AntispySpider

Listes des différents Rogues/Scareware
Malekal_morte
Site Admin
Site Admin
Messages : 96137
Inscription : 10 sept. 2005 13:57
Contact :

AntispySpider

Message par Malekal_morte » 03 mai 2008 16:29

AntispySpider est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware Files-server pour soit disant désinfecter votre ordinateur.

Ce rogue peut-être installé par l'infection : Trojan-Downloader.Win32.Exchanger : faux-codecs et mails

Fausse page de scan/alerte pour vous faire croire que vous êtes infecté...

Image

Une infection courant Mars (qui est plus ou moins active encore).... modifié le fond d'écran avec un fond rouge et un message "Your Computer is under spyware atack" (on notera la faute) :
Image

L'infection modifiait aussi la page de démarrage.

Elle ajoute les lignes suivantes sur HijackThis :
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = file://c:/windows/homepage.html
O2 - BHO: Microsoft copyright - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - sockins32.dll (file missing)
O4 - HKCU\..\Run: [Systray] rundll32.exe sockins32.dll,RunMain
O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)
L'infection ajoute une bulle d'alerte et ouvre des popups d'alerte mais aussi des publicités et très souvent le site russe : hxxp://www.ixbt.com/
Fichier nmRFcRwbv.exe reçu le 2008.05.03 15:06:29 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 10/32 (31.25%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.5.3.0 2008.05.02 -
AntiVir 7.8.0.11 2008.05.02 TR/Dropper.Gen
Authentium 4.93.8 2008.05.02 -
Avast 4.8.1169.0 2008.05.03 -
AVG 7.5.0.516 2008.05.03 -
BitDefender 7.2 2008.05.03 Trojan.Downloader.JJSB
CAT-QuickHeal 9.50 2008.05.02 -
ClamAV 0.92.1 2008.05.03 -
DrWeb 4.44.0.09170 2008.05.03 Trojan.BhoSpy.3
eSafe 7.0.15.0 2008.04.28 Suspicious File
eTrust-Vet 31.3.5755 2008.05.03 -
Ewido 4.0 2008.05.03 -
F-Prot 4.4.2.54 2008.05.02 -
F-Secure 6.70.13260.0 2008.05.03 -
FileAdvisor 1 2008.05.03 -
Fortinet 3.14.0.0 2008.05.03 -
Ikarus T3.1.1.26.0 2008.05.03 Trojan.Win32.Revelation
Kaspersky 7.0.0.125 2008.05.03 not-a-virus:FraudTool.Win32.AntiSpySpider.f
McAfee 5287 2008.05.02 -
Microsoft 1.3408 2008.04.22 TrojanDropper:Win32/Nuwar.gen!lds
NOD32v2 3072 2008.05.03 -
Norman 5.80.02 2008.05.02 -
Panda 9.0.0.4 2008.05.03 -
Prevx1 V2 2008.05.03 -
Rising 20.42.22.00 2008.04.30 -
Sophos 4.29.0 2008.05.03 Mal/EncPk-CG
Sunbelt 3.0.1097.0 2008.05.03 -
Symantec 10 2008.05.03 -
TheHacker 6.2.92.299 2008.05.03 -
VBA32 3.12.6.5 2008.05.02 Trojan.Win32.Revelation
VirusBuster 4.3.26:9 2008.05.02 -
Webwasher-Gateway 6.6.2 2008.05.03 Trojan.Dropper.Gen
Information additionnelle
File size: 84480 bytes
MD5...: 3b31589860a85848aaeb0a190c5c9f9d
SHA1..: 0b25d5b15ea27573c5e7751312f26fcb725f92a4
Fichier sockins32.dll reçu le 2008.05.01 17:44:32 (CET)
Situation actuelle: terminé
Résultat: 22/31 (70.97%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - Win-Trojan/Clicker.32768.E
AntiVir - - ADSPY/Bho.aqo
Authentium - - -
Avast - - Win32:Agent-TEV
AVG - - Adware Generic3.CIF
BitDefender - - Trojan.Renos.NBY
CAT-QuickHeal - - AdWare.BHO.aqo (Not a Virus)
ClamAV - - -
DrWeb - - Trojan.BhoSpy.3
eSafe - - -
eTrust-Vet - - Win32/Quaferbee.A
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - W32/CLICKER.ALA!tr
Ikarus - - Trojan.Win32.BHO.d
Kaspersky - - not-a-virus:AdWare.Win32.BHO.aqo
McAfee - - Generic AdClicker.d
Microsoft - - -
NOD32v2 - - Win32/Adware.BHO.AQO
Norman - - W32/Adclicker.DBJ
Panda - - Trj/BHO.AT
Prevx1 - - Trojan.AdClicker
Rising - - -
Sophos - - W32/Dwnldr-HCP
Sunbelt - - Trojan.Win32.BHO.d
Symantec - - Trojan.Adclicker
TheHacker - - -
VBA32 - - AdWare.Win32.BHO.aqo
VirusBuster - - Trojan.BHO.HDR
Webwasher-Gateway - - Ad-Spyware.Bho.aqo
Information additionnelle
MD5: e7b5fa5dbff313f89a12198235d9eb2f
SHA1: a14a045ddf1dfa79c55f3d91b006cf6344e394f5


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Malekal_morte
Site Admin
Site Admin
Messages : 96137
Inscription : 10 sept. 2005 13:57
Contact :

Re: AntispySpider

Message par Malekal_morte » 04 mai 2008 23:09

Un nouveau fond d'écran un peu plus esthétiques "Warning: Your computer is under spyware atack!"
avec un bouton CLICK HERE qui renvoit sur le site AntiSpySpider : hxxp://antispyspider.com/166

Par contre la faute n'a tjrs pas été corrigée.... avec tous les $ que les rogues rapportent, il faudrait investir dans un dictionnaire.

Image

Voici une capture de la page de démarrage d'Internet Explorer détournée, avec une faux ActiveX.... (bande jaune)...
"Warning: Your computer is infected with spyware! How to help protect your computer and remove spyware..."
Le lien rouge renvoit aussi sur hxxp://antispyspider.com/166

Image

L'infection ouvre de fausses pages d'alerte issu de NOD32 que l'on connait bien.
Des fenêtres Windows Security Center, elles aussi bien connues.

Enfin divers sites russes.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malekal_morte
Site Admin
Site Admin
Messages : 96137
Inscription : 10 sept. 2005 13:57
Contact :

Re: AntispySpider

Message par Malekal_morte » 21 juil. 2008 10:14

Voir la page consacrée à cette infection : Trojan-Downloader.Win32.Exchanger : faux-codecs et mails qui peut installe ce rogue.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Rogues/Scareware & Programmes douteux »