program FilesOpenOfficeprogramsoffice.exe
C:PROGRA~1AD-AWA~1Ad-Watch.exe
C:Program FilesOutlook Expressmsimn.exe
C:WINDOWSexplorer.exe
C:Program FilesHijackThisHijackThis.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL =
http://www.google.fr
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://www.google.fr
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.fr/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page =
http://www.google.fr
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
http://www.google.fr
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyServer = 192.168.0.3:8080
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet
Settings,ProxyOverride = 192.168.0.*;<local>
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:Program
FilesSpybot - Search & DestroySDHelper.dll
O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:binJavajrebinssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:program filesgooglegoogletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class -
{AE7CD045-E861-484f-8273-0445EE161910} - C:Program FilesAdobeAcrobat
7.0AcrobatAcroIEFavClient.dll
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -
C:Program FilesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program
filesgooglegoogletoolbar2.dll
O4 - HKLM..Run: [DrvLsnr] "C:Program FilesAnalog
DevicesSoundMAXDrvLsnr.exe"
O4 - HKLM..Run: [CPQEASYACC] "C:Program FilesCOMPAQEasy Access Button
SupportStartEAK.exe"
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE
C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [CheckMedi8or] "C:Program FilesMediator 7
ProCheckNewUser.exe"
O4 - HKLM..Run: [AdobeVersionCue] "C:Program FilesAdobeAdobe Version
CueControlPanelVersionCueTray.exe"
O4 - HKLM..Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM..Run: [WinVNC] "C:Program
FilesUltraVNCWinVNC.exe" -servicehelper
O4 - HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec
SharedccApp.exe"
O4 - HKLM..Run: [vptray] C:PROGRA~1SYMANT~1VPTray.exe
O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE
C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 - HKLM..Run: [bacstray] "C:Program FilesBroadcomBACSBacsTray.exe"
O4 - HKLM..Run: [Norton Ghost 9.0] C:Program FilesSymantecNorton
GhostAgentGhostTray.exe
O4 - HKLM..Run: [Eye On Network] C:Program FilesEye On NetworkEye On
Network.exe
O4 - HKLM..Run: [CloneCDTray] "C:Program FilesCloneCDCloneCDTray.exe"
/s
O4 - HKLM..Run: [Acrobat Assistant 7.0] "C:Program FilesAdobeAcrobat
7.0DistillrAcrotray.exe"
O4 - HKLM..Run: [Symantec NetDriver Monitor]
C:PROGRA~1SYMNET~1SNDMon.exe /Consumer
O4 - HKLM..Run: [RoxioDragToDisc] "C:Program FilesRoxioEasy Media
Creator 8Drag to DiscDrgToDsc.exe"
O4 - HKLM..Run: [RoxWatchTray] "C:Program FilesFichiers communsRoxio
SharedSharedCOM8RoxWatchTray.exe"
O4 - HKLM..Run: [ISUSPM Startup]
C:PROGRA~1FICHIE~1INSTAL~1UPDATE~1ISUSPM.exe -startup
O4 - HKLM..Run: [ISUSScheduler] "C:Program FilesFichiers
communsInstallShieldUpdateServiceissch.exe" -start
O4 - HKCU..Run: [PathOOOvirg] "C:Program
FilesOpenOfficeprogramOOoVirgTray.exe"
O4 - HKCU..Run: [MoneyAgent] "C:Program FilesMicrosoft
MoneySystemmnyexpr.exe"
O4 - HKCU..Run: [AWMON] "C:PROGRA~1AD-AWA~1Ad-Watch.exe"
O4 - Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk =
C:Program FilesMicrosoft OfficeOFFICE11ONENOTEM.EXE
O4 - Startup: OpenOffice.org 1.1.5.lnk = C:Program
FilesOpenOfficeprogramquickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:Program FilesFichiers
communsAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: Lancement rapide d'Adobe Acrobat.lnk = ?
O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk =
C:Program FilesMicrosoft OfficeOFFICE11ONENOTEM.EXE
O4 - Global Startup: Lotus Organizer EasyClip.lnk = ?
O4 - Global Startup: PopTray.lnk = C:Program FilesPopTrayPopTray.exe
O8 - Extra context menu item: &Google Search - res://c:program
filesgoogleGoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:program
filesgoogleGoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:program
filesgoogleGoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:program
filesgoogleGoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Convertir en Adobe PDF - res://C:Program
FilesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir en un fichier PDF existant -
res://C:Program FilesAdobeAcrobat
7.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF -
res://C:Program FilesAdobeAcrobat
7.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF
existant - res://C:Program FilesAdobeAcrobat
7.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir la sélection en Adobe PDF -
res://C:Program FilesAdobeAcrobat
7.0AcrobatAcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir la sélection en un fichier PDF
existant - res://C:Program FilesAdobeAcrobat
7.0AcrobatAcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier
Adobe PDF - res://C:Program FilesAdobeAcrobat
7.0AcrobatAcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier
PDF existant - res://C:Program FilesAdobeAcrobat
7.0AcrobatAcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel -
res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O8 - Extra context menu item: Save Flash - res://C:Program FilesFlash
Saving PluginFlashSButton.dll/210
O8 - Extra context menu item: Similar Pages - res://c:program
filesgoogleGoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:program
filesgoogleGoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:binJavajrebinssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:binJavajrebinssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} -
%windir%bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%bdoscandel.exe (file
missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: Web Entry - {B4E30F61-16D9-11D3-85D1-005004229569} -
c:program fileslotusorganizebandobjs.dll
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} -
C:Program FilesFlash Saving PluginFlashSButton.dll (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - http://go.microsoft.com/fwlink/?linkid9204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 -
HKLMSystemCCSServicesTcpip..{DF3552AE-4E0F-407F-A436-C8A48E0A0ACA}:
NameServer =
192.168.0.3,212.27.32.5,212.27.32.176,212.27.32.177,212.27.39.1,212.27.39.2,212.27.39.134,213.228.0.212
O20 - Winlogon Notify: NavLogon - C:WINDOWSsystem32NavLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:Program FilesFichiers
communsAdobe Systems SharedServiceAdobelmsvc.exe
O23 - Service: AdobeVersionCue - Adobe Sytems - C:Program FilesAdobeAdobe
Version CueserviceVersionCue.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec
Corporation - C:Program FilesFichiers communsSymantec SharedccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -
C:Program FilesFichiers communsSymantec SharedccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec
Corporation - C:Program FilesSymantec AntiVirusDefWatch.exe
O23 - Service: ewido security suite control - ewido networks - C:Program
Filesewido anti-malwareewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:Program
Filesewido anti-malwareewidoguard.exe
O23 - Service: GEARSecurity - GEAR Software -
C:WINDOWSSystem32GEARSec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
Corporation - C:Program FilesFichiers
communsInstallShieldDriver1050Intel 32IDriverT.exe
O23 - Service: MySQL - Unknown owner - C:BINMySQLbinmysqld-nt".exe (file
missing)
O23 - Service: Norton Ghost - Symantec Corporation - C:Program
FilesSymantecNorton GhostAgentPQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:WINDOWSsystem32nvsvc32.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions -
C:Program FilesFichiers communsRoxio SharedSharedCOM8RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - C:Program FilesFichiers
communsRoxio SharedSharedCOM8RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions -
C:Program FilesFichiers communsRoxio SharedSharedComRoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - C:Program FilesRoxioEasy
Media Creator 8Digital HomeRoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions -
C:Program FilesFichiers communsRoxio SharedSharedCOM8RoxWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:Program FilesSymantec
AntiVirusSavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - C:Program FilesFichiers communsSymantec SharedSNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) -
Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
O23 - Service: SquidNT - SQUID Web Proxy Cache -
http://www.squid-cache.org/ - C:squidsbinsquid.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:Program
FilesSymantec AntiVirusRtvscan.exe
O23 - Service: twdns - Unknown owner - C:WINDOWSsystem32dnsbinnamed.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:Program
FilesUltraVNCWinVNC.exe" -service (file missing)




"François Yves Le Gal" a écrit dans le message de news:

On Fri, 30 Dec 2005 13:19:54 +0100, "Maurice Polard"
wrote:

1 - Quelqu'un a t'il entendu parlé de ce troyen ?


Difficile de répondre : les infos que vous fournissez sont insuffisantes.

2 - Existe t'il un utilitaire permettant de piéger/localiser ce programme
sachant qu'il émet toujours à destination du port TCP 25.


Installez HijackThis et postez le log résultant

http://www.spywareinfo.com/~merijn/downloads.html



Avatar
Maurice Polard
Merci encore pour votre aide,


C:WINDOWSsystem32inetsrvinetinfo.exe


Inetinfo correspond normalement aux services IIS, mais est également
utilisé
par le ver pour se dissimuler. Vérifiez que
l'exécutable
soit bien celui de Microsoft (bouton droit => propriétés => version)
Avez-vous besoin d'IIS, qui pose d'énormes problèmes de sécurité ?


--- Réponse ---

Il s'agit bien d'IIS (version 5.1.2600.2180).
L'analyse via "process explorer" donne des résultats identiques en ce
qui concerne la version.
Je me sert d'IIS sur cette station pour tester plusieurs sites web avant
leur déploiement sur
des serveurs Windows 2003.
Seul le serveur HTTP fonctionne.
Le serveur SMTP n'est pas installé mais les moteurs de scripts suivants
sont en revanche actifs :
ASP, PHP, PERL et PYTHON.

C:Program FilesFichiers communsMicrosoft SharedWeb Server
Extensions50binOWSTIMER.EXE
MS SharePoint. N'a rien à faire sur un PC domestique.



--- Réponse ---
Ce n'est pas un PC domestique - je suis administrateur réseau et cette
machine est une station de travail HP
que j'utilise chez moi pour mon boulot.

C:squidsbinsquid.exe
Mandataire Squid. Qu'est-ce qu'il fout là ? Pose de très graves problèmes

de sécurité si mal configuré.


--- Réponse ---
Il s'agit de SquidNT 2.5STABLE12. Je suis en train de le tester chez-moi
afin de remplacer
le programme d'analyse des logs d'un proxy linux pour ma boîte.
Je ne pense pas l'avoir mal configuré. Dans sa configuration actuelle il
n'est utilisé que par 3 machines situées derrière un firewall.
ICP est désactivé et les ACL mises en oeuvre sont très restrictives.

C:WINDOWSsystem32dnsbinnamed.exe
Vérifiez la version.



--- Réponse ---
Il s'agit de TreeWalk 6.0.3.0, soit BIND-PE.

C:Program FilesPopTrayPopTray.exe
Normalement inoffensif, mais pourquoi avez-vous besoin d'un truc qui va

vérifier que vous avez du courrier en POP3 alors que tous les logiciels de
messagerie le font ?


--- Réponse ---
J'utilise normalement Lotus Notes comme logiciel de messagerie au boulot
et chez-moi via VPN
pour ma correspondance professionnelle.
Néanmoins, j'ai besoin de ce petit utilitaire comme frontal d'Outlook
Express afin de gérer certaines règles de classement
et le filtrage sommaire des spams. Bien paramétré, ce petit utilitaire
est assez efficace en consommant seulement 18644 ko.

O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file)
O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file)
Scories pouvant être liée au cheval de Troie Dyfuca.



---- Réponse ----
Pas sûr, Dyfuca se caractérise normalement par cette clef :
{8F4E5661-F99E-4B3E-8D85-0EA71C0748E4}
cf : http://www.2-spyware.com/remove-dyfuca.html
Mais comme ces entrées ne pointent vers rien je vais les éliminer

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:binJavajrebinssv.dll
Hijack de la machine virtuelle MS par Sun. Pas de risque, mais toujours

amusant de constater que les "grands" font comme les Jean-Kévin.


---- Réponse ----
Oui. Machine virtuelle java 1.5.05 - grosse galère à maintenir depuis
que ma boîte a décidé de me coller des systèmes
nécessitant différentes versions de jre de plusieurs sources
différentes...

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} -
%windir%bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
{85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%bdoscandel.exe (file
missing)


Scories de Bit Defender. Vous savez, un seul AV suffit...


----- Réponse ----
Il s'agit d'une scorie liée à une analyse en ligne lorsque je me
suis rendu compte du problème. Je vais virer çà. Il s'est avéré aussi
inutile que SAV.

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab


Bit Defender re, et Panda. Deux de trop : vous utilisez NAV, non ?


----- Réponse ----
Idem ci-dessus...
Ce n'est pas NAV mais SAV. Je sais, c'est le même éditeur, mais la
version corporate n'est normalement pas aussi nulle que les
versions grand public...
NB) J'ai désactivé la réception de tout fichier rar en pièce jointe des
emails.

O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions -
C:Program FilesFichiers communsRoxio SharedSharedCOM8RoxLiveShare.exe


Grrr.


----- Réponse ----
Pourquoi "Grr" ? Cela étant ce machin est 10 fois trop gros pour ce que
j'en fais. Je vais virer cette appli et installer
une version moins lourde.

Au final je dirais que vous avez une bécae dont la config est loin d'être
optimale, avec des trous de sécurité partout et plein d'applis AMA
inutiles.

Les traces d'un cheval de Troie sont présentes, vérifiez que le fichier
wsem*.dll figure sur votre disque. Si tel est le cas vous êtes contaminé
par
Dyfuca ou une de ses variantes.

Vérifiez également que vous n'êtes pas troué par

Sinon, votre bécane fait tourner Treewalk en DNS local, vous n'avez pas
besoin d'ajouter une tartine d'autres adresses : Treewalk se charge de
tout.


---- Réponse ----


A priori je n'ai aucun des signes décrits dans cette fiche
(http://www.sarc.com/avcenter/venc/data/)
ou alors il s'agit d'une variante nouvelle...

Dyfuca :

Aucune trace des fichiers Wsem.dll, stmtdlr.exe, comedy.exe, nem211.dll,
optimize.exe, etc...

Treewalk :

Ce serveur ne fonctionne qu'en cache. La tartine d'IP qui suit son adresse
locale me sert de pense-bête...
C'est nul c'est vrai... Je vais donc enlever les adresses inutiles.

Trous de sécurité partout :

Cette station est derrière un firewall matériel qui bloque normalement tout
en entrée...
Depuis que j'ai ce problème, j'ai également bloqué le port du service SMTP
en sortie afin
de ne pas arroser toute la planète de spams bizarre...

Merci encore de votre aide.
Maurice POLARD


Avatar
Maurice Polard
Bonjour et bonne année à tous,



Je commence enfin à voir le bout du tunnel - en lançant x-netstat pro 5.16,
j'ai pu paramétrer un piège rudimentaire pour intercepter le processus
tentant d'envoyer des mails tous azimuts. Le plus dur a été d'attendre que
le piège fonctionne. En effet le ver se déclenchait à une fréquence
aléatoire mais, pendant les quelques minutes où il fonctionnait, il
expédiait 4 à 5 messages par secondes.



Le samedi 31 à midi le piège a enfin fonctionné. en piégeant plusieurs
instances de « ccApp.exe » - c'est en effet ce programme qui tentait d'expédier
des messages à toute la planète. Il ne s'agissait pourtant pas du ver
puisque le seul fichier ccapp présent sur ma machine était
bien celui de Symantec placé dans « c:program filesfichiers
communssymantec shared ».



Normalement ccApp est un processus hôte (qui semble ouvrir le port TCP 1681
à ce propos) et qui est notamment chargé d'appeler le processus de scan des
mails.

J'ai logué tous les flux transmis pendant les 4 minutes de fonctionnement du
ver afin de vérifier que le domaine bombardé n'était pas celui de symantec -
il ne s'agissait donc pas d'une variante de lebreat tentant de participer à
un DOS par mail bombing.



Le samedi 31 à 13H16 le ver s'est à nouveau déclenché et j'ai killé ccApp -
ceci a provoqué une erreur de socket 10061 (OE ne pouvait plus se connecter
à ses serveurs POP3).

NB) J'avais déjà bloqué ses serveurs SMTP au niveau du firewall externe...

J'ai attendu, attendu, . rien, rien. Soit le ver a détecté que son socket
était mort, soit il était mort lui même.



Le samedi 31 en fin d'après-midi, après plusieurs heures d'attente, sans
voir reparaître le ver, j'ai désinstallé complètement SAV. Je l'ai ensuite
réinstallé complètement après avoir pris soin de supprimer toutes les
scories de son installation antérieure. L'opération s'est bien déroulée. J'ai
également installé dans la foulée « Symantec Redirector » afin de réactiver
le firewall de messagerie.



Lors du redémarrage SAV a détecté 2 virus tentant de s'installer en mémoire
:

« Hacktool.Rootkit » dans le Fichier : C:WINDOWSsystem32driversi386p.sys

« Trojan Horse » dans le Fichier : C:WINDOWSsystem32msctl32.dll

Les 2 fichiers ont été placés en quarantaine.

Selon les infos que je possède, ces chevaux de troie sont en principe
installés par la dernière version de spysheriff, le machin qui fait des
ravages actuellement sur internet.



Aujourd'hui 01/01/2006, je n'ai rien logué au niveau du firewall et du
piège. le mail bomber est mort. Je pense donc être sorti d'affaire.

Lorsque je me suis fait avoir par sysheriff ma machine a été contaminée par
une variante nouvelle du virus « w32.ahker » qui a altéré SAV et que «
Hacktool.Rootkit » a réussi à compromettre la sécurité de Windows (sic).

Les 2 fichiers ci-dessus ne pouvant s'exécuter seuls, j'ai donc analysé la
BDR

Les services de windows compromis étaient « winlogon » et « services.exe » :



HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonNotifymsctl32.dll



HKLMSYSTEMControlSet001Servicesi386p

Clef REG_SZ_EXPAND : ImagePath

Contenu : ??C:WINDOWSsystem32driversi386p.sys



HKLMSYSTEMControlSet002Servicesi386p

Idem ci-dessus.



J'ai bien sûr viré toutes les clefs concernées.



Il est à noter que Ad-Aware, SpyBot et Ewido ont été leurrés par cette
attaque combinée. A quand la trithérapie pour les ordinateurs ?
Avatar
germa
Maurice Polard nous a exposé avec brio :

............................................................

Les services de windows compromis étaient « winlogon » et «
services.exe » :




HKLMSOFTWAREMicrosoftWindows
NTCurrentVersionWinlogonNotifymsctl32.dll



HKLMSYSTEMControlSet001Servicesi386p

Clef REG_SZ_EXPAND : ImagePath

Contenu : ??C:WINDOWSsystem32driversi386p.sys



HKLMSYSTEMControlSet002Servicesi386p

Idem ci-dessus.



J'ai bien sûr viré toutes les clefs concernées.



Il est à noter que Ad-Aware, SpyBot et Ewido ont été leurrés par cette
attaque combinée. A quand la trithérapie pour les ordinateurs ?


Merci pour cette analyse "en live" qui a le mérite à mon sens d'être
très concrète et qui peut servir à d'autres pour la méthode.
Par contre, ça ne peut que rendre encore plus parano ;-(
Enfin c'est la rançon de tous les surfeurs fous
--
Germa

Notre humour n'est pas celui que l'on croit posséder mais celui que les
autres feignent souvent de nous attribuer.