J'ai découvert sur le micro des enfants, un problème de pub. Aléatoirement des pages web s'affichaient pour des casinos ou antispyware.
Je n'avais sur ce poste que l'antivirus Mcafee 8.5
Avec Filemon j'ai trouvé que les pages web était lancée via un executable que je ne trouvais pas sur le disque. En mode sans echec j'ai trouvé une clé pirate cachée dans la clé run.
Le système chargé normalement il est impossible de voir cette cle avec regedit ni de voir le fichier dans l'explorateur.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"axwlgqv"="c:\\windows\\system32\\axwlgqv.exe axwlgqv"
les fichiers sont situé dans system32
- Code: Tout sélectionner
20/06/2007 19:51 4 579 axwlgqv.dat
12/06/2007 17:16 400 896 axwlgqv.exe
20/06/2007 17:26 26 954 AXWLGQV.EXE-11E0C9C7.pf
20/06/2007 17:26 254 865 axwlgqv_nav.dat
20/06/2007 19:51 2 415 axwlgqv_navps.dat
23/06/2007 15:47 4 522 gfkeskmmot.dat
22/06/2007 09:08 281 600 gfkeskmmot.exe
22/06/2007 09:08 254 865 gfkeskmmot_nav.dat
23/06/2007 15:38 333 gfkeskmmot_navps.dat
20/06/2007 19:59 334 run.reg
11/06/2007 00:50 5 478 udryowlsbi.dat
28/05/2007 19:51 355 328 udryowlsbi.exe
08/06/2007 22:47 268 015 udryowlsbi_nav.dat
11/06/2007 00:51 742 udryowlsbi_navps.dat
Aprés avoir supprimé la clé et les fichiers associés, j'ai rendu le pc aux enfants. Quelques jours plus tard, j'ai de nouveau retrouvé une clé pirate sur le Run. Cela 2 fois de suite.
Toujours le même principe, mais les exe ne font pas exactement la même longueur, le nom est aléatoire.
Maintenant j'ai 3 fichiers au nom aléatoire, avec une taille differente!
Je me suis abonné à http://www.mcafee.com/us/threat_center pour leur envoyer les fichiers et
un export de la clé run. Mais j'ai beaucoup de doutes sur leur capacité à analyser, je n'ai reçu aucun retour, et le formulaire à remplir pour accéder à ce service ne laisse la place à aucun commentaire.
J'ai testé les 3 exe sur le site www.virustotal.com, et aucun n'est détecté de la même façon:
Les detections sont:
Panda 9.0.0.4 06.24.2007 Suspicious file
Symantec 10 06.24.2007 Trojan.Skintrim
CAT-QuickHeal 9.00 06.23.2007 (Suspicious) - DNAScan
Webwasher-Gateway 6.0.1 06.22.2007 Virus.Win32.FileInfector.gen (suspicious)
A quel labo et par quel biais tramsmettre les fichiers pour analyse et intégration dans les bases???
Si vous avez des pistes je vous en remercie.
Cordialement
