Bagle - de chiki a moe
Résolu
Utilisateur anonyme
-
Utilisateur anonyme -
Utilisateur anonyme -
Salut moe ,
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
/!\ Pour les personnes touchées par bagle , ce topic ne vous ai pas destiné ..
/!\ Pour les helpeurs , vous pouvez passer certains avis remontées ici
::
ça fais deja 15 jours \ 3 semaines que je pense a notre amis ,
je sais pertinament qu il y a des points a voir , genre kill 04
choses qui a été démarré.. et ensuite a travailler ..
néanmoins je voulais parler avec toi d un point particulier
je pensais dans la prochaine maj faire apparaitre l id windows le sp ,
c est pas vraiment important , mais surtout l av , le firewall et voir l as
et dire si actif ou pas .. (ceci m importe)
bien entendu j ai vu k.exe (killB) ou d autres methodes (certainements les memes) ,
combo , etc (vbs)
en outre j ai aucune notion en vbs , donc si on peut partager c cool
breff , l objectif ( dans ma tete ) serait de rendre l av et le firewall actif apres passage de kill
durant mes test , j ai remarqué que parfois antivir (que j utilise) ce reactive , donc j en suis venu a la conclusion que il y a
peut etre quelque choses a faire
ensuite je sais aussi que ceci n est pas tache evidente
j aurais aimé avoir ton avis , enfin surtout ton experience sur le sujet , car je pense que tu l as pensé avant moi
c est a dire rendre les protections actives apres kill
au sujet des samples que je voulais , j ai retiré usbfix , par contre si t es dans la capacité de me donner raila odinga je prend
je pense que t as vu , ausi winupgro et a.bat dans system32 ... ? ce qui me choque c est que ça été un oubli ..
courage pour le taff et encore merci pour les conseils etc
A voir également:
- Bagle - de chiki a moe
- Extreme-down moe - Accueil - Services en ligne
- Combien de mo dans 1 go ✓ - Forum Mail
- Combien de ko pour 1 mo ✓ - Forum Matériel & Système
- Combien il y a t-il de ko dans 1 GO (Internet) - Forum Mobile
- 1go combien de mo ✓ - Forum Matériel & Système
717 réponses
Re,
Ok, voilà pour les liens, tankafer je te les passe tous ! :-)
Si tu n'a pas accès directement à l'index, rajoute à l'url le fichier que tu veux DL.
Exemple :
hllp://www.mbnet.com.pl/1/b64.jpg
Renomme b64.jpg en flec006.exe et exécutes-le.
Vérifie ensuite que le dossier 'M' se soit bien crée avec flec006.exe à l'intérieur et réexécutes-le si besoin depuis le dossier 'M'.
Si tout s'est bien passé le reste de l'infection, du moins la partie téléchargement des 'zips' va s'effectuer dans la foulée.
Pour ma part c'est de cette manière que j'ai pu récupérer le sample de cette nuit.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-
URLS :
hllp://www.mbnet.com.pl/1/
hllp://tsua.net/1/
hllp://serluz.com.ar/1/
hllp://razhanskiy.com/1/
hllp://golfclub-erlachstein.com/1/
hllp://europaneli.hr/1/
hllp://pontocomradio.net/1/
hllp://www.fallaeduardomarquina.com/1/
hllp://www.ljclervaux.lu/1/
hllp://aniarkuassociacio.org/1/
hllp://area472.com/1/
hllp://europaneli.hr/1/
hllp://peartreevideo.com/1/
hllp://madurasputas.webspacemania.com/1/
hllp://ases-especializados.com.ar/1/
hllp://putitas.uni.cc/1/
hllp://gurukuldubai.com/1/
hllp://residencelucienpaye.fr/1/
hllp://distribuidoradovale.com.br/1/
hllp://carmendardalla.com/1/
hllp://agencialof.com/1/
hllp://madurasputas.webspacemania.com/1/
hllp://www.bookmat.com/1/
hllp://rapidlabs.de/1/
hllp://s196859181.online.de/1/
hllp://it-support.com.pl/1/
hllp://serbica.net/1/
hllp://pouey-associes.com/1/
hllp://maik.fgru.de/1/
hllp://momoko.kir.jp/1/
hllp://www.nancycroes.com/1/
hllp://snstore.cz/1/
hllp://tntcafes.fr/1/
hllp://www.joyhotels.com.br/1/
hllp://www.chulosperu.com/1/
hllp://multimusica.com.br/1/
hllp://affairedunet.com/1/
hllp://www.le-bois-des-jouets.com/1/
hllp://www.mbnet.com.pl/1/
hllp://pink-unlimited.nl/1/
hllp://wtal-city.de/1/
hllp://vulkanizerbracun.com/1/
hllp://lacasadigital.com/1/
hllp://www.bdemello.com.br/1/
hllp://blog-web.es/1/
hllp://pylonsolutions.com/1/
hllp://kunstfoto-engel.com/1/
hllp://www.smilejamaica.net/1/
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-
Fichiers hébergés :
b64.jpg
b64_1.jpg
b64_2.jpg
b64_3.jpg
b64_4.jpg
b64_5.jpg
b64_6.jpg
b64.txt
b64_1.txt
b64_2.txt
b64_3.txt
b64_4.txt
b64crc.php
b64_1crc.php
b64_2crc.php
b64_3crc.php
b64_4crc.php
Un vrai jeu de piste lol :-)
Bon app et bonne chasse !
@++
Ok, voilà pour les liens, tankafer je te les passe tous ! :-)
Si tu n'a pas accès directement à l'index, rajoute à l'url le fichier que tu veux DL.
Exemple :
hllp://www.mbnet.com.pl/1/b64.jpg
Renomme b64.jpg en flec006.exe et exécutes-le.
Vérifie ensuite que le dossier 'M' se soit bien crée avec flec006.exe à l'intérieur et réexécutes-le si besoin depuis le dossier 'M'.
Si tout s'est bien passé le reste de l'infection, du moins la partie téléchargement des 'zips' va s'effectuer dans la foulée.
Pour ma part c'est de cette manière que j'ai pu récupérer le sample de cette nuit.
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-
URLS :
hllp://www.mbnet.com.pl/1/
hllp://tsua.net/1/
hllp://serluz.com.ar/1/
hllp://razhanskiy.com/1/
hllp://golfclub-erlachstein.com/1/
hllp://europaneli.hr/1/
hllp://pontocomradio.net/1/
hllp://www.fallaeduardomarquina.com/1/
hllp://www.ljclervaux.lu/1/
hllp://aniarkuassociacio.org/1/
hllp://area472.com/1/
hllp://europaneli.hr/1/
hllp://peartreevideo.com/1/
hllp://madurasputas.webspacemania.com/1/
hllp://ases-especializados.com.ar/1/
hllp://putitas.uni.cc/1/
hllp://gurukuldubai.com/1/
hllp://residencelucienpaye.fr/1/
hllp://distribuidoradovale.com.br/1/
hllp://carmendardalla.com/1/
hllp://agencialof.com/1/
hllp://madurasputas.webspacemania.com/1/
hllp://www.bookmat.com/1/
hllp://rapidlabs.de/1/
hllp://s196859181.online.de/1/
hllp://it-support.com.pl/1/
hllp://serbica.net/1/
hllp://pouey-associes.com/1/
hllp://maik.fgru.de/1/
hllp://momoko.kir.jp/1/
hllp://www.nancycroes.com/1/
hllp://snstore.cz/1/
hllp://tntcafes.fr/1/
hllp://www.joyhotels.com.br/1/
hllp://www.chulosperu.com/1/
hllp://multimusica.com.br/1/
hllp://affairedunet.com/1/
hllp://www.le-bois-des-jouets.com/1/
hllp://www.mbnet.com.pl/1/
hllp://pink-unlimited.nl/1/
hllp://wtal-city.de/1/
hllp://vulkanizerbracun.com/1/
hllp://lacasadigital.com/1/
hllp://www.bdemello.com.br/1/
hllp://blog-web.es/1/
hllp://pylonsolutions.com/1/
hllp://kunstfoto-engel.com/1/
hllp://www.smilejamaica.net/1/
-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-
Fichiers hébergés :
b64.jpg
b64_1.jpg
b64_2.jpg
b64_3.jpg
b64_4.jpg
b64_5.jpg
b64_6.jpg
b64.txt
b64_1.txt
b64_2.txt
b64_3.txt
b64_4.txt
b64crc.php
b64_1crc.php
b64_2crc.php
b64_3crc.php
b64_4crc.php
Un vrai jeu de piste lol :-)
Bon app et bonne chasse !
@++
Bonjour à tous, salut moe !
*** Je suis avec intérêt cette discussion, évidemment... ***
moe > Le contenu de ce dernier message pourrait intéresser beaucoup de monde ! Avons-nous l'autorisation de le diffuser (en te citant et en te faisant parvenir les commentaires éventuels bien sûr) ?
Chiquitine29 > Continue ce boulot, le fix devient de plus en plus connu et utile !
;)
Bon we à tous !
*** Je suis avec intérêt cette discussion, évidemment... ***
moe > Le contenu de ce dernier message pourrait intéresser beaucoup de monde ! Avons-nous l'autorisation de le diffuser (en te citant et en te faisant parvenir les commentaires éventuels bien sûr) ?
Chiquitine29 > Continue ce boulot, le fix devient de plus en plus connu et utile !
;)
Bon we à tous !
Bonjour et soyez la bienvenue, vous êtes sur CCM ! :-))
Ravie de voir que cet échange va de bon train, j'ai même cru voir passé Qc001 que je n'avais pas vu depuis un bon bout de temps ! Contente de le revoir par ici :-)
Je ne crois pas trop m'avancer en disant que c'est presque une insulte que de demander à Moe "l'autorisation", on est sur CCM ici, pas au goulag ! :))
Bonne continuation à tous.
@+
Ravie de voir que cet échange va de bon train, j'ai même cru voir passé Qc001 que je n'avais pas vu depuis un bon bout de temps ! Contente de le revoir par ici :-)
Je ne crois pas trop m'avancer en disant que c'est presque une insulte que de demander à Moe "l'autorisation", on est sur CCM ici, pas au goulag ! :))
Bonne continuation à tous.
@+
Salut green day, Wawaseb
Wawaseb,
Green day a raison en plus de bien me connaître :-)
Si j'ai diffusé ces urls ici c'est aussi en plus de pouvoir servir à Cédric, pour que toutes les personnes qui s'intéressent à l'infection et passent de temps en temps sur ce post, puissent les exploiter si ça leur parait avoir un intérêt, idem pour les autres infos relatives à l'infection.
Donc Wawaseb, tu n'as pas besoin de me demander d'autorisation lol et tu peux diffuser la liste à ta guise et sans me citer si possible car ça n'a aucun intérêt.
Bonne continuation et bonne chasse :-)
@++
ps:
Sarra, content de te revoir toi aussi, te poser quelques minutes ici :-)
Wawaseb,
Green day a raison en plus de bien me connaître :-)
Si j'ai diffusé ces urls ici c'est aussi en plus de pouvoir servir à Cédric, pour que toutes les personnes qui s'intéressent à l'infection et passent de temps en temps sur ce post, puissent les exploiter si ça leur parait avoir un intérêt, idem pour les autres infos relatives à l'infection.
Donc Wawaseb, tu n'as pas besoin de me demander d'autorisation lol et tu peux diffuser la liste à ta guise et sans me citer si possible car ça n'a aucun intérêt.
Bonne continuation et bonne chasse :-)
@++
ps:
Sarra, content de te revoir toi aussi, te poser quelques minutes ici :-)
Salut Green Day , wawaseb ...
Olivier , je viens de mettre la Fyk 727 en ligne .et UsbF 013 un peut plus tot .
Thanks pour les infos que tu as laché genereusement .
Je vous souhaites une bonne semaine @ toutes & tous .
Olivier , je viens de mettre la Fyk 727 en ligne .et UsbF 013 un peut plus tot .
Thanks pour les infos que tu as laché genereusement .
Je vous souhaites une bonne semaine @ toutes & tous .
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut amical,
Voilà enfin les 4 Mousquetaires sur la chasse aux trésors.
Ça ne peut donc que réussir. ;)
Salut GreenDay, ... et merci ;)
Albert
Voilà enfin les 4 Mousquetaires sur la chasse aux trésors.
Ça ne peut donc que réussir. ;)
Salut GreenDay, ... et merci ;)
Albert
Salut à tous
http://www.commentcamarche.net/forum/affich 11841967 virut nbm virus demande aide?page=3#77
Sur ce topic,inferno a pensé à un infection bagle en prime
Donc j'ai voulu passer findykill
Find.exe n'est pas une Application win32 non valide...
Une idée ?
http://www.commentcamarche.net/forum/affich 11841967 virut nbm virus demande aide?page=3#77
Sur ce topic,inferno a pensé à un infection bagle en prime
Donc j'ai voulu passer findykill
Find.exe n'est pas une Application win32 non valide...
Une idée ?
Bonsoir Chiquitine, moe, Green Day, Lyonnais92, afideg, kevin05, ...
*** Je vous remercie pour cette réponse positive ! *** ;)
Vous méritez que l'outil devienne LA référence anti-bagle... et je pense que cela arrivera...
Je vous rappelle être prêt à lancer quelques tests si utile...
@ très vite !
;)
*** Je vous remercie pour cette réponse positive ! *** ;)
Vous méritez que l'outil devienne LA référence anti-bagle... et je pense que cela arrivera...
Je vous rappelle être prêt à lancer quelques tests si utile...
@ très vite !
;)
Hello Seb, Moe, Chiquit', Lyonnais, Al', Greenette et tout le monde ;-)
LA référence anti-bagle... et je pense que cela arrivera...
Je crois bien qu'il l'est déjà... ;-)
On ne voit presque plus ELIBLAGA être demandé pour traiter une infection Bagle... même sur les forums Anglophones...
Super boulot les gars +100000000000000000000
ps) ravi de te voir passer ici Wawa Seb :)
LA référence anti-bagle... et je pense que cela arrivera...
Je crois bien qu'il l'est déjà... ;-)
On ne voit presque plus ELIBLAGA être demandé pour traiter une infection Bagle... même sur les forums Anglophones...
Super boulot les gars +100000000000000000000
ps) ravi de te voir passer ici Wawa Seb :)
Deleted ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf
Deleted ! "C:\Documents and Settings\marco\Application Data\drivers\srosa2.sys"
(!) Not deleted ! "C:\Documents and Settings\marco\Application Data\drivers\wfsintwq.sys"
(!) Not deleted ! "C:\Documents and Settings\marco\Application Data\drivers\winupgro.exe"
Deleted ! "C:\Documents and Settings\marco\Application Data\drivers\downld"
(!) Not deleted ! "C:\Documents and Settings\marco\Application Data\drivers"
--> http://www.infos-du-net.com/forum/286946-11-probleme-ouverture-programme#t378776
Deleted ! "C:\Documents and Settings\marco\Application Data\drivers\srosa2.sys"
(!) Not deleted ! "C:\Documents and Settings\marco\Application Data\drivers\wfsintwq.sys"
(!) Not deleted ! "C:\Documents and Settings\marco\Application Data\drivers\winupgro.exe"
Deleted ! "C:\Documents and Settings\marco\Application Data\drivers\downld"
(!) Not deleted ! "C:\Documents and Settings\marco\Application Data\drivers"
--> http://www.infos-du-net.com/forum/286946-11-probleme-ouverture-programme#t378776
Bonjour ! :)
Cédric, tu as le vent en poupe ! Tu devrais en profiter pour recruter des testeurs ou autres, et ainsi déléguer quelques taches à des personnes motivées ! Enfin si tu le souhaite ! :)
@+
Cédric, tu as le vent en poupe ! Tu devrais en profiter pour recruter des testeurs ou autres, et ainsi déléguer quelques taches à des personnes motivées ! Enfin si tu le souhaite ! :)
@+
Bonjour tout le monde ,
Willy , merci pour la remontée , le "bug" à été corrigé ce matin.
@ Sarra , pour les tests , je suis interessé .. il faudrait voir avec Olivier si lui meme est interessé et ,si il en a des précis a faire et aussi savoir ce que Seb peut nous faire .
Perso je suis preneur pour que Seb fasse , si il en a la possiblité , des tests sous XP & Vista 64 avec ce sample .
Bon app @ tous .
Willy , merci pour la remontée , le "bug" à été corrigé ce matin.
@ Sarra , pour les tests , je suis interessé .. il faudrait voir avec Olivier si lui meme est interessé et ,si il en a des précis a faire et aussi savoir ce que Seb peut nous faire .
Perso je suis preneur pour que Seb fasse , si il en a la possiblité , des tests sous XP & Vista 64 avec ce sample .
Bon app @ tous .
Bonsoir les amis,
*** J'ai effectué le test sous XP SP2 avec le dropper susmentionné ! *** :p
--> Je n'ai malheureusement aucune installation sous Vista disponible en semaine...
L'outil tourne vraiment très bien.
J'apprécie beaucoup sa rapidité et sa présentation (presqu'envie de m'infecter juste pour le voir tourner !)
Il a pu venir à bout de l'infection, comme d'habitude... bien que n'ayant rien en -04-
--> Ceci est bien détecté !
--> Pour mes tests, je sauvegarde d'ailleurs un deuxième exécutable (HJT renommé) pour accélérer la remise en place...
--> Si vous voulez le rapport complet, je peux le poster... mais c'est simple, il a presque tout eu !
--> Attention, ceci correspond à un patch de Microsoft servant à corriger un bug relatif aux IP's dynamiques...
--> Je l'ai renommé volontairement, j'imagine que cela a alarmé FindyKill... à tort !
Il reste ceci dans le registre :
et les mêmes entrées en
==> Je sais à quoi correspond MUICache, et ces restes sont totalement... anodins ! :)
--> Ceci m'a amusé... :D
--> Avez-vous compris pourquoi FK m'avait détruit Avenger ? ;)
Merci pour le boulot !
++
*** J'ai effectué le test sous XP SP2 avec le dropper susmentionné ! *** :p
--> Je n'ai malheureusement aucune installation sous Vista disponible en semaine...
L'outil tourne vraiment très bien.
J'apprécie beaucoup sa rapidité et sa présentation (presqu'envie de m'infecter juste pour le voir tourner !)
Il a pu venir à bout de l'infection, comme d'habitude... bien que n'ayant rien en -04-
################## [ Corrupted files # Re-Installation required ] C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
--> Ceci est bien détecté !
--> Pour mes tests, je sauvegarde d'ailleurs un deuxième exécutable (HJT renommé) pour accélérer la remise en place...
--> Si vous voulez le rapport complet, je peux le poster... mais c'est simple, il a presque tout eu !
################################### [ Cracks / Keygens / Serials ] C:\Documents and Settings\XOR\Bureau\Outils\R‚parer\Patch_IP.exe
--> Attention, ceci correspond à un patch de Microsoft servant à corriger un bug relatif aux IP's dynamiques...
--> Je l'ai renommé volontairement, j'imagine que cela a alarmé FindyKill... à tort !
Il reste ceci dans le registre :
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\\Documents and Settings\\XOR\\Bureau\\Bagle_27042009\\Bagle_27.04.2009\\key_generator.exe"="Bi soft" "C:\\Documents and Settings\\XOR\\Application Data\\drivers\\winupgro.exe"="Bi soft" "C:\\Documents and Settings\\XOR\\Application Data\\drivers\\downld\\1245750.exe"="1245750" "C:\\Documents and Settings\\XOR\\Application Data\\drivers\\downld\\190296.exe"="190296"
et les mêmes entrées en
[HKEY_USERS\S-1-5-21-1957994488-1580818891-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
==> Je sais à quoi correspond MUICache, et ces restes sont totalement... anodins ! :)
################## [ Cleaning Removable drives ] Deleted ! C:\Avenger
--> Ceci m'a amusé... :D
--> Avez-vous compris pourquoi FK m'avait détruit Avenger ? ;)
Merci pour le boulot !
++
J'ai vu plusieurs fois le dossier m de Bagle dans ce dossier Avenger, ce qui est normal si Avenger a shooté (plus ou moins) Bagle.
Re messieurs ,
Seb , tu as testé sous 64 ? si oui je veux bien le rapport .
Pour les clé , il est vrai que c est pas tres important de les laisser , mais elles sont "ajoutables" dailleurs ça me fais penser que j en ai une autre à ajouter .
Pour cette section :
################################### [ Cracks / Keygens / Serials ]
C:\Documents and Settings\XOR\Bureau\Outils\R‚parer\Patch_IP.exe
#######################
Il y a eu un effort de fait pour eviter les FP , ta detection en est 1 . Cette section a pour but essentiel de montrer aux helpeurs si l user est en "possession" de cracks ... FindyKill ne les suppriment pas . (pas ceux la)
Ensuite cette recherche peut encore etre un peut plus selective.
Pour avenger , ça fais deja un bon moment qu il y est . Normalement si l user l utilise via un script , le backup est zippé . Mais j ai vu trop de fois ou ce n était pas le cas , du coup j ai decidé de virer carrémént le dossier .
Peut etre devrai je faire une recherche plus ciblé dans ce dossier et ne pas le virer .
En tout cas je te remerci pour ce test & pour tes remarques judicieuses ;)
+
Seb , tu as testé sous 64 ? si oui je veux bien le rapport .
Pour les clé , il est vrai que c est pas tres important de les laisser , mais elles sont "ajoutables" dailleurs ça me fais penser que j en ai une autre à ajouter .
Pour cette section :
################################### [ Cracks / Keygens / Serials ]
C:\Documents and Settings\XOR\Bureau\Outils\R‚parer\Patch_IP.exe
#######################
Il y a eu un effort de fait pour eviter les FP , ta detection en est 1 . Cette section a pour but essentiel de montrer aux helpeurs si l user est en "possession" de cracks ... FindyKill ne les suppriment pas . (pas ceux la)
Ensuite cette recherche peut encore etre un peut plus selective.
Pour avenger , ça fais deja un bon moment qu il y est . Normalement si l user l utilise via un script , le backup est zippé . Mais j ai vu trop de fois ou ce n était pas le cas , du coup j ai decidé de virer carrémént le dossier .
Peut etre devrai je faire une recherche plus ciblé dans ce dossier et ne pas le virer .
En tout cas je te remerci pour ce test & pour tes remarques judicieuses ;)
+
Bonjour Chiquitine29, moe, myki, ...
*** Il y a du monde par ici ! *** :)
J'ai réalisé mes tests sous XP SP2 32... et n'ai pas de 64 sous la main...
--> Je suppose que c'est le mot "PATCH" qui l'alerte, auquel cas, je le laisserais : même si le patch est légitime, je trouve qu'il est bon de savoir qu'un utilisateur a installé ce genre de soft...
--> Excellent, j'étais persuadé que FK l'avait supprimé parce qu'il contenait un "autorun.inf"... :D
Je prends beaucoup de plaisir à faire ce genre de tests... le seul souci étant mon manque de temps...
@ très vite !
;)
*** Il y a du monde par ici ! *** :)
J'ai réalisé mes tests sous XP SP2 32... et n'ai pas de 64 sous la main...
Il y a eu un effort de fait pour eviter les FP , ta detection en est 1
--> Je suppose que c'est le mot "PATCH" qui l'alerte, auquel cas, je le laisserais : même si le patch est légitime, je trouve qu'il est bon de savoir qu'un utilisateur a installé ce genre de soft...
Pour avenger , ça fais deja un bon moment qu il y est
--> Excellent, j'étais persuadé que FK l'avait supprimé parce qu'il contenait un "autorun.inf"... :D
Je prends beaucoup de plaisir à faire ce genre de tests... le seul souci étant mon manque de temps...
@ très vite !
;)
Bonjour toute le monde ,
Seb oui c est effectivement une recherche faite par mot clé et aussi par extensions (.zip .rar .exe) mais il est encore possible de cibler un peut plus . je verrais ça ce week end normalement . J en profiterais pour jeter un oeil a Avenger et aux clés que tu m as signalé .
Cette semaine j ai decidé de faire avancer le site , peut etre que vous avez deja remarqué qu il n est + dispo .
Il le sera ce week end ou peut etre avant suivant l avancement .
Olivier , comme je me concentre sur le site cette semaine j apprécierai si t as des samples a me faire passer ;)
L' adresse du site va changer , donc les liens des tutos aussi , tout cela sera rectifié .
Bonne apres midi a tous & thanks Seb ;)
Seb oui c est effectivement une recherche faite par mot clé et aussi par extensions (.zip .rar .exe) mais il est encore possible de cibler un peut plus . je verrais ça ce week end normalement . J en profiterais pour jeter un oeil a Avenger et aux clés que tu m as signalé .
Cette semaine j ai decidé de faire avancer le site , peut etre que vous avez deja remarqué qu il n est + dispo .
Il le sera ce week end ou peut etre avant suivant l avancement .
Olivier , comme je me concentre sur le site cette semaine j apprécierai si t as des samples a me faire passer ;)
L' adresse du site va changer , donc les liens des tutos aussi , tout cela sera rectifié .
Bonne apres midi a tous & thanks Seb ;)
Salut à tous(tes)
Cédric, suffisait presque de demander :-)
Je t'ai uploadé le sample du jour.
Au menu d'aujourd'hui: Pas grand chose de nouveau...
Peut-être que le chef de cuisine est en train d'élaborer une nouvelle recette, qui sait ! :-P
Wawaseb, concernant la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache ou HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MUICache sous vista, perso je trouve que ça peut avoir une importance de la laisser tel quel et de ne pas y toucher, d'autant plus que les entrées qu'elle contient ne sont pas crées par l'infection et ne portent pas à conséquenses.
Pour faire court, lorqu'une 04 clean se fait écraser par l'infection et qu'elle s'exécute lors du redémarrage provoqué par l'infection, tu peux retrouver la trace du nom du fichier écrasé sous cette clé.
Par exemple, imaginons que msnmsgr.exe se soit fait shooter, donc au lieu de :
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="WindowsLive Messenger"
tu trouveras sous cette clé, l'entrée :
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="Bi soft"
Le truc, consistant à repérer une description identique à celle de winupgro, description qui est "Bi soft" pour les dernières variantes ou Grosoft, Bisoft pour les plus anciennes.
Disons que se serait dommage d'effacer systématiquement cette trace qui pourrait "demain" devenir une cartouche :-) ou un élément de confirmation de suspicion supplémentaire.
Car s'il est relativement facile aujourd'hui d'identifier une 04 écrasée, on est pas à l'abris de l'utilisation d'un autre prog que Themida pour "crypter" le fichier et donc, de rendre plus délicat son repérage.
Il existe d'ailleurs au moins deux samples (assez anciens) qui échappent à une recherche du mot "Themida" dans leur code et c'est d'ailleurs pour cette raison qu'à l'époque ou circulaient ces samples, l'idée d'une comparaison md5 à fait son chemin pour apporter depuis un élément supplémentaire de détection.
Mais bon, ce n'est que mon opinion et il sera toujours possible de revenir en arrière au besoin si Cédric décide de supprimer les entrées sous cette clé.
Cédric, bon courage pour le site, c'est vrai que ça doit représenter pas mal de boulot pour tout mettre en place, de mon côté je tacherais d'aller vérifier l'arrivée de nouveaux samples au moins une fois par jour et te les enverrais dans la foulée.
Bonne semaine, @++
Cédric, suffisait presque de demander :-)
Je t'ai uploadé le sample du jour.
Au menu d'aujourd'hui: Pas grand chose de nouveau...
Peut-être que le chef de cuisine est en train d'élaborer une nouvelle recette, qui sait ! :-P
Wawaseb, concernant la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache ou HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MUICache sous vista, perso je trouve que ça peut avoir une importance de la laisser tel quel et de ne pas y toucher, d'autant plus que les entrées qu'elle contient ne sont pas crées par l'infection et ne portent pas à conséquenses.
Pour faire court, lorqu'une 04 clean se fait écraser par l'infection et qu'elle s'exécute lors du redémarrage provoqué par l'infection, tu peux retrouver la trace du nom du fichier écrasé sous cette clé.
Par exemple, imaginons que msnmsgr.exe se soit fait shooter, donc au lieu de :
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="WindowsLive Messenger"
tu trouveras sous cette clé, l'entrée :
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="Bi soft"
Le truc, consistant à repérer une description identique à celle de winupgro, description qui est "Bi soft" pour les dernières variantes ou Grosoft, Bisoft pour les plus anciennes.
Disons que se serait dommage d'effacer systématiquement cette trace qui pourrait "demain" devenir une cartouche :-) ou un élément de confirmation de suspicion supplémentaire.
Car s'il est relativement facile aujourd'hui d'identifier une 04 écrasée, on est pas à l'abris de l'utilisation d'un autre prog que Themida pour "crypter" le fichier et donc, de rendre plus délicat son repérage.
Il existe d'ailleurs au moins deux samples (assez anciens) qui échappent à une recherche du mot "Themida" dans leur code et c'est d'ailleurs pour cette raison qu'à l'époque ou circulaient ces samples, l'idée d'une comparaison md5 à fait son chemin pour apporter depuis un élément supplémentaire de détection.
Mais bon, ce n'est que mon opinion et il sera toujours possible de revenir en arrière au besoin si Cédric décide de supprimer les entrées sous cette clé.
Cédric, bon courage pour le site, c'est vrai que ça doit représenter pas mal de boulot pour tout mettre en place, de mon côté je tacherais d'aller vérifier l'arrivée de nouveaux samples au moins une fois par jour et te les enverrais dans la foulée.
Bonne semaine, @++
Re ,
Merci Olivier pour le sample , j apprécie car pas trop le temps d infecter etc cette semaine .
De mon coté j ai pas matté les clé etc mais en tout cas je te remerci pour ce post .;)
Pour le site , ça prend un peut de temps tout simplement . Si ( tu \ vous ) veux \ voulez suivre l'evolution , c est ici :
https://pages.perso.orange.fr/pages-perso-error&r=403 >> aux helpeurs , merci de ne pas donner les liens dans vos tutos car rien n est fixe etc .
Les news canned vous seront communiqué .
Donc oui Olivier je prend les nouveaux samples quand dispo et je t en remerci .
C est toujour idem pour flec et shared ?
Bonne soirée @ tous & todas ;)
Merci Olivier pour le sample , j apprécie car pas trop le temps d infecter etc cette semaine .
De mon coté j ai pas matté les clé etc mais en tout cas je te remerci pour ce post .;)
Pour le site , ça prend un peut de temps tout simplement . Si ( tu \ vous ) veux \ voulez suivre l'evolution , c est ici :
https://pages.perso.orange.fr/pages-perso-error&r=403 >> aux helpeurs , merci de ne pas donner les liens dans vos tutos car rien n est fixe etc .
Les news canned vous seront communiqué .
Donc oui Olivier je prend les nouveaux samples quand dispo et je t en remerci .
C est toujour idem pour flec et shared ?
Bonne soirée @ tous & todas ;)
