hopelessromantic/Trojan.NSIS.StartPage.c

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Malekal_morte
Messages : 116304
Inscription : 10 sept. 2005 13:57

hopelessromantic/Trojan.NSIS.StartPage.c

par Malekal_morte »

Rencontré début février... les cas commencent à arriver.. donc un petit topo...

Encore un Faux codec qui est distribué comme d'habitude sur des sites pornographiques pour visualiser des videos...
mais aussi via des publicités sur des sites...

ici sur le site de téléchargement depositfiles.com, une publicité douteuse (d'ailleurs sur ce site, elles le sont très fréquemment):

Image

Une publicité avec une belle blonde pour que les internautes cliquent...
est proposé ensuite un fichier video.exe qui est l'installeur du faux codec

Image

Une fois le fichier exécuté....
La page de démarrage d'Internet Explorer est modifiée...
ainsi que le fond d'écran..
L'internaute ne peut remettre son fond d'écran et la page de démarrage en son état initial.

Image

En cliquant sur les liens du fond d'écran, on se retrouve sur des sites de smileys...
Image

On gagne aussi une barre de recherche en bas sur la barre de tâches...
C'est une barre de recherche de type Adware.Softomate/DeskBar.
Image


La page de démarrage est modifiée vers le site hxxp://www.w-w-w-dot-com.com/start.php ou hxxp://www.us-start.com/start.php
Ce dernier propose un moteur de recherche et via le lien "Remove Spyware" le rogue AdwareAlert

Les lignes HijackThis relatives à l'infection :
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.w-w-w-dot-com.com/start.php
O2 - BHO: DbarBHO - {CC11617C-259E-429c-9063-7D70B8355EBD} - C:\Program Files\dbar\Deskbar.dll
O4 - HKLM\..\Run: [dbar_starter] C:\Documents and Settings\Malekal_morte\Application Data\Deskbar_{54EE130F-33D1-4e19-A268-DFE4E31E0E4B}\starter.exe
O4 - HKCU\..\Run: [WinUpdater] "C:\Program Files\winvi\update.exe" /background
O4 - HKCU\..\Run: [WebSUpdater] "C:\Program Files\winvi\wupda.exe" /background
Le scan VirusTotal début février :
File videos.exe received on 02.02.2008 21:30:01 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 1/32 (3.13%)

Antivirus Version Last Update Result
AhnLab-V3 2008.2.2.10 2008.02.01 -
AntiVir 7.6.0.61 2008.02.01 -
Authentium 4.93.8 2008.02.01 -
Avast 4.7.1098.0 2008.02.02 -
AVG 7.5.0.516 2008.02.02 -
BitDefender 7.2 2008.02.02 -
CAT-QuickHeal 9.00 2008.02.01 Win32.AdWare.MyTool.f
ClamAV 0.92 2008.02.02 -
DrWeb 4.44.0.09170 2008.02.02 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5504 2008.02.01 -
Ewido 4.0 2008.02.02 -
FileAdvisor 1 2008.02.02 -
Fortinet 3.14.0.0 2008.02.02 -
F-Prot 4.4.2.54 2008.02.01 -
F-Secure 6.70.13260.0 2008.02.01 -
Ikarus T3.1.1.20 2008.02.02 -
Kaspersky 7.0.0.125 2008.02.02 -
McAfee 5221 2008.02.01 -
Microsoft 1.3204 2008.02.02 -
NOD32v2 2845 2008.02.02 -
Norman 5.80.02 2008.02.01 -
Panda 9.0.0.4 2008.02.02 -
Prevx1 V2 2008.02.02 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.02 -
Sunbelt 2.2.907.0 2008.02.02 -
Symantec 10 2008.02.02 -
TheHacker 6.2.9.205 2008.02.01 -
VBA32 3.12.6.0 2008.02.02 -
VirusBuster 4.3.26:9 2008.02.01 -
Webwasher-Gateway 6.6.2 2008.02.02 -
Additional information
File size: 302865 bytes
MD5: 0cff7bfe12688f52881f3600d0d7172b
SHA1: 4c4f1d1bfa33a12b476798bde7be751c316688e9
PEiD: -
packers: Swf2Swc, Swf2Swc
Le scan VirusTotal 10 jours après...
File videos.exe received on 02.11.2008 11:40:22 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 7/31 (22.59%)


Antivirus Version Last Update Result
AhnLab-V3 2008.2.11.10 2008.02.11 -
AntiVir 7.6.0.62 2008.02.11 DR/Nsis.StartPage.C
Authentium 4.93.8 2008.02.11 -
Avast 4.7.1098.0 2008.02.10 -
AVG 7.5.0.516 2008.02.10 -
BitDefender 7.2 2008.02.11 -
CAT-QuickHeal None 2008.02.11 Win32.AdWare.MyTool.f
ClamAV 0.92 2008.02.11 -
DrWeb 4.44.0.09170 2008.02.11 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5527 2008.02.11 -
Ewido 4.0 2008.02.10 -
FileAdvisor 1 2008.02.11 -
Fortinet 3.14.0.0 2008.02.11 StartPage.C!tr
F-Prot 4.4.2.54 2008.02.10 -
F-Secure 6.70.13260.0 2008.02.11 Trojan.NSIS.StartPage.c
Ikarus T3.1.1.20 2008.02.11 -
Kaspersky 7.0.0.125 2008.02.11 Trojan.NSIS.StartPage.c
McAfee 5226 2008.02.08 -
Microsoft 1.3204 2008.02.11 -
NOD32v2 2862 2008.02.10 -
Norman 5.80.02 2008.02.08 -
Panda 9.0.0.4 2008.02.10 -
Prevx1 V2 2008.02.11 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.11 -
Sunbelt 2.2.907.0 2008.02.09 Trojan-Dropper.Nsis.StartPage.C
Symantec 10 2008.02.11 -
TheHacker 6.2.9.216 2008.02.11 -
VirusBuster 4.3.26:9 2008.02.10 -
Webwasher-Gateway 6.6.2 2008.02.11 Trojan.Dropper.Nsis.StartPage.C
Additional information
File size: 302865 bytes
MD5: 0cff7bfe12688f52881f3600d0d7172b
SHA1: 4c4f1d1bfa33a12b476798bde7be751c316688e9
PEiD: -
packers: Swf2Swc, Swf2Swc
L'outil SDFix supprime cette infection.

Encore une fois... n'ouvrez aucune fichier issu de Bannières/popups de publicités, même si une blonde se dandine dessus.
Pour ne plus être importuné par les publicités, utilisez Firefox Sécurisé
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »