Limewire et TR/Dldr.Agent

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86507
Inscription : 10 sept. 2005 13:57
Contact :

Limewire et TR/Dldr.Agent

Message par Malekal_morte » 04 janv. 2010 10:40

Après Ads served by Dcads (Adware Fotomoto) et Security Toolbar/Mirar Toolbar.
Quoi de neuf, dans le monde de la poubelle à Virus du P2P : Limewire.

Voici ce que l'on peux trouver au niveau des cracks :
File keymaker.exe received on 2010.01.04 07:58:20 (UTC)
Current status: finished

Result: 11/39 (28.21%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.46 2010.01.04 Trojan-Downloader.Agent!IK
AhnLab-V3 5.0.0.2 2010.01.02 -
AntiVir 7.9.1.122 2009.12.31 TR/Dldr.Agent.klr
Antiy-AVL 2.0.3.7 2009.12.31 -
Authentium 5.2.0.5 2010.01.04 -
Avast 4.8.1351.0 2010.01.03 Win32:Agent-AFOO
AVG 8.5.0.430 2010.01.03 -
BitDefender 7.2 2010.01.04 -
CAT-QuickHeal 10.00 2010.01.04 -
ClamAV 0.94.1 2010.01.04 Trojan.VB-6340
Comodo 3462 2010.01.04 -
DrWeb 5.0.1.12222 2010.01.04 -
eTrust-Vet 35.1.7214 2010.01.04 -
F-Prot 4.5.1.85 2010.01.03 -
F-Secure 9.0.15370.0 2010.01.04 -
Fortinet 4.0.14.0 2010.01.02 -
GData 19 2010.01.04 Win32:Agent-AFOO
Ikarus T3.1.1.79.0 2009.12.31 Trojan-Downloader.Agent
Jiangmin 13.0.900 2010.01.04 -
K7AntiVirus 7.10.936 2010.01.02 -
Kaspersky 7.0.0.125 2010.01.04 -
McAfee 5850 2010.01.03 -
McAfee+Artemis 5850 2010.01.03 -
McAfee-GW-Edition 6.8.5 2010.01.04 Trojan.Dldr.Agent.klr
Microsoft 1.5302 2010.01.04 -
NOD32 4741 2010.01.04 probably a variant of Win32/TrojanDownloader.VB.OEQ
Norman 6.04.03 2009.12.31 -
nProtect 2009.1.8.0 2010.01.04 -
Panda 10.0.2.2 2010.01.03 Suspicious file
PCTools 7.0.3.5 2010.01.04 -
Prevx 3.0 2010.01.04 High Risk Cloaked Malware
Rising 22.29.00.04 2010.01.04 -
Sophos 4.49.0 2010.01.04 -
Sunbelt 3.2.1858.2 2010.01.03 Mirar
TheHacker 6.5.0.3.131 2010.01.04 -
TrendMicro 9.120.0.1004 2010.01.04 -
VBA32 3.12.12.1 2010.01.04 -
ViRobot 2010.1.4.2119 2010.01.04 -
VirusBuster 5.0.21.0 2010.01.03 -
Additional information
File size: 147456 bytes
MD5 : d2d327e12a52b15e736aac4a7347141d
SHA1 : 272008102cd55302b60aaea5a6f7604e3131989c
Une fois exécuté, ce dernier ouvre une fenêtre d'acceptation de licence qui nous informe quand même que le programme ouvrira des popups de publicité.

Image

Une fois accepté, les adwares et autres se téléchargent et s'installent :

Image

Code : Tout sélectionner

1262600352.327    123 192.168.1.26 TCP_MISS/200 4065 GET http://newdink.org/d.bin - DIRECT/195.78.108.20 application/octet-stream
1262600828.554    571 192.168.1.26 TCP_MISS/200 33110 GET http://www.donzongo.com/lwstats/11/20100103033250.exe - DIRECT/66.84.42.19 application/octet-stream
1262600829.413    328 192.168.1.26 TCP_MISS/200 19286 GET http://www.donzongo.com/lwstats/11/20091217084211.exe - DIRECT/66.84.42.19 application/octet-stream
1262600833.434    716 192.168.1.26 TCP_MISS/200 65879 GET http://www.donzongo.com/lwstats/11/20091229100715.exe - DIRECT/66.84.42.19 application/octet-stream
1262600838.980   2461 192.168.1.26 TCP_MISS/200 876175 GET http://www.donzongo.com/lwstats/11/20091215072256.exe - DIRECT/66.84.42.19 application/octet-stream
1262600841.087    568 192.168.1.26 TCP_MISS/200 29014 GET http://www.donzongo.com/lwstats/11/20091219073126.exe - DIRECT/66.84.42.19 application/octet-stream
1262600842.446    568 192.168.1.26 TCP_MISS/200 29014 GET http://www.donzongo.com/lwstats/11/20091221061452.exe - DIRECT/66.84.42.19 application/octet-stream
1262600843.770  11260 192.168.1.26 TCP_MISS/200 767695 GET http://96.0.203.114/applicationdata2.bin - DIRECT/96.0.203.114 application/octet-stream
1262600844.654    772 192.168.1.26 TCP_MISS/200 315052 GET http://www.flvdirect.com/downloadfile.php?aff=189_movies - DIRECT/77.245.62.137 application/octet-stream
1262600870.666   2004 192.168.1.26 TCP_MISS/200 106808 GET http://www.flvdirect.com/downloadfile.php?aff=189_movies - DIRECT/77.245.62.137 application/octet-stream
1262600873.274   2235 192.168.1.26 TCP_MISS/200 108248 GET http://www.flvdirect.com/downloadfile.php?aff=189_movies - DIRECT/77.245.62.137 application/octet-stream
1262600874.678   1403 192.168.1.26 TCP_MISS/200 105368 GET http://www.flvdirect.com/downloadfile.php?aff=189_movies - DIRECT/77.245.62.137 application/octet-stream
1262600876.274   1537 192.168.1.26 TCP_MISS/200 105176 GET http://www.flvdirect.com/downloadfile.php?aff=189_movies - DIRECT/77.245.62.137 application/octet-stream
1262600914.830  38386 192.168.1.26 TCP_MISS/200 119768 GET http://www.flvdirect.com/downloadfile.php?aff=189_movies - DIRECT/77.245.62.137 application/octet-stream
1262600915.564   1466 192.168.1.26 TCP_MISS/200 665175 GET http://download.flvdirect.com/FLVPlayer_silent.exe - DIRECT/74.206.247.196 application/x-msdos-program
1262600928.268    994 192.168.1.26 TCP_MISS/200 346028 GET http://download.flvdirect.com/PriceGong/PriceGong_admng_1.exe - DIRECT/74.206.247.196 application/x-msdos-program
Fly Direct, un programme viasualiseur de vidéos en façade est téléchargé, ce dernier a bien sûr pour but d'installer d'autres adwares pour se rémunérer.
A noter qu'il se réserve le droit d'afficher des publicités pour adulter, ne venez pas pleurer pour vos enfants par la suite :
5.2. Display of Advertising. The Licensed Software starts automatically when you start your computer, runs in the background on your computer, and may periodically direct you to our sponsors' websites. By installing and/or using the Licensed Software you grant permission for Licensor to periodically display sponsors' websites to you. The frequency of these advertisements (which will pop up on your screen in a separate browser) will vary depending on your use of the Internet. Please note that you will receive Adult-oriented ads if you utilize keywords related to such content or if you view Adult-oriented websites. On occasion, you may search for a website and receive an error from your browser software indicating that the site cannot be found. When this occurs, the Software includes a function that may redirect your web browser to our sponsor's websites based on the content of the website address, or URL, which you entered. You hereby consent to these actions. Content Licensor considers "Adult" is defined as any audio, video, audiovisual, images, sounds or text that contain or reference any of the following: profanity, crude or off-color humor, violence, blood and gore, weapons, use of alcohol, drugs, tobacco or other controlled substances, online gambling, pornography, erotica, erotic images, nudity, sex, sexually explicit images, and sexual references.
source : http://www.flvdirect.com/terms.html



Image

Quelques dossiers ajoutés :
c:\Documents and Settings\All Users\Start Menu\Programs\FLV Direct Player
c:\Documents and Settings\Malekal_morte\Application Data\PriceGong
c:\Documents and Settings\Malekal_morte\Application Data\PriceGong\Data
c:\Documents and Settings\Malekal_morte\Local Settings\History\History.IE5\MSHist012009122120091228
c:\Documents and Settings\Malekal_morte\Local Settings\History\History.IE5\MSHist012010010420100105
c:\Documents and Settings\Malekal_morte\Local Settings\Temp\{59382727-9048-6123-1523-597264847187}
c:\Documents and Settings\Malekal_morte\Local Settings\Temp\nsfC7.tmp
c:\Program Files\ecobar
c:\Program Files\FLV Direct Player
c:\Program Files\FLV Direct Player\SkinDirectFLV
c:\Program Files\FLV Direct Player\SkinDirectFLV\skin
c:\Program Files\FLV Direct Player\SkinDirectFLV\skin\Button
c:\Program Files\FLV Direct Player\SkinDirectFLV\skin\ComboBox
c:\Program Files\FLV Direct Player\SkinDirectFLV\skin\Menu
c:\Program Files\FLV Direct Player\SkinDirectFLV\skin\SysButton
c:\Program Files\FLV Direct Player\SkinDirectFLV\skin\Window
c:\Program Files\PriceGong
c:\Program Files\PriceGong\1.5.0
c:\Program Files\PriceGong\1.5.0\FF
c:\Program Files\PriceGong\1.5.0\FF\components
c:\Program Files\PriceGong\1.5.0\FF\content
c:\sysmon
c:\sysmon\flvdirect
c:\sysmon\qluqm85531
c:\WINDOWS\LastGood
et fichiers :
c:\sysmon\flvdirect\asex02886.exe
Date: 1/4/2010 12:11 AM
Size: 314 644 bytes
c:\sysmon\qluqm85531\deam53803.exe
Date: 1/4/2010 12:11 AM
Size: 28 672 bytes
c:\sysmon\qluqm85531\diftc7218.exe
Date: 1/4/2010 12:11 AM
Size: 32 768 bytes
c:\sysmon\qluqm85531\dolbc01316.exe
Date: 1/4/2010 12:11 AM
Size: 875 831 bytes
c:\sysmon\qluqm85531\kdiue732.txt
Date: 1/4/2010 12:10 AM
Size: 65 673 bytes
c:\sysmon\qluqm85531\kvfrf3637.exe
Date: 1/4/2010 12:11 AM
Size: 28 672 bytes
c:\WINDOWS\system32\drivers\amdk7.sys.bak
Date: 8/3/2004 5:07 PM
Size: 37 376 bytes
c:\WINDOWS\system32\drivers\changer.sys
Date: 8/3/2004 11:00 PM
Size: 8 192 bytes
c:\WINDOWS\system32\drivers\i2omgmt.sys
Date: 8/3/2004 11:00 PM
Size: 8 192 bytes
c:\WINDOWS\system32\drivers\lbrtfdc.sys
Date: 8/3/2004 10:59 PM
et lignes HiJackThis visibles :
O2 - BHO: TBSB07286 - {C23D0D6A-8CBA-4B33-9735-47D81F5B2B85} - C:\Program Files\ecobar\ecobar.dll
O2 - BHO: PriceGong - {D2A2595C-4FE4-4315-AA9B-19DBD6271B71} - C:\Program Files\PriceGong\1.5.0\PriceGongIE.dll
O3 - Toolbar: Ecobar - {59382727-9048-6123-1523-597264847187} - C:\Program Files\ecobar\ecobar.dll
Enfin les éléments dans ajout/suppression de programmes :

Image

Vous allez me dire, rien de nouveau par rapport à Ads served by Dcads (Adware Fotomoto), encore des adwares.
Perdu, on gagne aussi le couple Bredolab avec la variante amdk7.sys et Rootkit.TDSS variante Cx.tmp / x.tmp
qui est bien plus génant à supprimer.

Bref comme d'habitude, cela vous fait les pieds, à télécharger et surtout exécuter le premier fichier venu pris n'importe où, on récolte ce que l'on sème.

Il suffit de mettre le contraire des consignes de la page Prévention : Logiciels et sources de téléchargements
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 3 invités