| Auteur | Sujet |
| | #0 Sat 08 Mar 2008 (3:51) |
| Expert |  Une nouvelle variante du ver MSN Messenger de la famille des "Naked" (naked4friends, nakedfamily,...) ceux qui affichaient le visage d'un individu déformé et dont la fenêtre était intitulée " Nacked!!!?? :D" se propage sur MSN depuis quelques jours. France, Italie et Belgique sont les premiers pays touchés. Le modo-operanti est toujours le même, l'internaute via MSN reçois un message l'invitant à cliquer sur le lien: http://msn.images.isuisse.com/?photo=votre_pseudo Ce lien télécharge (actuellement) un programme nommé " _photo8.com" d'une taille de 88 219 octects. ( SHA-1: a054fde60be5826452e0e19fa202237783177683) Désormais, le titre de la fenêtre est : " oh you and me ? nah its me the clown again" Une fois exécuté, un fichier %tmp%\services.exe est créé puis exécuté, il dépose ensuite le fichier %homedrive%\image.jpg . Créer une clef Run nommée "Flash Media" dans HKLM mais celle-ci reste vide. Assure son redémarrage de cette manière. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit = "%windir%\system32\userinit.exe,%tmp%\services.exe" Force Internet Explorer a ne pas utiliser de proxy. S'ajoute à la liste des applications approuvées par le firewall. (FirewallPolicy (AuthorizedApplications)) %windir%\services.exe:*:Enabled:Flash Media Créer le mutex SmAma5a5EraAwXx5A87x et effectue une connexion sur un C&C de type IRC elena.ccpower.ru en 3306/TCP sur le canal #.nigger1 Le topic du canal est le suivant: "\xa9\xb1\xa8\xb0\xad\xf2\xff\xf6\xf6\xf5\xac\xb0\xb0\xb4\xfe\xeb\
xeb\xa9\xb7\xaa\xea\xad\xa9\xa5\xa3\xa1\xb7\xea\xad\xb7\xb1\xad\xb7
\xb7\xa1\xea\xa7\xab\xa9\xeb\xfb\xb4\xac\xab\xb0\xab\xf9" Reception des messages suivants: "\xf2\xff\xf6\xf6\xf5 \xac\xb0\xb0\xb4\xfe\xeb\xeb\xa9\xb7\xaa\xea\xad\xa9\xa5\xa3\xa1\xb7
\xea\xad\xb7\xb1\xad\xb7\xb7\xa1\xea\xa7\xab\xa9\xeb\xfb\xb4\xac\xab\xb0\xab\xf9" "\xfe\xf5\xed\xf4\xf6\xf5\xfb\xfe 3368a368241f28bca8cff0b6527b6bed
\xac\xb0\xb0\xb4\xfe\xeb\xeb\xa9\xa1\xa9\xa6\xa1\xb6\xb7\xea\xac\xab\xa9
\xa1\xea\xaa\xa8\xeb\xa2\xea\xa9\xad\xa0\xa0\xa1\xaa\xa0\xab\xb6\xb4
\xeb\xa5\xa0\xa0\xbe\xea\xa1\xbc\xa1" Il s'agit d'un encodage de type base16^0xC4 et ^0x9A pour les commandes. Télécharge le fichier http://members.home.nl/f.middendorp/addz.exe qui sera stocké dans les fichiers temporaires d'Internet Explorer, donc son nom sera addz[1].exe puis créer une copie de lui même %homedrive%\axaxep.exe et l'exécute. Ce programme est détecté sous les noms suivants: Win32:Small-JMH, Trojan.Small-5257, W32/Smalltroj.CYBP, Trojan.DownLoader.49432, Trojan.Downloader.Small.Irm
Trojan-Downloader.Win32.Small.irm, Win32/TrojanDownloader.Small.IAW, BackDoor.W32.Zenmaster.102,
Trojan.DL.Win32.Mnless.zal, Trojan.Retapu.D, Mal/DownLdr-O En fonction des paramètres du système d'exploitation, les messages peuvent être: Notes your photos are published on this site :s
ta tof fais koi sur ce site :p
Uw foto's worden gepubliceerd op deze site :s
Ihre Fotos werden auf dieser Seite veroffentlicht :s
Le tue foto sono pubblicati su questo sito :s
Suas fotos sao publicadas neste site :s
Bu sitedeki fotograf senmisin ?
Nous avons contacté l'hébergeur isuisse.com qui fait partie du groupe iEUROP ( ifrance.com, ibelgique.com, iespana.es, iitalia.com, iquebec.com,...) ainsi que home.nl mais nous n'avons aucune réponse à ce jour. *edit*: Lundi 10 Mars 2008 - Le fichier distant hébergé par ISUISSE.COM a été retiré. Merci à Regis59. _______________
« Let's try to subvert our brains, today. »
SecuBox Labs, FRANCE « Dernière édition par ¥ω₪h le Wed 12 Mar 2008 (8:45). » |
| | #1 Wed 12 Mar 2008 (2:32) |
| Expert | http://msn.tof.isuisse.com/?photo=votre_pseudo Ce lien télécharge (actuellement) un programme nommé "_photo2.com" d'une taille de 89 755 octects. (SHA-1: c1e1111d5b3acc83480004940edf177a3567ff33) 12 Mar 2008 12:59:44 (GMT) . A-Squared : Found nothing
AntiVir : Found TR/Crypt.XPACK.Gen
ArcaVir : Found nothing
Avast : Found nothing
AVG Antivirus : Found nothing
BitDefender : Found nothing
ClamAV : Found nothing
CPsecure : Found nothing
Dr.Web : Found nothing
F-Prot Antivirus : Found nothing
F-Secure Anti-Virus : Found nothing
Fortinet : Found nothing
Ikarus : Found nothing
Kaspersky Anti-Virus : Found nothing
NOD32 : Found a variant of Win32/TrojanDropper.Agent.NIN
Norman Virus Control : Found nothing
Panda Antivirus : Found nothing
Rising Antivirus : Found nothing
Sophos Antivirus : Found Sus/UnkPacker (probable variant)
VirusBuster : Found nothing
VBA32 : Found nothing
Détermine le nom de fichier: 6 caractères aléatoires. ( %rand%) Assure son redémarrage. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit = "%windir%\system32\userinit.exe,%windir%\system32\%rand%.exe" S'ajoute à la liste des applications approuvées par le firewall. (FirewallPolicy (AuthorizedApplications)) %windir%\system32\%rand%.exe:*:Enabled:Flash Media HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Flash Media" = "" Les messages peuvent être les suivants: Notes lool someone put ur photo here :D
lol quelqu'un a mis ta tof ici :D
omg jou foto hier geplaatst ?
omg ihr bild ist hier platziert ?
lool qualcuno mettere la tua foto qui :D
Suas fotos sao publi cadas neste site :s
_______________
« Let's try to subvert our brains, today. »
SecuBox Labs, FRANCE « Dernière édition par ¥ω₪h le Wed 12 Mar 2008 (8:44). » |
| | #2 Mon 17 Mar 2008 (11:34) |
| Expert | 1. http://msn.photo.iquebec.com/?photo=pseudo 2. http://image-msn.iquebec.com/?photo=pseudo Ce lien télécharge (actuellement) un programme nommé "pseudo_photo2.com" d'une taille de 89 243 octects. (SHA-1: 2d5490dd85ab688cddb7b30834c1d5c0b97ad68e) 16 Mar 2008 15:24:03 (GMT) . trace . A-Squared : Found nothing
AntiVir : Found TR/Crypt.XPACK.Gen
ArcaVir : Found nothing
Avast : Found nothing
AVG Antivirus : Found nothing
BitDefender : Found Trojan.Agent.AHIV
ClamAV : Found nothing
CPsecure : Found nothing
Dr.Web : Found nothing
F-Prot Antivirus : Found nothing
F-Secure Anti-Virus : Found nothing
Fortinet : Found nothing
Ikarus : Found nothing
Kaspersky Anti-Virus : Found nothing
NOD32 : Found a variant of Win32/TrojanDropper.Agent.NIN
Norman Virus Control : Found W32/Smalltroj.DLDS
Panda Antivirus : Found nothing
Rising Antivirus : Found nothing
Sophos Antivirus : Found Sus/UnkPacker (probable variant)
VirusBuster : Found nothing
VBA32 : Found nothing
L'image :  La fenêtre : Im paki usman ahzaz, i swim in money $$$,
i want you to swim with me!!! send this file to swim with me!! Drop 'pvoaqbn.exe' (SHA-1: 08ca08895ded48cf012c6627d860ca2635de45fb) pvoaqbn.exe . A-Squared : Found nothing
AntiVir : Found TR/Crypt.XPACK.Gen
ArcaVir : Found nothing
Avast : Found nothing
AVG Antivirus : Found nothing
BitDefender : Found Trojan.Agent.AHIV
ClamAV : Found nothing
CPsecure : Found nothing
Dr.Web : Found nothing
F-Prot Antivirus : Found nothing
F-Secure Anti-Virus : Found Trojan.Win32.DNSChanger.bfo
Fortinet : Found nothing
Ikarus : Found nothing
Kaspersky Anti-Virus : Found Trojan.Win32.DNSChanger.bfo
NOD32 : Found a variant of Win32/IRCBot.AAL
Norman Virus Control : Found nothing
Panda Antivirus : Found nothing
Rising Antivirus : Found nothing
Sophos Antivirus : Found Mal/Basine-C
VirusBuster : Found nothing
VBA32 : Found nothing
*edit*: Lundi 17 Mars 2008 - Le fichier distant hébergé par IQUEBEC.COM a été retiré._______________
« Let's try to subvert our brains, today. »
SecuBox Labs, FRANCE « Dernière édition par ¥ω₪h le Tue 18 Mar 2008 (4:29). » |
| | #3 Wed 19 Mar 2008 (1:17) |
| Expert | 1. http://msn-contact.ifrance.com/?photo=pseudo 2. http://contact.msn.iquebec.com/?photo=pseudo 3. http://msn-picture.iquebec.com/?photo=pseudo Ce lien télécharge (actuellement) un programme nommé "pseudo_photo9.com" d'une taille de 91 291 octets. (SHA-1: 9fbaf69e93054988e5fd49342441756e67a80427) lool someone put ur photo here :D
lol quelqu'un a mis ta tof ici :D
omg jou foto hier geplaatst ?
omg ihr bild ist hier platziert ?
lool qualcuno mettere la tua foto qui :D
Suas fotos sao publicadas neste site :s Scan taken on 18 Mar 2008 22:52:13 (GTM) . A-Squared : Found nothing
AntiVir : Found TR/Crypt.XPACK.Gen
ArcaVir : Found nothing
Avast : Found nothing
AVG Antivirus : Found nothing
BitDefender : Found BehavesLike:Trojan.UserStartup (probable variant)
ClamAV : Found nothing
CPsecure : Found nothing
Dr.Web : Found nothing
F-Prot Antivirus : Found nothing
F-Secure Anti-Virus : Found nothing
Fortinet : Found nothing
Ikarus : Found nothing
Kaspersky Anti-Virus : Found nothing
NOD32 : Found a variant of Win32/TrojanDropper.Agent.NIN
Norman Virus Control : Found nothing
Panda Antivirus : Found nothing
Rising Antivirus : Found nothing
Sophos Antivirus : Found Sus/UnkPacker (probable variant)
VirusBuster : Found nothing
VBA32 : Found nothing
Drop 'xlihjem.exe' (SHA-1: 7058777b9732fe7e6edc1c33295f66aaeeb3e2a8) xlihjem.exe . A-Squared : Found nothing
AntiVir : Found TR/Crypt.XPACK.Gen
ArcaVir : Found nothing
Avast : Found nothing
AVG Antivirus : Found nothing
BitDefender : Found nothing
ClamAV : Found nothing
CPsecure : Found nothing
Dr.Web : Found nothing
F-Prot Antivirus : Found nothing
F-Secure Anti-Virus : Found nothing
Fortinet : Found nothing
Ikarus : Found nothing
Kaspersky Anti-Virus : Found nothing
NOD32 : Found a variant of Win32/IRCBot.AAL
Norman Virus Control : Found nothing
Panda Antivirus : Found nothing
Rising Antivirus : Found nothing
Sophos Antivirus : Found Mal/Basine-C
VirusBuster : Found nothing
VBA32 : Found nothing
_______________
« Let's try to subvert our brains, today. »
SecuBox Labs, FRANCE « Dernière édition par ¥ω₪h le Mon 24 Mar 2008 (2:21). » |
| | #4 Mon 24 Mar 2008 (2:45) |
| Expert | 1. http://msn-friends.iquebec.com/?photo=pseudo Ce lien télécharge (actuellement) un programme nommé "pseudo_photo09.com" d'une taille de 91 291 octets. (SHA-1: 9b1aabe9138bd3b75f02921b220c2e281f73afdf) Nouveau mutex: SmAma5a5EraAwXx5A87x87 Nouveauté: Utilisation de caractères ASCII spéciaux. %rand%.exe : Correspond à une chaîne de type: aléatoire+"msn"+aléatoire+"fix''.exe" Assure son redémarrage. [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit = "%windir%\system32\userinit.exe,%tmp%\%rand%.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"Flash Media" = "%tmp%\%rand%.exe" S'ajoute à la liste des applications approuvées par le firewall. (FirewallPolicy (AuthorizedApplications)) %tmp%\%rand%.exe":*:Enabled:Flash Media Scan taken on 24 Mar 2008 13:18:05 (GMT) . A-Squared : Found nothing
AntiVir : Found TR/Crypt.XPACK.Gen
ArcaVir : Found nothing
Avast : Found nothing
AVG Antivirus : Found nothing
BitDefender : Found nothing
ClamAV : Found nothing
CPsecure : Found nothing
Dr.Web : Found nothing
F-Prot Antivirus : Found nothing
F-Secure Anti-Virus : Found nothing
Fortinet : Found nothing
Ikarus : Found nothing
Kaspersky Anti-Virus : Found nothing
NOD32 : Found a variant of Win32/TrojanDropper.Agent.NIN
Norman Virus Control : Found nothing
Panda Antivirus : Found nothing
Rising Antivirus : Found nothing
Sophos Antivirus : Found Sus/UnkPacker (probable variant)
VirusBuster : Found nothing
VBA32 : Found nothing
Drop '%rand%.exe' (SHA-1: d7bdab74509184fdcd49268e6cd2c96bf224da5b) Scan taken on 24 Mar 2008 17:46:01 (GMT) . A-Squared : Found nothing
AntiVir : Found TR/Crypt.XPACK.Gen
ArcaVir : Found nothing
Avast : Found nothing
AVG Antivirus : Found nothing
BitDefender : Found BehavesLike:Trojan.UserStartup (probable variant)
ClamAV : Found nothing
CPsecure : Found nothing
Dr.Web : Found nothing
F-Prot Antivirus : Found nothing
F-Secure Anti-Virus : Found nothing
Fortinet : Found nothing
Ikarus : Found nothing
Kaspersky Anti-Virus : Found nothing
NOD32 : Found a variant of Win32/IRCBot.AAL
Norman Virus Control : Found nothing
Panda Antivirus : Found nothing
Rising Antivirus : Found nothing
Sophos Antivirus : Found Mal/Basine-C
VirusBuster : Found nothing
VBA32 : Found nothing
1. http://password.msn.iquebec.com/?photo=pseudo Ce lien télécharge (actuellement) un programme nommé "pseudo_photo09.com" d'une taille de 91 291 octets. (SHA-1: 7676d20fa952fa7bbe0c4c4ba1a85cdc6e06c11a) Mutex: SmAma5a5EraAwXx5A87x87 Fichier droppé: ' ^^^^^.exe' 1. http://mail-msn.isuisse.com/?photo=pseudo 2. http://emails.msn.isuisse.com/?photo=pseudo 3. http://msn-images.isuisse.com/?photo=pseudo 4. http://images.msn.ibelgique.com/?photo=pseudo Ce lien télécharge (actuellement) un programme nommé "pseudo_photo05.com" d'une taille de 90 779 octets. (SHA-1: 01e48a55dc98d28f8dd20effd4cb81931669dda1) Mutex: blues_rulez_-.-_shnhf9k5mf Fichier droppé: ' ^^^^^.exe' _______________
« Let's try to subvert our brains, today. »
SecuBox Labs, FRANCE « Dernière édition par ¥ω₪h le Tue 08 Apr 2008 (7:01). » |
| | #5 Sun 06 Apr 2008 (2:05) |
| Expert | 1. http://msn.contact-photo.com/?photo=pseudo Ce lien télécharge (actuellement) un programme nommé "pseudo_photo05.com" d'une taille de 91 291 octets. (SHA-1: c193393ac71601c2445b75b1d6d6b7e35c263c24) Mutex: blues_rulez_-.9k5hnhf9k5mf Fichier droppé: ' %%%%%.exe' • DNS: CONTACT-PHOTO.COM Registrar: ENOM, INC. Creation: 01-apr-2008 Updated: 01-apr-2008 Expiration: 01-apr-2009 Alain Ripoux (ezicca @yahoo.fr) 86 rue de vienna Paris, 75039, FRANCE (fake identity) 1. WWW.CONTACT-PHOTO.COM : 91.121.54.139 2. MSN.CONTACT-PHOTO.COM : 91.121.54.139 3. IMAGE.PHOTO-CONTACT.NET 139.54.121.91.in-addr.arpa - r11571.ovh.net
91.121.54.139 ~ AS16276 : ( Dedicated Servers, OVH FRANCE, PARIS ) • DNS: PHOTO-CONTACT.NET Registrar: ENOM, INC. Creation: 04-apr-2008 Updated: 04-apr-2008 Expiration: 04-apr-2009 Alain Ripoux (ezicca @yahoo.fr) 86 rue de vienna Paris, 75039, FRANCE (fake identity) 1. WWW.PHOTO-CONTACT.NET : 72.167.164.37 2. MSN.PHOTO-CONTACT.NET : 72.167.164.37 37.164.167.72.in-addr.arpa - ip-72-167-164-37.ip.secureserver.net
72.167.164.37 ~ AS26496 : ( Go Daddy Software Inc ) Ce lien télécharge (actuellement) un programme nommé "photo02.com" ou "photo05.com" d'une taille de 91 803 octets. (SHA-1: 0ff2dc99c3b62bfb170892ca1bac5b9a607ebada) Nouveauté: Drop le fichier %tmp%\catchme.sys Mutex: blues_rulez_-.9k5hnhf9k5mf Fichier droppé: ' %%%.exe' Fichier droppé: ' "%" et "^" en aléatoire.exe' Les messages peuvent être les suivants: Notes you are beautiful in this photo
t'es tres jolie sur cet tof
U bent in deze mooie foto! :o
Sie sind in diesem schönen Foto! :o
Siete belle in questa foto! :o
Você é bonito nesta foto! :o
bu fotografta çok güzelsin! :o
• DNS: IMG-CONTACT.COM Registrar: ENOM, INC. Creation: 07-apr-2008 Updated: 07-apr-2008 Expiration: 07-apr-2009 Martine Broust (delpedro11 @yahoo.it) 33 rte de belleme Lyon 61340, FRANCE (fake identity) 1. WWW.IMG-CONTACT.COM : 72.167.164.37 2. MSN.IMG-CONTACT.COM : 72.167.164.37 37.164.167.72.in-addr.arpa - ip-72-167-164-37.ip.secureserver.net
72.167.164.37 ~ AS26496 : ( Go Daddy Software Inc ) [+] New DNS FRAME.CCPOWER.RU 112.69.121.91.in-addr.arpa - ns25965.ovh.net
91.121.69.112 ~ AS16276 : ( Dedicated Servers, OVH FRANCE, PARIS ) [#] http ://frame.ccpower.ru/wv.exe _______________
« Let's try to subvert our brains, today. »
SecuBox Labs, FRANCE « Dernière édition par ¥ω₪h le Sat 19 Apr 2008 (10:34). » |
| | #6 Sat 19 Apr 2008 (10:47) |
| Expert | 1. MICROSOFT.MSN.YTZDR.COM : 91.121.62.184 184.62.121.91.in-addr.arpa - r12074.ovh.net
91.121.62.184 ~ AS16276 : ( Dedicated Servers, OVH FRANCE, PARIS ) • DNS: YTZDR.COM Registrar: GODADDY Creation: 16-apr-2008 Updated: 16-apr-2008 Expiration: 16-apr-2009 Alain Miko (qinlo4ma1tx98xt @jetable.com) 67 rue de versaille 75093 Paris, France (fake identity) Ce lien télécharge (actuellement) un programme ayant une taille de 91 291 octets. (SHA-1: fa29d70aa28a88f7b267cd67fdf2902648c104bd) ; le nom de fichier est composé aléatoirement avec les caractères " ," " W" et " )" et son mutex se nomme " catchme_herehaha". _______________
« Let's try to subvert our brains, today. »
SecuBox Labs, FRANCE « Dernière édition par ¥ω₪h le Thu 24 Apr 2008 (7:49). » |
| | #7 Tue 22 Apr 2008 (12:39) |
| Expert | 1. VERY-NAKED.NET : 72.167.131.53 53.131.167.72.in-addr.arpa - p3slh164.shr.phx3.secureserver.net
72.167.131.53 ~ AS26496 : (Go Daddy Software) • DNS: VERY-NAKED.NET Registrar: GODADDY Creation: 21-Apr-2008 Updated: 21-Apr-2008 Expiration: 21-Apr-2009 Laurence Delpech (detachgrou11 @yahoo.com) Rés La Terrasse, rue Edgar Quinet Brive 19100, France (fake identity) Ce lien télécharge (actuellement) un programme ayant une taille de 90 779 octets. (SHA-1: 5ff69ccf7068af19b6e07c9a89aefdd6069644ae) Nouveauté: " real.txt" remplacé par " funnymovies.txt" Nouveauté: " Flash Media" remplacé par " Ghost Relay" Nouveauté: Valeur "FT" affectée à .htc Nouveau mutex: alienVSpredator_______________
« Let's try to subvert our brains, today. »
SecuBox Labs, FRANCE « Dernière édition par ¥ω₪h le Tue 22 Apr 2008 (12:45). » |
| | #8 Sun 11 May 2008 (12:37) |
| Expert | SERVER788.COM enregistré chez Enom le 8 mai 2008 à 16:04:57. Jérôme Garcia (rpxt2233 @yahoo.fr) ~ 06.12.43.91.21 46, impasse Bonnet ASSAS 34820, FRANCE 1. MESSENGER.MICROSOFT.SERVER788.COM : 91.121.102.118 118.102.121.91.in-addr.arpa - ns29334.ovh.net
91.121.102.118 ~ AS16276 : ( Dedicated Servers, OVH FRANCE, PARIS ) Content-Disposition: attachment; filename="VIDEO12083.dvd.com"
Content-Type: application/octet-stream Télécharge (actuellement) un programme ayant une taille de 51 356 octets. (SHA-1: 2a5def528865d38d72bbe92c1a8f8e7274eea073). Modification du packer, poids du programme revu à la baisse. Nom de fichier droppé composé des caractères: " ^", " %", " " (espace). Nouveau mutex: IZHA5EzK3vJF9Be2E. Les messages sont les suivants: lool you are so funny in this video
tu es tres drole dans cette video hihi :D
U bent in deze mooie foto! :o
Sie sind in diesem schönen Foto! :o
si sono così divertente in questo video
Você é bonito nesta foto! :o
bu fotografta çok güzelsin! :o Télécharge: http://frame.ccpower.ru/wv.exe (91.121.136.53, OVH) trace . A-Squared : Found nothing
AntiVir : Found TR/Crypt.XPACK.Gen
ArcaVir : Found nothing
Avast : Found nothing
AVG Antivirus : Found nothing
BitDefender : Found nothing
ClamAV : Found nothing
CPsecure : Found nothing
Dr.Web : Found nothing
F-Prot Antivirus : Found nothing
F-Secure Anti-Virus : Found nothing
Fortinet : Found nothing
Ikarus : Found Suspect code-parts (probable variant)
Kaspersky Anti-Virus : Found nothing
NOD32 : Found a variant of Win32/TrojanDropper.Agent.NIN
Norman Virus Control : Found nothing
Panda Antivirus : Found nothing
Sophos Antivirus : Found Mal/Behav-164
VirusBuster : Found nothing
VBA32 : Found nothing
_______________
« Let's try to subvert our brains, today. »
SecuBox Labs, FRANCE « Dernière édition par ¥ω₪h le Sun 11 May 2008 (5:26). » |
| | #9 Fri 13 Jun 2008 (12:20) |
| Expert | IMAGES-ALBUM.COM enregistré chez Enom le 11 juin 2008 à 16:35:46. skwila john (skwila @yahoo.com) 78, rue de Priston 75039 Paris, FRANCE 1. MSN.IMAGES-ALBUM.COM
203.112.121.91.in-addr.arpa - ks200822.kimsufi.com
91.121.112.203 ~ AS16276 : ( Dedicated Servers, OVH FRANCE, PARIS ) Content-Disposition: attachment; filename="image8937.com"
Content-Type: application/octet-stream Nouveau mutex: kJKLJGZ8J890JgqvjfzhKHJnbfy  Affiche un nouveau visage avec le message: " Double tete". • %windir%\system32\cftmon.exe • %windir%\system32\image.jpg • %windir%\system32\real.txt [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit = "%windir%\system32\userinit.exe,%windir%\system32\cftmon.exe" [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Flash Player2" = "" Force Internet Explorer a ne pas utiliser de proxy. S'ajoute à la liste des applications approuvées par le firewall. (FirewallPolicy (AuthorizedApplications)) %windir%\services.exe:*:Enabled:Flash Player2 Les messages peuvent être en FR, IT, NL, BE, SW, TU, PR, BR, DE messages . Sup, seen the pictures from the other night?
Hey, who is this on the right, in this picture?
Should i send this to your friends?
LOOL you are so ugly in this photo, no joke...
t'as vu ces tof l'autre soir?
Hey, c'est ki a droite de cette tof??
loool, t'es vraiment moche dans cette tof!!!
heyy! une gonzesse veut te connaitre... regarde bien sa tof.
sup, heb je de fotos van de andere nacht gezien ?
hey, wie is de rechter persoon op dit plaatje ?
zal ik dit naar je vrienden sturen ?
lol jij bent zo lelijk in deze foto, geen grap...
Sup, seen the pictures from the other night?
Hey m8, who is this on the right, in this picture...
Should I put this on facebook/myspace?
LOL, you look so ugly in this picture, no joke...
Lei non è lo sguardo sono divertente in queste foto queste molto fesserie realmente io:D
conoscete la pagina di destra della persona?
se venite qui siete, questa foto dovete osservare. allora ridete certamente
la mia automobile di sogno sì :S
e que realmente voce?
Hey, que esta presente na direita, nesta imagem...
Devo colocar isto no facebook / myspace?
LOL, voce olhar tao feio nesta foto, nenhuma brincadeira ...
u fotoðraftaki ayni sana benziyo ya.
Hayallerimdeki araba iþte bu yaa
Su fotografa gelince mutlaka bak gulmekten kirilcaksin :D
Bu fotografin sagindaki kisiyi taniyormusun ?
_______________
« Let's try to subvert our brains, today. »
SecuBox Labs, FRANCE |
| | #10 Wed 16 Jul 2008 (6:22) |
| Expert | PARTAGER-ALBUM.COM enregistré chez GoDaddy le 16 Juillet 2008. Massey Lynn (emaxmax11 @yahoo.fr) 4, rue Servien MEUDON, île de france 92190 France 1. WWW.MSN.PARTAGER-ALBUM.COM
207.29.121.91.in-addr.arpa - ks21576.kimsufi.com
91.121.29.207 ~ AS16276 : ( Dedicated Servers, OVH FRANCE, PARIS )  YOUTUBE-T.COM enregistré chez Enom le 18 Juillet 2008. Agnès Poncot (gilles.poncot11 @wanadoo .fr) 8, route de Tartecourt VENISEY, Haute-Saône 70500 FRANCE 2. WWW.YOUTUBE.YOUTUBE-T.COM
207.29.121.91.in-addr.arpa - ks21576.kimsufi.com
91.121.29.207 ~ AS16276 : ( Dedicated Servers, OVH FRANCE, PARIS ) Content-Disposition: attachment; filename="album11937.com"
Content-Type: application/octet-stream Résultats VT: 11/33 (33.33%)_______________
« Let's try to subvert our brains, today. »
SecuBox Labs, FRANCE « Dernière édition par ¥ω₪h le Thu 24 Jul 2008 (10:07). » |
| | #11 Fri 25 Jul 2008 (9:44) |
| Expert | MSN.IMAGE-CONTACTS.COM enregistré chez Enom le 25 Juillet 2008. Marino Sylvain (viper8711 @yahoo.fr) 3, square Servan PARIS, île de france 75011 FRANCE 3. WWW.MSN.IMAGE-CONTACTS.COM
207.29.121.91.in-addr.arpa - ks21576.kimsufi.com
91.121.29.207 ~ AS16276 : ( Dedicated Servers, OVH FRANCE, PARIS ) Content-Disposition: attachment; filename="msn.com"
Content-Type: application/octet-stream Mutex: kJKUJjGZ8J890Jg948zhKy Botnet: ELENA.CCPOWER.RU (91.121.140.104:3306/TCP) ~ OVH Paris, France Detection: 13/34 (38.24%) Outil de désinfection: MSNFix. _______________
« Let's try to subvert our brains, today. »
SecuBox Labs, FRANCE |
