Ads served by Dcads (Adware Fotomoto)

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Malekal_morte
Messages : 116494
Inscription : 10 sept. 2005 13:57

Ads served by Dcads (Adware Fotomoto)

par Malekal_morte »

Ads served by Dcads est un service qui affiche des popups de publicités pour des programmes affiliés (poker etc..) via des programmes gratuits.
(Voir page Adware.Fotomoto/Adware:Win32/AdRotator : Addsite/gzmrotate/cpmrotate/mysidesearch/rightonadz/FBrowserAdvisor pour le supprimer)

Pour se faire infecter par cet adware, il suffit de mettre le contraire des consignes de la page Prévention : Logiciels et sources de téléchargements
Pas bien compliqué, suffit de télécharger sur du P2P.

J'installe tout et surtout n'importe quoi..

Allez let's go... on va aller télécharger un fichier sur du P2P dont on ne connait pas la source, qui l'a mis en ligne et surtout ce qu'il contient... bha.. y a écrit "jeux windows" ça a l'air cool !
et puis bon ça change des cracks sur Emule, de quoi duper les internautes que les cracks rammènent des infections!

Image

OK le jeu semble avoir un programme d'installation... sur la barre d'infos en haut Dcads flash Game, ça a l'air cool..
En bas, il y a même une société WebHancer, cool ça a l'air sérieux..

Image

Allez hop on installe...
Image

oula, ça demande d'installer WebHancer... bon ben on installe..
Image

OK, les jeux sont installés... bha.. sont moyens....
Image

A l'issu de l'installation de ces jeux, une pluie de popups Ads served by Dcads s'abat sur votre PC...
Image

Quelques vérifications...

Un petit rembobinage... de ce qui s'est passé durant l'installation....
Une petite lecture de l'EULA nous aurait appris que le programme ouvre des popups... (OK c'est en anglais).

Image

Une recherche du mot WebHancer en nom de société et proposé lors de l'installation...
--> http://www.google.fr/search?hl=fr&clien ... cher&meta=
où ça sent pas bon... hein ?


Voici une capture d'HijackThis... avant l'installatiion de ce programme de jeu..
O4 lignes O4 (les programmes qui se lancent au démarrage de l'ordinateur)
Image

Après... le nombre de lignes multipliées par deux.
Plus de programmes qui se lancent, des plugins ajoutés à votre navigateur (histoire de récupérer les sites que vous consultez).
De quoi en plus de recevoir des popups bien ralentir votre PC. (voir Comprendre pourquoi votre ordinateur est ralenti
Image


Conclusion

Voila comment pourrir sa machine en 30s, le tout à partir d'un simple fichier "innocent" sur P2P.
Facile pour les auteurs de malwares de vous berner!
et ne comptez pas sur votre Spybot ou Ad-aware pour le supprimer!

Arretez d'installer des programmes dont les sources ne sont pas sûres! ... Evitez le P2P.
Vérifiez dans l'EULA la présence du mot "advert" (publicités en anglais)..

Note : Cette infection se propage par P2P (comme toutes les infections en général), néanmoins il est possible de s'infecter certainement via des sites de jeux en ligne qui proposent ces jeux dits gratuits!
Là c'est déjà moins simple de savoir si le jeu qu'on installe est néfaste ou pas, je vous l'accorde... seule qq recherches peuvent le déterminer!
Vous pouvez aussi soumetter le fichier sur VirusTotal : http://www.virustotal.com/
Essayez de rester sur des sites de jeux "connus".

Un petit scan du fichier setup..
File setup.exe received on 11.26.2007 21:09:02 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 8/32 (25%)


Antivirus Version Last Update Result
AhnLab-V3 - - -
AntiVir - - ADSPY/Dldr.Adssit.A
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - Trojan.Downloader.Zlob.AATN
CAT-QuickHeal - - -
ClamAV - - Adware.Fakealert-21
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - Adware/TrafficSol
F-Prot - - -
F-Secure - - -
Ikarus - - -
Kaspersky - - not-a-virus:AdWare.Win32.TrafficSol.o
McAfee - - -
Microsoft - - Adware:Win32/AdRotator
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - Mal/Heuri-E
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Ad-Spyware.Dldr.Adssit.A
Additional information
MD5: d72becd7356ea3efe08ea7151899bfa2
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116494
Inscription : 10 sept. 2005 13:57

Re: Ads served by Dcads (Adware Fotomoto)

par Malekal_morte »

Une nouvelle variante puisque l'on revoit l'infection pointée le bout du nez... avec de nouvelles lignes sur HijackThis.
Du coup, je suis allé faire un tour sur la boite à virus Limwire....

Hop on télécharge n'importe quoi et on l'exécute.... un fichier setup..
On se retrouve avec cette fenêtre...

Intitulée Advertisemen (il manque t) qui veut dire publicité...
On peut lire que le logiciel va installer des adwares.

Je ne sais pas ce que je fais, je sais pas ce que j'installe, mais ce qui est clair c'est que je clic pas sur Cancel... Je continue pour installer mes malwares.

On continue... rien ne se passe...

Quelques minutes après, des popups commencent à s'ouvrir...

Popup Advertissement eBay...
Image

Popup Casino etc... bref, les popups habituelles quand on a des adwares.
Image

Sur HijackThis, c'est la fête...
O2 - BHO: gooochi browser optimizer - {6579e505-be29-24f8-e156-8549f206292f} - C:\WINDOWS\system32\{57e92188-8407-8208-e755-64ed5b03742e}.dll
O4 - HKLM\..\Run: [{B9-97-77-71-DW}] c:\windows\system32\rwwnw64d.exe DWram
O4 - HKLM\..\Run: [LSA Shellu] C:\Documents and Settings\Malekal_morte\lsass.exe
O4 - HKLM\..\Run: [spa_start] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\{57e92188-8407-8208-e755-64ed5b03742e}.dll" DllInit
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\lcntpkdn.exe DWram
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1000106.exe 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKCU\..\Run: [Twain] C:\Program Files\Twain\Twain.exe
O4 - HKCU\..\Run: [JavaCore] C:\Program Files\\JavaCore\\JavaCore.exe
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\lcntpkdn.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\rwwnw64d.exe
O20 - AppInit_DLLs: pushow23.dll
O20 - Winlogon Notify: qoMecbAT - C:\WINDOWS\SYSTEM32\qoMecbAT.dll
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TWFsZWthbF9tb3J0ZQ\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe

Au moins 9 adwares différents.. ZeroSearch, Command Service, W32/Advertmen.A, Vundo/Virtumonde, stardoors Zango, Adware.Rotator.A etc.

Bref, si vous voulez continuer à donner des $ aux auteurs de malwares et aux régies de publicités...
être emmerdés à par les popups de pubs... continuez à télécharger sur Limwire et surtout ...
Surtout le plus important.... Quand vous avez une popup d'installation qui s'ouvre, ne réfléchissez pas..... surtout ne demandez pas ce que vous installez... Continuez !!



Quelques scan VirusTotal :

http://www.virustotal.com/fr/analisis/2 ... a080601b12
Fichier pushow23.dll reçu le 2008.02.28 07:23:43 (CET)
Situation actuelle: terminé
Résultat: 29/32 (90.62%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - Win-Trojan/Clicker.136192
AntiVir - - ADSPY/AdvertMen.A.19
Authentium - - W32/Adclicker.RD
Avast - - Win32:Agent-CHS
AVG - - Adware Generic.NPM
BitDefender - - Trojan.Clicker.GG
CAT-QuickHeal - - AdWare.AdvertMen.a (Not a Virus)
ClamAV - - -
DrWeb - - Adware.Advert
eSafe - - -
eTrust-Vet - - Win32/Istbar.CH
Ewido - - Adware.AdvertMen
F-Prot - - W32/Adclicker.RD
F-Secure - - -
FileAdvisor - - Low threat detected
Fortinet - - AdClicker.O!tr
Ikarus - - not-a-virus:AdWare.Win32.AdvertMen.a
Kaspersky - - not-a-virus:AdWare.Win32.AdvertMen.a
McAfee - - Generic AdClicker.o
Microsoft - - BrowserModifier:Win32/Istbar
NOD32v2 - - Win32/Adware.AdvertMen
Norman - - W32/Advertmen.A
Panda - - Adware/AdvertMem
Prevx1 - - Adware Generic.NPM
Rising - - Trojan.Clicker.Agent.aot
Sophos - - Advertismen
Sunbelt - - Advertismen
Symantec - - Adware.AdvertMen
TheHacker - - Adware/AdvertMen.a
VBA32 - - AdWare.Win32.AdvertMen.a
VirusBuster - - Adware.AdvertMen.A
Webwasher-Gateway - - Ad-Spyware.AdvertMen.A.19
Information additionnelle
MD5: b3560d5ec47aaebe51c2f60a155dda5b
SHA1: f40882225a81d726015f842f29eb84317108d4b8
SHA256: e1ab6dfdc90eabd80de8197772a4691d0de2f33bb032ee58447d91e9006bda83

http://www.virustotal.com/fr/analisis/2 ... d46b08fe5d
Fichier qoMecbAT.dll reçu le 2008.04.22 08:48:48 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 5/32 (15.63%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.22.0 2008.04.22 -
AntiVir 7.8.0.8 2008.04.22 -
Authentium 4.93.8 2008.04.22 -
Avast 4.8.1169.0 2008.04.21 -
AVG 7.5.0.516 2008.04.21 -
BitDefender 7.2 2008.04.22 -
CAT-QuickHeal 9.50 2008.04.21 -
ClamAV 0.92.1 2008.04.22 -
DrWeb 4.44.0.09170 2008.04.22 -
eSafe 7.0.15.0 2008.04.21 -
eTrust-Vet 31.3.5723 2008.04.22 -
Ewido 4.0 2008.04.21 -
F-Prot 4.4.2.54 2008.04.21 -
F-Secure 6.70.13260.0 2008.04.22 -
FileAdvisor 1 2008.04.22 -
Fortinet 3.14.0.0 2008.04.22 -
Ikarus T3.1.1.26 2008.04.22 -
Kaspersky 7.0.0.125 2008.04.22 -
McAfee 5278 2008.04.21 -
Microsoft 1.3408 2008.04.22 Trojan:Win32/Vundo.gen!D
NOD32v2 3044 2008.04.21 -
Norman 5.80.02 2008.04.21 -
Panda 9.0.0.4 2008.04.21 Suspicious file
Prevx1 V2 2008.04.22 -
Rising 20.41.10.00 2008.04.22 Trojan.Win32.VUNDO.bcr
Sophos 4.28.0 2008.04.22 Sus/Behav-200
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.22 -
TheHacker 6.2.92.286 2008.04.21 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.21 -
Webwasher-Gateway 6.6.2 2008.04.21 Win32.Malware.gen!88 (suspicious)
Information additionnelle
File size: 39936 bytes
MD5...: c561792f9989224d591aee70905bceb6
SHA1..: 03e9e5120b224802e6ce6e6aa5f169b0afcfb590
SHA256: 110daaec468e13e9c09cc2c74e6e936a116ddf080e4765bce34cf23d984bf4aa
Fichier rwwnw64d.exe reçu le 2008.04.22 08:46:15 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 24/32 (75%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.22.0 2008.04.22 -
AntiVir 7.8.0.8 2008.04.22 ADSPY/ZenoSearch.AM
Authentium 4.93.8 2008.04.22 -
Avast 4.8.1169.0 2008.04.21 Win32:Trojan-gen {VC}
AVG 7.5.0.516 2008.04.21 Lop.4.A
BitDefender 7.2 2008.04.22 Generic.Zeno.E5F12F0C
CAT-QuickHeal 9.50 2008.04.21 AdWare.ZenoSearch.am (Not a Virus)
ClamAV 0.92.1 2008.04.22 Adware.Zenosearch-6
DrWeb 4.44.0.09170 2008.04.22 Adware.ZenoSearch
eSafe 7.0.15.0 2008.04.21 AdWare.Win32.ZenoSea
eTrust-Vet 31.3.5723 2008.04.22 -
Ewido 4.0 2008.04.21 Not-A-Virus.Adware.ZenoSearch
F-Prot 4.4.2.54 2008.04.21 W32/ZenoSearch.A.gen!Eldorado
F-Secure 6.70.13260.0 2008.04.22 -
FileAdvisor 1 2008.04.22 -
Fortinet 3.14.0.0 2008.04.22 Adware/ZenoSearch
Ikarus T3.1.1.26 2008.04.22 Generic.Zeno
Kaspersky 7.0.0.125 2008.04.22 not-a-virus:AdWare.Win32.ZenoSearch.am
McAfee 5278 2008.04.21 potentially unwanted program Adware-Zeno
Microsoft 1.3408 2008.04.22 Adware:Win32/ZenoSearch
NOD32v2 3044 2008.04.21 -
Norman 5.80.02 2008.04.21 W32/ZenoSearch.DK
Panda 9.0.0.4 2008.04.21 Adware/Zenosearch
Prevx1 V2 2008.04.22 Lop.4.A
Rising 20.41.10.00 2008.04.22 -
Sophos 4.28.0 2008.04.22 ZenoSearch
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.22 Adware.ZenoSearch
TheHacker 6.2.92.286 2008.04.21 Adware/ZenoSearch.am
VBA32 3.12.6.4 2008.04.16 AdWare.Win32.ZenoSearch.am
VirusBuster 4.3.26:9 2008.04.21 Adware.ZenoSearch.Gen.2
Webwasher-Gateway 6.6.2 2008.04.21 Ad-Spyware.ZenoSearch.AM
Information additionnelle
File size: 49166 bytes
MD5...: cb06e9534bbdbd0c86711c40c978335d
SHA1..: dcdc2d39570c7421dd9b0977ced8c5b50e7a4b77
SHA256: 7cdb433e42c102ae8d723553bbc5433929637c2fb8885805555d90dae31c96d
Fichier kcntkkdn.exe reçu le 2008.04.18 00:55:18 (CET)
Situation actuelle: terminé
Résultat: 5/32 (15.62%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.18.0 2008.04.17 -
AntiVir 7.6.0.85 2008.04.17 -
Authentium 4.93.8 2008.04.17 -
Avast 4.8.1169.0 2008.04.17 -
AVG 7.5.0.516 2008.04.17 -
BitDefender 7.2 2008.04.18 -
CAT-QuickHeal 9.50 2008.04.17 -
ClamAV 0.92.1 2008.04.18 -
DrWeb 4.44.0.09170 2008.04.17 Adware.Hotbot.origin
eSafe 7.0.15.0 2008.04.17 -
eTrust-Vet 31.3.5708 2008.04.18 -
Ewido 4.0 2008.04.17 -
F-Prot 4.4.2.54 2008.04.17 -
F-Secure 6.70.13260.0 2008.04.17 -
FileAdvisor 1 2008.04.18 -
Fortinet 3.14.0.0 2008.04.17 -
Ikarus T3.1.1.26.0 2008.04.17 -
Kaspersky 7.0.0.125 2008.04.18 -
McAfee 5276 2008.04.17 potentially unwanted program Adware-Zeno
Microsoft 1.3408 2008.04.18 Adware:Win32/ZenoSearch
NOD32v2 3035 2008.04.17 -
Norman 5.80.02 2008.04.16 -
Panda 9.0.0.4 2008.04.18 Suspicious file
Prevx1 V2 2008.04.18 Downloader.Zlob
Rising 20.40.32.00 2008.04.17 -
Sophos 4.28.0 2008.04.17 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.18 -
TheHacker 6.2.92.281 2008.04.17 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.17 -
Webwasher-Gateway 6.6.2 2008.04.17 -
Information additionnelle
File size: 200765 bytes
MD5...: 5a9ed6fe8d51625c604c90adad0000fc
SHA1..: a820e9a35b61894f35f0c9fbdee4ff1a9c5a673d
SHA256: 46678ae2621da95f53ecdb1f509bbcdc3289550bb9dbadc4dddb3a4bd97cdfd2
Fichier _57e92188-8407-8208-e755-64ed5b03 reçu le 2008.04.22 08:47:56 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 7/32 (21.88%)


Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.22.0 2008.04.22 -
AntiVir 7.8.0.8 2008.04.22 -
Authentium 4.93.8 2008.04.22 -
Avast 4.8.1169.0 2008.04.21 -
AVG 7.5.0.516 2008.04.21 -
BitDefender 7.2 2008.04.22 MemScan:Adware.Rotator.A
CAT-QuickHeal 9.50 2008.04.21 -
ClamAV 0.92.1 2008.04.22 -
DrWeb 4.44.0.09170 2008.04.22 -
eSafe 7.0.15.0 2008.04.21 -
eTrust-Vet 31.3.5723 2008.04.22 -
Ewido 4.0 2008.04.21 -
F-Prot 4.4.2.54 2008.04.21 -
F-Secure 6.70.13260.0 2008.04.22 -
FileAdvisor 1 2008.04.22 -
Fortinet 3.14.0.0 2008.04.22 Adware/Agent
Ikarus T3.1.1.26.0 2008.04.22 -
Kaspersky 7.0.0.125 2008.04.22 not-a-virus:AdWare.Win32.Agent.blp
McAfee 5278 2008.04.21 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3044 2008.04.21 -
Norman 5.80.02 2008.04.21 -
Panda 9.0.0.4 2008.04.21 Suspicious file
Prevx1 V2 2008.04.22 -
Rising 20.41.10.00 2008.04.22 -
Sophos 4.28.0 2008.04.22 -
Sunbelt 3.0.1056.0 2008.04.17 VIPRE.Suspicious
Symantec 10 2008.04.22 -
TheHacker 6.2.92.286 2008.04.21 Adware/Agent.blp
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.21 -
Webwasher-Gateway 6.6.2 2008.04.21 Worm.Win32.Malware.gen (suspicious)
Information additionnelle
File size: 328192 bytes
MD5...: f1b7ea16b199f434a6efc67e88778a10
SHA1..: a948fd101cf969e862f52db452e4138798bfbc33
SHA256: 3b1a03cece6bb2d4721f0055e13a84c6b6a66db212205a699a3bb86439db89d3

http://www.virustotal.com/fr/analisis/d ... 4c397796a3
Fichier kcntkkdn.exe reçu le 2008.04.18 00:55:18 (CET)
Situation actuelle: terminé
Résultat: 5/32 (15.62%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.18.0 2008.04.17 -
AntiVir 7.6.0.85 2008.04.17 -
Authentium 4.93.8 2008.04.17 -
Avast 4.8.1169.0 2008.04.17 -
AVG 7.5.0.516 2008.04.17 -
BitDefender 7.2 2008.04.18 -
CAT-QuickHeal 9.50 2008.04.17 -
ClamAV 0.92.1 2008.04.18 -
DrWeb 4.44.0.09170 2008.04.17 Adware.Hotbot.origin
eSafe 7.0.15.0 2008.04.17 -
eTrust-Vet 31.3.5708 2008.04.18 -
Ewido 4.0 2008.04.17 -
F-Prot 4.4.2.54 2008.04.17 -
F-Secure 6.70.13260.0 2008.04.17 -
FileAdvisor 1 2008.04.18 -
Fortinet 3.14.0.0 2008.04.17 -
Ikarus T3.1.1.26.0 2008.04.17 -
Kaspersky 7.0.0.125 2008.04.18 -
McAfee 5276 2008.04.17 potentially unwanted program Adware-Zeno
Microsoft 1.3408 2008.04.18 Adware:Win32/ZenoSearch
NOD32v2 3035 2008.04.17 -
Norman 5.80.02 2008.04.16 -
Panda 9.0.0.4 2008.04.18 Suspicious file
Prevx1 V2 2008.04.18 Downloader.Zlob
Rising 20.40.32.00 2008.04.17 -
Sophos 4.28.0 2008.04.17 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.18 -
TheHacker 6.2.92.281 2008.04.17 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.17 -
Webwasher-Gateway 6.6.2 2008.04.17 -
Information additionnelle
File size: 200765 bytes
MD5...: 5a9ed6fe8d51625c604c90adad0000fc
SHA1..: a820e9a35b61894f35f0c9fbdee4ff1a9c5a673d
SHA256: 46678ae2621da95f53ecdb1f509bbcdc3289550bb9dbadc4dddb3a4bd97cdfd2
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116494
Inscription : 10 sept. 2005 13:57

Re: Ads served by Dcads (Adware Fotomoto)

par Malekal_morte »

Un petit update... toujours le même principe.. des cracks sous forme de zip/rar.
A l'intérieur, un crack.exe, keygen.exe, keymaster.exe etc...

Cette fois-ci dernier a une clef jaune comme icône.

Comme d'habitude, l'internaute qui télécharge n'importe quoi sur son PC.. télécharge le crack...
Ce dernier ouvre le fichier inconnu (top sécurité) pour découvrir au moment de l'exécution ce qui se cache derrière le fichier.... (malware or not a malware?)
Une popup Le CLUF/Eula s'ouvre... à la fin, il est spécifié que le programme (qui fait rien) répondant au doux non de SLOW2FAST va ouvrir des popups de pubs (c'est en fait le but principal du popup qui a l'arrivée va donc générer des $ aux auteurs).

L'internaute qui lit rien et comprends pas ce qui se passe... va cliquer sur Yes... (la non-logique implacable de l'internaute, je sais pas ce que je fais et ce que c'est, mais je clic sur YES) et l'installation des Adwares et Trojan.Click peut commencer.

Image

On voit les processus se lancer....

Image

Image

qui ont été téléchargés sur les URL suivantes :

Code : Tout sélectionner

1237808664.321    492 192.168.1.25 TCP_MISS/200 70142 GET http://lwfiles.com/11/20090113084343.exe - DIRECT/94.23.26.48 application/x-msdownload
1237808681.516    376 192.168.1.25 TCP_MISS/200 56763 GET http://optsh.com/11/20090113084301.exe - DIRECT/94.23.17.225 application/x-msdownload
1237808697.414   1545 192.168.1.25 TCP_MISS/200 906115 GET http://phpnomad.com/11/20090107040123.exe - DIRECT/94.23.17.223 application/x-msdownload
1237808727.256   1064 192.168.1.25 TCP_MISS/200 197630 GET http://91.121.123.80/%7Efservco/11/20081218053109.exe - DIRECT/91.121.123.80 application/x-msdownload
1237808825.344    383 192.168.1.25 TCP_MISS/200 189375 GET http://akmainsystech.com/external/gettpa328.exe - DIRECT/76.9.9.190 application/octet-stream
1237808923.119    214 192.168.1.25 TCP_MISS/200 221 GET http://akmainsystech.com/v/we-tpa-track.php?name=gettpa328.exe - DIRECT/76.9.9.190 text/html
Les lignes visibles sur HijackThis, au final, on se trouve avec des choses similaires aux précédents (pourquoi changer tant que ça marche?).
O2 - BHO: TBSB05288 - {6714ADBD-C6C1-42A8-BD84-9C9339059421} - C:\Program Files\IEToolbar\ECO Bar\ecobar.dll
O2 - BHO: blueskyadagency - {aaef394d-85ea-d523-d6a8-6c920bffe4d4} - C:\WINDOWS\system32\nszD.dll
O2 - BHO: blueskyadagency browser enhancer - {D532CA23-A723-89F4-0634-EFBFDCFF1D8B} - C:\WINDOWS\system32\ntfvuwqomruv.dll
O3 - Toolbar: ECO Bar - {10000000-1000-1000-1000-100000000000} - C:\Program Files\IEToolbar\ECO Bar\ecobar.dll
O4 - HKLM\..\Run: [lqjcvnvaii] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\ntfvuwqomruv.dll"
O4 - HKCU\..\Run: [VnrBlock21] "C:\Program Files\VnrBlock\VnrBlock21.exe"
O4 - HKCU\..\Run: [VnrPack28] "C:\Program Files\VnrPack\VnrPack28.exe"
O4 - Startup: p2pmax.lnk = C:\Program Files\p2pmax\p2pmax.exe
O4 - Startup: runit_32.lnk = C:\Program Files\runit\runit_32.exe
Quelques détections :
Fichier crack.exe reçu le 2009.03.23 10:20:00 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 10/39 (25.65%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.23 -
AhnLab-V3 5.0.0.2 2009.03.23 -
AntiVir 7.9.0.120 2009.03.23 TR/Dldr.Agent.klr
Authentium 5.1.2.4 2009.03.23 -
Avast 4.8.1335.0 2009.03.23 -
AVG 8.5.0.283 2009.03.22 Generic13.IIV
BitDefender 7.2 2009.03.23 -
CAT-QuickHeal 10.00 2009.03.23 -
ClamAV 0.94.1 2009.03.23 Trojan.VB-6340
Comodo 1080 2009.03.22 -
DrWeb 4.44.0.09170 2009.03.23 -
eSafe 7.0.17.0 2009.03.19 -
eTrust-Vet 31.6.6412 2009.03.23 -
F-Prot 4.4.4.56 2009.03.23 -
F-Secure 8.0.14470.0 2009.03.23 -
Fortinet 3.117.0.0 2009.03.23 PossibleThreat
GData 19 2009.03.23 -
Ikarus T3.1.1.48.0 2009.03.23 -
K7AntiVirus 7.10.678 2009.03.21 -
Kaspersky 7.0.0.125 2009.03.23 -
McAfee 5561 2009.03.22 -
McAfee+Artemis 5561 2009.03.22 -
McAfee-GW-Edition 6.7.6 2009.03.23 Trojan.Dldr.Agent.klr
Microsoft 1.4502 2009.03.23 TrojanDownloader:Win32/Lwsta
NOD32 3953 2009.03.21 probably unknown NewHeur_PE
Norman 6.00.06 2009.03.20 -
nProtect 2009.1.8.0 2009.03.23 -
Panda 10.0.0.10 2009.03.22 Suspicious file
PCTools 4.4.2.0 2009.03.22 -
Prevx1 V2 2009.03.23 High Risk Cloaked Malware
Rising 21.22.02.00 2009.03.23 -
Sophos 4.39.0 2009.03.23 -
Sunbelt 3.2.1858.2 2009.03.22 Trojan-Downloader.Agent.klr
Symantec 1.4.4.12 2009.03.23 -
TheHacker 6.3.3.4.287 2009.03.23 -
TrendMicro 8.700.0.1004 2009.03.23 -
VBA32 3.12.10.1 2009.03.23 -
ViRobot 2009.3.23.1659 2009.03.23 -
VirusBuster 4.6.5.0 2009.03.22 -
Information additionnelle
File size: 143360 bytes
MD5...: 32025df790860a16ba6bea4443e906fe
SHA1..: 9db608b12df2a335444b7f3dee00700059416365
Fichier gettpa328.exe reçu le 2009.03.23 10:45:30 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 11/39 (28.21%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.23 AdWare.SpeedMonitor!IK
AhnLab-V3 5.0.0.2 2009.03.23 -
AntiVir 7.9.0.120 2009.03.23 -
Authentium 5.1.2.4 2009.03.23 -
Avast 4.8.1335.0 2009.03.23 Win32:Adware-gen
AVG 8.5.0.283 2009.03.23 -
BitDefender 7.2 2009.03.23 MemScan:Trojan.Generic.1572204
CAT-QuickHeal 10.00 2009.03.23 -
ClamAV 0.94.1 2009.03.23 -
Comodo 1080 2009.03.22 -
DrWeb 4.44.0.09170 2009.03.23 Trojan.Click.25258
eSafe 7.0.17.0 2009.03.19 -
eTrust-Vet 31.6.6412 2009.03.23 -
F-Prot 4.4.4.56 2009.03.23 -
F-Secure 8.0.14470.0 2009.03.23 AdWare.Win32.Agent.lsw
Fortinet 3.117.0.0 2009.03.23 -
GData 19 2009.03.23 MemScan:Trojan.Generic.1572204
Ikarus T3.1.1.48.0 2009.03.23 AdWare.SpeedMonitor
K7AntiVirus 7.10.678 2009.03.21 -
Kaspersky 7.0.0.125 2009.03.23 not-a-virus:AdWare.Win32.Agent.lsw
McAfee 5561 2009.03.22 -
McAfee+Artemis 5561 2009.03.22 -
McAfee-GW-Edition 6.7.6 2009.03.23 -
Microsoft 1.4502 2009.03.23 -
NOD32 3953 2009.03.21 -
Norman 6.00.06 2009.03.20 -
nProtect 2009.1.8.0 2009.03.23 -
Panda 10.0.0.10 2009.03.22 Trj/CI.A
PCTools 4.4.2.0 2009.03.22 -
Prevx1 V2 2009.03.23 -
Rising 21.22.02.00 2009.03.23 -
Sophos 4.39.0 2009.03.23 -
Sunbelt 3.2.1858.2 2009.03.22 Adware.Agent.gen
Symantec 1.4.4.12 2009.03.23 -
TheHacker 6.3.3.4.287 2009.03.23 -
TrendMicro 8.700.0.1004 2009.03.23 -
VBA32 3.12.10.1 2009.03.23 AdWare.Win32.Agent.lsw
ViRobot 2009.3.23.1659 2009.03.23 -
VirusBuster 4.6.5.0 2009.03.22 -
Information additionnelle
File size: 189054 bytes
MD5...: e9742e3718742e1b448fcf73e527df7c
SHA1..: 3fb122e1b0874e44c0b4ab79c0528ef04003ba72
Fichier 20081218053109.exe reçu le 2009.03.23 10:45:40 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 28/39 (71.8%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.23 AdWare.SpeedMonitor!IK
AhnLab-V3 5.0.0.2 2009.03.23 -
AntiVir 7.9.0.120 2009.03.23 DR/Peed.579
Authentium 5.1.2.4 2009.03.23 -
Avast 4.8.1335.0 2009.03.23 Win32:Agent-AEET
AVG 8.5.0.283 2009.03.23 Generic3.RFI
BitDefender 7.2 2009.03.23 Dropped:Trojan.Peed.579
CAT-QuickHeal 10.00 2009.03.23 Trojan.Agent.ATV
ClamAV 0.94.1 2009.03.23 Trojan.Downloader-59717
Comodo 1080 2009.03.22 TrojWare.Win32.TrojanDownloader.Agent.~ANTE
DrWeb 4.44.0.09170 2009.03.23 Trojan.Click.24755
eSafe 7.0.17.0 2009.03.19 -
eTrust-Vet 31.6.6412 2009.03.23 -
F-Prot 4.4.4.56 2009.03.23 -
F-Secure 8.0.14470.0 2009.03.23 Trojan-Downloader.Win32.Agent.ante
Fortinet 3.117.0.0 2009.03.23 Misc/Agent
GData 19 2009.03.23 Dropped:Trojan.Peed.579
Ikarus T3.1.1.48.0 2009.03.23 AdWare.SpeedMonitor
K7AntiVirus 7.10.678 2009.03.21 Trojan-Downloader.Win32.Agent
Kaspersky 7.0.0.125 2009.03.23 Trojan-Downloader.Win32.Agent.ante
McAfee 5561 2009.03.22 potentially unwanted program Generic PUP
McAfee+Artemis 5561 2009.03.22 potentially unwanted program Generic PUP
McAfee-GW-Edition 6.7.6 2009.03.23 Trojan.Dropper.Peed.579
Microsoft 1.4502 2009.03.23 Adware:Win32/InternetSpeedMonitor
NOD32 3953 2009.03.21 Win32/Adware.ISM
Norman 6.00.06 2009.03.20 -
nProtect 2009.1.8.0 2009.03.23 -
Panda 10.0.0.10 2009.03.22 Adware/BHO
PCTools 4.4.2.0 2009.03.22 -
Prevx1 V2 2009.03.23 Medium Risk Malware
Rising 21.22.02.00 2009.03.23 -
Sophos 4.39.0 2009.03.23 Arove
Sunbelt 3.2.1858.2 2009.03.22 Trojan-Downloader.Win32.Agent.ante
Symantec 1.4.4.12 2009.03.23 Downloader
TheHacker 6.3.3.4.287 2009.03.23 -
TrendMicro 8.700.0.1004 2009.03.23 -
VBA32 3.12.10.1 2009.03.23 Trojan-Downloader.Win32.Agent.ante
ViRobot 2009.3.23.1659 2009.03.23 Trojan.Win32.Downloader.197185
VirusBuster 4.6.5.0 2009.03.22 Trojan.DL.Agent.GHZE
Information additionnelle
File size: 197185 bytes
MD5...: 158b96d2908163ca5ce584340c6801b6
SHA1..: 71fdbf45a645d2e4509abbc09e17e8d61d2ce23c
Fichier 20090107040123.exe reçu le 2009.03.23 10:45:54 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 8/39 (20.52%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.23 -
AhnLab-V3 5.0.0.2 2009.03.23 -
AntiVir 7.9.0.120 2009.03.23 TR/Drop.Agent.jaf
Authentium 5.1.2.4 2009.03.23 -
Avast 4.8.1335.0 2009.03.23 -
AVG 8.5.0.283 2009.03.23 -
BitDefender 7.2 2009.03.23 -
CAT-QuickHeal 10.00 2009.03.23 -
ClamAV 0.94.1 2009.03.23 -
Comodo 1080 2009.03.22 TrojWare.Win32.TrojanDropper.Agent.~RBQ
DrWeb 4.44.0.09170 2009.03.23 -
eSafe 7.0.17.0 2009.03.19 Win32.SearchIt
eTrust-Vet 31.6.6412 2009.03.23 -
F-Prot 4.4.4.56 2009.03.23 -
F-Secure 8.0.14470.0 2009.03.23 -
Fortinet 3.117.0.0 2009.03.23 -
GData 19 2009.03.23 -
Ikarus T3.1.1.48.0 2009.03.23 -
K7AntiVirus 7.10.678 2009.03.21 -
Kaspersky 7.0.0.125 2009.03.23 -
McAfee 5561 2009.03.22 -
McAfee+Artemis 5561 2009.03.22 -
McAfee-GW-Edition 6.7.6 2009.03.23 Trojan.Drop.Agent.jaf
Microsoft 1.4502 2009.03.23 -
NOD32 3953 2009.03.21 -
Norman 6.00.06 2009.03.20 -
nProtect 2009.1.8.0 2009.03.23 -
Panda 10.0.0.10 2009.03.22 Adware/EcoAds
PCTools 4.4.2.0 2009.03.22 -
Prevx1 V2 2009.03.23 Low Risk Adware
Rising 21.22.02.00 2009.03.23 -
Sophos 4.39.0 2009.03.23 -
Sunbelt 3.2.1858.2 2009.03.22 Trojan-Dropper.Agent.jaf
Symantec 1.4.4.12 2009.03.23 -
TheHacker 6.3.3.4.287 2009.03.23 -
TrendMicro 8.700.0.1004 2009.03.23 -
VBA32 3.12.10.1 2009.03.23 -
ViRobot 2009.3.23.1659 2009.03.23 Spyware.Lwsta.Do.905670
VirusBuster 4.6.5.0 2009.03.22 -
Information additionnelle
File size: 905670 bytes
MD5...: 5325cb346a0f5f0ea2f2cbe5b7339a5b
SHA1..: a61a73f23f673859f6f39939f78de822d8c9af82
Fichier gettpa328.exe reçu le 2009.03.23 10:46:01 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 11/39 (28.21%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.03.23 AdWare.SpeedMonitor!IK
AhnLab-V3 5.0.0.2 2009.03.23 -
AntiVir 7.9.0.120 2009.03.23 -
Authentium 5.1.2.4 2009.03.23 -
Avast 4.8.1335.0 2009.03.23 Win32:Adware-gen
AVG 8.5.0.283 2009.03.23 -
BitDefender 7.2 2009.03.23 MemScan:Trojan.Generic.1572204
CAT-QuickHeal 10.00 2009.03.23 -
ClamAV 0.94.1 2009.03.23 -
Comodo 1080 2009.03.22 -
DrWeb 4.44.0.09170 2009.03.23 Trojan.Click.25258
eSafe 7.0.17.0 2009.03.19 -
eTrust-Vet 31.6.6412 2009.03.23 -
F-Prot 4.4.4.56 2009.03.23 -
F-Secure 8.0.14470.0 2009.03.23 AdWare.Win32.Agent.lsw
Fortinet 3.117.0.0 2009.03.23 -
GData 19 2009.03.23 MemScan:Trojan.Generic.1572204
Ikarus T3.1.1.48.0 2009.03.23 AdWare.SpeedMonitor
K7AntiVirus 7.10.678 2009.03.21 -
Kaspersky 7.0.0.125 2009.03.23 not-a-virus:AdWare.Win32.Agent.lsw
McAfee 5561 2009.03.22 -
McAfee+Artemis 5561 2009.03.22 -
McAfee-GW-Edition 6.7.6 2009.03.23 -
Microsoft 1.4502 2009.03.23 -
NOD32 3953 2009.03.21 -
Norman 6.00.06 2009.03.20 -
nProtect 2009.1.8.0 2009.03.23 -
Panda 10.0.0.10 2009.03.22 Trj/CI.A
PCTools 4.4.2.0 2009.03.22 -
Prevx1 V2 2009.03.23 -
Rising 21.22.02.00 2009.03.23 -
Sophos 4.39.0 2009.03.23 -
Sunbelt 3.2.1858.2 2009.03.22 Adware.Agent.gen
Symantec 1.4.4.12 2009.03.23 -
TheHacker 6.3.3.4.287 2009.03.23 -
TrendMicro 8.700.0.1004 2009.03.23 -
VBA32 3.12.10.1 2009.03.23 AdWare.Win32.Agent.lsw
ViRobot 2009.3.23.1659 2009.03.23 -
VirusBuster 4.6.5.0 2009.03.22 -
Information additionnelle
File size: 189054 bytes
MD5...: e9742e3718742e1b448fcf73e527df7c
SHA1..: 3fb122e1b0874e44c0b4ab79c0528ef04003ba72
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »