Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection par le processus Microsoft.exe

Nicolas Coolman
 Partager

Messages recommandés

Nicolas Coolman Mega Power Extrem Member

Nicolas Coolman

Posté(e)
Posté(e) (modifié)

logowindowsxppd8.jpg Infection par le process Malware Microsoft.exe

Le processus microsoft.exe pourrait de part sa consonnance apparaître comme légitime, en fait il n'en est rien. Une multitude de virus, vers ou trojans viennent se greffer sur les répertoires système. Leurs actions sont toutes ciblèes en priorité vers une infection au démarrage du système. Certains d'entres eux vont même jusqu'à "forcer" le système à redémarrer. Le processus pollue les entrées de démarrage de la base de Registre sous 21 noms d'entrées différents, mais Il y en a sûrement d'autres.

 

 

chevalhq5.png Les branches de Base De Registres concernées

Les injections d'entrées se font généralement dans les branches suivantes :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\

 

 

chevalhq5.png Liste des entrées injectées dans la Base De Registres

Voici la liste non exhaustive de ces entrées de Base de Registre avec entre parenthèse le malware qui l'a injecté lorsque celui-ci est connu :

  1. blah service (variante du ver RBOT (aka WIN32.RBOT)
  2. Configuration Loader (ver GAOBOT.JB)
  3. Configuration Loader ( ver W32/Gaobot.ED, variante de W32/Gaobot.AO)
  4. Dcom System Patch (ver RANDEX.MS)
  5. hptools ( variante du ver SDBOT)
  6. Internet
  7. Jufualt
  8. Microsoft
  9. Microsoft Executing (ver AGOBOT.UV)
  10. Microsoft Gay
  11. Microsoft Office (trojan BANKER-VF)
  12. Microsoft service (trojan Backdoor.SdBot.aad)
  13. Microsoft Synchronization Manager (ver W32/Sdbot-OM)
  14. Microsoft Update (ver W32/Gaobot.gen.H, Aka W32.GaoBot.AFJ)
  15. Microsoft Update (WIN32/AGOBOT.3.XY)
  16. Microsoft Update (trojan LMIR.A)
  17. Microsoft Update (trojan Agobot-IB)
  18. Microsoft Update (trojan PWSLmir-F)
  19. Microsoft Update (trojan Bancos-ALY)
  20. Microsoft Update (virus DDoS.RAT.rBot)
  21. Microsoft Update 32 (trojan LMIR.A)
  22. msn
  23. sdktemp (ver SDBOT.CGM)
  24. ShellCode
  25. ShellWindoW
  26. startkey
  27. systam32
  28. System

 

chevalhq5.png Autres injecteurs

Voici d'autres vers ou parasites qui injectent le processus Microsoft.exe et pour lesquels je n'ai pas d'information sur le nom de l'entrée en BDR.

- le ver Win32/Fantasy,

- le parasite W32/Parved.

 

 

chevalhq5.png Microsoft.exe (blah service)

Ce processus est enregistré par une variante du ver RBOT (aka WIN32.RBOT).

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\blah service
     
     
  • Informations HijackThis :
    O4 - HKLM\..\RunServices: [blah service] microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe

 

chevalhq5.png Microsoft.exe (Configuration Loader)

Ce processus est enregistré par le ver GAOBOT.JB ou le ver W32/Gaobot.ED ou le ver W32.HLLW.Gaobot.JB (variante de W32.HLLW.Gaobot.BF). Il exploite la vulnérabilité des failles de securité LSASS. Il crée un buffer overflow afin d'obliger un redémarrage du system. Une fois installé, une connexion par canal IRC (Internet Relay Chat) est mise en place. Il participe à des attaques par denis de service distribué (DDoS). Il envoie des données via le port 135 et exploite la faille de vulnérabilité RPC DCOM. Il tente de diminuer en priorité la sécurité du système en désactivant les processus de protection antivirus et parefeu.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Configuration Loader
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Configuration Loader
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [Configuration Loader] Microsoft.exe
    O4 - HKLM\..\RunServices: [Configuration Loader] Microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe

 

 

chevalhq5.png Microsoft.exe (Dcom System Patch)

Ce processus est enregistré par le ver RANDEX.MS.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Dcom System Patch
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [Dcom System Patch] microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe

 

chevalhq5.png Microsoft.exe (hptools)

Ce processus est enregistré par le ver HDBOT.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hptools
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [hptools] C:\WINDOWS\MEDIA\microsoft.exe
    O4 - Global Startup: Microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\Microsoft.exe
    C:\WINDOWS\MEDIA\microsoft.exe

 

chevalhq5.png Microsoft.exe (Internet)

Pas d'information sur l'origine de l'infection.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Internet
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Internet
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [internet] Microsoft.exe
    O4 - HKLM\..\RunServices: [internet] Microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe

 

chevalhq5.png Microsoft.exe (Jufualt)

Pas d'information sur l'origine de l'infection.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Jufualt
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [Jufualt] microsoft.exe
    O4 - HKCU\..\Run: [Jufualt] microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe

 

chevalhq5.png Microsoft.exe (Microsoft)

Pas d'information sur l'origine de l'infection.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft] Microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft] Microsoft.exe
    O4 - HKCU\..\Run: [Microsoft] Microsoft.exe
    O4 - Global Startup: Microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\System32\microsoft.exe

 

chevalhq5.png Microsoft.exe (Microsoft Executing)

Ce processus est enregistré par le ver AGOBOT.UV.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Executing
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Executing
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Microsoft Executing
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Executing] C:\WINDOWS\system32\Microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Executing] C:\WINDOWS\system32\Microsoft.exe
    O4 - HKLM\..\RunOnce: [Microsoft Executing] C:\WINDOWS\system32\Microsoft.exe
  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe

 

chevalhq5.png Microsoft.exe (Microsoft Gay)

Pas d'information sur l'origine de l'infection.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Gay
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Gay
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Gay] microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Gay] microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\System32\microsoft.exe

 

chevalhq5.png Microsoft.exe (Microsoft Office)

Ce processus est enregistré par le trojan BANKER-VF. Il peut bloquer le démarrage ou l'initialisation des logiciels du pack "Microsoft Office".

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Office
     
     
  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe

 

chevalhq5.png Microsoft.exe (Microsoft service)

Pas d'information sur l'origine de l'infection.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft service
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft service
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft service] microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft service] microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\System32\microsoft.exe

 

chevalhq5.png Microsoft.exe (Microsoft Service)

Ce processus est enregistré par le trojan Backdoor.SdBot.aad. Il s'installe en tant que service sous le nom "Microsoft Service". Ceci afin de pouvoir se lancer ou se régénérer à chaque démarrage du système ou d'une session utilisateur. La gestion de ce service peut être faite via le Gestionnaire des Services Windows "services.msc".

  • Informations HijackThis :
    O23 - Service: Microsoft Service - Unknown owner - C:\WINDOWS\microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\microsoft.exe

 

chevalhq5.png Microsoft.exe (Microsoft Synchronization Manager)

Ce processus est enregistré par le ver W32/Sdbot-OM.

  • Valeurs ou clés de Base de Registres :
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Synchronization Manager
    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Synchronization Manager
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Synchronization Manager
     
     
  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe

 

chevalhq5.png Microsoft.exe (Microsoft Update)

Ce processus est enregistré par le ver GAOBOT.AFJ (aka W32/Gaobot.gen.H.) ou le ver AGOBOT.IM ou le ver WIN32/AGOBOT.3.XY. Il exploite la vulnérabilité des failles de securité LSASS.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Update
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Update] Microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] Microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe

 

chevalhq5.png Microsoft.exe (Microsoft Update)

Ce processus est enregistré par le trojan Agobot-IB. Il permet la prise de commande à distance de la station contaminée.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Update
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Update] Microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] Microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe

 

chevalhq5.png Microsoft.exe (Microsoft Update)

Ce processus est enregistré par le trojan LMIR.A. Il permet la prise de commande à distance de la station contaminée.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Update
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Microsoft Update
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Update] Microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Update] Microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe
     
     
  • Fichiers associés
    system32.exe, windows.exe

 

chevalhq5.png Microsoft.exe (Microsoft Update)

Ce processus est enregistré par le trojan PWSLmir-F. Il permet la prise de commande à distance de la station contaminée.

  • Valeurs ou clés de Base de Registres :
    HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Microsoft Update
     
     
  • Informations HijackThis :
    O4 - HKLM\..\RunOnce: [Microsoft Update] Microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe
     
     
  • Fichiers associés
    Fuckyou.exe

 

chevalhq5.png Microsoft.exe (Microsoft Update)

Ce processus est enregistré par le trojan Bancos-ALY.

  • Valeurs ou clés de Base de Registres :
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Update
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Update] Microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\system32\Microsoft.exe

 

chevalhq5.png Microsoft.exe (Microsoft Update 32)

Ce processus est enregistré par le trojan LMIR.A. Il permet la prise de commande à distance de la station contaminée.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Update 32
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Microsoft Update 32
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [Microsoft Update 32] microsoft.exe
    O4 - HKLM\..\RunServices: [Microsoft Update 32] microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\System32\microsoft.exe

 

chevalhq5.png Microsoft.exe (msn)

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msn
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [msn] C:\WINDOWS\Microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\Microsoft.exe

 

chevalhq5.png Microsoft.exe (sdktemp)

Ce processus est enregistré par le ver SDBOT.CGM ou le ver W32.HLLW.Gaobot.JB. Il s'installe en tant que service sous le nom "sdktemp". Ceci afin de pouvoir se lancer ou se régénérer à chaque démarrage du système ou d'une session utilisateur. La gestion de ce service peut être faite via le Gestionnaire des Services Windows "services.msc".

  • Informations HijackThis :
    O23 - Service: sdktemp - Unknown owner - C:\WINDOWS\microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\microsoft.exe

 

chevalhq5.png Microsoft.exe (ShellCode)

Pas d'information sur l'origine de l'infection.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ShellCode
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [] C:\WINNT\System32\dir2\MicroSoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\system32\dir2\MicroSoft.exe

 

chevalhq5.png Microsoft.exe (ShellWindoW)

Pas d'information sur l'origine de l'infection.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ShellWindoW
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [shellWindoW] C:\WINDOWS\System32\internet\MicroSoft.exe
    O4 - HKLM\..\Run: [shellWindoW] C:\WINDOWS\System32\win99\MicroSoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\System32\internet\MicroSoft.exe
    C:\WINDOWS\System32\win99\MicroSoft.exe

 

chevalhq5.png Microsoft.exe (systam32)

Pas d'information sur l'origine de l'infection.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\systam32
     
     
  • Informations HijackThis :
    O4 - HKLM\..\Run: [systam32] C:\WINDOWS\System32\Rist0r\MicroSoft.exe
    O4 - HKLM\..\Run: [systam32] C:\WINDOWS\System32\MicroSoft\MicroSoft.exe
    O4 - HKLM\..\Run: [systam32] C:\WINDOWS\System32\Sotwyb\MicroSoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\System32\Rist0r\MicroSoft.exe
    C:\WINDOWS\System32\MicroSoft\MicroSoft.exe
    C:\WINDOWS\System32\Sotwyb\MicroSoft.exe

 

 

chevalhq5.png Microsoft.exe (System)

Pas d'information sur l'origine de l'infection.

  • Valeurs ou clés de Base de Registres :
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\System
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\System
     
     
  • Informations HijackThis :
    O4 - HKLM\..\RunServices: [system] microsoft.exe
    O4 - HKCU\..\RunServices: [system] microsoft.exe
     
     
  • Dossiers d'installation
    C:\WINDOWS\system32\microsoft.exe

 

 

articlesgy5.jpg

Index de traitement des infections

Modifié par coolman
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...