Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection par le trojan Agent.qt


Nicolas Coolman
 Partager

Messages recommandés

logowindowsxppd8.jpg Infection par le trojan Agent.qt

Découvert en avril 2006, Il est considéré comme méchant. Il est généralement introduit pat l'utilisateur lors du téléchargement de cracks, ce qui a fait sa fulgurante propagation. Il peut aussi exploiter une faille de sécurité de Windows ou des navigateurs internet. Ce trojan se retrouve sous les noms :

  • "Trojan.Agent.qt",
  • "Troj/Agent-BIX",
  • "Trojan.Win32.Agent.qt",
  • "TrojanDownloader.Small.CML",
  • "Backdoor.Win32.Hupigon.bv",
  • "BackDoor-CVT",
  • "Generic.UIK",
  • "TR/Agent.QT.14",
  • "Trj/Downloader.IWJ",
  • "Troj/Bckdr-JCK",
  • "Trojan.Agent.LH",
  • "Trojan.Click.1152",
  • "Trojan.Win32.Agent",
  • "Trojan.Win32.Agent.qt",
  • "W32/Agent.AAYI",
  • "W32/Agent.CVT!tr",
  • "Win32/TrojanDownloader.Small.CML",
  • "Win32:Trojano-BJ",

 

 

chevalhq5.png Les sources d'infection du trojan Agent.qt

Voici une liste non-exhaustive de logiciels succeptibles d'introduire ce trojan. Ce sont généralement des crack de jeux ou de logiciels du commerce :

  • Microsoft Internet Explorer (faille de sécurité),
  • Crack de PowerQuest Partition Magic 8.0
  • Crack de Microsoft Office Professional Plus 2007 Beta2
  • Crack de Max Payne v1.0.2 No-CD

chevalhq5.png Les effets du trojan Agent.qt

Les effets de ce cheval de Troie sont multiples, il s'agit principalement de :

  • des attaques répétées du navigateur internet jusqu'à la découverte et l'exploitation d'une faille de sécurité,
  • une installation d'applications malwares,
  • une diminution de la sécurité par vol d'informations,
  • une régénération à chaque démarrage du système,
  • installation d'occurrences dans le dossier de quarantaine de votre antivirus,
  • installation d'occurences dans le dossier de restauration système "System Volume Information",

chevalhq5.png Les Symptômes visibles du trojan Agent.qt

Les symptômes de ce cheval de Troie que perçoivent les utilisateurs infectés sont multiples, il s'agit principalement de :

  • une lenteur anormale du refraichissement des écrans dans votre navigateur internet,
  • une diminution des performances de votre système,
  • des alertes périodiques de sécurité de votre antivirus indiquant l'infection de votre système,
  • un popup vers des sites pornographiques

chevalhq5.png La détection Ewido du trojan Agent.qt

Ewido détecte ce cheval de Troie.

 

Voici quelques exemples rencontrés dans les rapports Ewido :

 

[224] C:\WINDOWS\system32\winccf32.dll -> Trojan.Agent.qt : Nettoyer et sauvegarder

C:\WINDOWS\system32\winccf32.dll -> Trojan.Agent.qt : Nettoyer et sauvegarder

 

C:\Documents and Settings\Sylvie BASLER\Local Settings\Temporary Internet Files\Content.IE5\GI2USCRX\srvfty[1].exe -> Trojan.Agent.qt : Nettoyer et sauvegarder

 

 

 

chevalhq5.png La détection Hijackthis du trojan

Hijackthis détecte ce cheval de Troie.

 

Voici quelques exemples rencontrés dans les rapports Hijackthis :

 

O20 - Winlogon Notify: winbjt32 - C:\WINDOWS\SYSTEM32\winbjt32.dll <<- Trojan.Win32.Agent.QT
O20 - Winlogon Notify: winhdn32 - winhdn32.dll (file missing)

 

chevalhq5.png La détection Kaspersky du trojan

L'antivirus Kaspersky détecte ce cheval de Troie.

 

Voici quelques exemples rencontrés dans les rapports Kaspersky :

*** Rapport 1 ***

C:\Documents and Settings\...\Local Settings\Temp\mst49.tmp Infecté : Trojan.Win32.Agent.qt ignoré

C:\Documents and Settings\...\Local Settings\Temp\mst57.tmp Infecté : Trojan.Win32.Agent.qt ignoré

C:\Documents and Settings\HP_Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\64LVPPSG\Max_Payne_v1.0.2_No-CD_Crack[1].rar/crack.exe Infecté : Trojan.Win32.Agent.qt ignoré

 

chevalhq5.png L'utilitaire AVG Anti-Spyware

Cet utilitaire permet d'éradiquer le trojan Agent.qt

  • Rapport d'éradication
    C:\Documents and Settings\perso\Local Settings\Temp\mst10D.tmp -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{EDFCE279-96F5-4585-A7F6-8A69BC3D3202}\RP471\A0185890.dll -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\System Volume Information\_restore{EDFCE279-96F5-4585-A7F6-8A69BC3D3202}\RP474\A0190766.dll -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\Temp\mst251.tmp -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\Temp\mst274.tmp -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\Temp\mst368.tmp -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\Temp\mst44E.tmp -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\Temp\mst49F.tmp -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\Temp\mst4CD.tmp -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\Temp\mstED.tmp -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\drvfan.dll -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\drvguf.dll -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\drvmoc.dll -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\drvnuj.dll -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\drvroz.dll -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\drvwog.dll -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\Program Files\Sunbelt Software\CounterSpy Client\Quarantine\CA8C01E8-8896-4BEA-BF0D-52209D\C0A5A9CC-1FFD-43CE-9990-08639C -> Trojan.Agent.qt : Nettoyé.
    C:\System Volume Information\_restore{00BE5197-B72C-459C-A716-FDEBB40EFA97}\RP124\A0039814.dll -> Trojan.Agent.qt : Nettoyé.
    C:\System Volume Information\_restore{00BE5197-B72C-459C-A716-FDEBB40EFA97}\RP124\A0039815.dll -> Trojan.Agent.qt : Nettoyé.
     
    C:\Program Files\Sunbelt Software\CounterSpy Client\Quarantine\CA8C01E8-8896-4BEA-BF0D-52209D\C0A5A9CC-1FFD-43CE-9990-08639C -> Trojan.Agent.qt : Nettoyé.
    C:\System Volume Information\_restore{00BE5197-B72C-459C-A716-FDEBB40EFA97}\RP124\A0039814.dll -> Trojan.Agent.qt : Nettoyé.
    C:\System Volume Information\_restore{00BE5197-B72C-459C-A716-FDEBB40EFA97}\RP124\A0039815.dll -> Trojan.Agent.qt : Nettoyé.
     
    C:\WINDOWS\svchost.exe -> Logger.Agent.or : Nettoyé et sauvegardé (mise en quarantaine).
    C:\WINDOWS\system32\drvsab.dll -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\download\Microsoft_Office_Professional_Plus_2007_Beta2.rar/crack.exe -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\download\PowerQuest_Partition_Magic_8.0_.rar/crack.exe -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).
    C:\download\PowerQuest_Partition_Magic_8.0_.rar/crack.exe -> Trojan.Agent.qt : Nettoyé et sauvegardé (mise en quarantaine).

chevalhq5.png Procédure d'éradication manuelle du trojan

L'éradication manuelle de ce trojan est difficile.

  • corbeillelo3.png Les processus
     
  • Arrêter le Processus "svchost.exe" --> "C:\WINDOWS\". Ce processus système lorqu'il est légitime est présent --> "C:\WINDOWS\system32".
     
    corbeillelo3.png Les ressources dynamiques
     
  • Décharger les fichiers de ressources dynamiques (DLL) :
     
    - Les ressources constituées avec le prefixe = "A0" et se terminant par un suffixe composé de six chiffres aléatoires. Voici une liste de ressources rencontrées dans les rapports :
    • "A0002372.dll" --> "C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP28\"
       
    • "A0007273.dll" --> "C:\System Volume Information\_restore{685712A9-A18E-4747-B7FC-B036ECAB1DC2}\RP8\"
       
    • "A0007174.dll" --> "C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP28\"
       
    • "A0010877.dll" --> "C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP75\"
       
    • "A0011759.dll" --> "C:\System Volume Information\_restore{FE9DB679-8B9F-4569-9471-BFCEFDF23881}\RP59\"
       
    • "A0039814.dll" --> "C:\System Volume Information\_restore{00BE5197-B72C-459C-A716-FDEBB40EFA97}\RP124\"
       
    • "A0039815.dll" --> "C:\System Volume Information\_restore{00BE5197-B72C-459C-A716-FDEBB40EFA97}\RP124\"
       
    • "A0326558.dll" --> "C:\System Volume Information\_restore{6309892D-1CD9-4050-BB84-B7D7408152CE}\RP423\"
       
    • "A0326608.dll" --> "C:\System Volume Information\_restore{6309892D-1CD9-4050-BB84-B7D7408152CE}\RP423\"
       
    • "A0326625.dll" --> "C:\System Volume Information\_restore{6309892D-1CD9-4050-BB84-B7D7408152CE}\RP423\"
       
    • "A0330771.dll" --> "C:\System Volume Information\_restore{A2CF9F85-C401-4419-AE04-E811F4B24A7C}\RP567\"
       
    • "A0330772.dll" --> "C:\System Volume Information\\_restore{A2CF9F85-C401-4419-AE04-E811F4B24A7C}\RP567\"
       
    • "A0330773.dll" --> "C:\System Volume Information\\_restore{A2CF9F85-C401-4419-AE04-E811F4B24A7C}\RP567\"
       
    • "A0185890.dll" --> "C:\System Volume Information\_restore{EDFCE279-96F5-4585-A7F6-8A69BC3D3202}\RP471\"
       
    • "A0190766.dll" --> "C:\System Volume Information\_restore{EDFCE279-96F5-4585-A7F6-8A69BC3D3202}\RP474\"

    - Les ressources constituées avec le prefixe = "drv" et se terminant par un suffixe composé de trois lettres aléatoires. Elles se trouvent dans le dossier "C:\WINDOWS\system32\". Voici une liste de ressources rencontrées dans les rapports :

    • "drvbav.dll",
       
    • "drvcun.dll",
       
    • "drvdab.dll",
       
    • "drvfan.dll",
       
    • "drvgav.dll",
       
    • "drvguf.dll",
       
    • "drvhak.dll",
       
    • "drvjal.dll",
       
    • "drvjus.dll",
       
    • "drvmoc.dll",
       
    • "drvnuj.dll",
       
    • "drvroz.dll",
       
    • "drvvac.dll",
       
    • "drvwog.dll",

    - Les ressources constituées avec le prefixe = "Win" suivit de l'infixe composé de trois lettres aléatoires et se terminant par le suffixe = "32". Elles se trouvent dans le dossier "C:\WINDOWS\system32\". Voici une liste de ressources rencontrées dans les rapports :

    • "winbfi32.dll",
       
    • "winblh32.dll",
       
    • "winbjt32.dll",
       
    • "winbjv32.dll",
       
    • "winccf32.dll",
       
    • "windvw32.dll",
       
    • "wineak32.dll",
       
    • "wineij32.dll",
       
    • "wineil32.dll",
       
    • "winemx32.dll",
       
    • "winetn32.dll",
       
    • "winexy32.dll",
       
    • "winffn32.dll",
       
    • "winghy32.dll",
       
    • "wingkb32.dll",
       
    • "wingsa32.dll",
       
    • "winhdn32.dll",
       
    • "winhqd32.dll",
       
    • "winjgf32.dll",
       
    • "winjyg32.dll",
       
    • "winjyp32.dll",
       
    • "winhdn32.dll",
       
    • "winhoq32.dll",
       
    • "winhwc32.dll",
       
    • "winhoo32.dll",
       
    • "winino32.dll",
       
    • "winjee32.dll",
       
    • "winjrs32.dll",
       
    • "winjvd32.dll",
       
    • "winkvh32.dll",
       
    • "winlgj32.dll",
       
    • "winmbj32.dll",
       
    • "winmfu32.dll",
       
    • "winmmt32.dll",
       
    • "winmxw32.dll",
       
    • "winpdc32.dll",
       
    • "winpsa32.dll",
       
    • "winptp32.dll",
       
    • "winrkp32.dll",
       
    • "winrkq32.dll",
       
    • "wintfj32.dll",
       
    • "wintjs32.dll",
       
    • "wintou32.dll",
       
    • "wintuh32.dll",
       
    • "winubg32.dll",
       
    • "winunh32.dll",
       
    • "winwea32.dll",
       
    • "winwil32.dll",
       
    • "winwly32.dll",
       
    • "winwvw32.dll",
       
    • "winzoa32.dll",
       
    • "winzwr32.dll",
       
    • "winzzd32.dll",

     

    - Les autres ressources. Voici une liste de ressources rencontrées dans les rapports :

    • "AdServ.dll" --> "C:\WINDOWS\system32\",

    corbeillelo3.png Les fichiers

     

    [*]Rechercher et supprimer les fichiers suivants :

     

    - Le fichier le plus fréquemment rencontré est "crack.exe". Voici une liste de fichiers rencontrées dans les rapports :

    • "A0010292.exe" --> "C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP73\"
       
    • "an0kf6or.exe" --> "C:\WINDOWS\Temp\"
       
    • "ntkernel.exe" --> "C:\"
       
    • "crack.exe" --> "C:\...\PowerQuest_Partition_Magic_8.0_.rar/"
       
    • "crack.exe" --> "C:\...\Microsoft_Office_Professional_Plus_2007_Beta2.rar"
       
    • "crack.exe" --> "C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\64LVPPSG\Max_Payne_v1.0.2_No-CD_Crack.rar"
       
    • "srvfty.exe" --> "C:\Documents and Settings\...\Local Settings\Temporary Internet Files\Content.IE5\GI2USCRX\"
       
    • "__delete_on_reboot__w_i_n_f_f_n_3_2_._d_l_l_" --> "C:\WINDOWS\system32"
       
    • "csfwazm7.exe" --> "C:\WINDOWS\Temp\"

    - Les fichiers constituées avec le prefixe "cli" et un suffixe aléatoire composé de 2 chiffres. Voici une liste de fichiers rencontrées dans les rapports :

    • "cli40.tmp" --> "C:\Documents and Settings\...\Local Settings\Temp\"
       
    • "cli64.tmp" --> "C:\Documents and Settings\...\Local Settings\Temp\"

    - Les fichiers constituées avec le prefixe "mst" et un suffixe héxadécimal aléatoire. Voici une liste de fichiers rencontrées dans les rapports :

    • "mst10D.tmp" --> "C:\Documents and Settings\...\Local Settings\Temp\"
       
    • "mst1C.tmp" --> "C:\WINDOWS\Temp\"
       
    • "mst251.tmp" --> "C:\WINDOWS\Temp\"
       
    • "mst274.tmp" --> "C:\WINDOWS\Temp\"
       
    • "mst368.tmp" --> "C:\WINDOWS\Temp\"
       
    • "mst44E.tmp" --> "C:\WINDOWS\Temp\"
       
    • "mst49F.tmp" --> "C:\WINDOWS\Temp\"
       
    • "mst4CD.tmp" --> "C:\WINDOWS\Temp\"
       
    • "mstED.tmp" --> "C:\WINDOWS\Temp\"

chevalhq5.png La prévention

  • Penser à faire un nettoyage complet périodique des dossiers temporaires et notamment ceux concernant la navigation internet.
  • Mettre systèmatiquement à jour les signatures antivirales. Installer de préférence un antivirus avec update automatique.
  • Faire régulièrement les mises à jour du système Windows, et notamment celles qui portent sur le navigateur "Microsoft Internet Explorer" mais aussi sur les logiciels de messagerie "outlook" et "outlook Express".
  • Mettre en place un gardien de Base de Registres en mode résidant comme SpyBot. Cette précaution permettra de vous prévenir en cas d'intrusion dans la BDR.
  • Ne pas accepter de scan antimalware lorsqu'un message d'alerte vous indique que vous êtes infecté.
  • Consulter régulièrement les processus qui tournent dans votre "Gestionnaire des tâches Windows".

articlesgy5.jpg

Index de traitement des infections

Lexique des ressources dynamiques à supprimer.

J'ai un problème avec une DLL !

Modifié par coolman
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Partager

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...