Redirections lors des recherches Google

[Malekal_morte]

Pour supprimer cette infection, suivre le Tutorial FixWareout : Supprimer les infections Trojans.DNS/Trojan.DNSChanger

Une menace qui existe depuis quelques temps et qui est très pénible pour l'utilisateur lorsqu'il surf.
Le principe est simple :
Vous surfez et effectuer des recherches sur Google. Vous cliquez sur un lien pour ouvrir le site donné comme résultat lors de la recherche et là...
Le site que vous pensez ouvrir ne s'ouvre pas et vous atterrissez sur un site inconnu, généralement avec un contenu
- soit pornographique
- soit un autre moteur de recherches (généralement douteux)
- des alertes vous disant que vous êtes infecté.. pour vous faire télécharger des rogues!

Il existe plusieurs infections à l'origine de ces redirections :
- Wareout : Procédure de désinfection Wareout
- Infection Zlob créant un fichier rootkité kd???.exe :
Fonctionnement de cette infection Zlob
Procédure de désinfection
- Supprimer Trojan.Xorpix / Proxy.Xorpix : http://www.malekal.com/Trojan.Xorpix.php
- Supprimer mscpx42r.dLL : http://www.malekal.com/Mscpx42r.dLL.php
- Supprimer 24-7-search adware : http://www.malekal.com/24-7-search_adware.php

NOTE : pour les versions Mac du trojan, SecureMac a créé un remover MacOS DNSChanger Removal Tool (je n'ai pas testé)


Voici une démonstration de ces redirections :

Vous effectuez donc une recherche sur Google... par exemple, vous tapez malekal.com
Vous obtenez donc la liste des résultats de votre recherche.

En premier, on trouve le site malekal.com
Notez que si vous laissez la souris sur le lien de ce premier résultat, en bas à gauche, le lien du site s'affiche convenablement à savoir : http://www.malekal.com



Maintenant cliquons sur ce lien :

Le chargement s'effectue (barre de chargement bleu en bas à droite)...
Regardez maintenant le lien.. au lieu d'ouvrir le lien du site : http://www.malekal.com
on se retrouve sur le site : http://www.aicse.com

Vous êtes redirigé vers un site non demandé !



Vous vous retrouvez sur un site vitrine.. avec des liens assez douteux.. Je vous laisse seul juge.



Vous pouvez aussi vous retrouver avec de fausses alertes.. pour vous faire peur.
On vous propose alors de télécharger des rogues
Dans l'exemple ci-dessous, c'est le rogue Drive Cleaner qui est proposé en téléchargement



L'infection la plus répandu est Trojan.DNS/Trojan.DNSChanger qui se propage via de faux codecs, 99% du temps pour visualiser des vidéos pornographiques.

Dans cette capture, on peut voir que sur HijackThis (ligne O17), le serveur DNS est 192.168.1.1 (Livebox), confirme sur la popups de droite des propriétés TCP/IP



Téléchargeons un faux codecs


Nous constatons que les serveurs DNS ont été modifiées avec des adresses 85.255 (Ukraine).
Les redirections lors des recherches Google commencent alors...


Voici un scan du fichier faux codec :

Fichier codecpro4576.exe reçu le 2008.01.05 14:47:05 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 14/32 (43.75%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.5.11 2008.01.05 -
AntiVir 7.6.0.46 2008.01.04 HEUR/Malware
Authentium 4.93.8 2008.01.04 -
Avast 4.7.1098.0 2008.01.04 -
AVG 7.5.0.516 2008.01.05 Generic_c.FTY
BitDefender 7.2 2008.01.05 Trojan.DNSChanger.RB
CAT-QuickHeal 9.00 2008.01.05 -
ClamAV 0.91.2 2008.01.05 Trojan.DNSChanger-2168
DrWeb 4.44.0.09170 2008.01.05 -
eSafe 7.0.15.0 2008.01.03 Win32.DNSChanger.akt
eTrust-Vet 31.3.5432 2008.01.04 -
Ewido 4.0 2008.01.05 -
FileAdvisor 1 2008.01.05 -
Fortinet 3.14.0.0 2008.01.05 W32/Zlobar.AKT!tr
F-Prot 4.4.2.54 2008.01.04 -
F-Secure 6.70.13030.0 2008.01.04 Trojan.Win32.DNSChanger.akt
Ikarus T3.1.1.15 2008.01.05 -
Kaspersky 7.0.0.125 2008.01.05 Trojan.Win32.DNSChanger.akt
McAfee 5200 2008.01.04 Puper.gen.d
Microsoft 1.3109 2008.01.05 Trojan:Win32/Alureon.gen!E
NOD32v2 2766 2008.01.04 -
Norman 5.80.02 2008.01.04 -
Panda 9.0.0.4 2008.01.05 -
Prevx1 V2 2008.01.05 -
Rising 20.25.52.00 2008.01.05 -
Sophos 4.24.0 2008.01.05 Troj/Zlobar-Fam
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.05 Trojan.Zlob
TheHacker 6.2.9.180 2008.01.04 Trojan/DNSChanger.aii
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.04 -
Webwasher-Gateway 6.6.2 2008.01.04 Heuristic.Malware
Information additionnelle
File size: 235725 bytes
MD5: 4dc137a3d91d14cd4c4d8158a2d92d77
SHA1: 9722f4dbd24e15c6dd0419f7a64eedb2c1d0ac8c
PEiD: -

Sachez qu'il sort régulièrement de nouveaux faux codecs avec de nouveaux domaines de téléchargement (environ tous les 3 jours).
Ce qui rend la tâche des antivirus plus hardeux.

[Malekal_morte]

24-7-search adware vous redirge lorsque vous effectuez des recherches sur google vers les sites http://24-7-search.com ou http://www.seo.netzona.org/search ou TopSearch10

Supprimer 24-7-search adware : http://www.malekal.com/24-7-search_adware.php

[Malekal_morte]

mscpx42r.dLL est un adware vous redirge lorsque vous effectuez des recherches sur google vers les sites "bluestreak" et "tradedoubler" et "tagasaurus"

Supprimer mscpx42r.dLL : http://www.malekal.com/Mscpx42r.dLL.php

[Malekal_morte]

Le rogue SpyMarshal s'installe avec une infection Trojan.DNS donc redirections sur Google : http://www.malekal.com/SpyMarshal.php

[Malekal_morte]

Les infections Trojan.Xorpix / Proxy.Xorpix sont aussi capable d'effectuer des redirections lors des recherches Google.

Celles-ci modifient les DNS (DNS Hijack) afin d'effectuer des redirections lors des recherches Google.
Ce sont généralements des DNS qui se trouvent au Chili.
O17 - HKLM\System\CCS\Services\Tcpip\..\{C12BB0C9-4A01-49E6-A594-FC987E247864}: NameServer = 200.14.241.36
O17 - HKLM\System\CS1\Services\Tcpip\..\{C12BB0C9-4A01-49E6-A594-FC987E247864}: NameServer = 200.14.241.36
O17 - HKLM\System\CS2\Services\Tcpip\..\{C12BB0C9-4A01-49E6-A594-FC987E247864}: NameServer = 200.14.241.36

O17 - HKLM\System\CCS\Services\Tcpip\..\{57A68B17-E754-43F3-97B9-6AC80611E8B3}: NameServer = 200.14.104.52
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E3B13AF-A8BB-4134-99E5-10C73A61FF10}: NameServer = 200.14.104.52
O17 - HKLM\System\CCS\Services\Tcpip\..\{72B4C040-AD81-4A29-932E-802D9C111AFD}: NameServer = 200.14.104.52
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8251B19-0829-4DE7-A328-13C700A78A6F}: NameServer = 200.14.104.52
O17 - HKLM\System\CS1\Services\Tcpip\..\{22688B9C-E25B-4179-AA48-BFB6A2CA63D9}: NameServer = 200.14.104.52

Supprimer Trojan.Xorpix / Proxy.Xorpix : http://www.malekal.com/Trojan.Xorpix.php

[Malekal_morte]

Le blog de Sunbelt vient de sortir une vidéo montrant l'installation et les redirections effectuées par Trojan.DNS : http://sunbeltblog.blogspot.com/2007/04 ... rojan.html

Vous pouvez visualiser la vidéos sur youtube à partir de cette adresse :
http://www.youtube.com/watch?v=bzNQ0OxNX8E
Télécharger en version MPEG : http://www.sunbelt-software.com/ihs/ale ... l.0001.mpg
En WMV : http://www.sunbelt-software.com/ihs/alex/dnschange.wmv

[Malekal_morte]

Ajout d'un tutorial Tutorial FixWareout : Supprimer les infections Trojans.DNS/Trojan.DNSChanger

[Malekal_morte]

Ajout de la note : Pour les versions Mac du trojan, SecureMac a créé un remover MacOS DNSChanger Removal Tool (je n'ai pas testé).