Nouveau Virus/spyware/worm en propagation ?

SymbioS_1_1 · Juin 28, 2007, 12:45

Bonjour,

depuis hier soir, il semble que nous soyons infecté par qqchose d’inconnu, les symptomes sont que depuis hier soir, tout mes utilisateurs recoivent des delivery failure de messages qu’ils n’ont jamais envoyés ! et par centaines.

Spybot, ADAware, Ewido n’ont rien trouvé, antivirus Trend ScanMail non plus, Symantec non plus…

il semble que ses adresses soient toute en .ru, ou .ua… les objet des messages peuvent être :

??? ??? ??? ? ???
noaaaiia ?anniio?aiea nii?ia a no?ieoaeunoaa
CAEACOOA!

est-ce une chose connue ? ou…

et dans le même temps, il semble que dans les traces, certains mails restent dans le domaine de l’entreprise sans passer par l’exterieur.

un gros SPAM mais indetectable…

merci de vos avis.

le_barbier_fou · Juin 28, 2007, 1:04

Mmm… C’est comme si on essayait de faire de ton ordinateur un pc zombie ( un ordinateur que les pirates se servent pour émettre des spams. ) Fais un scan en ligne tout de même pour être sûr ( kaspersky, panda, bitdefender… ) :jap:

SymbioS_1_1 · Juin 28, 2007, 1:46

Les scans n’ont rien donné, et cela impact des utilisateurs un peu partout en europe, une 10zaine pour le moment, et depuis hier.

c’est vraiment à se retourner le cerveau.

Ma piste principale, c’est un virus pas encore référencé…

le_barbier_fou · Juin 28, 2007, 2:03

Enfin, si j’ai bien compris, les messages bizarres, c’est ton ordinateur qui les envoie ?

SymbioS_1_1 · Juin 28, 2007, 2:08

non, c’est mes utilisateurs qui recoivent des messages de delivery failure, non remise, comme si c’etait eux qui les avaient envoyé…
comme si un malware sur leur PC envoyait des 100taines de mails en leur nom.

le_barbier_fou · Juin 28, 2007, 2:11

Mais tu n’as pas de traces de ces messages dans ta boite d’envoi ?

SymbioS_1_1 · Juin 28, 2007, 3:41

Non, aucune, rien sur les outlook des utilisateurs, et dans le tracking de mon exchange 2003, il n’y a aucun message qui a été émis par les utilisateurs.

le_barbier_fou · Juin 28, 2007, 3:48

Bah là, je bloque ! :etonne2: Ca m’étonnerai que le problème vienne d’Outlook.
Bah… poste un log hijackthis, au moins, on aura tout essayé. :neutre:

SymbioS_1_1 · Juin 28, 2007, 5:04

voici le hijack :

Logfile of HijackThis v1.99.1
Scan saved at 16:28:14, on 28/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec\pcAnywhere\awhost32.exe
c:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SMINST\Scheduler.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\userinit.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM…\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAShCut.exe
O4 - HKLM…\Run: [ATIPTA] “C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe”
O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM…\Run: [SDMSSplash] “C:\Program Files\HP_SDMS\SDMSSplash\launcher.exe” “launchdir=C:\Program Files\HP_SDMS\SDMSSplash”
O4 - HKLM…\Run: [SetRefresh] C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
O4 - HKLM…\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM…\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM…\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM…\Run: [ccApp] “c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe”
O4 - HKLM…\Run: [vptray] c:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Traduire à partir de l’anglais - C:\Program… Files\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - C:\Program… Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - C:\Program… Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - C:\Program… Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - C:\Program… Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {CAFECAFE-0013-0001-0018-ABCDEFABCDEF} (JInitiator 1.3.1.18) -
O20 - Winlogon Notify: NavLogon - c:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - c:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: SAVRoam (SavRoam) - symantec - c:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - c:\Program Files\Symantec AntiVirus\Rtvscan.exe

vraiment rien de méchant.
Edité le 28/06/2007 à 17:07

SymbioS_1_1 · Juin 28, 2007, 5:27

voici un exemple de mail avec les headers :

Return-path: MonUser@MonDomain.com // j’ai modifié exprès
Received: from [172.23.170.145] (helo=anti-virus03-08)
by smtp-out5.blueyonder.co.uk with smtp (Exim 4.52)
id 1I3ZSo-0003Nz-C9; Wed, 27 Jun 2007 16:29:50 +0100
Received: from [82.37.15.72]
(helo=82-37-15-72.cable.ubr02.wolv.blueyonder.co.uk)
by asmtp-out6.blueyonder.co.uk with smtp (Exim 4.52)
id 1I3ZSk-00065l-TG; Wed, 27 Jun 2007 16:29:48 +0100
Message-ID:
<000b01c7b8a6$15894cb0$480f2552@82-37-15-72.cable.ubr02.wolv.blueyonder.co.u
k>
From:
=?Windows-1251?Q?=D0=EE=E1=E5=F0=F2_=CF=EB=E0=F2=EE=ED=EE=E2=E8=F7_=C4=F3=E1
=F0=EE=E2?= djadams@tpsb.net
To:
=?Windows-1251?Q?=C0=EB=FC=E1=E5=F0=F2_=C2=EB=E0=E4=E8=EC=E8=F0=EE=E2=E8=F7_
=CA=F3=F6=E5=ED=EA=EE?= ferd@frankusher.com
Subject:
=?Windows-1251?Q?=F1=F3=E4=E5=E1=ED=EE=E5_=F0=E0=F1=F1=EC=EE=F2=F0=E5=ED=E8=
E5_=F1=EF=EE=F0=EE=E2_=E2_=F1=F2=F0=EE=E8=F2=E5=EB=FC=F1=F2=E2=E5?=
Date: Wed, 27 Jun 2007 10:29:46 -0600
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0017_01C7B8A6.15894CB0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106

------=_NextPart_000_0017_01C7B8A6.15894CB0
Content-Type: text/plain;
charset=“windows-1251”
Content-Transfer-Encoding: quoted-printable
Edité le 28/06/2007 à 17:25

et pour etre complet, voici le spam en question, avec des caractères russes.

???O??P??E O???E??? B C??O?T???T?E.
??? ?P??? ??K???, ?C?O??? ?O???P??,
??? O???K? ? ??P???, C???E ???C??TP???E ???OB

6 ???, ?. ???

(044) 2334669 , 2379OO5

? ?p??pa??? ???apa:

Oc??? ??? ??? ?ak??? ??e???: ??o ???o ??o?ep??? ?o ??k???e??? ???o??.
K?k?? ???o?op? ?c?o???a?? ??? ??? ?e??? ???o???.

???o? ???, ???o??e??? ? ???c??? ???e?e??? ? ?o???op ap??? ?e???o?? ???c?k?.
??o ?a??e ???o??? ??? ? ?p?k??k? e?? ?c???a??? ? ???e
??? ?ak??? ? ??? ???o??? ???-???a?? ?e???;
??p??ok ??? ??a? co???c?? ? ??? ??? ?a ?e??? ? ???o? ??? x???c???x ??? ? ???e??? ???e???oc??;

???op??e ??e?? ?p? ???o???c??? ???o? (???) ???:

??? ?a?oe ???o??? ???p ? ??? ??o ?o??? ?a???a??;
???o? ? ?o???o? ?e???o??? ??? ???e???e??? ???;
?o???op ??? ?poek?o?;
??? ?? ???e??e ??? ??k???ka, ???o?opa ??p??e???;
???o? ???a??? o???o? ?e???o???.

?o?o??p??? ??? ??? c???c??? ??? ???o???:

???p??e ???o??? ?e??? ??ac???a?? ???ec???o??? ?p?e??? ?p? ?c???o?a??? ??? (???o? ?o??? ???c???o?a???).
???o??p??? ?x??? ??? ???o???, ???e?e? ? ??? ??? c??? ? ??? ??C (?o??? ???a?c?p??? ???o??e??c???).
???o??? ??? ??? ?c?o??? ?e???x ???a??? ? ??? ?? c??? ?e???o? ???a?c???a??? c?p???c??a.

???o???e ??? ? ???k???, ???a?? ? ??? ??ac??? c???o? ? ??? ?e??e???c??.

??k??? ?a ???p?:

??e?a ??k??? ? k.?.?, a???, ???e??? ?p?c?, ??? ?p???ecko?? ??? ?kp???k?? ???a?c??o ? Ko?c???o?o? ???, ???e???p ???e??o? ??p?? «??? K??ca???»

?T??? ??A??? ? T???: 730.00 ?p?. - ?? ??? ??ac???a.
??? ???po?o ? ??e??e?o ??a???k? c??? ? 5% ? 7% co???e?c???.

B ??o??? ???:
???p???o??o-?o???a???e ??? ?? c???, c?o??? ???a???, ???-???k, o??? ? pec???, o?c???e??? ???a??? ? ??? ??? ? ??k?o???.

P???a??? ?p???a:
9.30 ? 17.00 ??? 13.00-14.00
?e???a??? c 9.00 ? x???
?a?o??e??? ??ke? ? ???e ???a??? ???e??? ??? ???p???.

<font face=“Verdana, Arial, Helvetica, sans-serif” si

alain77310_1_1 · Juin 28, 2007, 8:00

S E C U S E R S E C U R I T E 12/06/07
www.secuser.com…

            Vulnérabilités dans Windows, Internet Explorer,
                Outlook Express, Windows Mail et Visio

RESUME DE L’ALERTE
LOGICIEL(S) CONCERNE(S)
CORRECTIF DISPONIBLE
AIDE ET DISCUSSION
FAIRE CONNAITRE SECUSER SECURITE
CONTACTER SECUSER.COM
DESABONNEMENT ET CHANGEMENT D’ADRESSE

1. RESUME DE L'ALERTE

Quinze défauts de sécurité ont été identifiés dans les logiciels Microsoft
Windows, Internet Explorer, Outlook Express, Windows Mail et Visio.
L’exploitation des failles les plus sévères permet à un individu malveillant
de prendre le contrôle à distance de l’ordinateur de sa victime ou à un
virus de s’exécuter via une page web, un courriel ou un document piégé.
www.secuser.com…
www.secuser.com…
www.secuser.com…
www.secuser.com…

2. LOGICIEL(S) CONCERNE(S)

Microsoft Windows Vista
Microsoft Windows XP
Microsoft Windows 2000
Microsoft Windows 2003
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 5.01
Microsoft Windows Mail
Microsoft Outlook Express 6 (excepté sous Windows 2000)
Microsoft Outlook Express 5.5 (excepté sous Windows 2000)
Microsoft Visio 2003
Microsoft Visio 2002
Microsoft Office 2003

3. CORRECTIF DISPONIBLE

Afin de prévenir toute exploitation malveillante de ces défauts de
sécurité, les utilisateurs concernés doivent installer immédiatement
les correctifs correspondants à la version de leurs logiciels :
www.secuser.com…
www.secuser.com…
www.secuser.com…
www.secuser.com…


rassure toi tu n'est pas le seul

SymbioS_1_1 · Juin 29, 2007, 9:22

Bah je vais tester ça, si ce n’est déjà fait, mais il n’y a pas vraiment de rapport explicite avec ce que je rencontre. Je trouve ça un peu étrange.

merci à toi.

gcc · Juin 29, 2007, 9:53

Tu es sûr qu’un de tes micros ne s’est pas fait “pirater” son carnet d’adresses ?
Après, il est facile pour le pirate d’usurper les identités récupérées pour balancer du spam.
Et si les messages n’aboutissent pas, c’est le supposé emetteur qui en est averti

strudll · Juin 29, 2007, 10:14

essai un antirootkit , tes pc doivent servir de bot suite a une infection

apparemment ce qui tourne pas mal en ce moment est une nouvelle variante du vers stration , non detecté par une grande partie des av les + connus , cité plus haut …

www.secuser.com…
Edité le 29/06/2007 à 10:23