Backdoor.Win32.IRCBot.aaq

Malekal_morte · le 3 juillet 2007

La version WebCam est moins interressante car moins de variante.

Pour les curieux voir : http://www.malekal.com/webcam_00002.com_IM...n32.Sohanad.php

-----------------------

Je vous mets le scan de la nouvelle variante du ver MSN (variante acd) du dimanche 1er.

Encore une fois Antivir l'intègre mais pas Avast!.

Si vous regardez la date de sortie de la variante précédente, vous verrez qu'elle est aussi sortie le 1er du mois.

Ensuite vers le 15 du mois une nouvelle variante est sortie.

Je pense que l'auteur sort une variante tous les 15 jours (on va le vérifier facilement le 15 de ce mois).

Etant donne qu'Avast! met environ 15 jours pour intégrer la variante, cela signifie qu'Avast! aura toujours une variante de retard soit donc la dernière en circulation.

Les utilisateurs Avast! ne seront donc jamais protégés.

Je vais essayer de faire des scans régulièrement pour vérifier cela.

Je vous laisse imaginer ce que ça peut donner sur des infections qui sont mises à jour toutes les semaines.

Complete scanning result of "photo_album-2007.scr", received in VirusTotal at 07.03.2007, 15:19:47 (CET).

Antivirus Version Update Result

AhnLab-V3 2007.7.2.0 07.03.2007 Win32/IRCBot.worm.variant

AntiVir 7.4.0.37 07.03.2007 Worm/IRCBot.52736.4

Authentium 4.93.8 07.03.2007 no virus found

Avast 4.7.997.0 07.02.2007 no virus found

AVG 7.5.0.476 07.03.2007 Dropper.Delf.EL

BitDefender 7.2 07.03.2007 Trojan.Dropper.Delf.HS

CAT-QuickHeal 9.00 07.02.2007 no virus found

ClamAV devel-20070416 07.03.2007 Trojan.Dropper-1181

DrWeb 4.33 07.03.2007 Trojan.MulDrop.7373

eSafe 7.0.15.0 07.03.2007 Win32.IRCBot.acd

eTrust-Vet 30.8.3760 07.03.2007 Win32/Aifam.A

Ewido 4.0 07.03.2007 Backdoor.IRCBot.acd

FileAdvisor 1 07.03.2007 no virus found

Fortinet 2.91.0.0 07.03.2007 W32/Delf.BNO!tr.dldr

F-Prot 4.3.2.48 07.02.2007 no virus found

F-Secure 6.70.13030.0 07.03.2007 Backdoor.Win32.IRCBot.acd

Ikarus T3.1.1.8 07.03.2007 Generic.Dropper.Delf

Kaspersky 4.0.2.24 07.03.2007 Backdoor.Win32.IRCBot.acd

McAfee 5065 07.02.2007 no virus found

Microsoft 1.2701 07.02.2007 no virus found

NOD32v2 2374 07.03.2007 Win32/IRCBot.XW

Norman 5.80.02 07.03.2007 W32/IRCBot.gen2

Panda 9.0.0.4 07.02.2007 no virus found

Sophos 4.19.0 06.24.2007 no virus found

Sunbelt 2.2.907.0 07.02.2007 no virus found

Symantec 10 07.03.2007 W32.SillyIRC

TheHacker 6.1.6.141 07.02.2007 Backdoor/IRCBot.acd

VBA32 3.12.0.2 07.03.2007 Trojan.MulDrop.7373

VirusBuster 4.3.23:9 07.02.2007 Trojan.DL.Agent.IHK

Webwasher-Gateway 6.0.1 07.03.2007 Worm.IRCBot.52736.4

Aditional Information

File size: 52736 bytes

MD5: ee3ed79ffb63344b6e50458b68a7814a

SHA1: 15b1e629ef96ff8cba3fee127b8abc8a88b3f9df

y@nnik · le 3 juillet 2007

Je crois qu'il y a une nouvelle variante pour la Webcam.

Le fichier concerné est winbbs.exe

Voici un scan chez Virustotal : (version ZIP)

Antivirus Version Update Result
AhnLab-V3 2007.7.2.0 07.03.2007 no virus found

AntiVir 7.4.0.37 07.03.2007 no virus found

Authentium 4.93.8 07.03.2007 no virus found

Avast 4.7.997.0 07.03.2007 no virus found

AVG 7.5.0.476 07.03.2007 no virus found

BitDefender 7.2 07.04.2007 Trojan.Virtumod.IZ

CAT-QuickHeal 9.00 07.03.2007 TrojanDownloader.AutoIt.g

ClamAV devel-20070416 07.03.2007 no virus found

DrWeb 4.33 07.03.2007 Win32.HLLW.Crazy

eSafe 7.0.15.0 07.03.2007 suspicious Trojan/Worm

eTrust-Vet 30.8.3761 07.03.2007 no virus found

Ewido 4.0 07.03.2007 no virus found

FileAdvisor 1 07.04.2007 no virus found

Fortinet 2.91.0.0 07.03.2007 no virus found

F-Prot 4.3.2.48 07.03.2007 no virus found

F-Secure 6.70.13030.0 07.03.2007 no virus found

Ikarus T3.1.1.8 07.03.2007 Trojan-Downloader.Win32.Banload.ams

Kaspersky 4.0.2.24 07.04.2007 no virus found

McAfee 5066 07.03.2007 no virus found

Microsoft 1.2701 07.03.2007 no virus found

NOD32v2 2376 07.03.2007 no virus found

Norman 5.80.02 07.03.2007 no virus found

Panda 9.0.0.4 07.04.2007 no virus found

Sophos 4.19.0 06.28.2007 no virus found

Sunbelt 2.2.907.0 07.02.2007 Virtumonde

Symantec 10 07.04.2007 no virus found

TheHacker 6.1.6.141 07.02.2007 no virus found

VBA32 3.12.0.2 07.03.2007 no virus found

VirusBuster 4.3.23:9 07.03.2007 no virus found

Webwasher-Gateway 6.0.1 07.03.2007 Worm.Win32.ModifiedUPX.gen!90 (suspicious)

En revanche, je doute que ce soit Virtumonde. Mais ce fichier est bien infecté.

Malekal_morte · le 4 juillet 2007

créé un sujet pour ce vers, sinon ça va être ingérable!

le scan aujourd'hui...... no comment.

Complete scanning result of "myalbum2007.zip", received in VirusTotal at 07.04.2007, 21:43:34 (CET).

Antivirus Version Update Result

AhnLab-V3 2007.7.5.0 07.04.2007 no virus found

AntiVir 7.4.0.37 07.04.2007 Worm/IRCBot.ACD

Authentium 4.93.8 07.04.2007 W32/Backdoor.AZWJ

Avast 4.7.997.0 07.04.2007 no virus found

AVG 7.5.0.476 07.04.2007 Dropper.Delf.EL

BitDefender 7.2 07.04.2007 Trojan.Dropper.Delf.HS

CAT-QuickHeal 9.00 07.04.2007 Backdoor.IRCBot.acd

ClamAV devel-20070416 07.04.2007 Trojan.Dropper-1181

DrWeb 4.33 07.04.2007 Trojan.MulDrop.7373

eSafe 7.0.15.0 07.04.2007 Win32.IRCBot.acd

eTrust-Vet 30.8.3762 07.04.2007 Win32/Lekne.B

Ewido 4.0 07.04.2007 Backdoor.IRCBot.acd

FileAdvisor 1 07.04.2007 no virus found

Fortinet 2.91.0.0 07.03.2007 W32/Delf.BNO!tr.dldr

F-Prot 4.3.2.48 07.04.2007 W32/Backdoor.AZWJ

F-Secure 6.70.13030.0 07.04.2007 Backdoor.Win32.IRCBot.acd

Ikarus T3.1.1.8 07.04.2007 Generic.Dropper.Delf

Kaspersky 4.0.2.24 07.04.2007 Backdoor.Win32.IRCBot.acd

McAfee 5067 07.04.2007 W32/IRCbot.worm.gen.o

Microsoft 1.2701 07.04.2007 Backdoor:Win32/IRCbot.OP

NOD32v2 2378 07.04.2007 Win32/IRCBot.XW

Norman 5.80.02 07.04.2007 W32/IRCBot.gen2

Panda 9.0.0.4 07.04.2007 W32/IrcBot.AYK.worm

Sophos 4.19.0 06.28.2007 no virus found

Sunbelt 2.2.907.0 07.04.2007 no virus found

Symantec 10 07.04.2007 W32.SillyIRC

TheHacker 6.1.6.142 07.04.2007 Backdoor/IRCBot.acd

VBA32 3.12.0.2 07.03.2007 Trojan.MulDrop.7373

VirusBuster 4.3.23:9 07.04.2007 Trojan.DL.Agent.IHK

Webwasher-Gateway 6.0.1 07.04.2007 Worm.IRCBot.ACD

Aditional Information

File size: 52874 bytes

MD5: 07538b61e9f9964df726773664f57ce1

SHA1: bb2da4ad449e3441a615e6fe4df7a8b93ab9ced1

y@nnik · le 5 juillet 2007

Tu as envoyé le fichier à Avast ?

C'est pas très sérieux tout ça. Quasiment tous les antivirus le détècte maintenant. :/

Malekal_morte · le 5 juillet 2007

non, ils répondent jamais.

Falkra · le 5 juillet 2007

C'est hélas un constat que j'ai fait également, ils ne répondent pas, et la prise en compte d'un fichier que j'avais envoyé a pris 3 semaines, et ce n'est sans doute pas grâce à mon envoi. Exaspérant. Vous imaginez en trois semaines, sur une diffusion type ver, le nombre de machines infectables, vous avez au minimum une variante de disponible en trois semaines (parfois une par semaine)... la suite finit dans la section "Analyse rapports HijackThis, Eradication malwares".

=> Avast direction ajout/suppression de programmes (surtout suppression), et j'ai mis Antivir.

sur le forum dont je m'occupe, les infections par ce ver étaient sur des machines où tournait Avast hélas.

La seule chose à faire, en dehors de ces questions d'antivirus, c'est d'oublier le p2p, les cracks, la pornographie, et le clic sauvage par mail. Sur une machine à jour, bien sûr, et avec des logiciels (firewall notamment), bine configuré. Pour ça, les forums donnent aussi un coup de main si besoin.

Modifié le 5 juillet 2007 par Falkra

Malekal_morte · le 5 juillet 2007

Ce qui est navrant... c'est qu'il est toujours bien placé sur les comparatifs et conseillé par les néophytes.

Toute façon, sur les comparatifs.. les AV sont tous bien placés 95-99% de détections.. ça me fait bien rire.

Le scan de ce soir... rien à bougé..

Complete scanning result of "myalbum2007.zip", received in VirusTotal at 07.05.2007, 22:53:58 (CET).

Antivirus Version Update Result

AhnLab-V3 2007.7.5.0 07.05.2007 no virus found

AntiVir 7.4.0.39 07.05.2007 Worm/IRCBot.ACD

Authentium 4.93.8 07.04.2007 W32/Backdoor.AZWJ

Avast 4.7.997.0 07.05.2007 no virus found

AVG 7.5.0.476 07.05.2007 Dropper.Delf.EL

BitDefender 7.2 07.05.2007 Trojan.Dropper.Delf.HS

CAT-QuickHeal 9.00 07.05.2007 Backdoor.IRCBot.acd

ClamAV devel-20070416 07.05.2007 Trojan.Dropper-1181

DrWeb 4.33 07.05.2007 Trojan.MulDrop.7373

eSafe 7.0.15.0 07.05.2007 Win32.IRCBot.acd

eTrust-Vet 30.8.3766 07.05.2007 Win32/Lekne.B

Ewido 4.0 07.05.2007 Backdoor.IRCBot.acd

FileAdvisor 1 07.05.2007 no virus found

Fortinet 2.91.0.0 07.05.2007 W32/Delf.BNO!tr.dldr

F-Prot 4.3.2.48 07.04.2007 W32/Backdoor.AZWJ

F-Secure 6.70.13260.0 07.05.2007 Backdoor.Win32.IRCBot.acd

Ikarus T3.1.1.8 07.05.2007 Generic.Dropper.Delf

Kaspersky 4.0.2.24 07.05.2007 Backdoor.Win32.IRCBot.acd

McAfee 5068 07.05.2007 W32/IRCbot.worm.gen.o

Microsoft 1.2701 07.05.2007 Backdoor:Win32/IRCbot.OP

NOD32v2 2379 07.04.2007 Win32/IRCBot.XW

Norman 5.80.02 07.05.2007 W32/IRCBot.gen2

Panda 9.0.0.4 07.05.2007 W32/IrcBot.AYK.worm

Sophos 4.19.0 06.24.2007 no virus found

Sunbelt 2.2.907.0 07.04.2007 no virus found

Symantec 10 07.05.2007 W32.SillyIRC

TheHacker 6.1.6.143 07.05.2007 Backdoor/IRCBot.acd

VBA32 3.12.0.2 07.05.2007 Trojan.MulDrop.7373

VirusBuster 4.3.23:9 07.05.2007 Trojan.DL.Agent.IHK

Webwasher-Gateway 6.0.1 07.05.2007 Worm.IRCBot.ACD

Aditional Information

File size: 52874 bytes

MD5: 07538b61e9f9964df726773664f57ce1

SHA1: bb2da4ad449e3441a615e6fe4df7a8b93ab9ced1

Malekal_morte · le 7 juillet 2007

Avast! a enfin pris en compte le fichier installant l'infection soit donc environ une semaine après la sortie de l'infection.

(La variante d'avant il avait fallu 15 jours).

Avast! est le dernier antivirus qui a intégré cette infection, encore une fois, on peut voir que ce n'est pas l'antivirus le plus réactif et qu'ils laissent donc le plus longtemps ses utilisateurs sans protection.

Complete scanning result of "myalbum2007.zip", received in VirusTotal at 07.07.2007, 09:48:33 (CET).

Antivirus Version Update Result

AhnLab-V3 2007.7.7.0 07.06.2007 no virus found

AntiVir 7.4.0.39 07.06.2007 Worm/IRCBot.ACD

Authentium 4.93.8 07.07.2007 W32/Backdoor.AZWJ

Avast 4.7.997.0 07.06.2007 Win32:Delf-FCK

AVG 7.5.0.476 07.06.2007 Dropper.Delf.EL

BitDefender 7.2 07.07.2007 Trojan.Dropper.Delf.HS

CAT-QuickHeal 9.00 07.06.2007 Backdoor.IRCBot.acd

ClamAV devel-20070416 07.06.2007 Trojan.Dropper-1181

DrWeb 4.33 07.06.2007 Trojan.MulDrop.7373

eSafe 7.0.15.0 07.06.2007 Win32.IRCBot.acd

eTrust-Vet 30.8.3769 07.07.2007 Win32/Lekne.B

Ewido 4.0 07.06.2007 Backdoor.IRCBot.acd

FileAdvisor 1 07.07.2007 no virus found

Fortinet 2.91.0.0 07.07.2007 W32/Delf.BNO!tr.dldr

F-Prot 4.3.2.48 07.06.2007 W32/Backdoor.AZWJ

F-Secure 6.70.13260.0 07.06.2007 Backdoor.Win32.IRCBot.acd

Ikarus T3.1.1.8 07.07.2007 Generic.Dropper.Delf

Kaspersky 4.0.2.24 07.07.2007 Backdoor.Win32.IRCBot.acd

McAfee 5069 07.06.2007 W32/IRCbot.worm.gen.o

Microsoft 1.2704 07.07.2007 Backdoor:Win32/IRCbot.OP

NOD32v2 2383 07.06.2007 Win32/IRCBot.XW

Norman 5.80.02 07.06.2007 W32/IRCBot.gen2

Panda 9.0.0.4 07.07.2007 W32/IrcBot.AYK.worm

Sophos 4.19.0 07.06.2007 W32/IRCBot-WV

Sunbelt 2.2.907.0 07.07.2007 no virus found

Symantec 10 07.07.2007 W32.SillyIRC

TheHacker 6.1.6.143 07.05.2007 Backdoor/IRCBot.acd

VBA32 3.12.0.2 07.07.2007 Trojan.MulDrop.7373

VirusBuster 4.3.23:9 07.06.2007 Trojan.DL.Agent.IHK

Webwasher-Gateway 6.0.1 07.07.2007 Worm.IRCBot.ACD

Aditional Information

File size: 52874 bytes

MD5: 07538b61e9f9964df726773664f57ce1

SHA1: bb2da4ad449e3441a615e6fe4df7a8b93ab9ced1

Malekal_morte · le 22 juillet 2007

Nouvelle variante sur ce sujet : http://forum.zebulon.fr/index.php?showtopic=126400

Malekal_morte · le 30 juillet 2007

Il est de retour.......

O21 - SSODL: printers - {4EBD0208-6F4B-40DB-AC74-46E1EB5A9DB9} - libcintles3.dll (file missing)

O21 - SSODL: modems - {6765DF25-9FE1-48FA-A1D5-3526ACC1EE42} - notice.dll (file missing)

File libcintles3.dll received on 07.30.2007 12:33:49 (CET)

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.

Email:

Antivirus Version Last Update Result

AhnLab-V3 2007.7.28.0 2007.07.30 -

AntiVir 7.4.0.50 2007.07.30 Worm/IRCBot.26000.1

Authentium 4.93.8 2007.07.27 -

Avast 4.7.997.0 2007.07.30 -

AVG 7.5.0.476 2007.07.30 -

BitDefender 7.2 2007.07.30 Backdoor.IRCBot.IS

CAT-QuickHeal 9.00 2007.07.28 -

ClamAV 0.91 2007.07.30 Trojan.IRCBot-1088

DrWeb 4.33 2007.07.30 BackDoor.IRC.Sdbot.1703

eSafe 7.0.15.0 2007.07.29 -

eTrust-Vet 31.1.5016 2007.07.30 -

Ewido 4.0 2007.07.30 -

FileAdvisor 1 2007.07.30 -

Fortinet 2.91.0.0 2007.07.30 -

F-Prot 4.3.2.48 2007.07.27 -

F-Secure 6.70.13030.0 2007.07.30 Backdoor.Win32.IRCBot.acd

Ikarus T3.1.1.8 2007.07.30 Backdoor.Win32.IRCBot.acd

Kaspersky 4.0.2.24 2007.07.30 Backdoor.Win32.IRCBot.acd

McAfee 5085 2007.07.27 -

Microsoft 1.2704 2007.07.30 -

NOD32v2 2428 2007.07.30 a variant of Win32/IRCBot.WO

Norman 5.80.02 2007.07.27 -

Panda 9.0.0.4 2007.07.29 Suspicious file

Rising 19.34.02.00 2007.07.30 Backdoor.Win32.IRCbot.bcg

Sophos 4.19.0 2007.07.26 -

Sunbelt 2.2.907.0 2007.07.28 -

Symantec 10 2007.07.30 W32.Mubla.B

TheHacker 6.1.7.158 2007.07.30 -

VBA32 3.12.2.1 2007.07.30 -

VirusBuster 4.3.26:9 2007.07.30 -

Webwasher-Gateway 6.0.1 2007.07.30 Worm.IRCBot.26000.1

Additional information

File size: 26000 bytes

MD5: ab98afeb52ce867bd89f310f2104c2f8

SHA1: eed1ed1744937d20485ee5ea94e165822e0f74b5

Note pour Avira, il sera ajouté ce soir dans leur définition.

File notice.dll received on 07.30.2007 12:47:00 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Loading server information...

Your file is queued in position: 10.

Estimated start time is between 93 and 133 seconds.

Do not close the window untill scan is complete.

The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.

If you are waiting for more than five minutes you have to resend your file.

Your file is being scanned by VirusTotal in this moment,

results will be shown as they're generated.

Compact

Print results Print results

Your file has expired or do not exists.

Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.

Email:

Antivirus Version Last Update Result

AhnLab-V3 2007.7.28.0 2007.07.30 -

AntiVir 7.4.0.50 2007.07.30 -

Authentium 4.93.8 2007.07.27 -

Avast 4.7.997.0 2007.07.30 -

AVG 7.5.0.476 2007.07.30 -

BitDefender 7.2 2007.07.30 Backdoor.IRCBot.HB

CAT-QuickHeal 9.00 2007.07.28 -

ClamAV 0.91 2007.07.30 -

DrWeb 4.33 2007.07.30 BackDoor.IRC.Sdbot.1703

eSafe 7.0.15.0 2007.07.29 -

eTrust-Vet 31.1.5016 2007.07.30 Win32/Checkout.E

Ewido 4.0 2007.07.30 -

FileAdvisor 1 2007.07.30 -

Fortinet 2.91.0.0 2007.07.30 -

F-Prot 4.3.2.48 2007.07.27 -

F-Secure 6.70.13030.0 2007.07.30 Backdoor.Win32.IRCBot.acd

Ikarus T3.1.1.8 2007.07.30 -

Kaspersky 4.0.2.24 2007.07.30 Backdoor.Win32.IRCBot.acd

McAfee 5085 2007.07.27 -

Microsoft 1.2704 2007.07.30 -

NOD32v2 2428 2007.07.30 a variant of Win32/IRCBot.WO

Norman 5.80.02 2007.07.27 -

Panda 9.0.0.4 2007.07.29 Suspicious file

Rising 19.34.02.00 2007.07.30 -

Sophos 4.19.0 2007.07.26 -

Sunbelt 2.2.907.0 2007.07.28 -

Symantec 10 2007.07.30 W32.Mubla.B

TheHacker 6.1.7.158 2007.07.30 -

VBA32 3.12.2.1 2007.07.30 -

VirusBuster 4.3.26:9 2007.07.30 -

Webwasher-Gateway 6.0.1 2007.07.30 -

Additional information

File size: 26000 bytes

MD5: 0703700e565e477fa308aefadf7526d9

SHA1: 243eb042cc67c4ac989c9d5d5ce62d9eab2c9e9d

Connexion

Pas encore inscrit ?

Backdoor.Win32.IRCBot.aaq

Messages recommandés

Malekal_morte

Lien vers le commentaire

Partager sur d’autres sites

y@nnik

Lien vers le commentaire

Partager sur d’autres sites

Malekal_morte

Lien vers le commentaire

Partager sur d’autres sites

y@nnik

Lien vers le commentaire

Partager sur d’autres sites

Malekal_morte

Lien vers le commentaire

Partager sur d’autres sites

Falkra

Lien vers le commentaire

Partager sur d’autres sites

Malekal_morte

Lien vers le commentaire

Partager sur d’autres sites

Malekal_morte

Lien vers le commentaire

Partager sur d’autres sites

Malekal_morte

Lien vers le commentaire

Partager sur d’autres sites

Malekal_morte

Lien vers le commentaire

Partager sur d’autres sites

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer