Salut,

Fichier winletmin.exe reçu le 2009.07.18 09:15:02 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 2/41 (4.88%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.18 -
AhnLab-V3 5.0.0.2 2009.07.18 -
AntiVir 7.9.0.220 2009.07.17 TR/Agent.63216
Antiy-AVL 2.0.3.7 2009.07.17 -
Authentium 5.1.2.4 2009.07.18 -
Avast 4.8.1335.0 2009.07.17 -
AVG 8.5.0.387 2009.07.18 -
BitDefender 7.2 2009.07.18 -
CAT-QuickHeal 10.00 2009.07.17 -
ClamAV 0.94.1 2009.07.18 -
Comodo 1689 2009.07.18 -
DrWeb 5.0.0.12182 2009.07.18 -
eSafe 7.0.17.0 2009.07.16 -
eTrust-Vet 31.6.6623 2009.07.18 -
F-Prot 4.4.4.56 2009.07.17 -
F-Secure 8.0.14470.0 2009.07.17 -
Fortinet 3.120.0.0 2009.07.18 -
GData 19 2009.07.18 -
Ikarus T3.1.1.64.0 2009.07.18 -
Jiangmin 11.0.800 2009.07.18 -
K7AntiVirus 7.10.794 2009.07.16 -
Kaspersky 7.0.0.125 2009.07.18 -
McAfee 5679 2009.07.17 -
McAfee+Artemis 5679 2009.07.17 -
McAfee-GW-Edition 6.8.5 2009.07.18 Heuristic.BehavesLike.Exploit.CodeExec.EOLJ
Microsoft 1.4803 2009.07.18 -
NOD32 4256 2009.07.18 -
Norman 6.01.09 2009.07.17 -
nProtect 2009.1.8.0 2009.07.18 -
Panda 10.0.0.14 2009.07.17 -
PCTools 4.4.2.0 2009.07.17 -
Prevx 3.0 2009.07.18 -
Rising 21.38.51.00 2009.07.18 -
Sophos 4.43.0 2009.07.18 -
Sunbelt 3.2.1858.2 2009.07.18 -
Symantec 1.4.4.12 2009.07.18 -
TheHacker 6.3.4.3.370 2009.07.17 -
TrendMicro 8.950.0.1094 2009.07.17 -
VBA32 3.12.10.8 2009.07.17 -
ViRobot 2009.7.17.1841 2009.07.17 -
VirusBuster 4.6.5.0 2009.07.16 -
Information additionnelle
File size: 254744 bytes
MD5...: 557144393fbaadeb4507eb30c36a5167
SHA1..: 52bad5658733526332aa74a9bad113c0329c0460
SHA256: 51ddae3124393b8ebd16e5948cf0dfdc5ac9e0ec3cafaac4bd52dec98b0af773
ssdeep: 6144:DTfFDbRnOTri9iwfS4ctsVBcb9I9OErkLY:F5OY/SdtABs9YOEAM
PEiD..: -
TrID..: File type identification
WinRAR Self Extracting archive (96.2%)
Win32 Executable Generic (1.5%)
Win32 Dynamic Link Library (generic) (1.4%)
Generic Win/DOS Executable (0.3%)
DOS Executable Generic (0.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x48cfc008 (Tue Sep 16 14:17:44 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14000 0x13a00 6.48 d9c3b0b82d7da6d18b0896fb360cea84
.data 0x15000 0x8000 0xa00 4.93 568dd221456d807ca821813c84d65e70
.idata 0x1d000 0x2000 0x1200 4.79 bc7806e1c1ce9ebfd00ad834c1f7a647
.rsrc 0x1f000 0x3724 0x3800 4.17 ec9c66e0e4c73666a42c5d9d6706fd43

( 8 imports )
> ADVAPI32.DLL: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA, RegQueryValueExA, RegSetValueExA, SetFileSecurityA, SetFileSecurityW
> KERNEL32.DLL: CloseHandle, CompareStringA, CreateDirectoryA, CreateDirectoryW, CreateFileA, CreateFileW, DeleteFileA, DeleteFileW, DosDateTimeToFileTime, ExitProcess, ExpandEnvironmentStringsA, FileTimeToLocalFileTime, FileTimeToSystemTime, FindClose, FindFirstFileA, FindFirstFileW, FindNextFileA, FindNextFileW, FindResourceA, FreeLibrary, GetCPInfo, GetCommandLineA, GetCurrentDirectoryA, GetCurrentProcess, GetDateFormatA, GetFileAttributesA, GetFileAttributesW, GetFileType, GetFullPathNameA, GetLastError, GetLocaleInfoA, GetModuleFileNameA, GetModuleFileNameW, GetModuleHandleA, GetNumberFormatA, GetProcAddress, GetProcessHeap, GetStdHandle, GetSystemTime, GetTempPathA, GetTickCount, GetTimeFormatA, GetVersionExA, GlobalAlloc, HeapAlloc, HeapFree, HeapReAlloc, IsDBCSLeadByte, LoadLibraryA, LocalFileTimeToFileTime, MoveFileA, MoveFileExA, MultiByteToWideChar, ReadFile, SetCurrentDirectoryA, SetEndOfFile, SetEnvironmentVariableA, SetFileAttributesA, SetFileAttributesW, SetFilePointer, SetFileTime, SetLastError, Sleep, SystemTimeToFileTime, WaitForSingleObject, WideCharToMultiByte, WriteFile, lstrcmpiA, lstrlenA
> COMCTL32.DLL: -
> COMDLG32.DLL: CommDlgExtendedError, GetOpenFileNameA, GetSaveFileNameA
> GDI32.DLL: DeleteObject
> SHELL32.DLL: SHBrowseForFolderA, SHChangeNotify, SHFileOperationA, SHGetFileInfoA, SHGetMalloc, SHGetSpecialFolderLocation, ShellExecuteExA, SHGetPathFromIDListA
> USER32.DLL: CharToOemA, CharToOemBuffA, CharUpperA, CopyRect, CreateWindowExA, DefWindowProcA, DestroyIcon, DestroyWindow, DialogBoxParamA, DispatchMessageA, EnableWindow, EndDialog, FindWindowExA, GetClassNameA, GetClientRect, GetDlgItem, GetDlgItemTextA, GetMessageA, GetParent, GetSysColor, GetSystemMetrics, GetWindow, GetWindowLongA, GetWindowRect, GetWindowTextA, IsWindow, IsWindowVisible, LoadBitmapA, LoadCursorA, LoadIconA, LoadStringA, MapWindowPoints, MessageBoxA, OemToCharA, OemToCharBuffA, PeekMessageA, PostMessageA, RegisterClassExA, SendDlgItemMessageA, SendMessageA, SetDlgItemTextA, SetFocus, SetMenu, SetWindowLongA, SetWindowPos, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow, WaitForInputIdle, wsprintfA, wvsprintfA
> OLE32.DLL: CLSIDFromString, CoCreateInstance, CreateStreamOnHGlobal, OleInitialize, OleUninitialize

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-
packers (F-Prot): RAR, embedded

Re,
Merci N.

Pour DllD ==> L. , as-tu reçu des nouvelles de ceci:
« Winletmin-Winsudate-Letmin (9 juillet 2009)
http://www.commentcamarche.net/forum/affich 13287028 retrouver un mot de passe#12
Ce n'est pas parce que Virus Total ne trouve rien que ce n'est pas malsain.
"Le fat", peux-tu faire ceci stp ? (je pense que c'est une variante du ver Koobface ==> http://mad.internetpol.fr/... )
- Navigue dans ton PC jusqu'aux dossiers : C:\Program Files\Winsudate et C:\Program Files\Winletmin
- Fais un copier/coller des dossiers Winsudate et Winletmin dans un nouveau dossier nommé MAD-DllD-le fat ... » ?

Merci à vous deux.
Albert



Patience-Vigilance-Amour.

On est sur qu'il s'agit d'un "virus" ? en regardant le site il y a quand même un support technique, des contacts possibles (tel et mails), recrutement, la possibilité de créer un compte...

Re,
En tout cas, des forums comme Zebulon, PCA, Malekal_morte les laissent supprimer (et dans les détails).
C'est bien pourquoi, je demande les résultats de l'étude chez MAD.
Antivir (TR/Agent.63216) n'est tout de même pas à négliger trop rapidement.
Il semble en tout cas que Winletmin-Winsudate-Letmin soient "nocifs".
Merci.
Albert.
Patience-Vigilance-Amour.

Slt


maintenant

C:\Program Files\Winsudate\gibusr.exe



Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.24 -
AhnLab-V3 5.0.0.2 2009.07.24 -
AntiVir 7.9.0.228 2009.07.24 -
Antiy-AVL 2.0.3.7 2009.07.24 -
Authentium 5.1.2.4 2009.07.24 -
Avast 4.8.1335.0 2009.07.24 -
AVG 8.5.0.387 2009.07.24 -
BitDefender 7.2 2009.07.24 -
CAT-QuickHeal 10.00 2009.07.24 -
ClamAV 0.94.1 2009.07.24 -
Comodo 1750 2009.07.24 -
DrWeb 5.0.0.12182 2009.07.24 -
eSafe 7.0.17.0 2009.07.23 -
eTrust-Vet 31.6.6638 2009.07.24 -
F-Prot 4.4.4.56 2009.07.24 -
F-Secure 8.0.14470.0 2009.07.24 -
Fortinet 3.120.0.0 2009.07.24 -
GData 19 2009.07.24 -
Ikarus T3.1.1.64.0 2009.07.24 Trojan-Dropper.Agent
Jiangmin 11.0.800 2009.07.24 -
K7AntiVirus 7.10.801 2009.07.24 -
Kaspersky 7.0.0.125 2009.07.24 -
McAfee 5686 2009.07.23 -
McAfee+Artemis 5686 2009.07.23 -
McAfee-GW-Edition 6.8.5 2009.07.24 -
Microsoft 1.4903 2009.07.24 -
NOD32 4274 2009.07.24 -
Norman 6.01.09 2009.07.22 -
nProtect 2009.1.8.0 2009.07.24 -
Panda 10.0.0.14 2009.07.24 -
PCTools 4.4.2.0 2009.07.24 -
Prevx 3.0 2009.07.24 Medium Risk Malware
Rising 21.39.44.00 2009.07.24 -
Sophos 4.44.0 2009.07.24 -
Sunbelt 3.2.1858.2 2009.07.23 -
Symantec 1.4.4.12 2009.07.24 -
TheHacker 6.3.4.3.373 2009.07.24 -
TrendMicro 8.950.0.1094 2009.07.24 -
VBA32 3.12.10.9 2009.07.24 -
ViRobot 2009.7.24.1851 2009.07.24 -
VirusBuster 4.6.5.0 2009.07.24 -
Information additionnelle
File size: 63216 bytes
MD5 : bc9ee309c40f9c65261f1b775c7d6d7b
SHA1 : defd20000c6902f7de12bf5463ecf4d6911810a7
SHA256: baf2f4f9debff297289fcff0e47cf8136add1f4ddc019c04e0e344c27a18­­b20c
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1D67
timedatestamp.....: 0x4A393901 (Wed Jun 17 20:42:09 2009)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x95A4 0x9600 6.57 869e4fce20aade41ca386e836f4ef544
.rdata 0xB000 0x23C8 0x2400 5.43 e81caa3f4ba83e8e0c3065db3f992e08
.data 0xE000 0x32FC 0x1000 2.11 df1101b3442bb1747ce4b89fec36599a
.rsrc 0x12000 0x3FC 0x400 4.22 1f4ac26ba2353be1405f63eab3458a34
.reloc 0x13000 0xFC6 0x1000 4.51 f617e1fd42b94a97f169dc2af893fdb7

( 3 imports )

> kernel32.dll: InterlockedDecrement, FlushFileBuffers, CreateMutexW, GetLastError, GetModuleFileNameW, InitializeCriticalSection, CreateThread, WaitForSingleObject, DeleteCriticalSection, CloseHandle, EnterCriticalSection, LeaveCriticalSection, OpenEventW, Sleep, HeapAlloc, GetProcessHeap, WriteFile, HeapFree, GetFileAttributesW, ExpandEnvironmentStringsW, GetProcAddress, GetModuleHandleW, GetCurrentProcess, CreateProcessW, GetExitCodeProcess, CreateFileMappingW, MapViewOfFile, UnmapViewOfFile, CreateFileA, HeapSize, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, RtlUnwind, HeapReAlloc, VirtualAlloc, InitializeCriticalSectionAndSpinCount, LoadLibraryA, WideCharToMultiByte, GetCommandLineA, GetStartupInfoA, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCPInfo, InterlockedIncrement, GetACP, GetOEMCP, IsValidCodePage, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, LCMapStringA, MultiByteToWideChar, LCMapStringW, ExitProcess, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetFilePointer, GetConsoleCP, GetConsoleMode
> rpcrt4.dll: UuidCreate, UuidToStringW, RpcStringFreeW
> user32.dll: SendMessageW, DefWindowProcW, PostQuitMessage, DestroyWindow, TranslateMessage, GetMessageW, CreateWindowExW, RegisterClassExW, LoadCursorW, LoadIconW, DispatchMessageW

( 0 exports )

TrID : File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
ThreatExpert: http://www.threatexpert.com/report.aspx?md5=bc9ee309c40f9c65261f1b775c7d6d7b
ssdeep: 1536:l3KgrJRALN5p5IgLyBWKvCXVCT5Egt9TtrdG:vcPLYW7a5532
Prevx Info: http://info.prevx.com/...
PEiD : -
RDS : NSRL Reference Data Set

Bonjour à tous :-)

Je n'avais pas vu cette discussion :')

Al. je n'ai pas eu de retour mais je vais lui demander ce qu'il en pense. Pour l'instant il est hors-ligne. Dès qu'il se connecte je lui demande et vous dis ce qu'il en est.

Bonne journée. Hack quoi bon

Re,
Salut DllD...
C'est sympa; ça nous aidera très certainement.
Parce que pour le moment, nous nageons.
Heureusement que je suis un natif des "Poissons". ;)
Albert

Patience-Vigilance-Amour.

Merci L.
Et bon dimanche.
Al.
Patience-Vigilance-Amour.

Bonjour à tous :)

Mauvaise nouvelle le .zip est corrompu. Il n'a pu en extraire qu'un bout de code qui ne dit pas grand chose. Il parle de minitel et contient ce lien : http://www.jstor.org/pss/395039

Bref, cela fait peu avancer le Shemillililiimilblick...

Si quelqu'un retombe sur cette "infection" merci de renvoyer ici : http://secubox.gateweb.org/mad.php un .zip contenant les dossiers C:\Program Files\Winsudate et C:\Program Files\Winletmin


A bientôt.
Hack quoi bon

Salut et merci mon ami.
Bizarre, en effet, c.zip corrompu. (?)
Il y a de quoi "investiguer".
Al.
Patience-Vigilance-Amour.

Bonsoir à tous,


"Si quelqu'un retombe sur cette "infection" merci de renvoyer ici : http://secubox.gateweb.org/mad.php un .zip contenant les dossiers C:\Program Files\Winsudate et C:\Program Files\Winletmin "

C'est fait, j'en avais gardé une copie datant de la première fois où j'ai rencontré ces fichiers ;)

Salut,

Peut être qu'un contributeur V/S pense à une astuce dans la FAQ.
C'est du bon travail ;-)
106485010510997108

Saperlipopette :')

AnthonyDoublePastis, ton archive est aussi corrompue. Peux-tu me l'envoyer en MP via ci-joint.fr par exemple ?
(Je vais essayer d'en sortir quelque chose).

L'Ami20j, que l'on soit bien d'accord, tu parles bien d'une astuces concernant l'envoie de fichiers/dossiers/liens malveillants ? (j'ai un léger doute).

Merci à vous deux et saluations \all. :-) Hack quoi bon

Re,

Complément d'enquête :

[16:08:33] <@Destrio5> DllD ?
[16:08:46] <@Destrio5> Supprimé ! "C:\Program Files\Winsudate\gibusr.exe"
[16:08:46] <@Destrio5> -> Size : 847872 | Crc32 : 2ce955b9 | Md5 : f0ff6fd187e82282edd1392f6ebddf2e
[16:08:54] <@Destrio5> http://www.commentcamarche.net/forum/affich-13648308-application-win32-non-valide?#9
[16:11:25] crapoulou-pas-la [kvirc@Wnet-19226.164.100-84.rev.gaoland.net] a changé de pseudo en crapoulou
[16:11:27] <@crapoulou> re
[16:11:30] <@crapoulou> quel souci avec ce fichier ?
[16:12:26] [Retour après une absence de 0d 1h 12m 42s] : You are no longer marked as being away
[16:12:28] <@Destrio5> Par rapport à ceci
[16:12:29] <@Destrio5> http://www.commentcamarche.net/...
[16:12:30] <@DllD> Oui Willy ?
[16:12:54] <@DllD> Ok, merci.
[16:13:45] <@DllD> Je ne comprends pas pourquoi ne pas supprimer carrément le dossier... Mébon
[16:14:11] <@DllD> C'est bien d'avoir le MD5 en tout cas :)
[16:14:42] <@DllD> => http://www.virustotal.com/...
[16:14:57] <@DllD> => Kaspersky 7.0.0.125 2009.07.31 Trojan-Downloader.Win32.Bagle.baa
[16:14:59] <@Destrio5> O4 - HKCU\..\Run: [WinUsr] C:\Program Files\Winsudate\gibusr.exe
[16:15:11] <@DllD> Du Bagmle selon Kasper, tiens donc ..
[16:15:16] <@DllD> Bagle*
[16:15:18] <@Destrio5> O23 - Service: Gestionnaire de mise à jour Winsudate (WinSvc) - Winsudate - C:\Program Files\Winsudate\gibsvc.exe
[16:15:32] <@Destrio5> Enfin, là, je ne t'ai pas indiqué le topic pour le Bagle
[16:15:52] <@DllD> BAh c'est Findykill qui le shoot quand même
[16:16:10] <@Destrio5> Oui
[16:16:12] <@DllD> MAis bon il shoot aussi du virut alors...


Pour ce qui est de l'analyse chez MAD je regarde ton envoie Anthony mais bon, il y a peu de chance que j'en sorte quelque chose si l'archive est elle aussi corrompue.

Il a pas mal de boulot en ce moment donc pour son analyse ce sera un peu "quand il peut, quand il veut".


Affaire à suivre... Hack quoi bon

Re,
Bonsoir à tous,

Un grand merci pour ces premières conclusions.
Merci à Destrio5 et à crapoulou pour leurs tests.

J'aimerais de eZula puisse en émettre ses impressions et les conclusions à en tirer (par rapport à son premier questionnement sur l'aspect viral des fichiers/dossiers).
Allo ? ♪eZula, es-tu là ? ♫

Bon W-E
Albert
Patience-Vigilance-Amour.

Hello à tous,


Un topic tout frais.

Je n'y touche pas :)
@+