Encore un Faux codec qui est distribué comme d'habitude sur des sites pornographiques pour visualiser des videos...
mais aussi via des publicités sur des sites...
ici sur le site de téléchargement depositfiles.com, une publicité douteuse (d'ailleurs sur ce site, elles le sont très fréquemment):
Une publicité avec une belle blonde pour que les internautes cliquent...
est proposé ensuite un fichier video.exe qui est l'installeur du faux codec
Une fois le fichier exécuté....
La page de démarrage d'Internet Explorer est modifiée...
ainsi que le fond d'écran..
L'internaute ne peut remettre son fond d'écran et la page de démarrage en son état initial.
En cliquant sur les liens du fond d'écran, on se retrouve sur des sites de smileys...
On gagne aussi une barre de recherche en bas sur la barre de tâches...
C'est une barre de recherche de type Adware.Softomate/DeskBar.
La page de démarrage est modifiée vers le site hxxp://www.w-w-w-dot-com.com/start.php ou hxxp://www.us-start.com/start.php
Ce dernier propose un moteur de recherche et via le lien "Remove Spyware" le rogue AdwareAlert
Les lignes HijackThis relatives à l'infection :
Le scan VirusTotal début février :R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.w-w-w-dot-com.com/start.php
O2 - BHO: DbarBHO - {CC11617C-259E-429c-9063-7D70B8355EBD} - C:\Program Files\dbar\Deskbar.dll
O4 - HKLM\..\Run: [dbar_starter] C:\Documents and Settings\Malekal_morte\Application Data\Deskbar_{54EE130F-33D1-4e19-A268-DFE4E31E0E4B}\starter.exe
O4 - HKCU\..\Run: [WinUpdater] "C:\Program Files\winvi\update.exe" /background
O4 - HKCU\..\Run: [WebSUpdater] "C:\Program Files\winvi\wupda.exe" /background
Le scan VirusTotal 10 jours après...File videos.exe received on 02.02.2008 21:30:01 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 1/32 (3.13%)
Antivirus Version Last Update Result
AhnLab-V3 2008.2.2.10 2008.02.01 -
AntiVir 7.6.0.61 2008.02.01 -
Authentium 4.93.8 2008.02.01 -
Avast 4.7.1098.0 2008.02.02 -
AVG 7.5.0.516 2008.02.02 -
BitDefender 7.2 2008.02.02 -
CAT-QuickHeal 9.00 2008.02.01 Win32.AdWare.MyTool.f
ClamAV 0.92 2008.02.02 -
DrWeb 4.44.0.09170 2008.02.02 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5504 2008.02.01 -
Ewido 4.0 2008.02.02 -
FileAdvisor 1 2008.02.02 -
Fortinet 3.14.0.0 2008.02.02 -
F-Prot 4.4.2.54 2008.02.01 -
F-Secure 6.70.13260.0 2008.02.01 -
Ikarus T3.1.1.20 2008.02.02 -
Kaspersky 7.0.0.125 2008.02.02 -
McAfee 5221 2008.02.01 -
Microsoft 1.3204 2008.02.02 -
NOD32v2 2845 2008.02.02 -
Norman 5.80.02 2008.02.01 -
Panda 9.0.0.4 2008.02.02 -
Prevx1 V2 2008.02.02 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.02 -
Sunbelt 2.2.907.0 2008.02.02 -
Symantec 10 2008.02.02 -
TheHacker 6.2.9.205 2008.02.01 -
VBA32 3.12.6.0 2008.02.02 -
VirusBuster 4.3.26:9 2008.02.01 -
Webwasher-Gateway 6.6.2 2008.02.02 -
Additional information
File size: 302865 bytes
MD5: 0cff7bfe12688f52881f3600d0d7172b
SHA1: 4c4f1d1bfa33a12b476798bde7be751c316688e9
PEiD: -
packers: Swf2Swc, Swf2Swc
L'outil SDFix supprime cette infection.File videos.exe received on 02.11.2008 11:40:22 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 7/31 (22.59%)
Antivirus Version Last Update Result
AhnLab-V3 2008.2.11.10 2008.02.11 -
AntiVir 7.6.0.62 2008.02.11 DR/Nsis.StartPage.C
Authentium 4.93.8 2008.02.11 -
Avast 4.7.1098.0 2008.02.10 -
AVG 7.5.0.516 2008.02.10 -
BitDefender 7.2 2008.02.11 -
CAT-QuickHeal None 2008.02.11 Win32.AdWare.MyTool.f
ClamAV 0.92 2008.02.11 -
DrWeb 4.44.0.09170 2008.02.11 -
eSafe 7.0.15.0 2008.01.28 -
eTrust-Vet 31.3.5527 2008.02.11 -
Ewido 4.0 2008.02.10 -
FileAdvisor 1 2008.02.11 -
Fortinet 3.14.0.0 2008.02.11 StartPage.C!tr
F-Prot 4.4.2.54 2008.02.10 -
F-Secure 6.70.13260.0 2008.02.11 Trojan.NSIS.StartPage.c
Ikarus T3.1.1.20 2008.02.11 -
Kaspersky 7.0.0.125 2008.02.11 Trojan.NSIS.StartPage.c
McAfee 5226 2008.02.08 -
Microsoft 1.3204 2008.02.11 -
NOD32v2 2862 2008.02.10 -
Norman 5.80.02 2008.02.08 -
Panda 9.0.0.4 2008.02.10 -
Prevx1 V2 2008.02.11 -
Rising 20.29.22.00 2008.01.30 -
Sophos 4.26.0 2008.02.11 -
Sunbelt 2.2.907.0 2008.02.09 Trojan-Dropper.Nsis.StartPage.C
Symantec 10 2008.02.11 -
TheHacker 6.2.9.216 2008.02.11 -
VirusBuster 4.3.26:9 2008.02.10 -
Webwasher-Gateway 6.6.2 2008.02.11 Trojan.Dropper.Nsis.StartPage.C
Additional information
File size: 302865 bytes
MD5: 0cff7bfe12688f52881f3600d0d7172b
SHA1: 4c4f1d1bfa33a12b476798bde7be751c316688e9
PEiD: -
packers: Swf2Swc, Swf2Swc
Encore une fois... n'ouvrez aucune fichier issu de Bannières/popups de publicités, même si une blonde se dandine dessus.
Pour ne plus être importuné par les publicités, utilisez Firefox Sécurisé