MAD - � Malware Analysis & Diagnostic �

New fake codec websites

�ω₪h — Fri, 18 Jul 2008 15:27:08 GMT

Flashbladez rapporte sur son blog des nouveaux noms de domaines enregistr�s chez EstDomains et qui sont susceptibles de distribuer des faux codecs. Pour l'instant, seul QAZ-CODEC.NET [64.28.182.53] semble actif.

ABC-CODEC.COM, BRAKECODEC.NET, CITY-CODEC.COM, CITYCODEC.NET
CLEAN-CODEC.NET, DEMO-CODEC.COM, END-CODEC.COM, FIRECODEC.NET
GAME-CODEC.COM, GIGA-CODEC.COM, HERO-CODEC.COM, HOPE-CODEC.COM
HQ-CODEC.COM, IX-CODEC.COM, JETCODEC.NET, MEGAZCODEC.COM
NITROCODEC.NET, OPERACODEC.COM, QAZ-CODEC.NET, RED-CODEC.NET
SPACECODEC.NET, STORM-CODEC.COM, UIN-CODEC.NET, ULTRACODEC.NET
VIVA-CODEC.COM, WHITE-CODEC.COM, WOTCODEC.COM, XERO-CODEC.COM
XVID-CODEC.ORG, ZEROCODEC.NET

Zlob: movieexternal.com, licensingvideo.com

�ω₪h — Fri, 18 Jul 2008 15:15:56 GMT

DNS: LICENSINGVIDEO.COM ( 85.255.120.107 )
Registrar: ESTDOMAINS, INC.
NS1.LICENSINGVIDEO.COM
NS2.LICENSINGVIDEO.COM
Updated: 09-jul-2008
Creation: 09-jul-2008
Expiration: 09-jul-2008

• 69.50.164.50 (69.50.164.50-custblock.intercage.com)

%ProgramFiles%\Web Technologies
Online Sercive Tool

Scan taken on 16 Jul 2008 15:51:49 (CET) .
AhnLab-V3 ; 2008.7.16.0 ; 2008.07.16 ; -
AntiVir ; 7.8.0.68 ; 2008.07.16 ; DR/Zlob.Gen
Authentium ; 5.1.0.4 ; 2008.07.15 ; -
Avast ; 4.8.1195.0 ; 2008.07.15 ; -
AVG ; 7.5.0.516 ; 2008.07.16 ; -
BitDefender ; 7.2 ; 2008.07.16 ; Trojan.Zlob.CPC
CAT-QuickHeal ; 9.50 ; 2008.07.15 ; -
ClamAV ; 0.93.1 ; 2008.07.16 ; Trojan.Dropper-2529
DrWeb ; 4.44.0.09170 ; 2008.07.16 ; Trojan.Popuper.7006
eSafe ; 7.0.17.0 ; 2008.07.16 ; -
eTrust-Vet ; 31.6.5958 ; 2008.07.16 ; -
Ewido ; 4.0 ; 2008.07.16 ; -
F-Prot ; 4.4.4.56 ; 2008.07.15 ; -
F-Secure ; 7.60.13501.0 ; 2008.07.16 ; -
Fortinet ; 3.14.0.0 ; 2008.07.16 ; -
GData ; 2.0.7306.1023 ; 2008.07.16 ; -
Ikarus ; T3.1.1.26.0 ; 2008.07.16 ; Downloader.Zlob
Kaspersky ; 7.0.0.125 ; 2008.07.16 ; -
McAfee ; 5339 ; 2008.07.15 ; -
Microsoft ; 1.3704 ; 2008.07.16 ; TrojanDownloader:Win32/Zlob.YU
NOD32v2 ; 3272 ; 2008.07.16 ; -
Norman ; 5.80.02 ; 2008.07.16 ; -
Panda ; 9.0.0.4 ; 2008.07.16 ; -
Prevx1 ; V2 ; 2008.07.16 ; -
Rising ; 20.53.22.00 ; 2008.07.16 ; -
Sophos ; 4.31.0 ; 2008.07.16 ; Sus/ZlobLike-A
Sunbelt ; 3.1.1536.1 ; 2008.07.15 ; -
Symantec ; 10 ; 2008.07.16 ; -
TheHacker ; 6.2.96.381 ; 2008.07.16 ; -
TrendMicro ; 8.700.0.1004 ; 2008.07.16 ; -
VBA32 ; 3.12.8.0 ; 2008.07.16 ; suspected of Downloader.Zlob.3
VirusBuster ; 4.5.11.0 ; 2008.07.15 ; -
Webwasher-Gateway ; 6.6.2 ; 2008.07.16 ; Trojan.Dropper.Zlob.Gen

DNS: MOVIEEXTERNAL.COM ( 77.91.231.201 )
Registrar: ESTDOMAINS, INC.
NS1.MOVIEEXTERNAL.COM
NS2.MOVIEEXTERNAL.COM
Updated: 09-jul-2008
Creation: 09-jul-2008
Expiration: 09-jul-2008

• 85.255.119.244 (244.119.255.85.in-addr.arpa)

%ProgramFiles%\Web Technologies
Online Sercive Tool

Scan taken on 16 Jul 2008 15:24:57 (CET) .
AhnLab-V3 ; 2008.7.16.0 ; 2008.07.16 ; -
AntiVir ; 7.8.0.68 ; 2008.07.16 ; DR/Zlob.Gen
Authentium ; 5.1.0.4 ; 2008.07.15 ; -
Avast ; 4.8.1195.0 ; 2008.07.15 ; Win32:Zlob-CGB
AVG ; 7.5.0.516 ; 2008.07.16 ; -
BitDefender ; 7.2 ; 2008.07.16 ; Trojan.Zlob.CPC
CAT-QuickHeal ; 9.50 ; 2008.07.15 ; -
ClamAV ; 0.93.1 ; 2008.07.16 ; Trojan.Dropper-2529
DrWeb ; 4.44.0.09170 ; 2008.07.16 ; Trojan.Popuper.7006
eSafe ; 7.0.17.0 ; 2008.07.16 ; -
eTrust-Vet ; 31.6.5958 ; 2008.07.16 ; -
Ewido ; 4.0 ; 2008.07.16 ; -
F-Prot ; 4.4.4.56 ; 2008.07.15 ; -
F-Secure ; 7.60.13501.0 ; 2008.07.16 ; -
Fortinet ; 3.14.0.0 ; 2008.07.16 ; -
GData ; 2.0.7306.1023 ; 2008.07.16 ; -
Ikarus ; T3.1.1.26.0 ; 2008.07.16 ; Downloader.Zlob
Kaspersky ; 7.0.0.125 ; 2008.07.16 ; -
McAfee ; 5339 ; 2008.07.15 ; -
Microsoft ; 1.3704 ; 2008.07.16 ; TrojanDownloader:Win32/Zlob.YU
NOD32v2 ; 3272 ; 2008.07.16 ; -
Norman ; 5.80.02 ; 2008.07.16 ; -
Panda ; 9.0.0.4 ; 2008.07.16 ; -
Prevx1 ; V2 ; 2008.07.16 ; -
Rising ; 20.53.22.00 ; 2008.07.16 ; -
Sophos ; 4.31.0 ; 2008.07.16 ; Sus/ZlobLike-A
Sunbelt ; 3.1.1536.1 ; 2008.07.15 ; -
Symantec ; 10 ; 2008.07.16 ; -
TheHacker ; 6.2.96.381 ; 2008.07.16 ; -
TrendMicro ; 8.700.0.1004 ; 2008.07.16 ; -
VBA32 ; 3.12.8.0 ; 2008.07.16 ; suspected of Downloader.Zlob.3
VirusBuster ; 4.5.11.0 ; 2008.07.15 ; -
Webwasher-Gateway ; 6.6.2 ; 2008.07.16 ; Trojan.Dropper.Zlob.Gen

Re: MSN: The clown again.

�ω₪h — Wed, 16 Jul 2008 17:22:11 GMT

PARTAGER-ALBUM.COM enregistr� chez GoDaddy le 16 Juillet 2008.

Massey Lynn (emaxmax11@yahoo.fr)
4, rue Servien
MEUDON, �le de france
92190 France

1. WWW.MSN.PARTAGER-ALBUM.COM
207.29.121.91.in-addr.arpa - ks21576.kimsufi.com
91.121.29.207 ~ AS16276 : ( Dedicated Servers, OVH FRANCE, PARIS )

Content-Disposition: attachment; filename="album11937.com"
Content-Type: application/octet-stream

R�sultats VT: 11/33 (33.33%)

Storm Worm: Th�me militaire.

�ω₪h — Wed, 09 Jul 2008 07:22:06 GMT

Notes
Les Etats-Unis, comme Isra�l, n'ont pas exclu r�cemment un recours � la force contre l'Iran en r�ponse � son programme nucl�aire, dont les Occidentaux craignent qu'il ne cache un volet militaire sous couvert de production d'�lectricit�. L'Iran "mettra le feu" � Tel Aviv et � la flotte militaire am�ricaine dans le Golfe s'il est attaqu�.
(Agence France Presse @ 08 juillet 2008 10h24)

Ces tensions ont contribu�es � plonger les valeurs financi�res dans le rouge et n'a pas manqu� d'inspirer les auteurs de Storm Worm. Depuis le d�part pour mener ses campagnes, Storm Worm utilise des th�mes synchronis�s avec l'actualit� ; le dernier a par exemple utilis� l'�v�nement du "Fourth of July", mieux connu sous le nom "Independence Day".

Intitul�e "Military News", l'aspect de cette nouvelle page est soign�. La banni�re du haut engendre le t�l�chargement de "form.exe" quant au lien de la vid�o, il pointe sur "iran_occupation.exe". Hier, ces fichiers �taient d�tect�s � 3/33 (9.09%) sur VT, aujourd'hui la d�tection est � 6/33 (18.19%)

Les pourriels desservent l'industrie pharmaceutique pour le compte de "Pharmacy Express" et "Canadian Pharmacy".

Une autre partie est d�di�e � la promotion de la campagne. Plusieurs centaines de sujets sont possibles, parmis eux, "US Army crossed Iran's borders", "US Army invaded Iran", "US army is about 20 kilometers from Tegeran", "US soldiers occupied Iran", "USA attacked Iran", "USA declares war on Iran", "USA occupeid Iran", "USA unleashed war on Iran", ...

En parall�le, Jeremy, sp�cialiste de Storm Worm sur sudosecure a d�tect� que Storm r�alise des attaques cibl�es en utilisant des techniques de d�ni de service distribu� avanc�es: This is the first time I have ever seen a round robin style DDOS attack being carried out. With the return of DDOS attacks by the Storm Worm I would definitely say this botnet just returned to the dangerous state and jumped back on many security professionals radar. I have read just recently several posting dismissing the danger of the Storm Worm, which I would never recommend doing.

Avec la d�monstration de force qu'a effectu� l'Iran avec ses tires de missiles ce matin (huit sol-sol et un missile Shahab III), l'avenir s'annonce sombre et le "th�me militaire" de Storm risque bien de r�-appara�tre prochainement. En r�alit�, le nombre est inf�rieur car il semblerait que les documents aient �t� fauss�s, comme par exemple la photo retouch�e des tirs.

Zlob: flwtool.com, flwapplication.com

�ω₪h — Mon, 07 Jul 2008 12:40:34 GMT

DNS: FLWTOOL.COM ( 77.91.231.183 )
Registrar: ESTDOMAINS, INC.
NS1.FLWTOOL.COM
NS2.FLWTOOL.COM
Updated: 07-jul-2008
Creation: 07-jun-2008
Expiration: 07-jul-2009

• 69.50.164.50 (69.50.164.50-custblock.intercage.com)

%ProgramFiles%\Web Technologies
Online Sercive Tool

Scan taken on 7 Jul 2008 14:34:21 (CET) .
AhnLab-V3 ; 2008.7.4.1 ; 2008.07.07 ; -
AntiVir ; 7.8.0.64 ; 2008.07.07 ; DR/Zlob.Gen
Authentium ; 5.1.0.4 ; 2008.07.06 ; -
Avast ; 4.8.1195.0 ; 2008.07.07 ; Win32:Zlob-CGB
AVG ; 7.5.0.516 ; 2008.07.07 ; -
BitDefender ; 7.2 ; 2008.07.07 ; Trojan.Zlob.CPC
CAT-QuickHeal ; 9.50 ; 2008.07.04 ; -
ClamAV ; 0.93.1 ; 2008.07.07 ; Trojan.Dropper-2529
DrWeb ; 4.44.0.09170 ; 2008.07.07 ; Trojan.Popuper.7006
eSafe ; 7.0.17.0 ; 2008.07.07 ; -
eTrust-Vet ; 31.6.5934 ; 2008.07.07 ; -
Ewido ; 4.0 ; 2008.07.07 ; -
F-Prot ; 4.4.4.56 ; 2008.07.06 ; -
F-Secure ; 7.60.13501.0 ; 2008.07.03 ; -
Fortinet ; 3.14.0.0 ; 2008.07.07 ; -
GData ; 2.0.7306.1023 ; 2008.07.07 ; -
Ikarus ; T3.1.1.26.0 ; 2008.07.07 ; Downloader.Zlob
Kaspersky ; 7.0.0.125 ; 2008.07.07 ; -
McAfee ; 5332 ; 2008.07.04 ; -
Microsoft ; 1.3704 ; 2008.07.07 ; TrojanDownloader:Win32/Zlob.gen!AW
NOD32v2 ; 3246 ; 2008.07.07 ; -
Norman ; 5.80.02 ; 2008.07.04 ; -
Panda ; 9.0.0.4 ; 2008.07.06 ; -
Prevx1 ; V2 ; 2008.07.07 ; -
Rising ; 20.51.60.00 ; 2008.07.06 ; -
Sophos ; 4.31.0 ; 2008.07.07 ; Sus/ZlobLike-A
Sunbelt ; 3.1.1509.1 ; 2008.07.04 ; -
Symantec ; 10 ; 2008.07.07 ; -
TheHacker ; 6.2.96.374 ; 2008.07.07 ; -
TrendMicro ; 8.700.0.1004 ; 2008.07.07 ; Mal_Zlob-2
VBA32 ; 3.12.6.8 ; 2008.07.06 ; suspected of Downloader.Zlob.3
VirusBuster ; 4.5.11.0 ; 2008.07.06 ; -
Webwasher-Gateway ; 6.6.2 ; 2008.07.07 ; Trojan.Dropper.Zlob.Gen

DNS: FLWAPPLICATION.COM ( 85.255.120.107 )
Registrar: ESTDOMAINS, INC.
NS1.FLWAPPLICATION.COM
NS2.FLWAPPLICATION.COM
Updated: 07-jul-2008
Creation: 07-jul-2008
Expiration: 07-jul-2009

• 85.255.119.244 (244.119.255.85.in-addr.arpa)

%ProgramFiles%\Web Technologies
Online Sercive Tool

Scan taken on 7 Jul 2008 14:34:40 (CET) (GMT) .
AhnLab-V3 ; 2008.7.4.1 ; 2008.07.07 ; -
AntiVir ; 7.8.0.64 ; 2008.07.07 ; DR/Zlob.Gen
Authentium ; 5.1.0.4 ; 2008.07.06 ; -
Avast ; 4.8.1195.0 ; 2008.07.07 ; -
AVG ; 7.5.0.516 ; 2008.07.07 ; -
BitDefender ; 7.2 ; 2008.07.07 ; Trojan.Zlob.CPC
CAT-QuickHeal ; 9.50 ; 2008.07.04 ; -
ClamAV ; 0.93.1 ; 2008.07.07 ; Trojan.Dropper-2529
DrWeb ; 4.44.0.09170 ; 2008.07.07 ; Trojan.Popuper.7006
eSafe ; 7.0.17.0 ; 2008.07.07 ; -
eTrust-Vet ; 31.6.5934 ; 2008.07.07 ; -
Ewido ; 4.0 ; 2008.07.07 ; -
F-Prot ; 4.4.4.56 ; 2008.07.06 ; -
F-Secure ; 7.60.13501.0 ; 2008.07.03 ; -
Fortinet ; 3.14.0.0 ; 2008.07.07 ; -
GData ; 2.0.7306.1023 ; 2008.07.07 ; -
Ikarus ; T3.1.1.26.0 ; 2008.07.07 ; Downloader.Zlob
Kaspersky ; 7.0.0.125 ; 2008.07.07 ; -
McAfee ; 5332 ; 2008.07.04 ; -
Microsoft ; 1.3704 ; 2008.07.07 ; TrojanDownloader:Win32/Zlob.gen!AW
NOD32v2 ; 3246 ; 2008.07.07 ; -
Norman ; 5.80.02 ; 2008.07.04 ; -
Panda ; 9.0.0.4 ; 2008.07.06 ; -
Prevx1 ; V2 ; 2008.07.07 ; -
Rising ; 20.51.60.00 ; 2008.07.06 ; -
Sophos ; 4.31.0 ; 2008.07.07 ; Sus/ZlobLike-A
Sunbelt ; 3.1.1509.1 ; 2008.07.04 ; -
Symantec ; 10 ; 2008.07.07 ; -
TheHacker ; 6.2.96.374 ; 2008.07.07 ; -
TrendMicro ; 8.700.0.1004 ; 2008.07.07 ; Mal_Zlob-2
VBA32 ; 3.12.6.8 ; 2008.07.06 ; suspected of Downloader.Zlob.3
VirusBuster ; 4.5.11.0 ; 2008.07.06 ; -
Webwasher-Gateway ; 6.6.2 ; 2008.07.07 ; Trojan.Dropper.Zlob.Gen

Cracks, Keygens,... are you sure?

�ω₪h — Sun, 06 Jul 2008 21:41:09 GMT

Dans notre sujet "Zlob for dummies", nous �voquions la distribution par le biais de faux portails et blogs underground qui distribuent de faux cracks, keygens, ... dans le but d'infecter les internautes puis de les harceler afin qu'ils t�l�chargent puis ach�tent des rogues anti-spyware et autres faux logiciels de s�curit� comme par exemple "AntiSpywareExpert" ou "Antivirus 2008", "Antivirus XP 2008", "Antivirus XP 2008 Pro", "Antivirus 2009", Antiiiiiiiiiiiiiiii...

Pour illustrer, rien de plus agr�able qu'une vid�o sur un air nostalgique et non anodin.

Old school style for ever :]=~

Re: IRCBots: YouTube/MySpace

�ω₪h — Sun, 06 Jul 2008 00:02:45 GMT

Nouveau programme (e97e3433cc1fde78a11ee9d13f30a9be3a875224)
• R�alise une copie de lui m�me dans: %windir%\system32\msnupdbt.exe
[†] Modifications du fichier hosts

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSN Update Cfg" = "msnupdbt.exe"

Connexion au botnet:
R�cup�re la liste des messages � diffuser sur le serveur pirat� TURNWOOD.NET (66.96.130.76)

Messages .

Nesesito que me digas como se ve esta foto, que crees?
Tengo nuevas fotos.. aqui te envio una
puedo poner esta foto en mi nuevo blog?
cuando tengas un chance mira mi nueva foto, en mi pc se ve rara
quiero que me digas como me veo aqui en esta nueva foto!
hey..puedo poner esta foto de nosotros en mi facebook?
aqui una foto nueva con mi nueva camara... una belleza!
aprendi a usar photoshop!! mira lo que le hize a una de tus fotos haha
increible! mi nueva camara.. las fotos son muy buenas!
quieres que ponga esta foto sexy tuya en mis top de fotos?
hah esta foto tuya me encanta.. la puedo poner en mi blog?

Autre programme (9724c344a3bfb255c915b3ea8cbe8672fc694bc6)
• R�alise une copie de lui m�me dans: %windir%\system32\winsvcli.exe
[†] Modifications du fichier hosts

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Service Client" = "winsvcli.exe"

Connexion au botnet:

R�cup�re la liste des messages � diffuser sur le serveur pirat� LUMBERJACKSSTEAKHOUSE.COM (69.89.25.156)

Messages .

do you mind if I upload this picture to my new profile?
have you seen the last picture I created in photoshop?
I just found this wallpaper, I think its PERFECT for you!
You missed out on the party! It was pretty intense, just look!
can I post this picture of you on my blog?

La liste des sites blacklist�s a �t� renforc�e avec:
127.0.0.1 www.webphand.com
127.0.0.1 www.360.cn
127.0.0.1 www.soccersuck.com
127.0.0.1 file.ikaka.com
127.0.0.1 www.pantip.com
127.0.0.1 www.forospyware.com
127.0.0.1 www.siteadvisor.com
127.0.0.1 blog.threatfire.com
127.0.0.1 blog.hispasec.com
and ... we are in the Matrix.

Trend Micro: Cloud Computing

�ω₪h — Sat, 05 Jul 2008 13:57:30 GMT

Ai confianceeeee, Kaa - Le Livre de la Jungle �.

Historiquement, c'est Amazon qui a ouvert la voie du "cloud computing" litt�ralement (traitements dans le nuage) avec S3 (Service de Stockage Simple) et EC2 (Elastic Computing Cloud), solutions de stockages d�localis�es et des CPUs distants virtualis�s. Trend Micro justifie ce changement de strat�gie par un constat d'�chec du mod�le actuel � savoir que les bases de signatures semblent atteindre leurs limites. L'�diteur mise sur une nouvelle alternative, la fusion des services de s�curit� via l'Internet (In-the-cloud).

L'objectif est de d�porter l'intelligence et l'analyse vers des centres de donn�es sur Internet et c'est ainsi que tous les produits de l'�diteur utiliseront � terme les services du Smart Protection Network (SPN: corr�lation des donn�es (ex: Web Reputation, Email Reputation, File Reputation, ...)) ; ces technologies contr�leront en temps r�el via Internet votre ordinateur. (emails, fichiers,...)

Une gestion totale � distance � l'exception d'une mini-base de signatures destin�e aux menaces les plus communes et les plus simples � d�tecter permet d'all�ger consid�rablement le client, de r�duire l'utilisation des ressources et faciliter la remont�e via le r�seau d'alerte mondial de l'�diteur.

D'un point de vue technique, la t�che risque d'�tre rude. Il en va de m�me sur l'aspect communication car il faut faire face aux inqui�tudes des clients. Les questions des internautes sont l�gitimes: "Si je ne suis pas connect� � Internet, comment faire ?", "Si un parasite perturbe le traffic ?", "Si la mise � jour est bloqu�e et/ou d�tourn�e par un programme malveillant ?", "Mon ordinateur est t-il espionn� constamment ?", "Envoyer mes fichiers � Trend ?!", etc.... Quant aux entreprises, elles exigeront un maximum de garanties avant d'investir. Cependant, que les clients se rassurent les produits traditionnels seront toujours maintenus.

Soulignons le m�rite de Trend Micro qui a d�cid� de relever le d�fi.
Nous leur souhaitons un bon courage et une franche r�ussite.

Source: Trend Micro Revolution - Cloud Computing

Zlob for dummies

�ω₪h — Fri, 04 Jul 2008 18:41:37 GMT

A quoi correspondent, nos sujets "Zlob: ..."
Exemple, cette semaine: "Zlob: wmvcompressor.com, mpegsystem.com" ?

D'un point de vue statistiques, 2 nouveaux noms de domaine sont attribu�s chaque semaine.
A partir de ces faux sites, un programme d'installation est propos� aux visiteurs.
Une fois ex�cut�, une requ�te sp�cifique est effectu�e sur une des IP, elles aussi variables.
Dans notre exemple: 69.50.164.50, 85.255.119.224

Le fichier t�l�charg� est ensuite ex�cut�, il se d�ploie alors comme une poup�e russe.
Pour plus de compr�hension, nous avons repr�sent� ceci comme une petite capsule.
A chaque nouvel header (ent�te) correspond un PE (Portable Executable) qui lui m�me embarque des RES (ressources) dont certaines sont de nouveaux PE embed (PE embarqu�s). Une petite bombe optimis�e dont les charges utiles (les contenus) sont modifi�es plusieurs fois par jour.

Les noms de domaines qui installent ZLob/DNSChanger sont reconnaissables car ils contiennent souvent le mot "codec" et le fichier d'installation contient �galement ce mot. Ces sites pr�textent la n�cessit� d'installer un codec sous divers motifs mais g�n�ralement c'est afin d'afficher des vid�os porno.
Exemple de DNS: democodec.net ; Fichier d'installation: democodec.v.1.000.exe

Les noms de domaines qui installent VideoAccesCodec, MediaTubeCodec sont modifi�s plusieurs fois par semaine. L'acc�s aux fichiers ne se fait pas directement mais par le biais de portails ou vitrines porno ou bien des faux sites de c�l�brit�s d�nud�es. L'utilisateur est alors invit� � t�l�charger un composant soit disant n�cessaire � la visualisation des vid�os. Les noms de fichiers contiennent souvent le mot "MediaTubeCodec" ; les programmes d'installations sont tr�s nombreux et peuvent tous �tre chang�s en quelques heures. Les sympt�mes les plus visibles sur un ordinateur infect� sont probablement le d�tournement du bureau et les faux messages d'avertissements qui visent � cr�er un climat de peur et d�veloppe un �tat de stress chez l'utilisateur. La finalit� �tant de promouvoir des sites pornographiques et faire acheter sous la pression les faux logiciels de s�curit� qui vous sont pr�sent�s.

Les m�thodes de diffusion de celui-ci ont chang�es. D�sormais les faux logiciels dont les plus connus sont: IE Defender, IE Antivirus,... sont distribu�s par le biais de portails underground qui sont affili�s par un identifiant visible dans les liens de t�l�chargement. Ces sites sont r�mun�r�s en fonction des statistiques du nombre de t�l�chargements. Des slogans g�n�riques peuvent �tre rep�r�s tels que: "DOWNLOAD KEYGEN ONLY !!!" ou encore "DOWNLOAD GAME PATCH ONLY!!!".

Il existe bien d'autres aspects mais ils ne seront pas abord�s car se sujet s'intitule: "Zlob pour les d�biles".

Le premier trojan Zlob a �t� d�couvert fin 2005, depuis ce groupe a s� se cr�er une notori�t�. Ce ne sont plus des amateurs, ce sont des professionnels, structur�s, organis�s, hi�rarchis�s, tous les rouages d'une mafia sont pr�sents.

Internet, n'est pas un endroit idyllique peupl� de gens merveilleux et gentils. Internet est le reflet de nos soci�t�s dans le monde avec tout ce que �a implique. Clarifions une chose, un internaute infect� par Zlob n'est que tr�s rarement une victime, c'est une personne ayant effectu� un acte volontaire ou involontaire de malveillance; nuance. Les personnes infect�es repr�sentent les maillons qui constituent la chaine de survie de ce groupe, elles les engraissent �conomiquement ce qui permet de renouveler les infrastructures, d'engager des projets de d�veloppement, .... et donne raison � ce business illicite.

Aujourd'hui, lors d'une infection Zlob, il n'est pas rare d'observer de multi-infections comme par exemple Vundo, ce qui pose parfois de s�rieux probl�mes pouvant "saturer" le syst�me d'exploitation rendant le nettoyage plus difficile voir quasiment impossible.

Les sites d'aide � la r�solution de probl�mes informatiques, commun�ment appel�s sites d'entre aide, sont pris d'assaut quotidiennement par d'innombrables visiteurs qui g�missent bestialement leurs malheurs et tristes aventures v�cues. (Pour les �trangers, sachez que se plaindre est "natif" chez un fran�ais). Heureusement qu'ils existent, MAIS, si ils sont aussi nombreux, outre le fait que ce soit rentable pour les webmasters, ces forums traduisent un v�ritable probl�me de fond face aux fl�aux qui circulent sur Internet. La p�dagogie n'est pas mise en avant, l'objectif des "helpers" �tant de rendre la machine la plus "propre" que possible. La qualit� de l'aide apport�e d�pends des propres connaissances de l'interlocuteur ; il y en a des comp�tents mais aussi de vrais dangers publiques ! Quand le probl�me est marqu� [R�solu] ; Les utilisateurs sont satisfaits et b�nissent l'existence de tels forums "gratuits" (fondamentalement, la gratuit� n'existe pas) m�me si au final, il n'ont absolument rien compris � leurs manipulations. Tout comme l'aide humanitaire, si l'aide est mal g�r�e, dos�e, encadr�e, �a entraine � long terme une d�valuation et une forte d�pendance.

Les anti-virus reconnaissent avoir de plus en plus de difficult�s � lutter efficacement face au volume exponentiel que repr�sente les programmes malveillants. De ce fait, ils sont tous sans exception, faillibles. Mais que faire face � un utilisateur ayant un comportement � risque et qui clique sur tout ce qui bouge ? C'est si facile de rejeter sur les autres ses propres erreurs. MAIS, ouvrons la parenth�se: Il est profond�ment regrettable d'observer les �diteurs dans leurs affronts directs ou indirects par blogs interpos�s. Lire tous les quatre matins que "Ma base est plus grosse que la tienne", nana na na... Ou encore regardez l'�tude r�alis�e par X ou Y , voyez comme nos produits surclassent les v�tres et vous atomisent. Moi, je dis MERDE ! It's bullshit ! Il est temps de cesser vos inepties burlesques et pu�riles, soyez r�alistes, ces m�thodes n'am�lioreront pas la vente de vos produits. Fin de la parenth�se.

Image Copyright: IKARUS Security Software GmbH.

Nous arrivons donc � la c�l�bre formule PEBKAC
Problem Exists Between Keyboard And Chair
Le probl�me se situe entre la chaise et le clavier

Sauf exceptions, les techniques qui sont utilis�es se basent sur les comportements humains et principalement les vices de l'Homme. Afin de surpasser nos "instincts" primitifs, la nature nous � dot� d'un cerveau. Un exemple estival ? Vous faites un barbecue. Vous sortez vos merguez, elles sont enti�rement comestibles et tr�s bonnes mais vous savez pertinemment que si vous les mettez imm�diatement dans votre bouche, vous allez vous br�ler ! Prendre conscience qu'une infection n'est pas une simple petite brulure mais bien une maladie informatique qui tuera � petit feu votre ordinateur ou par malchance vous touchera dans la vie r�elle, est une �tape importante dans la compr�hension et dans la pr�vention.

Vous l'avez peut �tre remarqu� que nous ne d�rogeons pas � nos habitudes, � savoir, nous faire de nouveaux amis et apr�s tout, si �a d�range autant, c'est probablement qu'il y a un fond de v�rit�.

Re: IRCBots: YouTube/MySpace

�ω₪h — Tue, 01 Jul 2008 20:57:55 GMT

Le serveur qui h�berge actuellement les fichiers a probablement �t� d�tourn�. Nous observons que les pirates utilisent des vuln�rabilit�s de type Remote File Inclusion sur phpMyChat afin de s'introduire sur des serveurs l�gitimes et ainsi stocker leurs programmes malveillants.

Le premier programme (6d7e026661abfadff04aa88d263e60d500c22249)
• R�alise une copie de lui m�me dans: %windir%\system32\msnfileshare.exe
[†] Modifications du fichier hosts

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSN File & Folder Sharing App" = "msnfileshare.exe"

Connexion au botnet:

Le second programme (d532d4f54b6a41b4c6324a4cb3c9ae2d208d502d)
• R�alise une copie de lui m�me dans: %windir%\system32\msnapp.exe
[†] Modifications du fichier hosts

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSN Application" = "msnapp.exe"

Connexion au botnet:

Une nouvelle fois, on observe la volont� qu'ont ces auteurs � vouloir se cr�er de nouveaux botnets IRC.

Ces fichiers sont d�sormais pris en charge par l'outil de nettoyage MSNFix.
Laurent vous informe que son outil a �t� traduit en Mac�donien. (Added: Macedonian translation)

Zlob: aviutility.com

�ω₪h — Tue, 01 Jul 2008 17:03:33 GMT

DNS: AVIUTILITY.COM ( 85.255.117.245 )
Registrar: ESTDOMAINS, INC.
NS1.AVIUTILITY.COM
NS2.AVIUTILITY.COM
Updated: 01-jul-2008
Creation: 01-jul-2008
Expiration: 01-jul-2009

• 69.50.164.50 (69.50.164.50-custblock.intercage.com)

%programfiles%\Web Technologies
HKCU\Software\Web Technologies

Scan taken on 01 Jul 2008 18:58:57 (CET) .
AhnLab-V3 ; 2008.7.2.0 ; 2008.07.01 ; -
AntiVir ; 7.8.0.59 ; 2008.07.01 ; DR/Zlob.Gen
Authentium ; 5.1.0.4 ; 2008.07.01 ; -
Avast ; 4.8.1195.0 ; 2008.06.30 ; Win32:Zlob-CGB
AVG ; 7.5.0.516 ; 2008.07.01 ; -
BitDefender ; 7.2 ; 2008.07.01 ; Trojan.Zlob.CNT
CAT-QuickHeal ; 9.50 ; 2008.06.30 ; -
ClamAV ; 0.93.1 ; 2008.07.01 ; Trojan.Dropper-2529
DrWeb ; 4.44.0.09170 ; 2008.07.01 ; -
eSafe ; 7.0.17.0 ; 2008.07.01 ; -
eTrust-Vet ; 31.6.5917 ; 2008.07.01 ; -
Ewido ; 4.0 ; 2008.07.01 ; -
F-Prot ; 4.4.4.56 ; 2008.07.01 ; -
F-Secure ; 7.60.13501.0 ; 2008.07.01 ; -
Fortinet ; 3.14.0.0 ; 2008.07.01 ; -
GData ; 2.0.7306.1023 ; 2008.07.01 ; -
Ikarus ; T3.1.1.26.0 ; 2008.07.01 ; -
Kaspersky ; 7.0.0.125 ; 2008.07.01 ; -
McAfee ; 5329 ; 2008.07.01 ; -
Microsoft ; 1.3704 ; 2008.07.01 ; TrojanDownloader:Win32/Zlob.KI
NOD32v2 ; 3232 ; 2008.07.01 ; -
Norman ; 5.80.02 ; 2008.07.01 ; -
Panda ; 9.0.0.4 ; 2008.07.01 ; -
Prevx1 ; V2 ; 2008.07.01 ; -
Rising ; 20.51.12.00 ; 2008.07.01 ; Trojan.DL.Zlob.GEN
Sophos ; 4.30.0 ; 2008.07.01 ; Sus/ZlobLike-A
Sunbelt ; 3.1.1509.1 ; 2008.07.01 ; -
Symantec ; 10 ; 2008.07.01 ; -
TheHacker ; 6.2.96.365 ; 2008.07.01 ; -
TrendMicro ; 8.700.0.1004 ; 2008.07.01 ; Mal_Zlob-2
VBA32 ; 3.12.6.8 ; 2008.07.01 ; suspected of Downloader.Zlob.3
VirusBuster ; 4.5.11.0 ; 2008.07.01 ; -
Webwasher-Gateway ; 6.6.2 ; 2008.07.01 ; Trojan.Dropper.Zlob.Gen

New online virus scanners ?

�ω₪h — Mon, 30 Jun 2008 23:08:18 GMT

Ce r�cent �v�nement rappel �trangement le sujet "The darker side of online virus scanners" !
Source: Analyst's Diary, d�cembre 2007.

Les �chantillons ne sont pas envoy�s aux �diteurs anti-virus.
Le whois est prot�g� par ContactPrivacy.

N'accordez aucune confiance � ce service, n'envoyez aucun de vos fichiers.

Nous vous recommandons d'utiliser:
• VirusTotal avec ses 32 moteurs AntiVirus.
• VirSCAN avec ses 36 moteurs AntiVirus.
• Jotti's Malware Scan avec ses 20 moteurs AntiVirus.

Ces services vous assurent la garantie d'un r�el relai au niveau des �diteurs.