(Voir page Adware.Fotomoto/Adware:Win32/AdRotator : Addsite/gzmrotate/cpmrotate/mysidesearch/rightonadz/FBrowserAdvisor pour le supprimer)
Pour se faire infecter par cet adware, il suffit de mettre le contraire des consignes de la page Prévention : Logiciels et sources de téléchargements
Pas bien compliqué, suffit de télécharger sur du P2P.
J'installe tout et surtout n'importe quoi..
Allez let's go... on va aller télécharger un fichier sur du P2P dont on ne connait pas la source, qui l'a mis en ligne et surtout ce qu'il contient... bha.. y a écrit "jeux windows" ça a l'air cool !
et puis bon ça change des cracks sur Emule, de quoi duper les internautes que les cracks rammènent des infections!
OK le jeu semble avoir un programme d'installation... sur la barre d'infos en haut Dcads flash Game, ça a l'air cool..
En bas, il y a même une société WebHancer, cool ça a l'air sérieux..
Allez hop on installe...
oula, ça demande d'installer WebHancer... bon ben on installe..
OK, les jeux sont installés... bha.. sont moyens....
A l'issu de l'installation de ces jeux, une pluie de popups Ads served by Dcads s'abat sur votre PC...
Quelques vérifications...
Un petit rembobinage... de ce qui s'est passé durant l'installation....
Une petite lecture de l'EULA nous aurait appris que le programme ouvre des popups... (OK c'est en anglais).
Une recherche du mot WebHancer en nom de société et proposé lors de l'installation...
--> http://www.google.fr/search?hl=fr&clien ... cher&meta=
où ça sent pas bon... hein ?
Voici une capture d'HijackThis... avant l'installatiion de ce programme de jeu..
O4 lignes O4 (les programmes qui se lancent au démarrage de l'ordinateur)
Après... le nombre de lignes multipliées par deux.
Plus de programmes qui se lancent, des plugins ajoutés à votre navigateur (histoire de récupérer les sites que vous consultez).
De quoi en plus de recevoir des popups bien ralentir votre PC. (voir Comprendre pourquoi votre ordinateur est ralenti
Conclusion
Voila comment pourrir sa machine en 30s, le tout à partir d'un simple fichier "innocent" sur P2P.
Facile pour les auteurs de malwares de vous berner!
et ne comptez pas sur votre Spybot ou Ad-aware pour le supprimer!
Arretez d'installer des programmes dont les sources ne sont pas sûres! ... Evitez le P2P.
Vérifiez dans l'EULA la présence du mot "advert" (publicités en anglais)..
Note : Cette infection se propage par P2P (comme toutes les infections en général), néanmoins il est possible de s'infecter certainement via des sites de jeux en ligne qui proposent ces jeux dits gratuits!
Là c'est déjà moins simple de savoir si le jeu qu'on installe est néfaste ou pas, je vous l'accorde... seule qq recherches peuvent le déterminer!
Vous pouvez aussi soumetter le fichier sur VirusTotal : http://www.virustotal.com/
Essayez de rester sur des sites de jeux "connus".
Un petit scan du fichier setup..
File setup.exe received on 11.26.2007 21:09:02 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 8/32 (25%)
Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - ADSPY/Dldr.Adssit.A
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - Trojan.Downloader.Zlob.AATN
CAT-QuickHeal - - -
ClamAV - - Adware.Fakealert-21
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - Adware/TrafficSol
F-Prot - - -
F-Secure - - -
Ikarus - - -
Kaspersky - - not-a-virus:AdWare.Win32.TrafficSol.o
McAfee - - -
Microsoft - - Adware:Win32/AdRotator
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - Mal/Heuri-E
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Ad-Spyware.Dldr.Adssit.A
Additional information
MD5: d72becd7356ea3efe08ea7151899bfa2