Auteur Sujet: [Fiches-Malware] AWF - LowZones  (Lu 3347 fois)

0 Membres et 1 Invité sur ce sujet

En ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10272
[Fiches-Malware] AWF - LowZones
« le: novembre 25, 2011, 22:58:31 »
[Fiches-Malware] AWF - LowZones

Définition

AWF - LowZones est une assez vieille et rare infection qui s'attrape avec un Trj LowZones.
La spécificité de cette infection se caractérise par ses actions.
Elle crée un ou plusieurs dossier(s) BAK dans des dossiers légitimes. Elle repère un fichier légitime dans le dossier légitime, et crée un trojan du même nom dans le dossier BAK créé. Une fois réalisé, elle tente de permuter les fichiers, c'est-à-dire, remplacer le fichier légitime par le fichier nocif. Elle tente, car elle n'y arrive pas toujours (fichier protégé etc.) ! Dans ce cas, en général, on trouve seulement un dossier Bak vide. Enfin ce trojan peut éventuellement tenter de désactiver le firewall (pour permettre un accès frauduleux au PC), effectuer des détournements sur vos recherches sur Internet, afin de récupérer des identifiants par exemple et modifier vos paramètres de zones de sécurité relatives à Internet Explorer

Exemple : J'ai un fichier C:\Program Files\Logitech\Video\ISStart.exe;
L'infection va créer C:\Program Files\Logitech\Video\BAK\ISStart.exe.

Au final, on obtient (après permutation) : - C:\Program Files\Logitech\Video\ISStart.exe <- Nocif
- C:\Program Files\Logitech\Video\BAK\ISStart.exe <- Légitime !

                                                                                                                                                                                                  

Comment voir l'infection ?

L'infection n'est pas simple à repérer. On peut la repérer par un scan quelconque par exemple (en voyant un dossier BAK, ou en voyant "AWF - Lowzones" dans les détections.)

Citer
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe1160482269 -> Downloader.Agent.awf : Nettoyé et sauvegardé (mise en quarantaine).

On la repère également par une ligne de ce type :

Citer
O20 - AppInit_DLLs:

La ligne s'affiche, mais vide. Ce n'est pas valide à 100%, mais dans la plupart des cas, ça indique bien ce type d'infection.

Comment supprimer l'infection ?

Le tool FindAWF de NoahdFear  a été créé pour y remédier.
A travers des listages de dossiers BAK potentiellement infectieux, il vous permet à travers ses options de supprimer l'infection simpleemnt.

Vous pouvez également faire un Batch pour remplacer les fichiers nocifs par les bons, et supprimer le dossier BAK.
A vos risques et périls ! En général, les fichiers remplacés ne sont pas chargés en mémoire, ce qui facilite le processus.

Exemple de prise en charge : With Eric_71

Toujours infecté ? Une question avant de faire des manipulations ?

Venez poster un nouveau sujet dans ce forum : http://forum.security-x.fr/desinfections/  en prenant soin de suivre la procédure http://forum.security-x.fr/desinfections/procedure-preliminaire/
http://forum.security-x.fr/desinfections/

« Modifié: janvier 03, 2012, 19:06:20 par igor51 »

Security-X

[Fiches-Malware] AWF - LowZones
« le: novembre 25, 2011, 22:58:31 »

Tags: