Security Shield

[MalwareBot]

Security Shield est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware pour soit disant désinfecter votre ordinateur.

Famille de Security Tool

Pour supprimer le rogue suivre les indications de la page suivante : supprimer-les-rogues-scareware-t5472.html

[Malekal_morte]

Contrairement à Security Tool qui créé un fichier avec des chiffres aléatoires et une clef Run once pour se lancer.

Security Shield créé un fichier dans C:\Documents and Settings\Mak\Local Settings\Application Data\vdcchtez.exe avec des lettres aléatoires.
Il ne semble plus y avoir de clef de lancement créé, par contre, un raccourci dans Démarrer / Tous les Programmes est ajouté.

Détection du fichier :

File name: vdcchtez.exe
Submission date: 2010-12-17 22:23:03 (UTC)
Current status: queued queued analysing finished
Result: 3/ 35 (8.6%)
VT Community

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.12.17.05 2010.12.17 -
AntiVir 7.11.0.83 2010.12.17 TR/Crypt.ZPACK.Gen2
Antiy-AVL 2.0.3.7 2010.12.17 -
Avast 4.8.1351.0 2010.12.17 -
Avast5 5.0.677.0 2010.12.17 -
BitDefender 7.2 2010.12.17 Gen:Variant.FakeAlert.47
CAT-QuickHeal 11.00 2010.12.17 -
ClamAV 0.96.4.0 2010.12.17 -
Command 5.2.11.5 2010.12.17 -
Comodo 7099 2010.12.17 -
Emsisoft 5.1.0.1 2010.12.17 -
eSafe 7.0.17.0 2010.12.16 -
eTrust-Vet 36.1.8048 2010.12.17 -
F-Prot 4.6.2.117 2010.12.16 -
Fortinet 4.2.254.0 2010.12.17 -
GData 21 2010.12.17 Gen:Variant.FakeAlert.47
Ikarus T3.1.1.90.0 2010.12.17 -
Jiangmin 13.0.900 2010.12.17 -
K7AntiVirus 9.73.3277 2010.12.17 -
Kaspersky 7.0.0.125 2010.12.17 -
McAfee 5.400.0.1158 2010.12.17 -
McAfee-GW-Edition 2010.1C 2010.12.17 -
Microsoft 1.6402 2010.12.17 -
NOD32 5712 2010.12.17 -
nProtect 2010-12-17.01 2010.12.17 -
Panda 10.0.2.7 2010.12.17 -
PCTools 7.0.3.5 2010.12.17 -
Prevx 3.0 2010.12.17 -
Rising 22.78.04.00 2010.12.17 -
Sophos 4.60.0 2010.12.17 -
TheHacker 6.7.0.1.101 2010.12.15 -
TrendMicro 9.120.0.1004 2010.12.17 -
VBA32 3.12.14.2 2010.12.17 -
ViRobot 2010.12.17.4206 2010.12.17 -
VirusBuster 13.6.100.0 2010.12.17 -
Additional informationShow all
MD5 : d439dd1619457f2fa75d827f2e67bea2
SHA1 : 1dcc0a3bd05a7fa5c187138707cc09e459fa9b92
SHA256: b435d166ac499ef35d650719bd24613a0bfa72954fc06301914590d7547c5afd

[Malekal_morte]

Nouveau look :

[Malekal_morte]

Une vidéo qui montre un Exploit sur site WEB qui vise Java et les produits Adobe afin d'installer le rogue de manière automatique lors de la visite d'un site :

[Malekal_morte]

Une nouvelle campagne pour Security Shield a lieu ces derniers jours et notamment : https://www.malekal.com/2012/04/20/porne ... -exploits/

[Malekal_morte]

Une campagne malicieuse a aussi lieu pour faire installer le rogue/scareware : http://www3.malekal.com/malwares/index. ... 9517b2b97d

Le mail a pour but d'envoyer une photo nue reçus par des mails sur FaceBook.


Objet :

They killed your privacy man your photo is all over facebook! NAKED!

Corps du message :

Hi ,

I have a question- have you seen this picture of yours in attachment?? Three facebook friends sent it to me today... why did you put it online? wouldn't it harm your job? what if parents see it? you must be way cooler than I thought about you man )))

et une pièce "image" de type IMG0962.zip qui contient au final un executable.


https://www.virustotal.com/file/05ed934 ... /analysis/

SHA256: 05ed934ab3fd5ad328be48880ee65a41f20913ae4b2f4878f8a7ba4cea2059a2
File name: KED-20120307-be8872ae7377d012232c871689d1e3a90810e2cd
Detection ratio: 9 / 40
Analysis date: 2012-04-21 17:21:54 UTC ( 5 minutes ago )

BitDefender Trojan.Generic.KDV.605053 20120421
ByteHero Trojan.Malware.Obscu.Gen.002 20120417
CAT-QuickHeal - 20120420
Commtouch W32/Trojan3.DLK 20120421
DrWeb BackDoor.Andromeda.2 20120421
Emsisoft Win32.Outbreak!IK 20120421
F-Prot W32/Trojan3.DLK 20120421
GData Trojan.Generic.KDV.605053 20120421
Ikarus Win32.Outbreak 20120421
Kaspersky Trojan-Dropper.Win32.Dapato.ayiq 20120421