Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Retour sur des cas mal résolus !

ipl_001

Par ipl_001
dans Analyses et éradication malwares

 Partager

Messages recommandés

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir à tous,

 

Petit récapitulatif !

 

Il y a eu ces temps ci quelques cas qui ont traîné en longueur avec un rapport HijackThis déclaré propre mais des dysfonctionnements qui subsistaient...

 

Stonangel a sûrement mis le doigt sur la chose !

 

Les lignes O17 sont parfois un peu négligées... par moi, en tout premier ! :P

 

Ce problème concerne les discussions :

 

-> "behave like :Win32 Backdoor" de flax_34 (43 réponses 870 lectures) - http://forum.zebulon.fr/index.php?showtopic=68309

 

-> "Aidez moi à aliminer des trojans trés virulents" de PANTURLE (43 réponses 664 lectures) - http://forum.zebulon.fr/index.php?showtopic=68484

 

-> "Fenetre IE intempestive" de flax_34 (11 réponses 349 lectures) - http://forum.zebulon.fr/index.php?showtopic=68467

 

En voyez-vous d'autres qui ont les mêmes O17 ?

 

O17 - HKLM\System\CCS\Services\Tcpip\..\{1497FDDE-A726-469B-903D-E8F7EE452A2B}: NameServer = 69.50.184.84,195.225.176.37

 

Je reproduis mon post http://forum.zebulon.fr/index.php?showtopi...40entry517830 :

inetnum:      195.225.176.0 - 195.225.179.255

netname:      NETCATHOST

descr:        NetcatHosting

country:      UA

admin-c:      VS1142-RIPE

tech-c:      VS1142-RIPE

status:      ASSIGNED PI

mnt-by:      RIPE-NCC-HM-PI-MNT

mnt-lower:    RIPE-NCC-HM-PI-MNT

mnt-by:      NETCATHOST-MNT

mnt-routes:  NETCATHOST-MNT

source:      RIPE # Filtered

remarks:      ****************************************

remarks:      * Abuse contacts: abuse@netcathost.com *

remarks:      ****************************************

 

person:      Vsevolod Stetsinsky

address:      01110, Ukraine, Kiev, 20�, Solomenskaya street. room 206.

phone:        +38 050 6226676

e-mail:      vs@netcathost.com

nic-hdl:      VS1142-RIPE

source:      RIPE # Filtered

 

Ces IP correspondent au malware Trojan.Flush.B !

When Trojan.Flush.B runs, it does the following:

 

  1. Queries the "Ipconfig" for the value, for each adapter found at the following location:

 

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters

 

      Note: The aforementioned value typically holds a pointer to a corresponding entry at:

 

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

 

  2. Attempts to add the following value at that location:

 

      "NameServer" = "69.50.184.84,195.225.176.37"

 

      to the registry subkey:

 

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters

 

  3. Checks for the presence of the following file:

 

      %CSIDL_COMMON_APPDATA%\Microsoft\Network\Connections\Pbk\rasphone.pbk

 

      Note: %CSIDL_COMMON_APPDATA% is a variable that refers to the folder containing application data for all users. By default this is C:\Documents and Settings\All Users\Application Data (Windows NT/2000/XP).

 

  4. Adds the following entries to the aforementioned file, if that file is found:

 

          * "IpDnsAddress=69.50.184.84"

          * "IpDns2Address=192.225.176.37"

          * "IpNameAssign=2"

 

  5. Adds the value:

 

      "NameServer" = "69.50.184.84,195.225.176.37"

 

      to the registry subkey:

 

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP\

 

  6. Enumerates the entries found at the following location:

 

      HKEY_CURRENT_USER\RemoteAccess\Profile

 

      and attempts to add the following hex value to each found:

 

      "IP" = "02,00,00,00,00,00,00,00,54,b8,32,45,25,b0,e1,c3,00,00,00,00,00,00,00,00,00,00,00,00"

 

  7. Executes the following commands on the computer, before exiting :

 

          * ipconfig /dnsflush

          * ipconfig /registerdns

          * ipconfig /renew

          * ipconfig /renew_all

(source : http://www.symantec.com/avcenter/venc/data...an.flush.b.html )

 

Merci à Stonangel !

ipl_001 Devil Member !

ipl_001

Posté(e)
  • Auteur
Posté(e)

Rebonsoir à tous,

 

Mercredi 0h10

11 utilisateur(s) sur ce forum (6 invité(s) et 0 utilisateur(s) anonyme(s))

5 membre(s) : ipl_001, Stonangel, O.Fournier, mariolink, PANTURLE

Je serais d'avis de faire un panorama (une visite) de discussions qui parlent de ces "DNS" pour voir si les forums ont corectement détecté la chose... et prêcher la bonne parole (à condition qu'on ait raison LOL)

 

- "Trojan-Spy.html.Bankfraud.ci" - http://www.commentcamarche.net/forum/affic...ml-Bankfraud-ci

 

- "Geeks To Go Forums -> Security warning pop up" - http://www.geekstogo.com/forum/Security_wa..._up-t34311.html

 

- "Geeks To Go Forums -> Popups and Spyware Toolbar--HELP!" - http://www.geekstogo.com/forum/Popups_and_...LP_-t33605.html

 

- "Need Help: The Quicklink Toolbar removal" - http://www.daniweb.com/techtalkforums/thre...post127960.html

 

- "HELP! Hit by trojan-spy, my log is pasted - Special Interest ..." - http://forums.us.dell.com/supportforums/bo...message.id=6108

 

- "Hijackthis.nl :: Bekijk onderwerp - suspicious network activity" - http://www.hijackthis.nl/forum/viewtopic.php?p=3870&sid=4

 

- "SWI Forums > Google First page search results hijacked" - http://forums.spywareinfo.com/lofiversion/...php/t50323.html

 

- "Lockergnome's Problem Solvers -> Need Help With Thequicklink"toolbar"" - http://help.lockergnome.com/index.php?show...iew=getlastpost

ipl_001 Devil Member !

ipl_001

Posté(e)
  • Auteur
Posté(e)

Rebonsoir à tous,

 

pablo a bien détecté l'anomalie O17 dans cette discussion (Wo Jun 08, 2005) !

"suspicious network activity" - http://www.hijackthis.nl/forum/viewtopic.php?p=3870&sid=4

Bien vu pablo ! :P

 

greyknight17 également a bien vu le truc dans "Need Help With Thequicklink"toolbar"" -> http://help.lockergnome.com/index.php?show...=0entry267995

Chapeau greyknight17 !

 

Je ne connaissais pas pablo et hijackthis.nl (bien que ce soit des collègues de Merijn) mais je connais bien greyknight17 !

ipl_001 Devil Member !

ipl_001

Posté(e)
  • Auteur
Posté(e)

Rebonsoir à tous,

 

Dans les 2 discussions dont je parle dans mon post précédent, les experts font fixer les lignes O17 (traiter par HijackThis)

 

Voici la solution de Symantec qui me semble plus précise (les 1, 2 et 3 correspondent à la désactivation du Système de restauration, à la maj des defs de virus et au scan AV) :

4. To delete the value from the registry

Important: Symantec strongly recommends that you back up the registry before making any changes to it. Incorrect changes to the registry can result in permanent data loss or corrupted files. Modify the specified subkeys only. Read the document, "How to make a backup of the Windows registry," for instructions.

 

  1. Click Start > Run.

  2. Type regedit

 

      Then click OK.

 

  3. Navigate to the subkeys:

 

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP

 

  4. In the right pane, delete the value:

 

      "NameServer" = "69.50.184.84,195.225.176.37"

 

  5. Navigate to the subkey:

 

      HKEY_CURRENT_USER\RemoteAccess\Profile

 

  6. In the right pane, delete the value:

 

      "IP" = "02,00,00,00,00,00,00,00,c4,b0,32,45,25,b0,e1,c3,00,00,00,00,00,00,00,00,00,00,00,00"

 

  7. Exit the Registry Editor.

 

 

 

5. To delete the added entries from the RAS phone-book file

Note: The location of the RAS phone-book file rasphone.pbk may vary and some computers may not have this file. For example, if the file exists in Windows XP, it is usually located in the C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk folder.

Follow the instructions for your operating system:

 

    * Windows 95/98/Me/NT/2000

        1. Click Start, point to Find or Search, and then click Files or Folders.

        2. Make sure that "Look in" is set to (C:) and that "Include subfolders" is checked.

        3. In the "Named" or "Search for..." box, type:

 

            rasphone.pbk

 

        4. Click Find Now or Search Now.

        5. If you find rasphone.pbk, right-click the file, and then click "Open With."

        6. Deselect the "Always use this program to open this program" check box.

        7. Scroll through the list of programs and double-click Notepad.

        8. When the file opens, delete the entries below:

 

 

            "IpDnsAddress=69.50.184.84"

            "IpDns2Address=192.225.176.37"

            "IpNameAssign=2"

 

        9. Close Notepad and save your changes when prompted.

 

    * Windows XP

        1. Click Start, and then click Search.

        2. Click All files and folders.

        3. In the "All or part of the file name" box, type:

 

            rasphone.pbk

 

        4. Verify that "Look in" is set to "Local Hard Drives" or to (C:).

        5. Click "More advanced options."

        6. Check "Search system folders."

        7. Check "Search subfolders."

        8. Click Search.

        9. Click Find Now or Search Now.

        10. If you find rasphone.pbk file, right-click the file, and then click "Open With."

        11. Deselect the "Always use this program to open this program" check box.

        12. Scroll through the list of programs and double-click Notepad.

        13. When the file opens, delete the entries below:

 

            "IpDnsAddress=69.50.184.84"

            "IpDns2Address=192.225.176.37"

            "IpNameAssign=2"

 

        14. Close Notepad and save your changes when prompted.

Je traduis :
4. Pour supprimer la valeur de la base de registres

Important : Symantec recommande vivement de sauvegarder la base de registres avant tout changement. Des modifications incorrectes à la BdR peuvent aboutir à une perte de données permanente ou à des fichiers abimés. Modifier seulement les sous-clés spécifiées. Lire le document, "Comment sauvegarder la BdR," pour des directives.

 

  1. Cliquer sur Démarrer > Exécuter.

  2. Taper regedit

 

      Puis cliquer sur OK.

 

  3. Naviguer vers les sous-clés :

 

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Adapters

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD\MSTCP

 

  4. Dans le panneau de droite, supprimer la valeur :

 

      "NameServer" = "69.50.184.84,195.225.176.37"

 

  5. Naviguer vers la sous-clé :

 

      HKEY_CURRENT_USER\RemoteAccess\Profile

 

  6. Dans le panneau de droite, supprimer la valeur :

 

      "IP" = "02,00,00,00,00,00,00,00,c4,b0,32,45,25,b0,e1,c3,00,00,00,00,00,00,00,00,00,00,00,00"

 

  7. Quitter RegEdit.

 

 

 

5. Pour supprimer les entrées ajoutées à l'annuaire RAS (Service d'Accès à Distance)

Note : L'emplacement de l'annuaire RAS rasphone.pbk peut varier et certains ordinateurs peuvent ne pas avoir ce fichier. Par exemple, si le fichier existe dans Windows XP, il est normalement situé dans le dossier C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk.

Suivre les instructions selon votre OS :

 

    * Windows 95/98/Me/NT/2000

        1. Cliquer sur Démarrer, pointer trouver ou Rechercher, puis cliquer Tous les Fichiers ou tous les Dossiers.

        2. Assurez-vous que "Rechercher dans" indique (C:) et que "Inclure les sous-dossiers" est coché.

        3. dans la zone "Nom" ou "Rechercher...", taper :

 

            rasphone.pbk

 

        4. Cliquer sur Trouver Maintenant ou Rechercher maintenant.

        5. Si vous trouvez rasphone.pbk, cliquez droit sur le fichier puis cliquez sur "Ouvrir avec."

        6. Désélectionner la case "Toujours utiliser ce programme pour ouvrir ce type de fichier".

        7. Descender dans la liste de programmes et double cliquer sur Notepad / Bloc-notes.

        8. quand le fichier s'ouvre, supprimer les entrées ci-dessous :

 

 

            "IpDnsAddress=69.50.184.84"

            "IpDns2Address=192.225.176.37"

            "IpNameAssign=2"

 

        9. Fermer Notepad et sauvegarder vos changements quand demandé.

 

    * Windows XP

        1. Cliquer sur Démarrer puis cliquer sur Rechercher.

        2. Cliquer sur Tous les fichiers et tous les dossiers.

        3. Dans la zone "Tout ou partie du nom du fichier", taper :

 

            rasphone.pbk

 

        4. Vérifier que "Rechercher dans" est à "Disques durs locaux" ou à (C:).

        5. Cliquer sur "Options avancées."

        6. Cocher "Recherche dans les dossiers système."

        7. Cocher "Rechercher dans les sous-dossiers."

        8. Cliquer sur Rechercher.

        9. Cliquer sur Trouver maintenant ou Rechercher maintenant.

        10. Si vous trouvez le fichier rasphone.pbk, cliquez droit sur le fichier puis cliquez sur "Ouvrir avec."

        11. Désélectionner la case "Toujours utiliser ce programme pour ouvrir ce type de fichier".

        12. Descender dans la liste de programmes et double cliquer sur Notepad / Bloc-notes.

        13. quand le fichier s'ouvre, supprimer les entrées ci-dessous :

 

 

            "IpDnsAddress=69.50.184.84"

            "IpDns2Address=192.225.176.37"

            "IpNameAssign=2"

 

        14. Fermer Notepad et sauvegarder vos changements quand ddemandé.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...