Malekal's forum

de **Malekal_morte** » 10 Jan 2007 00:37

Une menace qui existe depuis quelques temps et qui est très pénible pour l'utilisateur lorsqu'il surf.
Le principe est simple :
Vous surfez et effectuer des recherches sur Google. Vous cliquez sur un lien pour ouvrir le site donné comme résultat lors de la recherche et là...
Le site que vous pensez ouvrir ne s'ouvre pas et vous atterrissez sur un site inconnu, généralement avec un contenu

soit pornographique
soit un autre moteur de recherches (généralement douteux)
des alertes vous disant que vous êtes infecté.. pour vous faire télécharger des rogues!

NOTE : les redirections peuvent aussi avoir comme origine de faux sites dans les résultats de recherche et non une infection sur le PC, voir SEO empoisonnement : redirections recherche Google

Il existe plusieurs infections à l'origine de ces redirections :

Trojan.Win32.Alureon/Trojan.TDSS voir aussi ce lien : trojan-dnschanger-trojan-win32-alureon-trojan-tdss-t11252.html#p174824
Troj/WShack : Patch du fichier WS2_32.dll provoquant des redirections lors des recherches Google
kbdnet.dll / mscert.dll : Redirections Google
Trojan.Daonol/Gumblar et redirections Google et redirections Google
Trojan:Win32/Opachki : redirections Google
Anciennes infections :
- Wareout : Procédure de désinfection Wareout - mort depuis 2006
- Infection Zlob créant un fichier rootkité kd???.exe :
  Fonctionnement de cette infection Zlob - Procédure de désinfection - mort depuis 2008
- Supprimer Trojan.Xorpix / Proxy.Xorpix : http://www.malekal.com/Trojan.Xorpix.php
- Supprimer mscpx42r.dLL : http://www.malekal.com/Mscpx42r.dLL.php
- Supprimer 24-7-search adware : http://www.malekal.com/24-7-search_adware.php

NOTE : pour les versions Mac du trojan, SecureMac a créé un remover MacOS DNSChanger Removal Tool (je n'ai pas testé)

Voici une démonstration de ces redirections :

Vous effectuez donc une recherche sur Google... par exemple, vous tapez malekal.com
Vous obtenez donc la liste des résultats de votre recherche.

En premier, on trouve le site malekal.com
Notez que si vous laissez la souris sur le lien de ce premier résultat, en bas à gauche, le lien du site s'affiche convenablement à savoir : http://www.malekal.com

Maintenant cliquons sur ce lien :

Le chargement s'effectue (barre de chargement bleu en bas à droite)...
Regardez maintenant le lien.. au lieu d'ouvrir le lien du site : http://www.malekal.com
on se retrouve sur le site : http://www.aicse.com

Vous êtes redirigé vers un site non demandé !

Vous vous retrouvez sur un site vitrine.. avec des liens assez douteux.. Je vous laisse seul juge.

Vous pouvez aussi vous retrouver avec de fausses alertes.. pour vous faire peur.
On vous propose alors de télécharger des rogues
Dans l'exemple ci-dessous, c'est le rogue Drive Cleaner qui est proposé en téléchargement

L'infection la plus répandu est Trojan.DNS/Trojan.DNSChanger qui se propage via de faux codecs, 99% du temps pour visualiser des vidéos pornographiques.

Dans cette capture, on peut voir que sur HijackThis (ligne O17), le serveur DNS est 192.168.1.1 (Livebox), confirme sur la popups de droite des propriétés TCP/IP

Téléchargeons un faux codecs

Nous constatons que les serveurs DNS ont été modifiées avec des adresses 85.255 (Ukraine).
Les redirections lors des recherches Google commencent alors...

Voici un scan du fichier faux codec :

Fichier codecpro4576.exe reçu le 2008.01.05 14:47:05 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 14/32 (43.75%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.5.11 2008.01.05 -
AntiVir 7.6.0.46 2008.01.04 HEUR/Malware
Authentium 4.93.8 2008.01.04 -
Avast 4.7.1098.0 2008.01.04 -
AVG 7.5.0.516 2008.01.05 Generic_c.FTY
BitDefender 7.2 2008.01.05 Trojan.DNSChanger.RB
CAT-QuickHeal 9.00 2008.01.05 -
ClamAV 0.91.2 2008.01.05 Trojan.DNSChanger-2168
DrWeb 4.44.0.09170 2008.01.05 -
eSafe 7.0.15.0 2008.01.03 Win32.DNSChanger.akt
eTrust-Vet 31.3.5432 2008.01.04 -
Ewido 4.0 2008.01.05 -
FileAdvisor 1 2008.01.05 -
Fortinet 3.14.0.0 2008.01.05 W32/Zlobar.AKT!tr
F-Prot 4.4.2.54 2008.01.04 -
F-Secure 6.70.13030.0 2008.01.04 Trojan.Win32.DNSChanger.akt
Ikarus T3.1.1.15 2008.01.05 -
Kaspersky 7.0.0.125 2008.01.05 Trojan.Win32.DNSChanger.akt
McAfee 5200 2008.01.04 Puper.gen.d
Microsoft 1.3109 2008.01.05 Trojan:Win32/Alureon.gen!E
NOD32v2 2766 2008.01.04 -
Norman 5.80.02 2008.01.04 -
Panda 9.0.0.4 2008.01.05 -
Prevx1 V2 2008.01.05 -
Rising 20.25.52.00 2008.01.05 -
Sophos 4.24.0 2008.01.05 Troj/Zlobar-Fam
Sunbelt 2.2.907.0 2008.01.05 -
Symantec 10 2008.01.05 Trojan.Zlob
TheHacker 6.2.9.180 2008.01.04 Trojan/DNSChanger.aii
VBA32 3.12.2.5 2008.01.02 -
VirusBuster 4.3.26:9 2008.01.04 -
Webwasher-Gateway 6.6.2 2008.01.04 Heuristic.Malware
Information additionnelle
File size: 235725 bytes
MD5: 4dc137a3d91d14cd4c4d8158a2d92d77
SHA1: 9722f4dbd24e15c6dd0419f7a64eedb2c1d0ac8c
PEiD: -

Sachez qu'il sort régulièrement de nouveaux faux codecs avec de nouveaux domaines de téléchargement (environ tous les 3 jours).
Ce qui rend la tâche des antivirus plus hardeux.

~~

En vidéo avec Trojan.Win32.Alureon/Trojan.TDSS

de **Malekal_morte** » 21 Jan 2007 18:31

24-7-search adware vous redirge lorsque vous effectuez des recherches sur google vers les sites http://24-7-search.com ou http://www.seo.netzona.org/search ou TopSearch10

Supprimer 24-7-search adware : http://www.malekal.com/24-7-search_adware.php

de **Malekal_morte** » 21 Jan 2007 18:31

mscpx42r.dLL est un adware vous redirge lorsque vous effectuez des recherches sur google vers les sites "bluestreak" et "tradedoubler" et "tagasaurus"

Supprimer mscpx42r.dLL : http://www.malekal.com/Mscpx42r.dLL.php

de **Malekal_morte** » 02 Mar 2007 09:12

Le rogue SpyMarshal s'installe avec une infection Trojan.DNS donc redirections sur Google : http://www.malekal.com/SpyMarshal.php

de **Malekal_morte** » 21 Avr 2007 19:57

Les infections Trojan.Xorpix / Proxy.Xorpix sont aussi capable d'effectuer des redirections lors des recherches Google.

Celles-ci modifient les DNS (DNS Hijack) afin d'effectuer des redirections lors des recherches Google.
Ce sont généralements des DNS qui se trouvent au Chili.
O17 - HKLM\System\CCS\Services\Tcpip\..\{C12BB0C9-4A01-49E6-A594-FC987E247864}: NameServer = 200.14.241.36
O17 - HKLM\System\CS1\Services\Tcpip\..\{C12BB0C9-4A01-49E6-A594-FC987E247864}: NameServer = 200.14.241.36
O17 - HKLM\System\CS2\Services\Tcpip\..\{C12BB0C9-4A01-49E6-A594-FC987E247864}: NameServer = 200.14.241.36

O17 - HKLM\System\CCS\Services\Tcpip\..\{57A68B17-E754-43F3-97B9-6AC80611E8B3}: NameServer = 200.14.104.52
O17 - HKLM\System\CCS\Services\Tcpip\..\{5E3B13AF-A8BB-4134-99E5-10C73A61FF10}: NameServer = 200.14.104.52
O17 - HKLM\System\CCS\Services\Tcpip\..\{72B4C040-AD81-4A29-932E-802D9C111AFD}: NameServer = 200.14.104.52
O17 - HKLM\System\CCS\Services\Tcpip\..\{C8251B19-0829-4DE7-A328-13C700A78A6F}: NameServer = 200.14.104.52
O17 - HKLM\System\CS1\Services\Tcpip\..\{22688B9C-E25B-4179-AA48-BFB6A2CA63D9}: NameServer = 200.14.104.52

Supprimer Trojan.Xorpix / Proxy.Xorpix : http://www.malekal.com/Trojan.Xorpix.php