Infection par le Trojan Agent.20

[Nicolas Coolman]

Infection par le Trojan Agent.20

Ce trojan se retrouve sous les noms "Trojan.Agent.20" et "Trojan.MailSkinner". Certains antivirus comme BitDefender détectent ce trojan. Dans certains cas, il peut s'agir d'une faux-positif, c'est à dire d'un fichier légitime dont la conception est très proche de celle du trojan. Cette infection utilise une technique rootkit qui permet de dissimuler les fichiers et processus de l'utilisateur mais aussi des autres programmes, y compris certains antivirus. Ceci fait que votre antivirus est incapable de supprimer cette infection. Ce trojan n'est pas considéré comme méchant.

 

 

Les sources d'infection du trojan Agent.20

Voici une liste non-exhaustive de logiciels succeptibles d'introduire ce trojan :

• MailSkinner
  
• go-astro
  
• HotTVPlayer
  
• GoRecord
  
• Messenger Skinner
  
• Instant Access
  
• sudoplanet
  
• InternetGameBox
  
• Webmediaplayer
  

 

Les effets du trojan Agent.20

Les effets de ce cheval de Troie sont multiples, il s'agit principalement de :

• une installation d'applications. C'est le cas notamment de l'installation du logiciel malware "MailSkinner" dans le dossier "C:\Program Files\MailSkinner\".
  
• une polution des fichiers temporaires de Microsoft Internet explorer.
  
• une droppe d'infection "Magic.Control / EDGACCESS
  
• " capaple d'envoyer des popups.
  
• une infection des logiciels de messagerie Microsoft Outlook et Outlook express.
  

Les Symptômes visibles du trojan Agent.20

Les symptômes de ce cheval de Troie que perçoivent les utilisateurs infectés sont multiples, il s'agit principalement de :

• un message d'erreur lors de la connexion à Microsoft Outlook et du démarrage de "l'envoi/réception de mails",
  
• un message de malware trouvé "Trojan.Agent.20" ou "Trojan.MailSkinner" lors de l'analyse de votre antivirus.
  
• un popup d'alerte pour les antivirus "WinantivirusPro", "Drive Cleaner" ,"NaviSearch" ,"serwab" ou "System Doctor",
  
• un popup vers des sites pornographiques du genre "http://www.epass-key.com / Crazy-Girls"
  

La détection Hijackthis du trojan Agent.20

Hijackthis détecte ce cheval de Troie. L'application malware "mailskinner".

• Découvert sous la dénomination "mailskinner.exe, ce programme s'installe dans le dossiers Windows des programmes "c:\program files""
  

Voici quelques exemples rencontrés dans les rapports Hijackthis :

 

*** Rapport 1 ***

C:\program files\mailskinner\MailSkinner.exe

O4 - HKCU\..\Run: [MailSkinner] c:\program files\mailskinner\MailSkinner.exe

 

La détection BitDefender du trojan Agent.20

L'antivirus BitDefender détecte ce cheval de Troie.

• L'identification se fait aussi par le biais de "MailSkinner" comme programme installé sous "c:\program files"
  
• Apparition d'un fichier "setup.exe" dans le dossier temporaire d'Internet Explorer.
  
• Apparition d'un fichier "pack.epk" sous "C:\WINDOWS".
  
• Apparition d'un fichier "setup_tmp.exe" sous "C:\WINDOWS\Temp".
  

Voici quelques exemples rencontrés dans les rapports BitDefender :

 

*** Rapport 1 ***

C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE.\O5IRCXYR\setup[1].exe=>(Embedded EXE o)=>(CAB Sfx r)=>setup.msi=>(Embedded CAB) Infecté avec: Trojan.Agent.20

C:\Program Files\MailSkinner\MailSkinner.exe Infecté avec: Trojan.Agent.20

 

*** Rapport 2 ***

C:\WINDOWS\pack.epk=>(Embedded EXE g)=>(CAB Sfx r)=>setup.msi=>(Embedded CAB) Infectés avec Trojan.Agent.20

C:\WINDOWS\pack.epk=>(Embedded EXE g)=>(CAB Sfx r)=>setup.msi=>(Embedded CAB)=>_B78502A451AB41049EDF1482207E250D Infectés avec Trojan.Agent.20

C:\WINDOWS\Temp\setup_tmp.exe=>(CAB Sfx r)=>setup.msi=>(Embedded CAB) Infectés avec Trojan.Agent.20

 

*** Rapport 3 ***

C:\WINDOWS\pack.epk=>(Embedded EXE g)=>(CAB Sfx r)=>setup.msi=>(Embedded CAB) Infecté par: Trojan.Agent.20

C:\WINDOWS\Temp\setup_tmp.exe=>(CAB Sfx r)=>setup.msi=>(Embedded CAB) Infecté par: Trojan.Agent.20

 

Procédure d'éradication manuelle du trojan Agent.20

L'éradication manuelle de ce trojan est plutôt facile. Généralement la suppression du programme "MailSkinner" suffit à résoudre le problème. CCleaner possède un désinstallateur d'applications performant. Le désinstallateur de Windows fonctionne aussi parfaitement.

• Exemple 1 d'infection résolu
  
• Exemple 2 d'infection résolu
  

L'utilitaire Navilog1

Cet utilitaire d'IL-MAFIOSO permet d'éradiquer le trojan Agent.20.

• Télécharger l'utilitaire Navilog1
  
• Consulter la procédure de désinfection avec Navilog1 décrite dans le tutorial de Malekal
  

Autres utilitaires

D'autres utilitaires permettent de traquer le trojan Agent.20.

• CCleaner
  
• VirusTotal
  
• AVG Anti Spyware
  

La prévention

• Penser à faire un nettoyage complet périodique des dossiers temporaires et notamment ceux concernant la navigation internet.
  
• Mettre systèmatiquement à jour les signatures antivirales. Installer de préférence un antivirus avec update automatique.
  
• Faire régulièrement les mises à jour du système Windows, et notamment celles qui portent sur le navigateur "Microsoft Internet Explorer" mais aussi sur les logiciels de messagerie "outlook" et "outlook Express".
  
• Mettre en place un gardien de Base de Registres en mode résidant comme SpyBot. Cette précaution permettra de vous prévenir en cas d'intrusion dans la BDR.
  
• Ne pas accepter de scan antimalware lorsqu'un message d'alerte vous indique que vous êtes infecté.
  
• Consulter régulièrement les processus qui tournent dans votre "Gestionnaire des tâches Windows".
  

Index de traitement des infections

Lexique des ressources dynamiques à supprimer.

J'ai un problème avec une DLL !

Modifié le 28 février 2007 par coolman

[Malekal_morte]

Bonjour,

 

Je vais me permettre une petite précision.

MailSkinner ainsi que les programmes suivants :

# go-astro

# GoRecord

# HotTVPlayer

# MailSkinner

# Messenger Skinner

# Instant Access

# InternetGameBox

# sudoplanet

# Webmediaplayer

 

une fois installé, droppe une infection nommée Magic.Control / EDGACCESS qui est connue pour ouvrir des popups :

# pornographiques du site : http://www.epass-key.com / Crazy-Girls

# Des popup d'alertes pour les antivirus WinantivirusPro, Drive Cleaner, NaviSearch, serwab ou System Doctor

 

Cette infection utilise une technique rootkit qui permet de dissimuler les fichiers et processus de l'utilisateur mais aussi des autres programmes (les antivirus y compris).

Ceci fait que votre antivirus est incapable de supprimer cette infection.

 

IL-MAFIOSO a mis au point fix navilog1 qui permet de supprimer cette infection : http://perso.orange.fr/il.mafioso/Navifix/navilog1.zip

La procédure de désinfection avec navilog1 est décrite dans ce tutorial : http://www.malekal.com/Adware.Magic_Control.php

 

Si vous désirez obtenir une assistance, vous pouvez ouvrir un sujet dans la partie sécurité du forum : http://forum.zebulon.fr/index.php?showforum=51

 

Quelques exemples de cas :

http://forum.zebulon.fr/index.php?showtopic=116663

http://forum.zebulon.fr/index.php?showtopic=116741

 

Merci Malekal pour ce complément d'information, FAQ mise à jour

Modifié le 25 février 2007 par coolman