15 replies to this topic

[loumax]

TDSS semble actuellement être supplanté en terme de propagation ...

ZeroAccess ou Sireet.B/Rootkit.Win32Access/Max++ est un rootkit semblable à TDL adapté aux plateformes 64 bits, avec des fonctions lui permettant de "killer" les antivirus et autres outils anti-rootkits ...
Analyse et historique du malware :
http://www.prevx.com...de-rootkit.html

L’éditeur Webroot met à disposition un outil qui permet de supprimer ZAccess, fixe ne fonctionnant actuellement que sur les OS X 32.
http://www.malekal.c...irefef-remover/

[il pleut]

On peut apprécier le bon travail de l éditeur webroot comme d 'habitude .

[loumax]

Bonne nouvelle pour les 64 bit :

http://www.malekal.c...indows-64-bits/

[loumax]

Petite vidéo explicative de notre ami Tigzy, pour supprimer le rootkit ZeroAccess (Max++) :



http://tigzyrk.blogs...access-max.html

[Th-Crown]

Très intéressant. Surtout avec la démonstration de Combofix. Je connais cet utilitaire, mais n'avais jamais utilisé ni eu l'occasion de la voir à l'oeuvre.

[loumax]

Très intéressant. Surtout avec la démonstration de Combofix. Je connais cet utilitaire, mais n'avais jamais utilisé ni eu l'occasion de la voir à l'oeuvre.

Combofix reste un "incontournable" en désinfection

[loumax]

Voilà qui est intéressant :
http://www.malekal.c...quelques-tests/

[loumax]

Pour ceux qui seraient infectés par Zacces sur les systèmes X64 :
http://www.malekal.c...-consrv-winsrv/

[loumax]

En voila une nouvelle qu'elle est bonne :
http://www.emsisoft....n32.ZAccess.afo

[le barbier fou]

Instructions pour la suppression de Backdoor ZAccess afo:
Pour supprimer l'infection par ce Malware, téléchargez et installez s'il vous plaît Emsisoft Anti-Malware.
Effectuez une analyse complète de tous les lecteurs et placez tous les objets détectés dans la quarantaine.

... Plaît-il ?

Voilà qu'Emsisoft commence à concurrencer PCTools.

Ce message a été modifié par le barbier fou - 23 octobre 2011 - 19:50 .

[EboO]

C'est pour le 100% au MRG flash test que tu dis ça ?
En effet ils ne l'obtiennent pas, mais dans la section antivirus ce sont les meilleurs. Le seul qui résiste durablement c'est defensewall.

[vigen]

A noter que la gestion des processus parents de Dr.Web peux mettre la puce a l'oreille quand a l'arrivé d'une de ces menaces sur vos machines, du moins, c'est ce que j'ai pus constater lors de mes tribulations, avec les échantillons en ma possesion...

[EboO]

C'est toujours bon à prendre

[vigen]

Oui, en ce moment je me documente sur cet éditeur et sur son "Security Space".

[loumax]

ZeroAcces, l'évolution du malware continue :

ZeroAccess : redirections Google

ZeroAccess social engeenering contre l’UAC via Adobe Flash

[loumax]

Pour mieux comprendre cette infection, voici un dossier qui explique en détails le fonctionnement des nouvelles variantes de ZAccess, aussi bien sous architecture 32 que 64 bit :
http://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/Sophos_ZeroAccess_Botnet.pdf

The DLL creates a class named “z00clicker3”. This is an interesting choice of class name as z00clicker was the name of the DLL that the TDL rootkit was using for a time, also for click fraud. This provides an interesting link between the two families, although equally ZeroAccess may just have borrowed the name.

Peut-être ce qui expliquerait la disparition de TDL ...