Cette archive contient un fichier exécutable, "winner.exe" dont on se doute qu'il n'a pas pour vocation de matérialiser un ordinateur portable de marque Apple sous les yeux ébahis de celui qui l'exécute. Reçu par MX lab ce même 3 février 2010 et soumis aux bons soins du service de détection en ligne de virus Virus Total, il n'est détecté que par 8 des 40 moteurs de scan antivirus disponibles (20%).
3/02/2010 :
Le recevant transféré par email le même jour, je soumet notre "winner.exe" sur Jotti's malware scan. Sur cet autre service de détection de nuisances en ligne, seul le moteur de Sophos détecte "winner.exe" comme nuisible sous le nom Mal/FakeAV-BT alors que les 19 autres antivirus proposés ne détectent rien.
4/02/2010 :
Hier, je renvoie winner.exe sur Jotti's malware scan histoire de voir quels éditeurs antivirus reconnaissent cette nuisance. Le lendemain de la première soumission, Dix scanners antivirus tiquent alors sur ce cheval de troie, c'est à dire la moitié. Cependant, ni Bitdefender, ni Clamav, ni Gdata ou Panda
5/02/2010 :
Ce jour, un petit upload du même fichier sur Jotti's malware scan renvoie un taux de détection de 60% des scanners proposés, soit 12/20. Ce taux de détection assez moyen est fâcheux voire inquiétant si l'on se réfère au risque potentiel des clients ayant acheté un antivirus et se sentant faussement protégés.
En effet, sur les 8 moteurs antivirus n'ayant pas tiqué à bord du Jotti's malware scan, la moitié sont payants ...
Après redétection sur Virus Total ce vendredi, on dénombre 26 positifs des 40 antivirus et logiciels apparentés, soit 65% de détection.
Le résultat après passage à la moulinette Virus Total ce 5/02/2010 :| Fichier winner.exe reçu le 2010.02.05 14:33:12 (UTC) | |||
| Antivirus | Version | Dernière mise à jour | Résultat |
| a-squared | 4.5.0.50 | 2010.02.05 | Win32.SuspectCrc!IK |
| AhnLab-V3 | 5.0.0.2 | 2010.02.05 | Win-Trojan/Fakeav.51200.C |
| AntiVir | 7.9.1.158 | 2010.02.05 | BDS/Small.iul |
| Antiy-AVL | 2.0.3.7 | 2010.02.05 | - |
| Authentium | 5.2.0.5 | 2010.02.05 | W32/Trojan3.BQJ |
| Avast | 4.8.1351.0 | 2010.02.04 | Win32:Malware-gen |
| AVG | 9.0.0.730 | 2010.02.05 | SHeur2.CJLE |
| BitDefender | 7.2 | 2010.02.05 | - |
| CAT-QuickHeal | 10.00 | 2010.02.05 | (Suspicious) - DNAScan |
| ClamAV | 0.96.0.0-git | 2010.02.04 | - |
| Comodo | 3829 | 2010.02.05 | Heur.Suspicious |
| DrWeb | 5.0.1.12222 | 2010.02.05 | Trojan.DownLoad.37236 |
| eSafe | 7.0.17.0 | 2010.02.04 | - |
| eTrust-Vet | 35.2.7285 | 2010.02.05 | - |
| F-Prot | 4.5.1.85 | 2010.02.05 | W32/Trojan3.BQJ |
| F-Secure | 9.0.15370.0 | 2010.02.05 | Trojan-Dropper:W32/Agent.NHG |
| Fortinet | 4.0.14.0 | 2010.02.05 | W32/PushdoRD.A!tr.dldr |
| GData | 19 | 2010.02.05 | Win32:Malware-gen |
| Ikarus | T3.1.1.80.0 | 2010.02.05 | Win32.SuspectCrc |
| Jiangmin | 13.0.900 | 2010.02.05 | - |
| K7AntiVirus | 7.10.967 | 2010.02.05 | Trojan.Win32.Malware.1 |
| Kaspersky | 7.0.0.125 | 2010.02.05 | Backdoor.Win32.Small.iul |
| McAfee | 5882 | 2010.02.04 | Generic FakeAlert!ec |
| McAfee+Artemis | 5882 | 2010.02.04 | Generic FakeAlert!ec |
| McAfee-GW-Edition | 6.8.5 | 2010.02.05 | Trojan.Backdoor.Small.iul |
| Microsoft | 1.5406 | 2010.02.05 | VirTool:Win32/Obfuscator.HG |
| NOD32 | 4837 | 2010.02.05 | Win32/Wigon.NB |
| Norman | 6.04.03 | 2010.02.05 | - |
| nProtect | 2009.1.8.0 | 2010.02.05 | - |
| Panda | 10.0.2.2 | 2010.02.05 | - |
| PCTools | 7.0.3.5 | 2010.02.05 | Trojan.FakeAV |
| Prevx | 3.0 | 2010.02.05 | Medium Risk Malware |
| Rising | 22.33.04.04 | 2010.02.05 | - |
| Sophos | 4.50.0 | 2010.02.05 | Mal/FakeAV-BT |
| Sunbelt | 3.2.1858.2 | 2010.02.05 | - |
| TheHacker | 6.5.1.0.180 | 2010.02.05 | - |
| TrendMicro | 9.120.0.1004 | 2010.02.05 | TROJ_FAKEAL.SMDO |
| VBA32 | 3.12.12.1 | 2010.02.05 | Trojan.Win32.Agent.hkgu |
| ViRobot | 2010.2.5.2174 | 2010.02.05 | - |
| VirusBuster | 5.0.21.0 | 2010.02.04 | - |
| Information additionnelle | |||
| File size: 51200 bytes | |||
| MD5...: 4ea90acf8a6427060f1a6d003dd3598f | |||
| SHA1..: b3f78a7f3caadbbc1ab2129dee04f5526ceba0e7 | |||
| SHA256: 7791955e9859924a74f53b3c8a53dfda63c0d64da7fbfba364a372065e239e2c | |||
| ssdeep: 1536:+D1k/nl/zjhkW2DNbWT/o0dZ599eQLASg2:+DsnlvhzONdgxDASg2 | |||
| PEiD..: - | |||
| PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x2a6c timedatestamp.....: 0x494a47c4 (Thu Dec 18 12:53:24 2008) machinetype.......: 0x14c (I386) ( 7 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1bdb 0x1c00 7.64 5f5d194a0c654183e518a18bcbc57e33 .rdata 0x3000 0xbd64 0x8000 6.17 c4c8bd09288eed79ec31308febf00185 .idata 0xf000 0x21f 0x400 0.00 0f343b0931126a20f133d67c2b018a3b .idata 0x10000 0x266 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .data 0x11000 0xfd87 0x200 0.86 4efe6e27776ad6c1fbb53666f4ebb4e2 .rsrc 0x21000 0x1f0b 0x2000 3.63 bb16a44a305081b773c023abd39c6282 .reloc 0x23000 0x174 0x200 4.83 af01fc248e523f25816727a6512c62eb ( 8 imports ) > KERNEL32.DLL: SetEndOfFile, InterlockedIncrement, GetFullPathNameA, GetComputerNameW, WaitForSingleObject, WideCharToMultiByte, FormatMessageW, GetCommandLineA, GetStringTypeA, HeapSize, TlsGetValue, CloseHandle, InitializeCriticalSection, LoadResource, FindClose, LoadLibraryA, GetStartupInfoA, SetFileAttributesA, DuplicateHandle, InterlockedExchange, CreateSemaphoreW, HeapAlloc, SetHandleCount, SetEvent, CreateMutexW, GetVersionExA, GetModuleFileNameA, DeleteCriticalSection, LocalAlloc, GetCurrentProcessId, VirtualAlloc, SetFileTime, FlushFileBuffers, lstrlenW, SetUnhandledExceptionFilter, VirtualFree, OutputDebugStringA, GetStringTypeW, IsBadCodePtr, SetThreadLocale, GetEnvironmentStrings, GetFileType, QueryPerformanceCounter, MapViewOfFile, CreateFileA, GetCurrentThreadId, GetLastError, SetStdHandle, GetStdHandle, GetTickCount, SizeofResource, SystemTimeToFileTime, CreateProcessW, CreateFileW, SetFilePointer, HeapFree, GlobalMemoryStatus, WriteConsoleA, GetConsoleMode, ExitProcess, GetTempPathW, GetFileAttributesW, GetFileSize, InterlockedDecrement, GlobalLock, HeapDestroy, lstrlenA, FindNextFileA, FileTimeToSystemTime, ResetEvent, CreateEventW, OpenProcess, TerminateProcess, MoveFileW, GetFileInformationByHandle, GetOEMCP, GetProcAddress, IsDebuggerPresent, HeapCreate, GetLocalTime, FindResourceW, ReadFile, UnhandledExceptionFilter, GetModuleHandleA, Sleep, ResumeThread, LCMapStringA, DebugBreak, GetProcessHeap, ReleaseSemaphore, GetVersion, EnterCriticalSection, GetFileTime, FreeEnvironmentStringsA, GetCurrentDirectoryW, MultiByteToWideChar, GetCurrentThread, GetACP, GetCPInfo, SetConsoleCP > OLE32.DLL: CoTaskMemAlloc, CoInitialize, CoRegisterPSClsid, CoGetClassObject, CoCreateInstance > GDI32.DLL: DeleteObject, GetObjectW, CreateBitmap, GetDIBits, CreateRectRgn, SelectObject, BitBlt, SelectClipRgn, RestoreDC, CreateFontIndirectW, CreateSolidBrush, GetStockObject, SelectPalette, CreateCompatibleDC, MoveToEx > MSVCRT.DLL: memcpy, _vsnprintf, __p__commode, _XcptFilter, _terminate@@YAXXZ, _wcsicmp, wcsrchr, wcsstr, _lock, calloc, _onexit > USER32.DLL: OpenClipboard, GetSysColor, AdjustWindowRectEx, DispatchMessageW, MapWindowPoints, DestroyWindow, EndPaint, SetClipboardData, InflateRect, LoadBitmapW, GetCapture, GetFocus, LoadStringW, GetMenu, SetWindowTextA, GetWindow, GetActiveWindow, GetCursorPos, GetWindowLongW, MoveWindow, ValidateRect, LoadCursorW, CreateWindowExA, SetWindowTextW, GetWindowPlacement, EnableWindow, GetNextDlgTabItem, CheckDlgButton, GetSubMenu > ADVAPI32.DLL: RegEnumValueA, RegCreateKeyW, RegEnumKeyExW, RegDeleteValueW, RegCloseKey, RegOpenKeyExA, RegCreateKeyExW, RegQueryValueExW, OpenServiceW, RegQueryInfoKeyW, RegQueryInfoKeyA, RegDeleteKeyW, EqualSid, RegQueryValueExA, RegSetValueExW > VERSION.DLL: GetFileVersionInfoW > LZ32.DLL: LZOpenFileW, LZOpenFileA, LZSeek ( 0 exports ) | |||
| RDS...: NSRL Reference Data Set - | |||
| pdfid.: - | |||
| trid..: Win64 Executable Generic (59.6%) Win32 Executable MS Visual C++ (generic) (26.2%) Win32 Executable Generic (5.9%) Win32 Dynamic Link Library (generic) (5.2%) Generic Win/DOS Executable (1.3%) | |||
| <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=83B05BD900EABF64C82100E90FB80700A43067B9' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=83B05BD900EABF64C82100E90FB80700A43067B9</a> | |||
| ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=4ea90acf8a6427060f1a6d003dd3598f' target='_blank'>http://www.threatexpert.com/report.aspx?md5=4ea90acf8a6427060f1a6d003dd3598f</a> | |||
| sigcheck: publisher....: tzuk copyright....: Copyright (c) 2004-2009 by Ronen Tzur product......: Sandboxie description..: Sandboxie Installer original name: n/a internal name: n/a file version.: 3.42 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned | |||
1 réactions
1 De habana - 22/02/2010, 13:03
Ce jour, winner.exe est maintenant détecté par tous les antivirus sur Jotti's MS :
Résultat sur Jotti 20/20 (100%)
[ArcaVir]
2010-02-20 Small.Iul
[F-Secure Anti-Virus]
2010-02-22 Trojan-Dropper:W32/Agent.NHG
[A-Squared]
2010-02-22 Backdoor.Win32.Small!IK
[G DATA]
2010-02-22 Trojan.Generic.3012874
[Avast! antivirus]
2010-02-21 Win32:Malware-gen
[Ikarus]
2010-02-22 Backdoor.Win32.Small
[Grisoft AVG Anti-Virus]
2010-02-21 SHeur2.CJLE
[Kaspersky Anti-Virus]
2010-02-22 Backdoor.Win32.Small.iul
[Avira AntiVir]
2010-02-21 BDS/Small.iul
[ESET NOD32]
2010-02-21 Win32/Wigon.NB
[Softwin BitDefender]
2010-02-22 Trojan.Generic.3012874
[Panda Antivirus]
2010-02-21 Trj/Spammer.ANJ
[ClamAV]
2010-02-22 Trojan.Backdoor-13
[Quick Heal]
2010-02-22 Backdoor.Small.iul
[CPsecure]
2010-02-21 BackDoor.W32.Small.iul
[Sophos]
2010-02-22 Mal/FakeAV-BT
[Dr.Web]
2010-02-22 Trojan.DownLoad.37236
[VirusBlokAda VBA32]
2010-02-20 Backdoor.Win32.Small.iul
[Frisk F-Prot Antivirus]
2010-02-21 W32/Trojan3.BQJ
[VirusBuster]
2010-02-21 Backdoor.Small.CXXH
Résultat: 38/41 (92.69%) sur VirusTotal