Adwares v-bates et possible patch dnsapi.dll

Répondre
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

Adwares v-bates et possible patch dnsapi.dll

Message par Malekal_morte » 01 août 2015 11:33

Je commence ce topic, qui sera probablement complété au fur et à mesure, concernant un adware qui franchit une nouvelle frontière puisque, cette fois-ci, ce dernier semble patcher le fichier système %windir%\system32\dnsapi.dll (Plus d'informations, sur ce type de type d'infection, lire Trojan Patched).

Quelques topics concernant cet adware : Le nom Jabuticaba était le nom initial des publicités, ce nom change régulièrement, on a pu avoir LaSuperba, Capricornus, et actuellement Albireo.

L'adware se caractérise donc par des encarts Super Offres mais aussi des popups lors du surf vers reimage ou des arnaques de support téléphonique.
L'adware jabuticaba revient souvent.

Image

L'adware en question se caractérise par des injections dans les pages WEB visitées avec les URLs :
  • fp135.digitaloptout.com
  • istatic.eshopcom.com
  • cdncage-a.akamaihd.net
  • q2u3z6t8.ssl.hwcdn.net/js/vbates.js <= adware vbates
  • hxxp://www.tr553.com (déjà utilisé par beaucoup d'adware par le passé)
  • on peut aussi trouver des urls outbrain.com
Image

Cela peut conduire à des connections vers mip.prod.wajamu.com (Adware.Wajam ?)

Image

et des publicités Powered by vbates ou Ads by vbates :
Ads_by_vbates.png
Publicités Powered by vbates ou Ads by vbates

Comme évoqué dans l'introduction, la caractéristique principale est que l'adware semble patcher un fichier légitime Windows, ce qui est une première à savoir dnsapi.dll afin de pouvoir injecter les publicités.
Ce qui rend inopérant la plupart des outils de désinfection (AdwCleaner etc) et antivirus, la désinfection peut aussi endommager la couche réseau.


Ci-dessous, des erreurs reportées sur dnsapi.dll par SFC durant un scan sur un Windows 10. SFC n'est pas capable de restaurer le fichier système.
Je n'ai pas le hash du fichier pour le moment.

Image

2 DLL probablement patchés par v-bates :
https://www.virustotal.com/fr/file/d05c ... 438599020/
https://www.virustotal.com/fr/file/c3de ... 438596285/
dnsapi_dll.png
dnsapi.dll patché

La page d'affiliation de l'adware Jabuticaba sur une IP bien connue de VirusTotal.

Image

EDIT - Dernière variante LaSuperBa où on trouve le logo de la famille adware v-bates

Image

En vidéo :



patch dnsapi.dll et Antivirus

Avast! détecté ce dernier en Win32:Patched-XXX

Image

Microsoft Security Essential (MSE) détecte dnsapi.dll en Trojan:Win32/Patched du coups il est automatiquement mis en quarantaine ce qui engendre des problèmes ou la perte de la connexion internet.

Image

On trouve aussi beaucoup de détection Trojan.Patched.Shopperz

SHA256: ac8013f3e9914f58bfe1ba998c65584e5d2a89fd7bb93d2607adf0a7c9755f43
File name: dnsapi.dll
Detection ratio: 25 / 56
Analysis date: 2016-05-16 14:46:26 UTC ( 48 minutes ago )

Antivirus Result Update
ALYac Trojan.Patched.Shopperz.1 20160516
AVware Trojan.Win32.DllPatched.hst (v) 20160511
Arcabit Trojan.Patched.Shopperz.1 20160516
BitDefender Trojan.Patched.Shopperz.1 20160516
CAT-QuickHeal Trojan.DllPatcher.A4 20160516
Comodo TrojWare.Win32.Patched.AO 20160516
Cyren W32/Patched.EQ!Eldorado 20160516
DrWeb Trojan.Hosts.37558 20160516
Emsisoft Trojan.Patched.Shopperz.1 (B) 20160516
F-Prot W32/Patched.EQ!Eldorado 20160516
F-Secure Trojan.Patched.Shopperz.1 20160516
Fortinet W32/Patched.AP!tr 20160516
GData Trojan.Patched.Shopperz.1 20160516
Ikarus Trojan.Win32.Patched 20160516
Kaspersky Trojan.Win32.Patched.qw 20160516
McAfee Artemis!FA02EC912483 20160516
McAfee-GW-Edition Artemis!Trojan 20160516
eScan Trojan.Patched.Shopperz.1 20160516
Microsoft Trojan:Win32/Patched.AZ.gen!dll 20160516
NANO-Antivirus Trojan.Win32.Patched.ebrznn 20160516
Sophos Troj/Patched-BM 20160516
Symantec Trojan.Mentono!inf 20160516
TrendMicro-HouseCall HT_PATCHED_FA0500F8.UVPM 20160516
VIPRE Trojan.Win32.DllPatched.hst (v) 20160516
Zillya Trojan.PatchedGen.Win32.11 20160516


Supprimer v-bates / patch dnsapi.dll - publicité "Super Offres"

Les outils qui visent cette variantes adware v-bates
Image

Voir aussi la fiche sur supprimer-virus.com : http://www.supprimer-virus.com/lasuperb ... er-offres/]

Ces outils pour la pluspart restaurent un fichier dnsapi.dll provenant du magasin des composants Windows.
Si aucune version saine du fichier dnsapi.dll n'est présente, la restauration ne sera possible et les outils ne pourront supprimer l'adware v-bates.

Vous pouvez alors tenter la procédure suivante.

Sur Windows 8 et versions supérieures

Cela ne fonctionnera pas sur un Windows Vista et Seven.

Lancez un DISM : SFC / CheckSur / DISM

Soit donc, en invite de commandes en administrateur, passe la commande :
DISM /Online /Cleanup-image /Restorehealth
(si vous avez un message "Utilisez une invite de commandes avec élévation de privilèges pour effectuer ces
tâches.
" - c'est que vous n'avez pas lancé l'invite de commandes par un clic droit puis exécuter en tant qu'administrateur).

~~

puis toujours en invite de commandes administrateur :
sfc /scannow
Vous devez obtenir un message indiquant que la protection a détecté des éléments endommagés et qu'il faut redémarrer l'ordinateur.

Redémarrez l'ordinateur.

Terminez l'opération par un nettoyage un RepairDNS


EDIT - 9 Octobre 2015 : quelques noms de détections pour cette infection v-bates

Edité pour ajouter quelques noms de détections

Quelques autres noms utilisés :
  • nom générique : Trojan:W32/Dllpatcher.A chez F-Secure et Trojan.DNSPatcher chez Malwarebytes
  • Trojan.Win32.Noplemento - utilisé notamment par Antivir/Avira : TR/NopleMento
  • Trojan.Cuffahlt chez Microsoft
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

Re: Adwares v-bates et possible patch dnsapi.dll

Message par Malekal_morte » 02 sept. 2015 22:22

Autre variante Ads by LaSuperba

Malwarebytes a publié une analyse : Shopperz alters dnsapi.dll.

Le patch dnsapi.dll semble servir pour pointer vers un autre fichier HOSTS de Windows qui contient des adresses de serveurs de publicités afin d'effectuer des redirections.
dnsapi_patch_fichiers_hosts.jpg
Patch dnsapi.dll - Fichiers HOSTS Windows
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

Re: Adwares v-bates et possible patch dnsapi.dll

Message par Malekal_morte » 12 sept. 2015 21:41

Plusieurs demandes de désinfection pour des publicités Super-Offres et notamment la variante LaSuperba
Image
Image

Dans son analyse Malwarebytes préconise d'utiliser le programme SFC afin de restaurer "dnsapi.dll".

En invite de commandes en Administrateur :
cmd: sfc /scanfile=C:\Windows\system32\dnsapi.dll
cmd: sfc /scanfile=C:\Windows\SysWOW64\dnsapi.dll


Mais ce n'est apparemment pas une bonne idée car sur ce sujet, la gestion du réseau par Windows a été endommagé, chose que j'avais déjà constaté en restaurant les fichiers systèmes.

Il existe d'autres solutions, si vous regardez les sujets du forum, vous verrez que certains sont résolus.

Si vous rencontrez les mêmes soucis, créez votre propre sujet dans la section virus du forum.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

Re: Adwares v-bates et possible patch dnsapi.dll

Message par Malekal_morte » 13 sept. 2015 23:08

ZHPCleaner gére l'infection :

Code : Tout sélectionner

TROUVÉ fichier: C:\WINDOWS\System32\dnsapi.dll [Microsoft Corporation - DNS DLL de l’API Client] [BAD Binary="\abis\cuuf\fah.dat"]  =>Hijacker.Jabuticaba
TROUVÉ fichier: C:\WINDOWS\Syswow64\dnsapi.dll [Microsoft Corporation - DNS DLL de l’API Client] [BAD Binary="\abis\cuuf\fah.dat"]  =>Hijacker.Jabuticaba
Image
Image

Dans mon cas, cela a flingué la couche réseau, ce qui se passe dans le cas où on restaure le fichier avec la commande SFC. Il semble que cela a fonctionné chez des personnes.

Je vous conseille de créer un point de restauration système avant de tenter ZHPCleaner pour pouvoir restaurer en cas de problème : restauration système Windows

Au pire, demandez de l'aide sur le forum.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Adwares v-bates et possible patch dnsapi.dll

Message par ѠOOT » 14 sept. 2015 19:03

sigcheck.exe -e %SystemRoot%\System32\dnsapi.dll

Sigcheck v2.1 - File version and signature viewer
c:\windows\system32\dnsapi.dll:
Verified: Unsigned

La librairie "dnsapi.dll" est modifiée : "\drivers\etc\hosts" a été remplacé par "\abis\cuuf\fah.dat"
Pour restaurer la librairie à son état "signée", il suffit simplement de réécrire le bon chemin.

Ci-dessous, le contenu du fichier hosts détourné.

107.178.255.88 www.google-analytics.com
107.178.255.88 www.statcounter.com
107.178.255.88 statcounter.com
107.178.255.88 ssl.google-analytics.com
107.178.255.88 partner.googleadservices.com
107.178.255.88 google-analytics.com
107.178.248.130 static.doubleclick.net
107.178.247.130 connect.facebook.net


107.178.255.88 & 107.178.248.130 sont deux machines du Google Cloud.

107.178.255.88
Certificate validation errors: RemoteCertificateNameMismatch, RemoteCertificateChainErrors
Signature algorithm: sha1RSA
Public key size: 2048 bits
Issuer: CN=Itoimha Dafak, O=Joktait Fucpuilq Ki, L=Vuwzihceyn, S=Uhycbamfeicu, C=RU
Subject: CN=*.google-analytics.com, O=Joktait Fucpuilq Ki, L=Vuwzihceyn, S=Uhycbamfeicu, C=RU
Serial number: 01
Not valid before: 2015-07-29 14:49:50Z
Not valid after: 2016-07-28 14:49:50Z
SHA1 fingerprint: 7A8DA9327C9D8B0D8158FDFB275DCB26FB4A06DF


107.178.248.130
Certificate validation errors: RemoteCertificateNameMismatch, RemoteCertificateChainErrors
Signature algorithm: sha1RSA
Public key size: 2048 bits
Issuer: CN=Eyeixoon Lauvr, O=Xudl Sioawsyrj Awud, L=Wivneruil, S=Masnopgoefgo, C=US
Subject: CN=static.doubleclick.net, O=Xudl Sioawsyrj Awud, L=Wivneruil, S=Masnopgoefgo, C=US
Serial number: 01
Not valid before: 2015-07-30 09:21:41Z
Not valid after: 2016-07-29 09:21:41Z
SHA1 fingerprint: 25D7F3E558B7FA360C222284C28B7790E57CE1BC


Plusieurs certificats sont ajoutés silencieusement, sans interaction de la part de la victime.

En voici quelques uns... ( visibles depuis certmgr.msc )

* Erenvob Aband ( sha1: d8:30:b6:b8:93:9a:cb:49:28:40:10:60:20:3b:b6:48:45:6b:b4:f8 )
* Eyeixoon Lauvr ( sha1: f3:66:44:93:1c:4d:19:0b:40:ab:fa:18:46:bd:6e:00:bd:6e:f3:fb )
* Goqq Ohedt ( sha1: c8:84:ff:39:c8:d6:b6:7f:ce:57:57:48:88:28:f3:ad:7d:5c:58:a1 )
* Itoimha Dafak ( sha1: b4:7c:1f:7b:c9:dd:77:f9:9e:1b:3c:8c:c8:22:c4:4d:19:3f:72:bb )
* Juw Laonce ( sha1: a7:bd:54:b2:33:b5:b2:f7:0a:f8:6f:5b:d1:a0:c0:a7:72:a5:9f:c6 )
* Qosmabj Zimuy ( sha1: f5:3e:69:3d:da:bf:57:a8:8a:9b:12:b6:08:b0:9b:26:c0:60:8b:74 )
* ...

Pour un listing complet via CertCli, certutil -user -store root

Caractéristiques des certificats ?

Rôles prévus: <Tout>
Durées: valides pour de longues années...

Image

Code : Tout sélectionner

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

Re: Adwares v-bates et possible patch dnsapi.dll

Message par Malekal_morte » 01 oct. 2015 16:25

Combofix prend partiellement en charge cette infection. Lors du scan, Combofix doit afficher "system files is infected" et mentionné "dnsapi.dll". Combofix va ensuite tenter de le restaurer, s'il y arrive, c'est pas gagné mais bon.

Image

La restauration réussie est mentionné sur le rapport.

Image

Contrairement à ZHPCleaner, dans mon cas, le réseau fonctionne bien après redémarrage.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

Re: Adwares v-bates et possible patch dnsapi.dll

Message par Malekal_morte » 02 oct. 2015 20:57

Quelques sujets avec une erreur DNS Probe Finished nxdomain sur Google Chrome dont : Sur MiniToolBox ou FRST

On a ces erreurs :
Bluetooth Device (Personal Area Network) = Connexion réseau Bluetooth (Media disconnected)
Impossible de charger la DLL application d'assistance suivante : NETIOHLP.DLL.
Impossible de charger la DLL application d'assistance suivante : NSHIPSEC.DLL.

La commande suivante n'a pas é‚té‚ trouv‚é: int ip dump.

La requêˆte Ping n'a pas pu trouver l'h“ôte google.com. V‚rifiez le nom et essayez … nouveau.
La requêˆte Ping n'a pas pu trouver l'h“ôte yahoo.com. V‚rifiez le nom et essayez … nouveau.
C'est ce qui arrive quand "dnsapi.dll" est présent dans system32 mais inexistant dans Syswow64.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

Re: Adwares v-bates et possible patch dnsapi.dll

Message par Malekal_morte » 09 oct. 2015 10:26

Les antivirus se réveillent avec des détections Trojan.Patched sur dnsapi.dll
Notamment Windows Defender

Mettre "DNSAPI.DLL" en quarantaine risque d'empêcher la connexion internet de fonctionner.

De ce fait, beaucoup de sujets remontent : Image

D'autre part, Windows Defender peut détecter le Dropper qui patch les fichiers dnsapi.dll en Trojan.Cuffahlt.

Quelques autres noms utilisés :
  • nom générique : Trojan:W32/Dllpatcher.A chez F-Secure et Trojan.DNSPatcher chez Malwarebytes
  • Trojan.Win32.Noplemento - utilisé notamment par Antivir/Avira : TR/NopleMento
  • Trojan.Cuffahlt chez Microsoft
Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

Re: Adwares v-bates et possible patch dnsapi.dll

Message par Malekal_morte » 09 oct. 2015 21:11

AdwCleaner gère l'infection, dans l'onglet DLL, vous obtenez les fichiers dnsapi.dll mentionné si ces derniers sont détectés comme malicieux :

Image

Sur le rapport :
***** [ DLLs ] *****

Fichier Infecté : C:\Windows\SysNative\dnsapi.dll
Fichier Infecté : C:\Windows\SysWOW64\dnsapi.dll
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

Re: Adwares v-bates et possible patch dnsapi.dll

Message par Malekal_morte » 05 nov. 2015 11:48

Après les publicités intitulées Ads by Eridanus, celle-ci porte maintenant le nom de Ads by Canopus.

On retrouve le logo de la famille v-bates :

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

Re: Adwares v-bates et possible patch dnsapi.dll

Message par Malekal_morte » 12 nov. 2015 12:29

De plus en plus d'antivirus détecte le dnsapi.dll patché comme malicieux et notamment en : Trojan.Patched.Shopperz
(C'est une détection BitDefender, du coup, tous les antivirus qui utilisent sa base de données, le détecte ainsi).

Microsoft continue de détecter celle-ci en Trojan:Win32/Patched.AO
SHA256: 7d92c4c5b76d88df7bb1abfeb354ebc0c89d98cdce7c0702f6eac9d668c71504
Nom du fichier : dnsapi.dll
Ratio de détection : 15 / 53
Date d'analyse : 2015-11-12 10:24:18 UTC (il y a 2 minutes)

Antivirus Résultat Mise à jour
ALYac Trojan.Patched.Shopperz.1 20151112
AVware Trojan.Win32.DllPatched.hst (v) 20151112
Arcabit Trojan.Patched.Shopperz.1 20151112
BitDefender Trojan.Patched.Shopperz.1 20151112
CAT-QuickHeal Trojan.DllPatcher.A4 20151110
Comodo TrojWare.Win32.Patched.AO 20151112
Emsisoft Trojan.Patched.Shopperz.1 (B) 20151112
F-Secure Trojan.Patched.Shopperz.1 20151112
GData Trojan.Patched.Shopperz.1 20151112
Ikarus Trojan.Win32.Patched 20151112
MicroWorld-eScan Trojan.Patched.Shopperz.1 20151112
Microsoft Trojan:Win32/Patched.AO 20151112
Sophos Troj/Patched-BM 20151112
Symantec Trojan.Mentono!inf 20151111
VIPRE Trojan.Win32.DllPatched.hst (v) 20151112
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Adwares v-bates et possible patch dnsapi.dll

Message par ѠOOT » 12 nov. 2015 22:37

Bonjour,

En septembre dernier quand j'avais jeté un œil sur les fonctionnalités d'ajouts de certificats présents sur certains échantillons, j'avais écrit un correctif pour restaurer rapidement l'état initial de la librairie "dnsapi.dll" afin qu'elle soit de nouveau fonctionnelle et signée par Microsoft.

Après l'avoir testé pendant des semaines sur plusieurs configurations Windows ( XP, Vista, 7, 8 & 8.1 - ne fonctionne pas sur 10 ) et sur des infections connues, il est temps de mettre l'outil à disposition pour les utilisateurs du forum.

1. Téléchargez & extraire l'archive vbates.zip
( note: Si vous utilisez MSE / Windows Defender : désactiver la protection temps réel )
2. Désactiver temporairement la protection de votre antivirus
3. Exécutez ensuite dnsapero.exe en tant qu'Administrateur
4. Un rapport va s'ouvrir dans le bloc-notes Windows.
5. Copier / Coller le contenu sur votre sujet du forum.

Que la force soit avec vous.

Ci-dessous, les options avancées en ligne de commandes disponibles pour les helpers.

dnsapero.exe -aide
dnsapero Vérifie dnsapi.dll de ce système Windows (par defaut)
dnsapero fichier Vérifie un dnsapi.dll depuis un autre emplacement
dnsapero -acl Affiche les informations ACL de dnsapi.dll
dnsapero -sign Affiche les informations de la signature
dnsapero -cert Exporte les certificats dans syscert.zip
dnsapero -upload Envoi dnsapi.dll sur le site de malekal
dnsapero -process Affiche les processus actifs
dnsapero -modules Affiche les modules actifs
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

Re: Adwares v-bates et possible patch dnsapi.dll

Message par Malekal_morte » 18 nov. 2015 16:01

Probablement pour les fêtes, les publicités Super Offres deviennent des publicités Holiday Sale.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

Re: Adwares v-bates et possible patch dnsapi.dll

Message par Malekal_morte » 28 déc. 2015 13:52

Microsoft Security Essential (MSE) détecte dnsapi.dll en Trojan:Win32/Patched.AO du coups il est automatiquement mis en quarantaine ce qui engendre des problèmes ou la perte de la connexion internet.
dnsapi_Trojan_Patched_AO.png
Trojan:Win32/Patched.AO
Ajout d'une vidéo et d'un dernier scan VirusTotal d'un dnsapi.dll patché, les détections sont bonnes...

En vidéo - l'infection v-bates - Trojan.Patched.Shopperz avec la variante Albireo :


et les détctions actuelles :
SHA256: ac8013f3e9914f58bfe1ba998c65584e5d2a89fd7bb93d2607adf0a7c9755f43
File name: dnsapi.dll
Detection ratio: 25 / 56
Analysis date: 2016-05-16 14:46:26 UTC ( 48 minutes ago )

Antivirus Result Update
ALYac Trojan.Patched.Shopperz.1 20160516
AVware Trojan.Win32.DllPatched.hst (v) 20160511
Arcabit Trojan.Patched.Shopperz.1 20160516
BitDefender Trojan.Patched.Shopperz.1 20160516
CAT-QuickHeal Trojan.DllPatcher.A4 20160516
Comodo TrojWare.Win32.Patched.AO 20160516
Cyren W32/Patched.EQ!Eldorado 20160516
DrWeb Trojan.Hosts.37558 20160516
Emsisoft Trojan.Patched.Shopperz.1 (B) 20160516
F-Prot W32/Patched.EQ!Eldorado 20160516
F-Secure Trojan.Patched.Shopperz.1 20160516
Fortinet W32/Patched.AP!tr 20160516
GData Trojan.Patched.Shopperz.1 20160516
Ikarus Trojan.Win32.Patched 20160516
Kaspersky Trojan.Win32.Patched.qw 20160516
McAfee Artemis!FA02EC912483 20160516
McAfee-GW-Edition Artemis!Trojan 20160516
eScan Trojan.Patched.Shopperz.1 20160516
Microsoft Trojan:Win32/Patched.AZ.gen!dll 20160516
NANO-Antivirus Trojan.Win32.Patched.ebrznn 20160516
Sophos Troj/Patched-BM 20160516
Symantec Trojan.Mentono!inf 20160516
TrendMicro-HouseCall HT_PATCHED_FA0500F8.UVPM 20160516
VIPRE Trojan.Win32.DllPatched.hst (v) 20160516
Zillya Trojan.PatchedGen.Win32.11 20160516


et aussi des publicités Powered by vbates ou Ads by vbates :
Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Tech, Tips & Tricks »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité