Aller au contenu


Photo
- - - - -

Infection par le processus Microsoft.exe


  • Veuillez vous connecter pour répondre
Aucune réponse à ce sujet

#1 Nicolas Coolman

Nicolas Coolman

    Responsable FAQ

  • Responsable FAQ
  • 9 184 messages

Posté 31 mars 2007 - 08:46

Image IPB Infection par le process Malware Microsoft.exe
Le processus microsoft.exe pourrait de part sa consonnance apparaître comme légitime, en fait il n'en est rien. Une multitude de virus, vers ou trojans viennent se greffer sur les répertoires système. Leurs actions sont toutes ciblèes en priorité vers une infection au démarrage du système. Certains d'entres eux vont même jusqu'à "forcer" le système à redémarrer. Le processus pollue les entrées de démarrage de la base de Registre sous 21 noms d'entrées différents, mais Il y en a sûrement d'autres.


Image IPB Les branches de Base De Registres concernées
Les injections d'entrées se font généralement dans les branches suivantes :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\


Image IPB Liste des entrées injectées dans la Base De Registres
Voici la liste non exhaustive de ces entrées de Base de Registre avec entre parenthèse le malware qui l'a injecté lorsque celui-ci est connu :
  • blah service (variante du ver RBOT (aka WIN32.RBOT)
  • Configuration Loader (ver GAOBOT.JB)
  • Configuration Loader ( ver W32/Gaobot.ED, variante de W32/Gaobot.AO)
  • Dcom System Patch (ver RANDEX.MS)
  • hptools ( variante du ver SDBOT)
  • Internet
  • Jufualt
  • Microsoft
  • Microsoft Executing (ver AGOBOT.UV)
  • Microsoft Gay
  • Microsoft Office (trojan BANKER-VF)
  • Microsoft service (trojan Backdoor.SdBot.aad)
  • Microsoft Synchronization Manager (ver W32/Sdbot-OM)
  • Microsoft Update (ver W32/Gaobot.gen.H, Aka W32.GaoBot.AFJ)
  • Microsoft Update (WIN32/AGOBOT.3.XY)
  • Microsoft Update (trojan LMIR.A)
  • Microsoft Update (trojan Agobot-IB)
  • Microsoft Update (trojan PWSLmir-F)
  • Microsoft Update (trojan Bancos-ALY)
  • Microsoft Update (virus DDoS.RAT.rBot)
  • Microsoft Update 32 (trojan LMIR.A)
  • msn
  • sdktemp (ver SDBOT.CGM)
  • ShellCode
  • ShellWindoW
  • startkey
  • systam32
  • System

Image IPB Autres injecteurs
Voici d'autres vers ou parasites qui injectent le processus Microsoft.exe et pour lesquels je n'ai pas d'information sur le nom de l'entrée en BDR.
- le ver Win32/Fantasy,
- le parasite W32/Parved.


Image IPB Microsoft.exe (blah service)
Ce processus est enregistré par une variante du ver RBOT (aka WIN32.RBOT).
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\blah service

  • Informations HijackThis :
    O4 - HKLM\..\RunServices: [blah service] microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe

Image IPB Microsoft.exe (Configuration Loader)
Ce processus est enregistré par le ver GAOBOT.JB ou le ver W32/Gaobot.ED ou le ver W32.HLLW.Gaobot.JB (variante de W32.HLLW.Gaobot.BF). Il exploite la vulnérabilité des failles de securité LSASS. Il crée un buffer overflow afin d'obliger un redémarrage du system. Une fois installé, une connexion par canal IRC (Internet Relay Chat) est mise en place. Il participe à des attaques par denis de service distribué (DDoS). Il envoie des données via le port 135 et exploite la faille de vulnérabilité RPC DCOM. Il tente de diminuer en priorité la sécurité du système en désactivant les processus de protection antivirus et parefeu.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Configuration Loader
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Configuration Loader

  • Informations HijackThis :
    O4 - HKLM\..\Run: [Configuration Loader] Microsoft.exe
    O4 - HKLM\..\RunServices: [Configuration Loader] Microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe


Image IPB Microsoft.exe (Dcom System Patch)
Ce processus est enregistré par le ver RANDEX.MS.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Dcom System Patch

  • Informations HijackThis :
    O4 - HKLM\..\Run: [Dcom System Patch] microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe

Image IPB Microsoft.exe (hptools)
Ce processus est enregistré par le ver HDBOT.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hptools

  • Informations HijackThis :
    O4 - HKLM\..\Run: [hptools] C:\WINDOWS\MEDIA\microsoft.exe
    O4 - Global Startup: Microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\Microsoft.exe
    C:\WINDOWS\MEDIA\microsoft.exe

Image IPB Microsoft.exe (Internet)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Internet
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Internet

  • Informations HijackThis :
    O4 - HKLM\..\Run: [Internet] Microsoft.exe
    O4 - HKLM\..\RunServices: [Internet] Microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe

Image IPB Microsoft.exe (Jufualt)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Jufualt

  • Informations HijackThis :
    O4 - HKLM\..\Run: [Jufualt] microsoft.exe
    O4 - HKCU\..\Run: [Jufualt] microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe

Image IPB Microsoft.exe (Microsoft)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft

  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft] Microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft] Microsoft.exe
    O4 - HKCU\..\Run: [Microsoft] Microsoft.exe
    O4 - Global Startup: Microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\System32\microsoft.exe

Image IPB Microsoft.exe (Microsoft Executing)
Ce processus est enregistré par le ver AGOBOT.UV.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Executing
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Executing
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Microsoft Executing

  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Executing] C:\WINDOWS\system32\Microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Executing] C:\WINDOWS\system32\Microsoft.exe
    O4 - HKLM\..\RunOnce: [Microsoft Executing] C:\WINDOWS\system32\Microsoft.exe
  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe

Image IPB Microsoft.exe (Microsoft Gay)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Gay
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Gay

  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Gay] microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Gay] microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\System32\microsoft.exe

Image IPB Microsoft.exe (Microsoft Office)
Ce processus est enregistré par le trojan BANKER-VF. Il peut bloquer le démarrage ou l'initialisation des logiciels du pack "Microsoft Office".
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Office

  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe

Image IPB Microsoft.exe (Microsoft service)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft service
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft service

  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft service] microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft service] microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\System32\microsoft.exe

Image IPB Microsoft.exe (Microsoft Service)
Ce processus est enregistré par le trojan Backdoor.SdBot.aad. Il s'installe en tant que service sous le nom "Microsoft Service". Ceci afin de pouvoir se lancer ou se régénérer à chaque démarrage du système ou d'une session utilisateur. La gestion de ce service peut être faite via le Gestionnaire des Services Windows "services.msc".
  • Informations HijackThis :
    O23 - Service: Microsoft Service - Unknown owner - C:\WINDOWS\microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\microsoft.exe

Image IPB Microsoft.exe (Microsoft Synchronization Manager)
Ce processus est enregistré par le ver W32/Sdbot-OM.
  • Valeurs ou clés de Base de Registres :
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Synchronization Manager
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Synchronization Manager
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Synchronization Manager

  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe

Image IPB Microsoft.exe (Microsoft Update)
Ce processus est enregistré par le ver GAOBOT.AFJ (aka W32/Gaobot.gen.H.) ou le ver AGOBOT.IM ou le ver WIN32/AGOBOT.3.XY. Il exploite la vulnérabilité des failles de securité LSASS.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Update
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update

  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Update] Microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] Microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe

Image IPB Microsoft.exe (Microsoft Update)
Ce processus est enregistré par le trojan Agobot-IB. Il permet la prise de commande à distance de la station contaminée.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Update
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update

  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Update] Microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] Microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe

Image IPB Microsoft.exe (Microsoft Update)
Ce processus est enregistré par le trojan LMIR.A. Il permet la prise de commande à distance de la station contaminée.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Update
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Microsoft Update

  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Update] Microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] Microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe

  • Fichiers associés
    system32.exe, windows.exe

Image IPB Microsoft.exe (Microsoft Update)
Ce processus est enregistré par le trojan PWSLmir-F. Il permet la prise de commande à distance de la station contaminée.
  • Valeurs ou clés de Base de Registres :
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Microsoft Update

  • Informations HijackThis :
    O4 - HKLM\..\RunOnce: [Microsoft Update] Microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe

  • Fichiers associés
    Fuckyou.exe

Image IPB Microsoft.exe (Microsoft Update)
Ce processus est enregistré par le trojan Bancos-ALY.
  • Valeurs ou clés de Base de Registres :
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Update

  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Update] Microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe

Image IPB Microsoft.exe (Microsoft Update 32)
Ce processus est enregistré par le trojan LMIR.A. Il permet la prise de commande à distance de la station contaminée.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Update 32
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update 32

  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Update 32] microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Update 32] microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\System32\microsoft.exe

Image IPB Microsoft.exe (msn)
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msn

  • Informations HijackThis :
    O4 - HKLM\..\Run: [msn] C:\WINDOWS\Microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\Microsoft.exe

Image IPB Microsoft.exe (sdktemp)
Ce processus est enregistré par le ver SDBOT.CGM ou le ver W32.HLLW.Gaobot.JB. Il s'installe en tant que service sous le nom "sdktemp". Ceci afin de pouvoir se lancer ou se régénérer à chaque démarrage du système ou d'une session utilisateur. La gestion de ce service peut être faite via le Gestionnaire des Services Windows "services.msc".
  • Informations HijackThis :
    O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\microsoft.exe

Image IPB Microsoft.exe (ShellCode)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ShellCode

  • Informations HijackThis :
    O4 - HKLM\..\Run: [] C:\WINNT\System32\dir2\MicroSoft.exe

  • Dossiers d'installation
    C:\WINDOWS\system32\dir2\MicroSoft.exe

Image IPB Microsoft.exe (ShellWindoW)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ShellWindoW

  • Informations HijackThis :
    O4 - HKLM\..\Run: [ShellWindoW] C:\WINDOWS\System32\internet\MicroSoft.exe
    O4 - HKLM\..\Run: [ShellWindoW] C:\WINDOWS\System32\win99\MicroSoft.exe

  • Dossiers d'installation
    C:\WINDOWS\System32\internet\MicroSoft.exe
    C:\WINDOWS\System32\win99\MicroSoft.exe

Image IPB Microsoft.exe (systam32)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\systam32

  • Informations HijackThis :
    O4 - HKLM\..\Run: [systam32] C:\WINDOWS\System32\Rist0r\MicroSoft.exe
    O4 - HKLM\..\Run: [systam32] C:\WINDOWS\System32\MicroSoft\MicroSoft.exe
    O4 - HKLM\..\Run: [systam32] C:\WINDOWS\System32\Sotwyb\MicroSoft.exe

  • Dossiers d'installation
    C:\WINDOWS\System32\Rist0r\MicroSoft.exe
    C:\WINDOWS\System32\MicroSoft\MicroSoft.exe
    C:\WINDOWS\System32\Sotwyb\MicroSoft.exe


Image IPB Microsoft.exe (System)
Pas d'information sur l'origine de l'infection.
  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\System
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\System

  • Informations HijackThis :
    O4 - HKLM\..\RunServices: [System] microsoft.exe
    O4 - HKCU\..\RunServices: [System] microsoft.exe

  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe


Image IPB
Index de traitement des infections

Modifié par coolman, 01 avril 2007 - 09:36 .

  • 0

PUBLICITÉ

    Annonces Google









Sujets similaires :     x