samedi, juillet 28, 2007

Virus ramassé sur MSN ?

Bien,
vous avez "chopé" photo album.zip.contenant le fichier photos album-2007-5-26.scrainsi que :
C:\Windows\system32\syshosts.dll

Il est possible que Avast ne le détecte pas...

INFOS:

Il s'agit probablement de :
Backdoor.Win32.IRCBot.aaq
Votre message MSN était du genre (Français/Espagnol)
--------------------------------------------------------------------

hey regarde mes tof!! :p
ma soeur a voulu que tu regarde ca!
hey regarde les tof, c'est moi et mes copains entrain de.... :D
j'ai fais pour toi ce photo album tu dois le voire :)
tu dois voire ces tof
mes photos chaudes :D
c'est seulement mes tof :p
zijn enige mijn foto's
wanna Hey ziet mijn nieuw fotoalbum?
Hey beindigde enkel nieuw fotoalbum! :)
hey keurt mijn nieuw fotoalbum goed.. :p
het voor yah, doend beeldverhaal van mijn leven lol..
meine hei en Fotos ! :p
le mie foto calde :p
mis fotos calientes
mi fotografas :p
Mi amigo tom las fotos agradables de m
el lol mi hermana quisiera que le enviara este
album de foto

Anglais:
----------------------
Here are my private pictures for you
Here are my pictures from my vacation
My friend took nice photos of me.you Should see em loL!
its only my photos!
Nice new photos of me and my friends and stuff and when i was young lol...
Nice new photos of me!! :p
Check out my sexy boobs :D
il est aussi possible d'avoir ceci:
fermer avec la croix.







source du texte de ces messages

Si vous avez reçu ceci en Néerlandais/Anglais + le lien :( j'ai rajouté un t et un w...dès fois que !)
Le message envoyé aux contacts MSN ---->Ben jij dat op deze foto?
htttp://www.hothotpics.com/photo8.php
Is that you on this photo :O
htttp://www.******.net/photo26.com
Is that you on this photo ?
wwww.hot hotpeople.net/photo894.php
----------------------------
Il sagit de---->Trojan-Downloader.Win32.Agent.btu
Infection Vundo:
genre:
O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:\WINDOWS\System32\ddaia.dll
O20 - Winlogon Notify: ddaia - C:\WINDOWS\System32\ddaia.dll
Il sagit d'un nom aléatoire, donc pas de similitude si ce n'est le nombre de caractères et le classique dédoublement 02/020.
Ceci est à traité, comme une infection VUNDO classique (quoique le scan du FIX MSN, ne peut pas faire de mal !)

Il existe une autre attaque qui se manifeste par ceci dans un rapport Hijackthis
le message MSN était:
"
Lol , j'ai fais une pose de ma soeur hier en cachette avec ma webcam regarde ca
"
suivi d'un lien pour aller télécharger:
webcam_00002.com?.jpg
Il sagit de :

webcam_00002.com/Backdoor.VanBot.dk

-----> dans Hijackthis
O23 - Service: Microsoft Genuine Advantage - Unknown owner - C:\WINDOWS\System32\dllcache\winmga.exe
se définfecte aussi avec le FIX MSN.


Bref, vous avez mis les pieds dedans !

Pas de panique et dans un premier temps faite ceci
Revenez ici après....
Télécharger le FIXMSN.zip ici
vous obtenez ceci:























Fermez-le, une fois téléchargé sur votre bureau.

Télécharger et installez donc IZArc si vous n'avez rien pour dézipper.
Double-clic dessus.
Vous aurez ceci:
Clic sur l'icône "extraire"



















Clic sur extraire, par défaut il extrait sur le bureau, ça évite de chercher après !















Il a créé et décompressé votre fix dans un dossier:






Double-clic dessus.
ceci s'ouvre...il a créer/un sous dossier MsnFix, reclic dessus !



















Clic alors sur MsnFix.bat
































Taper "R" et valider par "Enter".
En cas de PC clean















Faites "A" et valider par "Enter".
Notepad va s'ouvrir, après réflexion de l'ordi....



















Sélectionner le texte (CTRL+A)
Copier le texte en mémoire (ctrl+c)
Copier le texte en mémoire sur le forum à l'endroit de votre curseur avec (ctrl+v)
Si une infection a été trouvée....
faites un rapport comme précédemment et copier-le dans le forum.
Attendez les instructions.
--------------------------------------------------------
Si vous avez ramassé photo8.com :
Via un message du genre:

"
ben jij dat op deze foto? http://www.hothotpics.com/photo8.php
is that you on this photo :O http://www.******.net/photo26.com
is that you on this photo www.hot hotpeople.net/photo894.php"
Attendez les instructions, on va les détecter dans un scan Hijackthis.
Pour info:
------------------------
Vous aurez certainement des 02 et 020 du genre:
O2 - BHO: (no name) - {2034BA2F-6FAC-49EF-99EB-5F58BB828997} - C:\WINDOWS\system32\iiffbca.dll (file missing)
O20 - Winlogon Notify: iiffbca - C:\WINDOWS\system32\iiffbca.dlliiffbca.dll est un nom aléatoire, c'est ce qui est la particularité....
---------------------------------------
En cas d'impossibilité de se connecter à MSN
essayer de faire ceci:
Démarrer/Exécuter/ taper les commandes suivantes (valider chacune par OK) :
C'estpour réinscrire les DLL.
regsvr32 softpub.dll
regsvr32 initpki.dll
regsvr32 mssip32.dll
Redémarrer la machine.
Parfois il est aussi nécessaire de réinitialiser son mot de passe .
https://accountservices.msn.com/uiresetpw.srf?lc=1036&id=2

Vérifier aussi votre n° de version, si elle trop ancienne (version 6) elle est vulnérable.
http://www.microsoft.com/france/securite/bulletins/2005/200502_msnmessenger.mspx






Aucun commentaire: