L'auteur du virus Win32:TratBOH (ou Vundo) aurait-il été découvert ici?

Bonjour à tous,

Serais-je tombée par hasard sur l'auteur de ce vilain virus? Je ne sais pas, mais il y a des chances que les informations que j'ai ici pourraient permettre son identification... J'attends fébrilement une confirmation des modérateurs de ce forum dont je n'ai encore aucune nouvelle.

Je retranscrit donc ici les résultats déjà publiés dans un autre message:

Par chance, j'ai obtenu une liste des "strings" en mémoire pendant que le opnklig.dll était actif... Se pourrait-il que l'auteur du virus est laissé des traces ???

Voir les 2 addresses de serveurs dont l'une semble pointer vers la Belgique ?!?! Ce vilain farceur a-t-il saisit des données importantes sur nos ordis pour se les faire parvenir ou quoi? Intriguant...

On y voit entres autres, les "appels de fonctions" utilisés; les clés de registre créées; le IP du site dont l'accès est interdit au commun des mortels... (c'est pour ça que le virus déclenchait mon parefeu) et ce 2e IP... serais-ce le IP du farceur (voir ce que whois.ripe.net rapporte)?

Voici donc ce dump-mémoire des "strings" du virus en action (je n'ai rien enlevé même si il y a du "garbage"):


!This program cannot be run in DOS mode.
.text
`.data
@.rdata
.idata
ShH
lYy
lYy
SXF
4q'hWI)
YYu
YYu
YYt
YYu
PSj
YYt&
YYt
YYt
VVVV
PVVh\
VVVV
PVVh\
QVW3
WWj
tIV
t$VVV
QQU3
FVUW
tpUV
t$(SW
tAhl
t&UUSPUUW
USW
vIh
tvV
t]SUWh8
hXb
VVVV
PVVh\
yhD
PSShK
tVP
MhD
PSj
PSj
t^hD
SVWj
PSSSSSS
ANu
;PRj
YYt
Yt2Wj
YY_t
HHu$
NNu
SVW
QSV
Wtl
SVW
ANu
PPPP
QPPh\
!PhT
PSS
PSh?
SSShh
PSS
PSS
PSh?
SSShh
QQSVW
VWh
PPPP
QPPh\
SVW3
E<WP
EdP
MlQ
MdQ
EtP
EtP
ElPj
ETWP
ETP
ETP
hxc
EtP
EtP
SVW
E@Pj2S
ELP3
j2FS
SSSSh
WSh
hxc
SSW
ETPW
MHQP
UT9Utt
MHQ
MtP
UTj
Ett8h
HHP
Qhxc
Phxc
Ett6h
HHP
Ett6h
HHP
Ett6h
HHP
EdP
hxc
SSj
SSj[W
EhPj
EhPVh
EhPVhxc
9]PtN
tkP
EXPj2S
F8]st
udj
E`Pj2S
PWW
PVh
VVVh<
EtPh
EtPh
EpPVj
Epd
u%j&V
@Phxc
EtP
EtP
LSVWh
SSj
SSh
YYu
VSh
VSS
PSj
PSj
PSSh~7
PSSj
PSSSSSSSSj
SSSSj
SVWj\3
PSh
SSShH
SSh,
SSh
SSSW
VWS
PSh
SSS
PSh
SSS
FQP
SSj
SVW
j/VP
VVj
VVj
j\FV
EhP
ElPVj
ElPh
VWVj
EhP
ElPj
ElPh
VWj
EtP
E`Phl
EtP
Eph
upV
EpP
EXP3
EpPh
E\Pj
SVW
Phl
t6Vj\j
@PVU
VWub
WSSS
PSWSSS
Ph(d
PSWSSS
PSWSSS
PSWSSSh`
PSWSSSh`
PSS
PShP
ShP
PSWSSSh(
PSWSSSh(
PSS
PSh?
SSS
u&Wh
PSh?
SSSWh
PSS
YYh
PSh?
SSSWh
u&Wh
PSh?
SSSWh
PSS
j\Sh `
PSSh
PSSh
PSSh$
@PWj
PSSh,
@PWj
SSh
uJh `
VWhp
QPh?
PPPh(
wlj@3
YYh
VVh
PVh?
VVVhh
SVh4
QQSVW
t!Sj
uBV
YSj
jIY3
tKj\S
PVj
PVVh Q
PVVhaR
SVV
SVW
EpPSSSSSSh
EhPj
EttaS
EXP
utj
EtG
Y9]pt
C:\WINDOWS\system32\opnklig.dll
Service Pack 2
K!wlM
D9C94C0A8EEF4B13BB92E5C33A37DD79
499D49BCCC9511DC847BF68113DEFFFF
499D49BCCC9511DC847BF68113DEFFFF
wSw
wIo
wiX
Trend Micro Client-Server Security Agent
PC-cillin
Spyware Terminator
BitDefender
Trend Micro PC-cillin
Verizon Internet Security Suite
SpywareBlaster
AVG Free Edition
Norton Personal Firewall
Webroot
AVG Anti-Spyware
Norton Security Scan
Spyware Doctor
SpySubtract Spyware Manager
avast! Antivirus
Norton Internet Security
PC Security and Backup
Symantec Client Security
Lavasoft Ad-Aware
McAfee
Spybot
Norton AntiVirus
SeDebugPrivilege
explorer.exe
WINLOGON.EXE
rundll32.exe
SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Settings
Time
g_InstallPath
g_InstallDLL
xWovqdo
Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
MSServer
CLSID\
Asynchronous
DllName
Impersonate
Logon
Logoff
awx_mutant
AD-AWARE.EXE
Kernel32
LoadLibraryA
PSAPI.dll
EnumProcessModules
GetModuleFileNameExA
psapi.dll
%s\tmp%08x
rundll32.exe %s,a
dll
http://82.98.235.70/443
http://65.243.103.80/80
SOFTWARE\Microsoft\Installer
0123456789ABCDEFIdentities
UuidToStringA
rpcrt4.dll
RtlTimeToSecondsSince1970
ntdll.dll
Software\Microsoft\
open
ShellExecuteA
shell32.dll
exe
.dll
Connect to download
g_InstallDll
Data from controller
?sid=
Connect to controller
&affid=
&avs=%i
&cid=
&v=%x_%x_%x_%x_%s
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
IsUserAdmin
setupapi.dll
SOFTWARE\Microsoft\zxc5
button
InternetQueryOptionA
InternetSetOptionA
InternetOpenA
InternetOpenUrlA
HttpQueryInfoA
InternetCloseHandle
InternetGetCookieA
wininet.dll
VCMMTX
_ConsprMutx
\wininit.ini
PendingFileRenameOperations2
PendingFileRenameOperations
SYSTEM\CurrentControlSet\Control\Session Manager
Everyone
CURRENT_USER
SYSTEM
\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
\Identities
PrivacySetZonePreferenceW
PrivacyGetZonePreferenceW
rundll32.exe %s,#1
Both
ThreadingModel
InprocServer32
GCASSERVALERT
C:?PROGRAM FILES?MICROSOFT ANTISPYWARE?GCASSERVALERT.EXE
FreeSid
EqualSid
GetTokenInformation
OpenProcessToken
AllocateAndInitializeSid
advapi32.dll
aptmnduwpog,hstfkspdjr{89A1E40D-0254-4F99-B9AE-B60A2D8754A9}
aptmnduwpog,hstfkspdjr{89A1E40D-0254-4F99-B9AE-B60A2D8754A9}
aptmnduwpog,hstfkspdjr{89A1E40D-0254-4F99-B9AE-B60A2D8754A9}
aptmnduwpog,hstfkspdjr{89A1E40D-0254-4F99-B9AE-B60A2D8754A9}
{89A1E40D-0254-4F99-B9AE-B60A2D8754A9}
99-B9AE-B60A2D8754A9}
VMMainMutex
VMProtectionMutex
aptmnduwpog,hstfkspdjr{89A1E40D-0254-4F99-B9AE-B60A2D8754A9}
aptmnduwpog,hstfkspdjr{89A1E40D-0254-4F99-B9AE-B60A2D8754A9}
aptmnduwpog,hstfkspdjr{89A1E40D-0254-4F99-B9AE-B60A2D8754A9}
tafhos
InterlockedIncrement
CloseHandle
SetEvent
CreateEventA
GetVolumeInformationA
Sleep
ReadFile
SetFilePointer
CreateFileA
Process32Next
Process32First
CreateToolhelp32Snapshot
GetCurrentProcess
VirtualFreeEx
WaitForSingleObject
CreateRemoteThread
GetProcAddress
GetModuleHandleA
WriteProcessMemory
VirtualAllocEx
lstrlenA
OpenProcess
CreateMutexA
LoadLibraryA
VirtualAlloc
VirtualFree
SystemTimeToFileTime
GetSystemTime
GetVersionExA
InterlockedDecrement
lstrcmpiA
GetModuleFileNameA
ExitProcess
MoveFileA
GetTickCount
CreateProcessA
FreeLibrary
CopyFileA
GetTempPathA
GetSystemDirectoryA
VirtualProtect
FlushInstructionCache
SetLastError
lstrcatA
ReleaseMutex
lstrcpyA
MultiByteToWideChar
WriteFile
OutputDebugStringA
lstrcpynA
HeapAlloc
GetProcessHeap
GetFileSize
FreeLibraryAndExitThread
FileTimeToSystemTime
GetSystemTimeAsFileTime
LocalFree
SetEndOfFile
GetWindowsDirectoryA
CreateDirectoryA
GetLastError
lstrcmpA
TerminateThread
TerminateProcess
OpenSemaphoreA
lstrcatW
FindFirstFileW
FindNextFileW
CreateThread
OpenMutexA
RegCloseKey
OpenProcessToken
LookupPrivilegeValueA
AdjustTokenPrivileges
RegFlushKey
RegOpenKeyExA
RegSetValueExA
RegQueryValueExA
RegCreateKeyExA
RegDeleteValueA
RegCreateKeyA
RegDeleteKeyA
RegEnumKeyA
RegOpenKeyA
SetNamedSecurityInfoA
SetEntriesInAclA
SetSecurityInfo
AllocateAndInitializeSid
GetSecurityInfo
RegSetValueA
RegQueryValueA
CoCreateGuid
SHGetSpecialFolderPathW
StrCmpNIA
StrStrIA
PathFileExistsA
StrChrA
SHDeleteKeyA
StrRChrA
StrStrA
PathAddBackslashW
StrStrIW
URLDownloadToFileA
CharLowerA
CreateWindowExA
SetWindowLongA
PeekMessageA
TranslateMessage
DispatchMessageA
DefWindowProcA
SetWindowsHookExA
UnhookWindowsHookEx
CallNextHookEx
CharUpperA
wsprintfA
InternetCloseHandle
InternetOpenUrlA
InternetQueryDataAvailable
HttpQueryInfoA
InternetReadFile
.text
`.bss
.rdata
@.data
.rsrc
@.reloc
yOp
Url7H
VCMMTXx
_sprM
YSTEMw4
es3z
pURP}_USi<
6w$Z;\Zd
G+9{KbW
Th&a%
GCAS
VAL
:?PROMAM
S?MIC
ISPYi?6-G
Equ
@izL
=sR$e)
aptmnduwpog,hstfk
spdjr{89A1E40D-0254-4F99-BE
x`si
VMMainp+3l
ked
crem
Volu1t
[S3ep
R*dFi?
PoikE
32Next
rsqTog
Snapshot}
mko
Waix
Svgj
moV
JCAdda
;AJregM;
rymQnlV
4yNh
De$U
cmpi Y
+dJCou
opy5wp
Bsh
Cach5La
TAWlP
=By,WideCh
HTp
AsfJB
G mp!
upWV
{jut#^
Acl
GuE
4tSHP
cbf{j
|1CNIA
kWu
URLD]t
P;kMY5
nv1Zm
dUnh
Uppi
][%pMtf
no[k3
noo
A+nk
ITt
X_[kXh
UvQ%
PEC
"GW.*QaU/X
.rd4B
A:{0*'L g
zO`g
GIu
PTj
XPTPSW
KERNEL32.DLL
ADVAPI32.dll
ole32.dll
SHELL32.dll
SHLWAPI.dll
urlmon.dll
USER32.dll
WININET.dll
LoadLibraryA
GetProcAddress
VirtualProtect
VirtualAlloc
VirtualFree
RegCloseKey
CoCreateGuid
SHGetSpecialFolderPathW
StrChrA
URLDownloadToFileA
wsprintfA
HttpQueryInfoA
mpk.dll
DllCanUnloadNow
DllGetClassObject
CloseWindow
CopyImage
CreateDialogIndirectParamA
CreateIcon
CreateMDIWindowA
DestroyIcon
DestroyWindow
DispatchMessageA
DrawIcon
user32.dll
CloseHandle
CompareStringA
EnumResourceLanguagesA
GetFileSize
GetLocalTime
GetPrivateProfileStringA
GetSystemTime
GetSystemTimeAsFileTime
InitializeCriticalSection
LeaveCriticalSection
OpenFile
RtlUnwind
SetLastError
Sleep
SleepEx
TlsFree
lstrcatA
lstrcmpiA
lstrcpyA
lstrlenA
kernel32.dll



Si jamais quelqu'un réussit à savoir si il y a eu transfert de données et de quel type si c'est vrai, j'aimerais bien le savoir et vous tous aussi, je suppose... Qu'on nous le laisse savoir s.v.p.

J'attend une confirmation avec impatience...

ihatewindows
... mais j'y suis habituée maintenant...

Bonjour c'est quoi ce rapport ?

Télécharger sur le Bureau : VundoFix

= Double-clic VundoFix.exe.
= Clic OK
=Attendre le redemarrage de Vundofix
=Clic Scan for Vundo
= le scan est assez long , à la fin
=Clic Remove Vundo
= Puis yes
= Le Bureau disparaît un moment lors de la suppression des fichiers.
=Message shutdown
=clic OK
=Redémarrage auto
Note : il peut y avoir plusieurs redémarrages
= le rapport se trouve dans C:\vundofix.txt

tu postes le rapport vundofix

==========

Télécharger et enregistrer sur le bureau
Combofix

=Double-clic sur Combofix
= Presser 1 quand demandé
= Attendre la fermeture de l’outil ( 5 à 10 mn)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
ComboFix-quarantined-files + Qoobox sont eux à supprimer

=============

Télécharger Hijackthis sur le bureau
= clic droit dessus ==> renommer ==> écrire : "test"( à la place de "hijackthis")
=Double-clic dessus
= Clic Do a system scan and save the log
-- Le Bloc-Notes s'ouvre :
copier coller le contenu du rapport
=======================================================
merci de mettre tous les rapports sous Spoiler

pour cela sélectionner la totalité de chaque rapport mis dans la case réponse
et clic sur le point d'interrogation en bas à droite de cette case
(à coté de TeX)

Bonjour jacko17,

Mon ordi n'est plus infecté maintenant, merci à toi et à l'équipe de vos excellents conseils.

Tu demandes pour le rapport: ça c'est le dump mémoire du fichier opnklig.dll qui n'arrête pas de s'installer comme un service de winlogon et qui change constamment de nom.

Naturellement, quand on regarde à l'intérieur de cette DLL avec un éditeur hexadécimal, on n'y comprend rien parce que le code est crypté. Donc, pas moyen de savoir ce que fait ce virus. Sauf...

Sauf que l'auteur doit forcément décrypter son code à un moment donné pour qu'il puisse être compris par la machine et ensuite exécuté sur celle-ci.

Ce décryptage, à moins d'être un pro en crypto, peut prendre ad vitam eternam avant d'être brisé. Moi, je n'y connaît rien en cryptage.

Mais voilà, tout à fait par chance, je suis tombée sur la commande "dump memory code for this program" ou quelque chose du genre dans l'excellent programme "Process Explorer" de SysInternals (ceux-ci ont malheureusement été acheté par Microsoft dernièrement... ils n'ont pas aimé ça chez MS, ils étaient meilleur qu'eux )

J'obtiens donc ainsi les appels de fonctions et les chaînes de textes (ou "strings" en langage de programmation) décryptées, utilisées par la DLL malicieuse sans avoir à me casser la tête... C'est pas beau ça?

Les appels de fonctions révèlent, entres autres, que cette DLL produit des fichiers *.ini (et *.ini2), comme plusieurs d'entre nous ont pu le constater. Ce rapport révèle aussi que la DLL se connectait à un serveur, via le port 80, dont l'accès est "FORBIDDEN" pour des gens comme toi et moi... et probablement aussi à la personne qui a codé ce virus !

L'adresse du 2e serveur, elle, est plus intéressante...

M'en fin...

La question reste: quelles données ce virus a-t-il siphonnées de nos ordi infectés vers ce serveur? La réponse se trouve peut-être dans ces fichiers *.ini et *.ini2 (encore là cryptés j'imagine). Malheureusement, j'ai détruit ces fichiers.

Alors voilà... Comme je n'ai trouvé aucune autre rubrique plus appropriée sous laquelle y mettre mon "post", je l'ai inclus ici...

En tout cas, je pourrais en parler encore et encore... Mais si cela n'intéresse personne... c'est pas grave !!

ihatewindows
Dans windows,
... tout est dans l'apparence
... y a pas de moteur dans la bagnole !


(Modifié par ihatewindows le 29-01-2008 à 15:10)

Salut,

En général les créateurs de virus utilisent des adresses de sites web hackés à l'insu de leurs propriétaires. Ils savent bien qu'il ne faudra pas plus de 24h pour que les experts des firmes d'antivirus détricotent leur programme, et pour que le site en question soit mis hors service. C'est donc une course contre la montre et leur collecte de données ne dure que quelques heures après quoi ils effacent leurs traces et disparaissent, tu peux être sûre qu'à l'heure actuelle les sites ne sont plus en fonction.

Les informations de RIPE concernent probablement les hébergeurs des sites qui ont été hackés, et qui sont eux aussi des victimes.

Ben

Salut les toiliens et à toi ben en particulier,

Tu as bien raison. Ils sont vite ces petits futés.

Je me demande si cette attaque vient d'un logiciel que j'ai téléchargé ou si c'est une attaque plus directe via les ports?

Y a-t-il moyen de savoir?

ihatewindows
.... (hum..m..m) ... trop fatiguée...