• Monster sert bien involontairement de vecteur viral.

• Grand classique du genre, l'appât se présente sous la forme d'un courriel :

• L'internaute peu méfiant est invité à vite installé un nouvel outil s'il veut continuer à utiliser les services du site Monster.

• Moins classique, l'hameçon se présente sous la forme d'un lien dans le courriel, lien qui ne pointe pas vers un formulaire de vol d'identité mais vers un exécutable pour Windows : servicetoll2.exe.
• Un “strings” sur ce fichier éveille des doutes déjà bien installés : kernel32.dll, user32.dll permettent de faire quelques suppositions sur la véritable nature de cet utilitaire…
• ClamAV (0.88.7/2391) ne trouvant rien (??), un passage par les bacs à sable CWSandbox et Live Sandbox Norman semble s'imposer.

• Commençons par les mauvaises nouvelles : ClamAV ne détecte pas le virus :

<scanner name="ClamAV" application_version="0.88.2" signature_file_version="2391">
<classification>OK</classification>

• La Sandbox Norman non plus :

servicetool2.exe : Not detected by Sandbox (Signature: NO_VIRUS)

• Mais le fichier en est bien un, ce que la lecture de la section VirusScan du rapport CWSandbox confirme :

<virusscan_section>
<scanner name="ClamAV" application_version="0.88.2" signature_file_version="2391">
<classification>OK</classification>
<additional_info/>
</scanner>
<scanner name="BDC/Linux-Console" application_version="7.0.2492" signature_file_version="362459">
<classification>DeepScan:Generic.Malware.G!Sdldg.5BD379D9</classification>
<additional_info/>
</scanner>
<scanner name="AntiVir Workstation" application_version="2.1.9-20" signature_file_version="6.37.0.81">
<classification>TR/Agent.32505</classification>
<additional_info/>
</scanner>
</virusscan_section>

• Tout au plus notera t-on au passage que la version de ClamAV utilisée par CWSandbox date un peu (0.88.2 vs 0.88.7).
• Les plus courageux trouveront ici le rapport complet d'analyse de CWSandbox.