stopovirus Index du Forum
Connexion S’enregistrer FAQ Membres Rechercher stopovirus Index du Forum

Wareout - Trojan DNS Changer


 
Poster un nouveau sujet   Ce sujet est verrouillé; vous ne pouvez pas éditer les messages ou faire de réponses.    stopovirus Index du Forum » Informations » Les infections typiques
Sujet précédent :: Sujet suivant  
Auteur Message
Geronimo
Administrateur

Hors ligne

Inscrit le: 07 Fév 2010
Messages: 3 622
Localisation: Dans mon tepee
Sexe: Masculin
Système d'exploitation: Windows 8
memoire ram: 8 Giga
carte graphique:
disque dur: 1,5 tera

MessagePosté le: Ven 29 Juil - 19:33 (2011)    Sujet du message: Wareout - Trojan DNS Changer Répondre en citant

Wareout est un faux utilitaire de sécurité dont la désinstallation complète est problématique ce qui explique qu'un fix lui est dédié. Seulement pour savoir quand utiliser ce fix il faut commencer par savoir identifier la présence de Wareout.


Symptômes :

- Wareout affiche une fenètre se faisant passer pour un logiciels anti spyware comme tant d'autre sauf qu'il vous incite à acheter la licence pour désinfecter les (sois disant) infections trouvées.

- Possibilité de redirection des pages lors des recherches sur Internet voir même de redirection d'une adresse Internet du fait que Wareout configure ces propres serveurs DNS sur l'ordinateur de sa victime.

- Wareout installe parfois un serveur "Open proxy" à l'insu du propriétaire du PC.


Détection

URLs des pages de démarrage/de recherche d'Internet Explorer

    R3 - URLSearchHook: (no name) - {ECFB9A25-8AA7-2E04-8604-7E756CA5C0AC} - DCC_send.dll
    R3 - URLSearchHook: (no name) - {88A88FB0-D4E3-D4F7-3A91-4C7DED06B49D} - new32.dll
    R3 - URLSearchHook: (no name) - {51B4EC4C-6F0A-79C3-3C10-DFCE388E548B} - WTFCTF.dll
    R3 - URLSearchHook: (no name) - {4D690DD1-CCE2-2C01-FA11-3DEC633ED70C} - StatusCheck.dll
    R3 - URLSearchHook: (no name) - {BA8F12B5-3BAE-0B43-B2E6-7A4E1E7AD4F1} - qwe.dll



Redirections dans le fichier Hosts

    O1 - Hosts: localhost 127.0.0.1


Browser Helper Objects et Barres d'outils d'Internet Explorer

    O2 - BHO: SearchToolbar- {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ljnkz.dll
    O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ljnkz.dll

    O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{470B1232-32AD-4D14-8CD3-3D8F7E1FC296}.dll
    O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\{470B1232-32AD-4D14-8CD3-3D8F7E1FC296}.dll



Startuplist (Liste de démarrage)

    O4 - HKCU\..\Run: [WareOut]"C:\Program Files\WareOut\WareOut.exe"
    O4 - HKCU\..\Run: [KillAndClean] "C:\Program Files\KillAndClean\KillAndClean.exe"
    O4 - HKCU\..\Run: [msag] qwe.exe
    O4 - HKCU\..\Run: [driver32] MsNetHelper.exe
    O4 - HKCU\..\Run: [atl_helper] new32.exe
    O4 - HKCU\..\Run: [desktop] C:\WINDOWS\system32\idemlog.exe
    O4 - HKLM\..\Run: [Testimonials] sbin.exe
    O4 - HKLM\..\Run: [systemdll] EXE32EXE.exe
    O4 - HKLM\..\Run: [control64] syspanel.exe
    O4 - HKLM\..\Run: [iehelper] media64.exe
    O4 - HKCU\..\Run: [Dest068] slamm.exe
    O4 - HKCU\..\Run: [sysconf16] msag.exe
    O4 - HKCU\..\Run: [br0ken] ms-its.exe
    O4 - HKCU\..\Run: [MsNetHelper] cnftips.exe
    O4 - HKCU\..\Run: [panel_its] iesetupdll.exe
    O4 - HKCU\..\Run: [SAPSTR] slamm.exe
    O4 - HKCU\..\Run: [MsNetHelper] utsgmon.exe
    O4 - HKCU\..\Run: [avpmondll] RtlFindVal.exe
    O4 - HKLM\..\Run: [typeconf] DTOURS.exe
    O4 - HKLM\..\Run: [ExchangeMaster] syspanel.exe
    O4 - HKCU\..\Run: [porka_] Preliminary.exe
    O4 - HKCU\..\Run: [wormexe] ABCXYZ.exe
    O4 - HKCU\..\Run: [media64] JAguAr.exe
    O4 - HKLM\..\Run: [Trayz] WTFCTF.exe
    O4 - HKLM\..\Run: [edyfsj] C:\WINDOWS\edyfsj.exe
    O4 - HKLM\..\Run: [Sygate Personal Block] Studio.exe
    O4 - HKLM\..\Run: [Sygate Personal Firewall Start] servic.exe
    O4 - HKLM\..\Run: [ms-its] zxc.exe
    O4 - HKLM\..\Run: [dmtji.exe] C:\WINDOWS\System32\dmtji.exe
    O4 - HKLM\..\Run: [WinUpdate] C:\cmon.exe
    O4 - HKCU\..\Run: [abrek] pizda.exe
    O4 - HKCU\..\Run: [TorontoMail] iehelper.exe
    O4 - HKLM\..\Run: [jopplerg] NsCplTray.exe
    O4 - HKCU\..\Run: [ABCXYZ] XTermInit.exe
    O4 - HKCU\..\Run: [pizda] zantu.exe
    O4 - HKCU\..\Run: [systemdll] Uint32.exe



Modification Domaine/Adresses DNS (Piratage de domaine)

    O17 - HKLM\System\CCS\Services\Tcpip\..\{FE6E915A-3D61-4BB4-B3D2-69B1A4C7864D}: NameServer = 85.255.113.206,85.255.112.76
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4E4EA7DD-CDF8-49CA-A44B-D0DF5DFC80D3}: NameServer = 85.255.114.19,85.255.112.74
    O17 - HKLM\System\CCS\Services\Tcpip\..\{57FE6CC1-175A-4E86-8348-31DE0A358276}: NameServer = 195.95.218.1,195.95.219.255
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B6DDD0D8-075A-4F9E-80FB-46C742AEA73D}: NameServer = 195.225.176.37,195.225.179.255



Détournement de DNS

    O60 - DNS:Diversion Of DNS:HKLM\System\CCS\Services\Tcpip\..\{314ADD69-6D02-44A9-A02D-B4B0BA2AE4FB}\NameServer = 85.255.115.61,85.255.112.115
    O60 - DNS:Diversion Of DNS:HKLM\System\CCS\Services\Tcpip\..\{895655ED-6C78-4220-86ED-9826C82C70AE}\NameServer = 85.255.115.61,85.255.112.115
    O60 - DNS:Diversion Of DNS:HKLM\System\CCS\Services\Tcpip\..\{CA07C97E-3F76-45F4-BD78-9437F929B35B}\NameServer = 85.255.115.61,85.255.112.115
    O60 - DNS:Diversion Of DNS:HKLM\System\CS1\Services\Tcpip\..\{314ADD69-6D02-44A9-A02D-B4B0BA2AE4FB}\NameServer = 85.255.115.61,85.255.112.115
    O60 - DNS:Diversion Of DNS:HKLM\System\CS1\Services\Tcpip\..\{895655ED-6C78-4220-86ED-9826C82C70AE}\NameServer = 85.255.115.61,85.255.112.115
    O60 - DNS:Diversion Of DNS:HKLM\System\CS1\Services\Tcpip\..\{CA07C97E-3F76-45F4-BD78-9437F929B35B}\NameServer = 85.255.115.61,85.255.112.115
    O60 - DNS:Diversion Of DNS:HKLM\System\CS2\Services\Tcpip\..\{314ADD69-6D02-44A9-A02D-B4B0BA2AE4FB}\NameServer = 85.255.115.61,85.255.112.115
    O60 - DNS:Diversion Of DNS:HKLM\System\CS2\Services\Tcpip\..\{895655ED-6C78-4220-86ED-9826C82C70AE}\NameServer = 85.255.115.61,85.255.112.115



En faisant un Whois sur ces adresses IP nous donnent principalement comme propriétaire inhoster (Ukraine)





De nouvelles IPs en O17 qui ne pointent ni vers InHoster, ni vers l'Ukraine. Il y en a une qui pointe direct chez M$ (HotMail) très rare mais déjà rencontrée.

    O17 - HKLM\System\CCS\Services\Tcpip\..\{3CBC99DB-5D51-4F35-8E2A-577561F913A2}: NameServer = 207.68.160.190 194.25.2.129 208.67.222.222 ,207.68.160.190 194.25.2.129 208.67.222.222
    O17 - HKLM\System\CCS\Services\Tcpip\..\{C9DE3F5C-16F1-455D-90FD-D728BC4BE494}: NameServer = 207.68.160.190 194.25.2.129 208.67.222.222 ,207.68.160.190 194.25.2.129 208.67.222.222
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 207.68.160.190 194.25.2.129 208.67.222.222 207.68.160.190 194.25.2.129 208.67.222.222
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3CBC99DB-5D51-4F35-8E2A-577561F913A2}: NameServer = 207.68.160.190 194.25.2.129 208.67.222.222 ,207.68.160.190 194.25.2.129 208.67.222.222


Elles sont toutes liées à un détournement. Les visiteurs semblent se plaindre de redirections vers "Jump" et "Maxifiles" notamment.

Autre trait commun : présence du rootkit kd###.exe (vu avec Wareout ou autres détournements de DNS). Ce fichier n'est pas visible dans les logs HJT par contre, mais plusieurs outils le voient et d'autres le suppriment.


Détecté lors d'un nettoyage par Fixwareout (plus utilisé)

Citation:

Post this report in the forums please
...
Prerun check
[HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="lsass.exe"

...
...
Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}1831AD9B7036-6A4A-8D54-50E4-435AE1FA{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}998EB924E7AE-D11A-3704-FA21-4B312FBB{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}F8286CA6C350-448A-CBD4-AF02-EF6DF244{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\}29A390DE25EF-1A0B-90A4-CE4E-36251F3F{
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\tndmd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\0mdm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\1mdm
...

Random Runs removed from HKLM
"dmdnt.exe"=-
...
...

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Searching by size/names...
C:\WINDOWS\SYSTEM32\FTP.EXE

»»»»»
Search five digit cs, dm kd and jb files.
This WILL/CAN also list Legit Files, Submit them at Virustotal

Other suspects.

»»»»» Misc files.
C:\WINDOWS\System32\taskdir.exe

»»»»» Checking for older varients covered by the Rem3 tool.
...
Postrun check
[HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""



Silent runners


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
"System" = "cspxq.exe" [null data]


Fsecure Blacklight (plus utilisé) d'autres scanneurs de rootkits comme Gmer le remplacent


    04/14/06 15:08:04 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\cspxq.exe
    04/14/06 15:08:05 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\dmbsx.exe
    11/01/05 19:29:27 [Info]: Hidden file: C:\WINDOWS\system32\favme.exe
    11/01/05 19:29:29 [Info]: Hidden file: C:\WINDOWS\system32\hclean32.exe
    11/01/05 19:29:31 [Info]: Hidden file: C:\WINDOWS\system32\ntfsnlpa.exe
    11/01/05 19:29:33 [Info]: Hidden file: C:\WINDOWS\system32\cswai.exe



La présence de Wareout peut aussi être détectée lors de l'utilisation de logiciels comme par exemple :

Fixwareout (plus utilisé)
SmitfraudFix (plus utilisé)


Les outils utilisés actuellement pour lutter contre ce fléau




Attention !!!

Combofix n'est à utiliser qu'avec l'aval d'un Helper Sécurité cet outil mal utilisé peut mettre en péril l'intégrité d'un PC


Perte de connexion


Il arrive qu'une perte de connexion se produise après la suppression des IPs par l'un de ces outils, il n'y a pas d'autres solutions que de réparer les couches Winsock

* Pour un XP un outil est disponible WinsockxpFix

Où bien en ligne de commandes

Cliquez sur démarrer/exécuter

    Tapez : netsh validez par OK


Tapez les commandes suivantes en validant à chaque fois par Entrée

    interface
    winsock
    reset
    exit


Redémarrez votre PC pour que les changements soient pris en compte



Pour Vista et Windows 7 vous devez être impérativement en mode administrateur

    Cliquez sur Démarrer ==> Programmes ==> Accessoires ==> clic droit sur "Invite de commandes" ==> et Exécuter en tant qu'administrateur


Ensuite restaurez la couche Winsock utilisant la méthode suivante:

    Tapez: netsh validez par OK


- Tapez les commandes suivantes en validant à chaque fois par Entrée :

    interface
    winsock
    reset
    exit



Redémarrez votre PC pour que les changements soient pris en compte



_________________


Dernière édition par Geronimo le Sam 30 Juil - 10:35 (2011); édité 4 fois
Revenir en haut
Publicité






MessagePosté le: Ven 29 Juil - 19:33 (2011)    Sujet du message: Publicité

PublicitéSupprimer les publicités ?


Revenir en haut
Montrer les messages depuis:   
Poster un nouveau sujet   Ce sujet est verrouillé; vous ne pouvez pas éditer les messages ou faire de réponses.    stopovirus Index du Forum » Informations » Les infections typiques Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 
Sauter vers:  

Index | Panneau d’administration | forum gratuit | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001- 2004 phpBB Group
Designed for Trushkin.net | Styles Database
Traduction par : phpBB-fr.com