Security Toolbar 7.1/Mirar Toolbar & Vundo/Virtumonde

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares

Security Toolbar 7.1/Mirar Toolbar & Vundo/Virtumonde

Messagepar Malekal_morte » 15 Nov 2007 18:58

L'infection Security Toolbar 7.1 a la forme.. on le voit partout sur les forums.
J'ai mis à jour les procédures sur le forum car l'infection se renforce :
http://www.malekal.com/Security_Toolbar ... oAddon.php
http://www.malekal.com/Security_Toolbar.php

Attention l'infection semble voler des mots de passes etc...
Si vous êtes infectés, il est conseillé de changer ses mots de passes de site WEB notamment si vous utilisez eBay, Paypal etc...


Encore une fois... faites attention à ce que vous faites sur internet...
Arreter d'ouvrir n'importe quel fichier que l'on vous présente...
Attention aux faux codec
Arreter de télécharger des cracks
(voir plus bas).

Enfin Utiliser Firefox Sécurise.
Si votre système est avec Internet Explorer 6, mettez le à jour !!
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriel Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares et supprimer-trojan.com

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 82267
Enregistré le: 10 Sep 2005 13:57

Re: Security Toolbar 7.1 & Vundo/Virtumonde

Messagepar Malekal_morte » 16 Nov 2007 14:08

Un petit bllalbla concernant les mots de passe de sites WEB.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriel Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares et supprimer-trojan.com

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 82267
Enregistré le: 10 Sep 2005 13:57

Mirar Toolbar & Vundo/Virtumonde

Messagepar Malekal_morte » 23 Nov 2007 17:32

L'infection semble maintenant installer Mirar Toolbar sur le navigateur WEB à la place de Security Toolbar.

Image

Beaucoup de programmes Zango installé (winable/insider) qui affiche des popups rond.stardoors.com

L'infection continue à télécharger et installer des cracks dans le dossier C:\Windows\fonts\' qu'elles partagent sur des logiciels de P2P pour que d'autres internautes les téléchargent et s'infectent.

Image

Aperçu du dossier C:\Windows\fonts\' avec une multitude de cracks de 623ko proposé en téléchargement à d'autres internautes...
Image

Le scanne d'un trojan qui télécharger C:\windows\fonts\svchost.exe et le reste de l'infection...

Le fichier est assez bien détecté mais pas par deux antivirus très répandu ce qui explique que l'on doit encore désinfecter certains PC touchés par cette infection.

File Crack.exe received on 11.22.2007 23:30:26 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 22/32 (68.75%)
Loading server information...

Antivirus Version Last Update Result
AhnLab-V3 2007.11.23.0 2007.11.22 -
AntiVir 7.6.0.34 2007.11.22 TR/Agent.cmn.1
Authentium 4.93.8 2007.11.21 -
Avast 4.7.1074.0 2007.11.22 -
AVG 7.5.0.503 2007.11.22 Generic9.AOT
BitDefender 7.2 2007.11.22 Trojan.Agent.AFSZ
CAT-QuickHeal 9.00 2007.11.22 Trojan.Agent.cmn
ClamAV 0.91.2 2007.11.22 Trojan.Agent-9145
DrWeb 4.44.0.09170 2007.11.22 -
eSafe 7.0.15.0 2007.11.21 Win32.Agent.cmn
eTrust-Vet 31.3.5316 2007.11.22 -
Ewido 4.0 2007.11.22 -
FileAdvisor 1 2007.11.22 -
Fortinet 3.14.0.0 2007.11.22 W32/Agent.CMN!tr
F-Prot 4.4.2.54 2007.11.22 W32/Trojan!1866
F-Secure 6.70.13030.0 2007.11.22 Trojan.Win32.Agent.cmn
Ikarus T3.1.1.12 2007.11.22 Backdoor.Win32.Rbot.esp
Kaspersky 7.0.0.125 2007.11.21 Trojan.Win32.Agent.cmn
McAfee 5169 2007.11.22 -
Microsoft 1.3007 2007.11.22 -
NOD32v2 2679 2007.11.22 probably a variant of Win32/Agent
Norman 5.80.02 2007.11.22 Agent.DHTV
Panda 9.0.0.4 2007.11.22 Trj/Multidropper.RJS
Prevx1 V2 2007.11.22 TROJAN.AGENT.GEN
Rising 20.19.31.00 2007.11.22 Trojan.Win32.Agent.cmn
Sophos 4.23.0 2007.11.22 Troj/Agent-GFL
Sunbelt 2.2.907.0 2007.11.22 Trojan.Agent.AFSZ
Symantec 10 2007.11.22 Backdoor.IRC.Bot
TheHacker 6.2.9.136 2007.11.21 Trojan/Agent.cmn
VBA32 3.12.2.5 2007.11.20 Trojan.Win32.Agent.cmn
VirusBuster 4.3.26:9 2007.11.22 -
Webwasher-Gateway 6.0.1 2007.11.22 Trojan.Agent.cmn.1
Additional information
File size: 839698 bytes
MD5: 24e1a444ddf4928e14dc92ea52e6e12e
SHA1: 5ab13ae5d0576990d906e46def1145490ee821de
Prevx info: http://fileinfo.prevx.com/fileinfo.asp? ... 00E4DA10D1



Voici un exemple de rapport HijackThis :
Deux BHO Mirar Toolbar et au milieu virtumonde.
O2 - BHO: Mirar - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\system32\WinNB58.dll
O2 - BHO: (no name) - {ED203331-9C33-49D8-8714-D24A366A04EC} - C:\WINDOWS\system32\iifcdcy.dll
O3 - Toolbar: Mirar - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\system32\WinNB58.dll


Le fichier qui télécharge les cracks
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe


Zango :
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1188.exe 61A847B5BBF72813339330466188719AB689201522886B092CBD44BD8689220221DD3257
O4 - HKLM\..\Run: [NBInstall] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\MBDownloader_876923.exe
O4 - HKLM\..\Run: [meze] C:\Program Files\MSN Gaming Zone\meze77798.exe
O4 - HKCU\..\Run: [Insider] C:\Program Files\Insider\Insider.exe
O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe


A nouveau Mirar Toolbar
O15 - Trusted Zone: http://click.getmirar.com (HKLM)
O15 - Trusted Zone: http://click.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://redirect.mirarsearch.com (HKLM)
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {8A0DCBDB-6E20-489C-9041-C1E8A0352E75} (Mirar_Dummy_ATS1 Class) - http://awbeta.net-nucleus.com/FIX/WinATS.cab


Le fichier Virtumonde en bho chargé aussi par winlogon
O20 - Winlogon Notify: iifcdcy - C:\WINDOWS\SYSTEM32\iifcdcy.dll


Encore une fois, seul les internautes qui téléchargent "n'importe quoi" seront infectés, ceux qui font du P2P pour télécharger des cracks.....
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriel Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares et supprimer-trojan.com

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 82267
Enregistré le: 10 Sep 2005 13:57

Re: Security Toolbar 7.1/ NetProject

Messagepar Malekal_morte » 10 Fév 2008 16:09

Nouvelle variante de Security Toolbar 7.1 que l'on attrape toujours via de faux codecs soit sur des sites pornographiques, soit cracks etc..

Image

L'infection ajoute des dossiers NetProject visibles comme ceci sur HijackThis :
O2 - BHO: (no name) - {C2A1C5CB-C0EF-4689-9436-F62CCA1C5383} - C:\Program Files\NetProject\sbmdl.dll
O3 - Toolbar: Web Application - {81705D67-3F73-4983-859B-97D0922E5ABE} - C:\Program Files\NetProject\wamdl.dll
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\NetProject\scit.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe


En cliquant sur les boutons de la barre d'outils, on obtient des redirections vers des sites de rogues ou fausses alertes de sécurité comme VirusEffacteur, AntiSpy Shield etc.

Exemple :
Image

Popup Security Center :
Image

Exemple des messages que vous pouvez obtenir :
The instruction at "0x66f7d450" referenced memory at "0x00000d0".
If you were in the middle of something, the information you were working on might be lost.
This fatal error probably occured because of a virus on your PC.
Would you like to download latest version of antivirus software?
Fatal Error!
Your system is unprotected from new version of SpyBot@MXt trojan.
SpyBot@MXt is a trojan horse that steals information and gathers
email addresses from the compromised computer.
Click OK to download antivirus software and pass system scan to
delete/quarantine infected files.
Security warning: New variant of SpyBot@MXt
Your computer is infected with adware or spyware that displays
advertisements while you browse the Internet.
Would you like to download additional software to remove malware
threats and protect your system?
Internet Explorer Alert!
Your system is probably infected with latest version of Spyware.CyberLog-X.
Spyware.CyberLog-X is a spyware program that
monitors user activity, logs keystrokes, and tracks
Web sites visited.
Symptoms:
Low Internet connection speed
Low system perfomance
Security center alerts
Strange pop up windows
Protection:
Click OK to donwload antispyware software.
Critical System Warning!
Your computer is infected with last version of PSW.x-Vir trojan. PSW trojans steal your private information such as: passwords, IP-address, credit card information, registration details, documents, etc.
Click this baloon to remove PSW.x-Vir spyware.
Security Alert: Spyware found
System performance slowed down by: 47%
Internet connection speed decreased by: 39%
Probable reason: Spyware applications/Adware popup windows
Click this baloon to download spyware scan tool to remove spyware/adware applications.
System perfomance monitor: Warning
Security Alert: NetWorm-i.Virus@fp
Your computer is infected with a back door Trojan that allows the remote attacker to perform various malicious actions.
Click this baloon to download malware removal software.
System Alert: Malware threats


SmitFraudfix devrait supprimer l'infection.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriel Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares et supprimer-trojan.com

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 82267
Enregistré le: 10 Sep 2005 13:57


Si vous trouvez le contenu de cette page pertinente, faites +1 :

Retourner vers Securite informatique

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 1 invité

Tutoriel Cortana
Partenaires du site : supprimer-virus.com - stopvirus.fr - www.malekal.com - stoppublicites.fr - Geekeden