Bonjour,
mélodie m'a demandé de regarder le fichier.
Avant de regarder le fichier, je peux vous dire que ce sont des faux positif, pour les raisons suivantes :
- Les auteurs de malwares ont autre chose à faire que repacker des installeurs pour infecter les internautes.
- Si c'était un PC d'un dev qui avait été infecté et qui avait laissé un malware sur le soft, le malware aurait été plutôt du type PE infecteur (un infecteur d'exécutable) - un "vrai" virus dans le sens du therme et non un Trojan.
Les auteurs malwares ont plutôt tendance à hacker le site WEB et y insérer un code malicieux pour que lorsque l'on visite le site, vous soyez infecté.
Bon sinon, le scan virus total :
Fichier PortablePaint.NET.exe reçu le 2008.02.21 12:08:42 (CET)
Situation actuelle: terminé
Résultat: 6/32 (18.75%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - Trojan.Runner.b
ClamAV - - Trojan.Dropper-3446
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - Trojan:W32/Agent.EDP
FileAdvisor - - -
Fortinet - - -
Ikarus - - Win32.SuspectCrc
Kaspersky - - -
McAfee - - -
Microsoft - - Trojan:Win32/VNCKill.A
NOD32v2 - - -
Norman - - -
Panda - - Suspicious file
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -
Information additionnelle
MD5: 71949560c1ce1d5fb716fd604de61fc9
SHA1: c0bc7d0211b244d214273226e50901b6151c9259
Ce sont pour la pluspart des détections génériques (voir def
http://www.avg.com/fr.72), donc pas de signature qui reconnaît un malware connu.
Il y a donc plus de chances de faux positif, sachant que certains antivirus sont plus sensibles que d'autres.
Un dropper est un malware qui "droppe" (installe si vous voulez) l'infection sur le système....
Voila ce qui se passe quand on exécute rtablePaint.NET.exe
Parent process:
Path: C:\Documents and Settings\Malekal_morte\Desktop\PortablePaint.NET.exe
PID: 424
Information: PortablePaint.NET run's Paint.NET from removable drive (Joshua Consulting for FramaKey/FramaSoft)
Child process:
Path: C:\WINDOWS\system32\cmd.exe
Information: Windows Command Processor (Microsoft Corporation)
Command line:cmd.exe /c C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\bt7063.bat
PortablePaint créé et lance un fichier batch, son contenu :
PortablePaint.NETregedit /ea backup\origine.reg HKEY_CURRENT_USER\Software\Paint.NET
regedit /s PortablePaint.NETCode\Paint.NETDEL.REG
regedit /s userprofile\Paint.NET.reg
:start
start /w Paint.NET\PaintDotNet.exe %1 %2 %3 %4 %5 %6 %7 %8 %9
regedit /ea userprofile\new.reg HKEY_CURRENT_USER\Software\Paint.NET
copy userprofile\new.reg userprofile\Paint.NET.reg
del userprofile\new.reg
regedit /s PortablePaint.NETCode\Paint.NETDEL.REG
regedit /s backup\origine.reg
del backup\origine.reg
Le batch sert à inscrire des clefs dans le registre Windows qui ne sont pas dangereuses.
Maintenant, je vous montre un dropper malicieux (je dis pas qu'il fonctionne tous comme ça, c'est un exemple).
Donc il drop sa "merde" :
Process:
Path: C:\Documents and Settings\Malekal_morte\Desktop\load.exe
PID: 1364
Registry Group: System Critical
Object:
Registry key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Registry value: AppInit_DLLs
New value:
Type: REG_SZ
Value: C:\WINDOWS\system32\mms2wp2wp.dll
Previous value:
Type: REG_SZ
Value: C:\WINDOWS\system32\mms0oz0oz.dll
puis lance aussi un batch via cmd :
Parent process:
Path: C:\Documents and Settings\Malekal_morte\Desktop\load.exe
PID: 1448
Child process:
Path: C:\WINDOWS\system32\cmd.exe
Information: Windows Command Processor (Microsoft Corporation)
Command line:cmd /c color.bat
contenu du batch :
:Label1
del "C:\Documents and Settings\Malekal_morte\Desktop\load.exe"
if Exist "C:\Documents and Settings\Malekal_morte\Desktop\load.exe" goto Label1
del color.bat
En gros, le batch sert à supprimer le dropper une fois l'infection installée afin de ne pas laisser de trace sur le système (genre que les AV ne le récup pas pour analyse etc.. parfois y a des URL etc.. dans le cas d'un Trojan-Downloader, ça peux être interressant, bref).
Tout ça pour dire les droppers utilisent bcp cmd/shell et batch, le fait que Paint empacte un batch (en plus en UPX), ben les AV sensibles n'aiment pas.
Les dev peuvent envoyer le fichier aux vendors pour que ce soit corriger mais possible que si l'exe ou le batch soient modifiés, ça revienne.
Sinon autre remarque, Avast! et McAfee à jeter ^^