Trojan.DNSChanger/Trojan.Win32.Alureon/Trojan.TDSS

Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec
Infections liés aux rogues et affichant de fausses alertes de sécurité.

Trojan.DNSChanger/Trojan.Win32.Alureon/Trojan.TDSS

Messagepar Malekal_morte » 15 Mai 2008 22:23

Voici une page qui vous donne un aperçu des infections Zlob / VideoAccess / Trojan.Win32.DNSChanger
Les infections Zlob / VideoAccess / Trojan.Win32.DNSChanger sont des infections du RBN bien connues depuis ces dernières années.

Présentation, but et méthode de propagation de ces infections

Le but de ces infections est en général d'ouvrir de manières intempestives fausses alertes de sécurité afin de vous faire croire que votre PC est infecté pour vous faire télécharger et surtout acheter des rogues.

Il faut donc voir ces infections comme des tremplins vers les arnaques rogues.


Ces alertes sont de manière générales :
  • sous forme de popups d'alertes qui peuvent reprendre des écrans Windows ou antivirus connus pour mieux tromper l'internaute.
  • possible modification du fond d'écran, avec un message disant que votre ordinateur est infecté.
  • icone d'alerte en bas à droite à côté de l'horloge (ballon icon) ouvrant des bulles disant que votre ordinateur est infecté. Les fichiers provoquant ces alertes sont en général détectés en Trojan.Renos/Trojan.FakeAlert
  • modification de la page d'accueil de votre navigateur WEB vers de faux sites d'alertes. Il est impossible de modifier de manière manuelle la page. d'accueil.

Voici quelques exemples concrètes d'infections avec ces fausses alertes, vous y trouverez des captures parlantes afin de mieux comprendre le principe :

Les méthodes d'infections sont en général à 90% par de faux codecs qui est un setup qui installe l'infection et non le codec tant attendu.
Tout au départ, ces faux codecs étaient proposés pour visualiser des vidéos pornographiques. Concrètement, pour visualiser la vidéo pornographique, vous deviez installer ce faux codec.
Depuis plus d'un an, les méthodes de propagations se sont diversifiées pour toujours plus d'internautes :

Mais la propagation principale reste les sites pornographiques.

Voici une capture d'écran de fenêtre de proposition de téléchargement du faux codec :
Image


Zlob/NetProject

Après 4 ans d'activité intense, Zlob est une infection morte (voir La fin de Zlob?), cette infection est surplantée par TDSSServ/TDSServ rootkit

Zlob est la plus vieille des infections.
Elle est présente depuis Fin 2005/Début 2006.

Cette infection affichait une icone d'alerte dans la barre des tâches.
Elle installait aussi un rogue qui s'ouvrait intempestivement détectant des menaces.
Vous deviez payer bien sûr pour supprimer, ces soit-disantes menaces.

Image

Par la suite, l'infection s'est aussi mise à bloquer la page de démarrage du navigateur WEB redirigeant vers de faux sites d'alertes.
Enfin, l'infection ouvrait de fausses popups d'alertes, voir la page Win32:Zlob-BN [Trj].

L'infection était composée de quelques fichiers, les alertes étaient provoqués par un fichier DLL chargé en BHO puis clef SharedTaskScheduler.
Maintenant l'infection créé un dosier C:\Program Files\NetProject.
Vous pouvez l'infection sous le nom NetProject.

Depuis fin 2007, une sous-branche est aussi apparue pour promouvoir une autre famille de rogue IEDefender, File-Server et dernièrement MalwareBell
Cette sous-branche est caractérisé par la création d'une BHO et se trouvant dans le dossier Windows.
L'infection modifiait la page de recherche Google en ajoutant des liens pornographiques et un message vous disant que vous êtes infectés et que vous devez télécharger un des rogues pour supprimer l'infection.
Maintenant elle ouvre des popups d'alerte incessantes et rediriger l'internaute vers de fausses pages d'alertes.

Quelques exemples de BHO :
O2 - BHO: Gold Manager - {D26AAB3B-B0DD-456C-A7E5-4DA9565FD6EE} - C:\WINDOWS\system32\goldmng.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: BHO5 - {9873E994-669E-4044-BA64-E5D9AD534A55} - C:\WINDOWS\system32\(Random Name).dll
O2 - BHO: BHO.toolbar3 - {A4D16645-4149-41FB-B670-E06072E540C1} - C:\WINDOWS\system32\(Random Name).dll
etc..


VideoAccess / AdWare.Vapsup / Adware:Win32/SmitFraud

Après 4 ans d'activité intense, VAC est une infection morte (voir La fin de Zlob?), cette infection est surplantée par TDSSServ/TDSServ rootkit

VideoAccess est apparu fin 2007 et se propage toujours par de faux codec.
VideoAccess modifie la page de démarrage, le fond d'écran et ajoute une icone d'alerte et enfin affiche de fausses alertes de sécurités via des popups.

Le fond d'écran est caractérisé par un fond rouge et un message Your Privacy is in Danger (fichier du fond d'écran (C:/WINDOWS/privacy-danger/index.htm)
Image

On trouve très souvent une ou plusieurs BHO ainsi que des dll se chargeant par les clefs SSODL
Exemple :
O2 - BHO: MSVPS System - {218B7D50-BC37-4FA8-A57F-6E8DE692BD79} - C:\WINDOWS\vpsnetwork.dll
O21 - SSODL: vpssup - {D003FAC7-C60D-46E8-B628-4F9CADD21071} - C:\WINDOWS\vpssup.dll
O21 - SSODL: expro - {1CF19934-246D-4B85-9795-58B1AA54A1D7} - C:\WINDOWS\expro.dll


VideoAccess en vidéo après le téléchargement d'un crack piégé : http://secuboxlabs.fr/archives/computertoday.html


Trojan.Win32.DNSChanger --> Trojan.Win32.Alureon/Trojan.TDSS

Trojan.Win32.DNSChanger est un Trojan qui modifie vos paramètres DNS (Hijack DNS) afin de pouvoir effectuer des Redirections lors des recherches Google.
Concrèrement l'infection vous redirige vers des sites de pubs, antispywares ou vers des sites d'alertes toujours pour vous faire télécharger des rogues.
Cette infection permet aux auteurs de se faire rémunérer via de la publicités ouverte à votre insu.

L'infection utilise aussi la technologie rootkit ce qui met en général dans le vent les antivirus et antispywares.
Vous trouverez plus d'infos sur la page VideoAccess TrojanDNS/Trojan.DNSChanger.

On reconnait facilement cette infection car elle modifie les DNS avec des adresses en général 85.255 (Ukraine) ou 81.210
Ce qui donne sur HijackThis, les lignes suivantes :
HKLM\System\CCS\Services\Tcpip\..\{440F4843-E2E5-4F10-BF49-C40179F015B6}: NameServer = 81.210.20.254
HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.107 85.255.112.84
HKLM\System\CS1\Services\Tcpip\..\{440F4843-E2E5-4F10-BF49-C40179F015B6}: NameServer = 81.210.20.254
HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.107 85.255.112.84
HKLM\System\CS2\Services\Tcpip\..\{440F4843-E2E5-4F10-BF49-C40179F015B6}: NameServer = 81.210.20.254
HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.107 85.255.112.84


L'infection est maintenant capable de se propager par disques amovibles en créant un dossier :
C:\resycled et bien sûr les fichiers autorun.inf pointant dessus.

L'infection installe maintenant un rootkit avec un driver dans le dossier system32\drivers accompagné d'un fichier DLL, exemple :
"msqpdxserv"="\\?\globalroot\systemroot\system32\drivers\msqpdxryaatxqp.sys"
"msqpdxl"="\\?\globalroot\systemroot\system32\msqpdxkhcnuukf.dll"


Voir la page de désinfection Trojan-DNS
Le tout est détecté en Trojan.Win32.Alureon/Trojan.TDSS (voir scan plus bas).
Vous trouverez une vidéo plus bas montrant l'efficacité de cette infection.

File gasfkyjbvfvisxvb.tmp received on 2009.10.05 20:30:58 (UTC)
Current status: finished
Result: 32/41 (78.05%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.10.05 Trojan.Win32.Alureon!IK
AhnLab-V3 5.0.0.2 2009.10.05 Win-Trojan/Xema.variant
AntiVir 7.9.1.33 2009.10.05 TR/Alureon.19968U.10
Antiy-AVL 2.0.3.7 2009.10.05 Packed/Win32.Tdss.gen
Authentium 5.1.2.4 2009.10.05 -
Avast 4.8.1351.0 2009.10.04 Win32:Alureon-DA
AVG 8.5.0.420 2009.10.04 Packed.Hidden
BitDefender 7.2 2009.10.05 Trojan.Generic.2474880
CAT-QuickHeal 10.00 2009.10.05 Trojan.TDSS.z
ClamAV 0.94.1 2009.10.05 -
Comodo 2520 2009.10.05 TrojWare.Win32.TDSS.z
DrWeb 5.0.0.12182 2009.10.05 BackDoor.Tdss.based.1
eSafe 7.0.17.0 2009.10.05 -
eTrust-Vet 31.6.6777 2009.10.05 Win32/Alureon.AJC
F-Prot 4.5.1.85 2009.10.05 -
F-Secure 8.0.14470.0 2009.10.05 Packed.Win32.TDSS.z
Fortinet 3.120.0.0 2009.10.05 W32/Tdss.Z
GData 19 2009.10.05 Trojan.Generic.2474880
Ikarus T3.1.1.72.0 2009.10.05 Trojan.Win32.Alureon
Jiangmin None 2009.10.05 Trojan/Agent.cymr
K7AntiVirus 7.10.862 2009.10.05 Packed.Win32.TDSS.z
Kaspersky 7.0.0.125 2009.10.05 Packed.Win32.TDSS.z
McAfee 5762 2009.10.05 Generic FakeAlert!ci
McAfee+Artemis 5762 2009.10.05 Generic FakeAlert!ci
McAfee-GW-Edition 6.8.5 2009.10.05 Heuristic.LooksLike.Trojan.Alureon.19968U.H
Microsoft 1.5101 2009.10.05 Trojan:Win32/Alureon.gen!U
NOD32 4482 2009.10.05 Win32/Olmarik.KW
Norman 6.01.09 2009.10.05 -
nProtect 2009.1.8.0 2009.10.05 -
Panda 10.0.2.2 2009.10.05 Spyware/Virtumonde
PCTools 4.4.2.0 2009.10.05 -
Prevx 3.0 2009.10.05 High Risk Rootkit
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.05 Mal/TDSS-F
Sunbelt 3.2.1858.2 2009.10.05 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.10.05 Backdoor.Tidserv
TheHacker 6.5.0.2.029 2009.10.05 Trojan/TDSS.z
TrendMicro 8.950.0.1094 2009.10.05 Cryp_TDSS-6
VBA32 3.12.10.11 2009.10.05 BScope.Trojan.Buzus.991704
ViRobot 2009.10.5.1970 2009.10.05 -
VirusBuster 4.6.5.0 2009.10.05 Trojan.Alureon.HKY
Additional information
File size: 19968 bytes
MD5 : 8966eb3f8a03c014426def4449312ea2
SHA1 : 951649a15a2f63cf36d7c1d837d0c75d1fc186ad
SHA256: c63f8558e220583979908be51dec376384650da441a0d14478a21fa7ee384e10
PEInfo: PE Structure information


La prochaine génération de Trojan.Win32.DNSChanger modifie la configuration DNS directement au niveau du routeur, voir la page : Trojan.Win32.DNSChanger et routeurs


Trojan.Win32.BHO.xxxx - Win32/Adware.IeDefender

Trojan.Win32.BHO.xxxx - Win32/Adware.IeDefender est une infection qui charge une BHO sur le système afin d'effectuer :

Note : Trojan.Win32.BO.xxx est un nom généric, ce n'est pas parce que votre antivirus détecte un malware avec ce nom que c'est forcément l'infection qui est décrite ici que vous avez. Voir :
Index des menaces et programmes malveillants/Malwares

L'infection peut se propager par de Faux Codec ou Exploit sur site WEB.

Voici un exemple de résultat de recherche Google faussé, on voit un cadre gris Error! et une fausse popup d'alerte
Image

L'infection fait la promotion de de rogues dont les noms changent régulièrement.
A l'heure où sont écrit ces pages, l'infection fait la promotion du rogue WinDefender 2009 et IE Security.
Par le passé, ce fut IE Antivirus, Malware Bell et le tout premier IE Defender (d'où le nom Adware.IEDefender qui peut perdurer)

Exemple de ligne HijackThis infectieuse :
O2 - BHO: BioSmuth - {72132FDD-5B51-4BC1-BCC8-860F20AF1BF9} - C:\WINDOWS\system32\kiago32a.dll (file missing)


Exemple de détection sur VirusTotal :

File kiago32a.dll received on 01.29.2009 08:35:06 (CET)
Current status: finished

Result: 29/39 (74.36%)
Compact Print results
Antivirus Version Last Update Result
a-squared - - Trojan.Win32.BHO!IK
AhnLab-V3 - - Win-Trojan/Bho.110592.N
AntiVir - - TR/BHO.kao.1
Authentium - - -
Avast - - Win32:Adware-gen
AVG - - Generic12.AXZU
BitDefender - - Trojan.Generic.1393322
CAT-QuickHeal - - Trojan.BHO.kao
ClamAV - - -
Comodo - - -
DrWeb - - Adware.Bho.407
eSafe - - -
eTrust-Vet - - Win32/SillyBHO.BG
F-Prot - - -
F-Secure - - Trojan.Win32.BHO.kao
Fortinet - - W32/BHO.KAO!tr
GData - - Trojan.Generic.1393322
Ikarus - - Trojan.Win32.BHO
K7AntiVirus - - Trojan.Win32.BHO.kao
Kaspersky - - Trojan.Win32.BHO.kao
McAfee - - Generic Downloader.x
McAfee+Artemis - - Generic Downloader.x
Microsoft - - TrojanDownloader:Win32/Renos.DU
NOD32 - - a variant of Win32/Adware.IeDefender.NIC
Norman - - -
nProtect - - Trojan/W32.BHO.110592.AF
Panda - - Adware/WebSearch
PCTools - - Trojan.BHO!sd6
Prevx1 - - Malicious Software
Rising - - Trojan.Win32.BHO.flv
SecureWeb-Gateway - - Trojan.BHO.kao.1
Sophos - - Mal/Generic-A
Sunbelt - - -
Symantec - - Downloader
TheHacker - - -
TrendMicro - - -
VBA32 - - Trojan.Win32.BHO.kao
ViRobot - - Trojan.Win32.BHO.110592.S
VirusBuster - - -
Additional information
MD5: 969aca18504ea205506168789fa8f69e
SHA1: 3fd652aa4016132addca3bc90f5f18501548b599



Les fix qui suppriment l'infection

Un petit aperçu de ce que peux donner les antispywares courants que l'on fait utiliser partout sur ce type d'infection via la page : Adwares/Spywares : Comment NE PAS désinfecter son PC ?

Pour supprimer ces infections, il est conseillé d'utiliser :

Eventuellement si vous êtes infecté, vous pouvez suivre la Procédure de désinfection des Trojans/Backdoor

Liens relatifs à l'infection
Ces infections changent d'adresses WEB tous les 1-2 jours avec de nouvelles variantes à la clef (nom de fichiers, CLSID qui changent etc..), ce qui les rend plus ou moins difficiles à traquer pour les antivirus.

Conclusion

Infections bien rodées depuis plusieurs années. Ces infections ont donc pour but de faire de l'argent via les arnaques de type rogues mais aussi de plus en plus via de la publicité (popups), modifications des bannières de publicité voir VideoAccessCodec et injection de bannières publicitaires.

Bref encore une fois, n'ouvrez pas tout ce qu'on vous propose, en cas de doute, passer le fichier sur VirusTotal
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Communauté - infos/news sécurité :
Facebook : Communauté malekal.com sur Facebook
GooglePlus : Communauté malekal.com sur GooglePlus

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 67995
Inscription: 10 Sep 2005 13:57

Re: Zlob/VideoAccess/Trojan.Win32.DNSChanger

Messagepar Malekal_morte » 30 Juin 2008 22:05

Zlob for dummies. (Zlob pour les débiles), page en français consacrée à l'infection Zlob : http://secubox.aldria.com/topic-2388.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Communauté - infos/news sécurité :
Facebook : Communauté malekal.com sur Facebook
GooglePlus : Communauté malekal.com sur GooglePlus

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 67995
Inscription: 10 Sep 2005 13:57

Re: Trojan.DNSChanger/Trojan.Win32.Alureon/Trojan.TDSS

Messagepar Malekal_morte » 06 Oct 2009 17:39

Voici une vidéo sur le fonctionnement de l'infection Trojan.Win32.Alureon/Trojan.TDSS, celle-ci provoque des redirections lors des recherches Google.
L'infection utilise les technologies rootkits, les utilitaires classiques de détection HijackThis etc sont incapables de la voir.
Les guards et le scan "classique" (sans scan rootkits) des antivirus etc.

Il faut un scan antirootkits pour la détecter (si tant est que le scan rootkit est capable de le détecter).
Un antivirus peut éventuellement détecter l'infection mais ce n'est pas dit qu'il soit capable de la supprimer.

Dans la vidéo, on kill "simplement" le driver (.sys), au redémarrage, Windows tente de charger le driver mais le fichier a été corrompu par GMER rendant le rootkit inopérant.
Les fichiers deviennent alors visibles et l'antivirus peut faire son job.

NOTE : catchme peut aussi killer le fichier.

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Communauté - infos/news sécurité :
Facebook : Communauté malekal.com sur Facebook
GooglePlus : Communauté malekal.com sur GooglePlus

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 67995
Inscription: 10 Sep 2005 13:57

Re: Trojan.DNSChanger/Trojan.Win32.Alureon/Trojan.TDSS

Messagepar Malekal_morte » 13 Nov 2010 22:40

La suite des évolutions de cette infection sur cette page :
Code: Tout sélectionner
http://forum.malekal.com/trojan-alureon-trojan-tdss-t21456.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Communauté - infos/news sécurité :
Facebook : Communauté malekal.com sur Facebook
GooglePlus : Communauté malekal.com sur GooglePlus

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 67995
Inscription: 10 Sep 2005 13:57


Si vous trouvez le contenu de cette page pertinente, faites +1 :

Publicité

Retourner vers Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités

Partenaires du site : Geekeden - OxygenePC.com