Trojan Delf.avb

Répondre
Partager Rechercher
Mon antivirus après sa mise à jour a détecté aujourd'hui un trojan (Delf.avb) contenu dans Perfect World\element\elementclient.exe, je l'élimine puis je tente de lancer PW et ça ne marche pas, je fais un verify pour qu'il "update" le fichier manquant (à savoir elementclient.exe) et aussitôt l'antivirus m'alerte car ce fichier est infecté.
Résultat je ne peux plus lancer PW à moins de laisser le fichier infecté par le trojan et perso je préfère pas. (pas envie de foutre le bordel et risquer de tout formater tant que je ne sais pas ce que fout ce trojan, ils n'ont pas d'antivirus chez cubizone ?...)

Et vous ?
Je sais pas pourquoi, mais j'avais pensé a un truc du genre avec ce jeu..

Alors un Delf.avb c'est :

Citation :
Nom: Backdoor.Win32.Delf.avb

Description:


Quand on parle de Backdoor (Trappe arrière, porte dérobée) on désigne un sous-groupe particulier de Trojan. Tout comme les Trojan, ils ne sont pas en mesure de se propager d'eux même. Les Backdoor permettent à un pirate ou agresseur de prendre le plein contrôle de votre ordinateur et se compose la plupart du temps de 3 parties:

Server
La partie qui va être placée sur votre PC et qui va prendre le contrôle de votre ordinateur.

Client
Un petit programme avec lequel le pirate ou agresseur peut se connecter sur son serveur et le controller (le PC).

Editeur
Un programme d'aide avec les réglages et détermine la structurations du comportement du serveur avant le placement de celui-ci.
De nos jours les Backdoor sont très répendus et font actuellement partie à coté des Vers, Dialer, Spyware et Trojan des sources de danger les plus grandes pour l'utilisateur.
Ce qui signifie que grâce a leur client, ils peuvent se connecter a nos machines si ils le veulent .. mais je penses que c'est juste nécessaire pour le jeu, les mises a jours, les messages qui apparaissent en plein milieu de l'ecran quand ca down... mais je me trompe peu etre

J'ai fais quelques verifictions lors de mes sessions de jeu... il ne semble qu'aucune connection differente du client ne soit entree ou sortie...

Je penses que ce n'est rien de grave... comme l'antivirus qui detect un virus lors de l'install d'UT a l'epoque ;p

plus de detail sur le fonctionnement de ce virus :

When the worm executes, it creates the following files:

%System%\kavo.exe
%System%\kavo0.dll


The file kavo0.dll is then injected into all running processes.

It also creates the following file, which is a copy of Hacktool.Rootkit:
%Temp%\[RANDOM FILE NAME].dll

The worm then copies itself to all drives from C through Z as the following file:
[DRIVE LETTER]:\ntdelect.com

It also creates the following file so that it executes whenever the drive is accessed:
[DRIVE LETTER]:\autorun.inf

Next, the worm creates the following registry entry so that it executes whenever Windows starts:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\"kava" = "%System%\kavo.exe"

It then modifies the following registry entries:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
\"CheckedValue" = "0"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\"Hidden" = "2"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Advanced\"ShowSuperHidden" = "0"
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Pocilies\Explorer\"NoDriveTypeAutoRun" = "0x91"


The worm checks if it has been injected into any of the following processes:

zhengtu.dat
elementclient.exe
dekaron.exe
hyo.exe
wsm.exe and ybclient.exe
fairlyclient.exe
so3d.exe
maplestory.exe
r2client.exe
InphaseNXD.EXE


It then attempts to steal sensitive information for the following online games:

ZhengTu
Wanmi Shijie or Perfect World
Dekaron Siwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
Seal Online
Maple Story
R2 (Reign of Revolution)
Talesweaver


The worm ends the Matrix Password process if it finds a dialog box with the following characteristics:
Title: MatrixPasswordDlg
Message: Warning! (In Chinese characters)

The harvested information is then sent to the remote attacker via HTTP.

(desole pour l'anglais)
c'est simple tu as 2 % de chance qu'un pirate entre sur ton pc lorsque tu joues peu importe le jeux, les ports sont ouvert c'est le risque .... faut savoir que lorsque tu joues ton pc est totalement vulnerable a toute ataque .....
Citation :
Publié par wizz LaBelle
c'est simple tu as 2 % de chance qu'un pirate entre sur ton pc lorsque tu joues peu importe le jeux, les ports sont ouvert c'est le risque .... faut savoir que lorsque tu joues ton pc est totalement vulnerable a toute ataque .....

Vrai... mais encore faut il pouvoir attaquer sa machine...
il n'existe à l'heure actuelle aucun antivirus qui peux te certifier une garantie de protection plus que 85 % et hereusement sinon y aurait du procet, bref c'est un gadget commerciale à mes yeux mais on va pas débattre la dessus...

faut savoir que tout peer to peer ''y compris les jeux en ligne puisque c'est la même technique" est consideré comme risqué donc de trouver un fichier douteux ... surtout avec les futurs jeux qui ce protege de plus en plus eux aussi
euuhh ya un petit souci quand meme je crois:

Citation :
The worm checks if it has been injected into any of the following processes:

zhengtu.dat
elementclient.exe
dekaron.exe
hyo.exe
wsm.exe and ybclient.exe
fairlyclient.exe
so3d.exe
maplestory.exe
r2client.exe
InphaseNXD.EXE


It then attempts to steal sensitive information for the following online games:

ZhengTu
Wanmi Shijie or Perfect World
Dekaron Siwan Mojie
HuangYi Online
Rexue Jianghu
ROHAN
Seal Online
Maple Story
R2 (Reign of Revolution)
Talesweaver


The worm ends the Matrix Password process if it finds a dialog box with the following characteristics:
Title: MatrixPasswordDlg
Message: Warning! (In Chinese characters)

The harvested information is then sent to the remote attacker via HTTP.
on parle plus d'un virus là mais d'un ver ayant comme instruction de chopper des informations sensibles concernant les jeux online cités et de les envoyé via HTTP vers une destination inconnu sur le net.
Difficile de savoir si c'est les log et pass ou autre...
Moi aussi j'ai le meme probleme au fait :s

pour l'info mon antivirus c'est AVIRA
Perso je comprends pas... mais bon, je me prends pas la tete vu que la fonction de ce worm est de recolté des infos precises, et que je joue qu'a perfect world, si il est dedans, et que ca leurs dis d'avoir mon log et pass...

Y'a un truc qui me semble bizzare... Pourquoi on trouve ce genre de vers dans un programme qui lui meme install une protection anti vers lors de la saisie du mot de passe?

enfin... vu que plus de 1.3m de personne joue a ce jeu.. j'me prends pas le chou ;p
ba le truc c'est que mes antivirus l'ont detecté que aujourd'hui
j'ai donc supposé que ça venait d'une update de l' "elementclient.exe"
de perfect world et en grattant un peu je me suis aperçu que ce ver avait infecté un fichier dans mes fichiers systemes.
j'ai effacé ce .exe, nettoyer tout autour et fait une verif qui m'a redownloadé un .exe verolé...
Dis moi Hattake ça fait lontemps que tu avais diagnostiqué la présence de cette infection ou comme moi ca date de aujourd'hui voir hier?
Le fait que 1.3 millions de personnes jouent a ce jeu (1.3m pour les seuls serveurs malaysiens?) peut paraitre securisant mais si on
prend le probleme à l'inverse ça pourrait tout aussi bien etre une attaque de masse sur les serveurs anglophones :s

"theorie du complot quand tu nous tiens"
Citation :
Publié par wizz LaBelle
il n'existe à l'heure actuelle aucun antivirus qui peux te certifier une garantie de protection plus que 85 % et hereusement sinon y aurait du procet, bref c'est un gadget commerciale à mes yeux mais on va pas débattre la dessus...
Un antivirus mit à jour régulièrement protège à 100% des virus connus (j'insiste sur le "connus"). Un firewall protège parfaitement les ports choisit. Mais la protection d'un ordinateur ne se limite pas à ça, par exemple Kaspersky Internet Security analyse aussi tout un tas de choses qui se passent sur ton PC, genre de nouvelles entrées dans la base de registre, tu peux aussi voir en direct toutes les connexions (quels fichiers envoient des données par exemple, avec les ports et l'IP concernée).
En tout cas dans ceux qui s'y connaissent il n'y a que très peu de personnes qui sont capable de passer ces protections si tu sais t'en servir un minimum, et à ce niveau là ils n'ont rien à faire d'un compte de MMOG.
85% c'est une estimation complètement erronée.

D'ailleurs, n'ayant plus PW d'installé, j'aimerai bien que tu mette l'exe en ligne pour que je regarde un ou deux trucs dessus, mais à mon avis si il y a réellement un virus (si ce n'est pas une mauvaise analyse je veux dire) l'origine ne doit pas être le jeu, enfin j'espère o_O.

Edité car j'avais mal lu le sujet.

Un rapport avec ça ?
euh un up de l'exe sur rapidshare ça te va?

j'avais effectivement un ficher dans iexplorer d'infecté mais pas le iexplorer.exe
ça pourrai avoir un rapport mais mes fichiers infectés été different, desolé j'ai meme
pas pris le temps de les noter mais j'été en panique pour mon WB 51

modif encore pour preciser que je n'ai pas eu de comportement a risque avec mon
pc et que je l'ai depuis juste 2 semaines à peine donc OS tout neuf tout propre tout
beau qui sentait bon le sable chhoooooooo...
Ouais mais t'embête pas en fait, c'était l'original qui m'intéressait car à mon avis le tiens se fait automatiquement infecté dès que tu le retélécharge. Enfin je crois, je pense pas que le fichier téléchargé soit infecté à la base, ça aurait fait plus de bruits sur les forums sinon.

Essaie de virer complètement le jeu de ton PC, fais des analyses anti-virus et cherche dans les programmes lancés au démarrage de windows si il n'y a pas quelque chose de louche (démarrer, exécuter, msconfig, onglet démarrage).

Change ton mot de passe sur le forum officiel si c'est possible, et regarde si tu n'as pas le fichier .txt dont parle le lien que j'ai montré plus haut (C:\GAME.txt)

N'hésite pas à montrer ici les fichiers infectés ou les éléments lancés au démarrage, faudrait pas virer quelque chose d'important quand même
Donc la possibilité que la mise à jour de PW te fout directement un .exe infecté est à envisager Mais ça me parait vraiment gros quand même...
Donc euh j'en sais rien
Edit : Personne n'en parle sur les forums officiels, si il y en a ?
j'attendais juste de voir si il avait des news sur le sujet pour reinstall en fait

modification pour lancer cette appel:
hésitez surtout pas si vous lisez ce topic pour nous faire part de vos scan antivirus et si oui ou non .exe verolé il ya
ya que comme ça qu'on trouvera
arff je vien de redownloadé le fichier elementclient.exe en faisant une verif
des fichiers du jeu et ça recommence ==> Delf.avb
pourtant j'étais safe cette fois sur et certain
j'vais testé sur mon 2eme pc pour voir si ça me fait la meme et je vous tiens
au courant
Ca arrive une mise à jour foireuse de l'anti virus: l'autre jour il me détectais des virus quand j'allais sur google. Quelques temps plus tard ils ont mis un correctif.
Regarde plutôt sur les forums de ton anti virus, il y a peut être eu des demandes
Voilà ce que me met mon AV au moment du lancement du jeu:


-Virus: Trojan.Win32.Delf.avb
-Fichier: elementclient.exe
-Dossier: C:\Perfect World\element
-Procédure: patcher.exe


La bibliothèque de mon AV ne m'apprend rien sur ce trojan à part que justement, c'est un trojan détecté depuis aujourd'hui.

J'ai effacé le fichier deux fois et re-DL. Toujours le même problème. Du coup je l'ai mis en 40aine en attendant une solution.
Trojan.win32.delf.avb
Je suis d'accord quand je lis que tu prend un risque en jouant un jeu online.

I s'agit d'un problème different ici car le trojan se trouve DANS le fichier du jeu.

Je l'ai détecté hier soir suite à la mise à jour de mon antivirus Kaspersky. Je l'ai supprimé car aucune réparation n'était possible.

Puis j'ai fait une vérication des fichiers via le downloader du jeu, il a télépchargé le fichier elementclient.exe .... et le trojan a de nouveau été détecté.

C'est une chose pour un jeu de scanner les logiciels contenu sur un PC, c'en est une autre que d'inclure un trojan sur un PC !!

Personnellement, j'attend de leur part une mise à jour , qui me dit que ce trojan ne peut etre utilisé QUE par le jeu pour vérifier le contenu de mon PC ??
Je viens de tester sur mon autre ordinateur qui n'a pas eu d'update depuis 2 semaines
sur les fichiers systemes de pw, jai mis a jour mon antivirus et refait un scan
et hop il m'a retrouvé ce fameux Delf.avb a la meme place.

Donc l'infection (s'il y a) ne date pas d'aujourd'hui mais dure bien depuis un pti moment.

En gros si ça devait etre critique on aurai deja plus de compte ni de stuff mdr

wow a bien son trojan pitetre que pw n'echappe pas a la regle

Edit: arff j'ai perdu une demi journée de farmage va falloir remettre les bouchées double ce soir huhuhu
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés