Types d'infection : Stealer
Problème(s) renconté(s) par l'internaute : Aucun symptôme évidant. Le but du malware est de voler les
mots de passe FTP (certains clients
FTP sont visés) afin de modifier les pages d'un
site WEB pour y insérer des iframes (adresse en domaine:8080) afin d'infecter les visiteurs.
Le malware se charge depuis le dossier Démarrage, ce qui donne les lignes suivantes sur
HijackThis :
O4 - Startup: rncsys32.exe
O4 - Startup: ikowin32.exe
O4 - Startup: ekrn32.exe
O4 - Startup: sysupd32.exe
Comment attraper ce type d'infection : essentiellement via des
exploits sur
site WEB, le malware est souvent inclus dans un pack dont présence d'autres familles de malwares.
Fix visant l'infection : Combofix et
Malwarebyte Anti-malware.
Liens sur l'infection :
http://www.malekal.com/PWS_Win32.Daurso.A_rncsys32.exe.php
Exemple d'un
problème d'iframe lié à Daurso
http://blog.unmaskparasites.com/2009/09/17/quicksilver-malware-network/
http://blog.unmaskparasites.com/...
Résumé fait par : Malekal_morte
Publié par
Malekal_morte- -
Dernière mise à jour le 10 novembre 2009 à 14:05 par noctambule28
