Smart Antivirus 2009

Listes des différents Rogues/Scareware
Malekal_morte
Site Admin
Site Admin
Messages : 95718
Inscription : 10 sept. 2005 13:57
Contact :

Smart Antivirus 2009

Message par Malekal_morte » 05 sept. 2008 00:09

Source : http://sunbeltblog.blogspot.com/2008/09 ... rt_04.html

Smart Antivirus 2009 est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware Files-server pour soit disant désinfecter votre ordinateur.

Image


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Malekal_morte
Site Admin
Site Admin
Messages : 95718
Inscription : 10 sept. 2005 13:57
Contact :

Re: Smart Antivirus 2009

Message par Malekal_morte » 06 sept. 2008 23:26

Un fausse e-card reçu par mail (voir trojan-downloader-win32-fraudload-t1312 ... 28#p105208 ) qui installe notre ami Smart Antivirus 2009.
La partie interressante est que l'infection installe le rootkit TDSSServ et vous allez voir qu'il est blageur.

Voici la page Google "normal" - Lorsque l'on passe la souris sur le résultat, le lien WEB s'affiche en bas (entouré en rouge - ici lien wikipedia)
Image

Voici maintenant la page Google lorsque le rootkit est actif.
Un oeil averti verra que la font (police de caractère) n'est pas la même - plus grosse.
Mais surtout, si on passe la souris sur le premier résultat Google, aucun lien en bas.

Image

Résultat en cliquant sur le lien, on est redirigé vers des sites de pubs, autres moteur de recherche, fausses alertes pour rogues.

Le rootkit modifie donc la page de résultat Google pour effectuer des redirections sur les recherches Google

Image

Scan VirusTotal de la fausse e-card.exe proposé par mail :
Fichier e-card.exe reçu le 2008.09.06 23:01:49 (CET)
Situation actuelle: terminé
Résultat: 11/36 (30.56%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - -
AntiVir - - -
Authentium - - W32/Dropper.YLQ
Avast - - -
AVG - - Dropper.Tiny.AG
BitDefender - - Trojan.Dropper.Delf.Crypt.K
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - W32/Dropper.YLQ
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - Trojan-Downloader.Delf.OAQ
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - TrojanDropper:Win32/Rooter.A
NOD32v2 - - a variant of Win32/TrojanDropper.Agent.NMR
Norman - - -
Panda - - Suspicious file
PCTools - - -
Prevx1 - - -
Rising - - -
Sophos - - Troj/FakeAV-CX
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - suspected of Embedded.Trojan.Win32.BHO.exy
ViRobot - - -
VirusBuster - - Trojan.Delfinject.Gen.5
Webwasher-Gateway - - -
Information additionnelle
MD5: 951ee5764e375c0c2a44da0905e25a10
SHA1: de188a1f32d65b596797a3fd516e922af974bb26
Scan du dropper du rootkit TDSSServ
Fichier file.exe reçu le 2008.09.06 22:21:20 (CET)
Situation actuelle: terminé
Résultat: 2/36 (5.56%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.9.6.0 2008.09.06 -
AntiVir 7.8.1.28 2008.09.05 -
Authentium 5.1.0.4 2008.09.06 -
Avast 4.8.1195.0 2008.09.06 -
AVG 8.0.0.161 2008.09.05 -
BitDefender 7.2 2008.09.06 -
CAT-QuickHeal 9.50 2008.09.06 -
ClamAV 0.93.1 2008.09.06 -
DrWeb 4.44.0.09170 2008.09.06 -
eSafe 7.0.17.0 2008.09.03 -
eTrust-Vet 31.6.6072 2008.09.05 -
Ewido 4.0 2008.09.06 -
F-Prot 4.4.4.56 2008.09.06 -
F-Secure 8.0.14332.0 2008.09.06 -
Fortinet 3.112.0.0 2008.09.06 -
GData 19 2008.09.06 -
Ikarus T3.1.1.34.0 2008.09.06 -
K7AntiVirus 7.10.443 2008.09.05 -
Kaspersky 7.0.0.125 2008.09.06 -
McAfee 5378 2008.09.05 -
Microsoft 1.3903 2008.09.06 Trojan:Win32/Alureon.gen!J
NOD32v2 3423 2008.09.06 -
Norman 5.80.02 2008.09.05 -
Panda 9.0.0.4 2008.09.06 -
PCTools 4.4.2.0 2008.09.06 -
Prevx1 V2 2008.09.06 -
Rising 20.60.52.00 2008.09.06 -
Sophos 4.33.0 2008.09.06 -
Sunbelt 3.1.1610.1 2008.09.05 -
Symantec 10 2008.09.06 -
TheHacker 6.3.0.8.072 2008.09.04 -
TrendMicro 8.700.0.1004 2008.09.05 -
VBA32 3.12.8.5 2008.09.06 -
ViRobot 2008.9.5.1365 2008.09.06 -
VirusBuster 4.5.11.0 2008.09.06 -
Webwasher-Gateway 6.6.2 2008.09.05 Win32.Malware.gen (suspicious)
Information additionnelle
File size: 57372 bytes
MD5...: 9987c4421cf7430ad19322a051bc137f
SHA1..: fdbd3b0b0380e09be25acdba953abe0a12c0d0e5
(Pour se désinfecter : Supprimer TDSSServ/TDSServ rootkit)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Rogues/Scareware & Programmes douteux »