Malekal's forum

Forum entraide informatique

Vers le contenu

Publicité

Security Guard

Listes des différents Rogues/Scareware
Répondre
Publicité

Security Guard

Messagepar Curson » 23 Mar 2010 00:08

Security Guard est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware pour soit disant désinfecter votre ordinateur.

Il succède au rogue Dr. Guard et, suite logique des choses, il installe également le rootkit TDL3.

Image


L'infection s'installe dans les dossiers du profil de l'utilisateur global :
C:\Documents and Settings\All Users\Application Data\a2c49\SG85b.exe

Les noms du dossier et de l'exécutable sont générés aléatoirement à l'installation. A noter qu'un autre dossier contenant des fichiers de configuration peut être présent


Le registre est modifié de façon à exécuter le rogue au démarrage du système et lorsque l'utilisateur lance Internet Explorer. Le shell de la session courante est également remplacé.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Security Guard"="C:\Documents and Settings\All Users\Application Data\c07b4bc\SGc07b.exe" /s /d"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}]
@="Implements DocHostUIHandler"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\LocalServer32]
@="C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\a2c49\\SG85b.exe"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\ProgID]
@="SG85b.DocHostUIHandler"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="'"C:\Documents and Settings\All Users\Application Data\c07b4bc\SGc07b.exe" /s /d'"


Le malware utilise également le "Heap Tracing" sur certaines DLL's :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\eappcfg]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\eappprxy]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh\Napmontr]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\qagent]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\qutil]

De même, il empêche le lancement de nombreux exécutables via Image File Execution Options. Parmi-eux figurent de nombreux AV mais également un certain nombre de rogues concurrents.


Les SearchScopes (Internet Explorer) sont modifiés :
"URL"="http://findgala.com/?&uid=1098&q={searchTerms}"


Les préférences de Firefox sont modifiées (via prefs.js et search.xml) pour implémenter un nouvel user-agent et ajouter un nouveau moteur de recherche.
user_pref("general.useragent.extra.firefox", " Firefox 977807097903 Library1.01098 ");

<Image width="16" height="16">data:image/x-icon;base64, ... </Image>
<Url type="text/html" method="GET" template="http://findgala.com/?">
<Param name="q" value="{searchTerms}"/>
<Param name="uid" value="1098"/>
</Url>
</SearchPlugin>


Le fichiers hosts est modifié de façon à rediriger les recherches effectuées par l'internaute et sécuriser l'accès vers les sites d'achat du rogue.
74.125.45.100 4-open-davinci.com
74.125.45.100 securitysoftwarepayments.com
74.125.45.100 privatesecuredpayments.com
74.125.45.100 secure.privatesecuredpayments.com
74.125.45.100 getantivirusplusnow.com
74.125.45.100 secure-plus-payments.com
74.125.45.100 http://www.getantivirusplusnow.com
74.125.45.100 http://www.secure-plus-payments.com
74.125.45.100 http://www.getavplusnow.com
74.125.45.100 safebrowsing-cache.google.com
74.125.45.100 urs.microsoft.com
74.125.45.100 http://www.securesoftwarebill.com
74.125.45.100 secure.paysecuresystem.com
74.125.45.100 paysoftbillsolution.com
74.125.45.100 protected.maxisoftwaremart.com
67.215.240.115 http://www.google.com
67.215.240.115 google.com
67.215.240.115 google.com.au
67.215.240.115 http://www.google.com.au
67.215.240.115 google.be
67.215.240.115 http://www.google.be
67.215.240.115 google.com.br
67.215.240.115 http://www.google.com.br
67.215.240.115 google.ca
67.215.240.115 http://www.google.ca
67.215.240.115 google.ch
67.215.240.115 http://www.google.ch
67.215.240.115 google.de
67.215.240.115 http://www.google.de
67.215.240.115 google.dk
67.215.240.115 http://www.google.dk
67.215.240.115 google.fr
67.215.240.115 http://www.google.fr
67.215.240.115 google.ie
67.215.240.115 http://www.google.ie
67.215.240.115 google.it
67.215.240.115 http://www.google.it
67.215.240.115 google.co.jp
67.215.240.115 http://www.google.co.jp
67.215.240.115 google.nl
67.215.240.115 http://www.google.nl
67.215.240.115 google.no
67.215.240.115 http://www.google.no
67.215.240.115 google.co.nz
67.215.240.115 http://www.google.co.nz
67.215.240.115 google.pl
67.215.240.115 http://www.google.pl
67.215.240.115 google.se
67.215.240.115 http://www.google.se
67.215.240.115 google.co.uk
67.215.240.115 http://www.google.co.uk
67.215.240.115 google.co.za
67.215.240.115 http://www.google.co.za
67.215.240.115 http://www.google-analytics.com
67.215.240.115 http://www.bing.com
67.215.240.115 search.yahoo.com
67.215.240.115 http://www.search.yahoo.com
67.215.240.115 uk.search.yahoo.com
67.215.240.115 ca.search.yahoo.com
67.215.240.115 de.search.yahoo.com
67.215.240.115 fr.search.yahoo.com
67.215.240.115 au.search.yahoo.com


Scan du dropper :
a-squared 4.5.0.50 2010.03.22 Trojan.TDss!IK
AhnLab-V3 5.0.0.2 2010.03.22 -
AntiVir 8.2.1.196 2010.03.22 -
Antiy-AVL 2.0.3.7 2010.03.19 -
Authentium 5.2.0.5 2010.03.22 -
Avast 4.8.1351.0 2010.03.22 Win32:Jifas-EN
Avast5 5.0.332.0 2010.03.22 Win32:Jifas-EN
AVG 9.0.0.787 2010.03.22 -
BitDefender 7.2 2010.03.22 -
CAT-QuickHeal 10.00 2010.03.22 -
ClamAV 0.96.0.0-git 2010.03.22 -
Comodo 4352 2010.03.22 -
DrWeb 5.0.1.12222 2010.03.22 -
eSafe 7.0.17.0 2010.03.21 -
eTrust-Vet 35.2.7382 2010.03.22 Win32/SecurityGuard.A
F-Prot 4.5.1.85 2010.03.22 -
F-Secure 9.0.15370.0 2010.03.22 -
Fortinet 4.0.14.0 2010.03.22 -
GData 19 2010.03.22 Win32:Jifas-EN
Ikarus T3.1.1.80.0 2010.03.22 Trojan.TDss
Jiangmin 13.0.900 2010.03.22 -
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.03.22 -
McAfee 5928 2010.03.22 -
McAfee+Artemis 5928 2010.03.22 Artemis!CBCCDE11D6A5
McAfee-GW-Edition 6.8.5 2010.03.22 -
Microsoft 1.5605 2010.03.22 -
NOD32 4966 2010.03.22 -
Norman 6.04.09 2010.03.22 -
nProtect 2009.1.8.0 2010.03.22 -
Panda 10.0.2.2 2010.03.22 Suspicious file
PCTools 7.0.3.5 2010.03.22 RogueAntiSpyware.VirusDoctor
Prevx 3.0 2010.03.22 Medium Risk Malware
Rising 22.40.00.04 2010.03.22 -
Sophos 4.51.0 2010.03.22 Mal/FakeAV-CS
Sunbelt 6031 2010.03.22 SecurityGuard.FakeVimes
Symantec 20091.2.0.41 2010.03.22 VirusDoctor
TheHacker 6.5.2.0.241 2010.03.22 -
TrendMicro 9.120.0.1004 2010.03.22 -
VBA32 3.12.12.2 2010.03.22 -
ViRobot 2010.3.22.2238 2010.03.22 -
VirusBuster 5.0.27.0 2010.03.22 -

Information additionnelle
File size: 2328576 bytes
MD5...: cbccde11d6a5b739fe7a3c75b0758149
SHA1..: f9e4086a84170918026a3227299312ae4fc43b94
May CastleCops live forever in our memories...

Avatar de l’utilisateur
Curson
Amateur
Amateur
 
Messages: 107
Inscription: 23 Déc 2008 13:56
Haut
Publicité
Répondre
Si vous trouvez le contenu de cette page pertinente, faites +1 :

Publicité

Retourner vers Rogues/Scareware & Programmes douteux

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités

Publicité
Partenaires du site : Geekeden - OxygenePC.com - Les partenaires du site