Pourquoi s'arreter en si bon chemin ?
Après le WE dernier et l'infection winavxmy.exe et alertes WinAntivirus Pro 2007 pour vous faire télécharger
le rogue WinAntivirus Pro
Une nouvelle infection voit le jour.
Cette infection ajoute toujours des alertes mais plus insistantes que les infections précédentes, actuellement elle informe l'utilisateur qu'il est infecté par le TrojanSPM/LX* (qui n'existe pas), dans les futures variantes, il faudra s'attendre à ce que le nom du trojan change.
Toujours une popup d'alertes via une icône à côté de l'horloge
Cette fois-ci l'infection ouvre des popups intitulé "Warning! Spyware Alert!"
Quelqu'une de ces popups :
mais surtout le fond d'écran est modifié.. avec un fond noir et un message "Warning Trojan TrojanSPM/LX* etc..".
Le fond d'écran est transformé en page html en cliquant dessus, on arrive sur la page de téléchargement du rogue WinAntivirus Pro
La page d'accueil est modifiée (hxxp://peraonline.info/in.cgi?6), elle ouvre de fausses alertes toujours indiquant une infection.. afin de faire télécharger le faux antivirus.
Le fichier à l'origine de l'infection est ~~install.dll
Il se trouve dans Il%temp%
ex: C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\~~install.dll
Voici le scan du fichier, étant donné que l'infection est toute nouvelle.. L'infection n'est pas encore prise en compte par la majorité des antivirus.
File ~~install.dll received on 07.21.2007 18:37:19 (CET)
Antivirus Version Last Update Result
AhnLab-V3 2007.7.21.0 2007.07.20 no virus found
AntiVir 7.4.0.44 2007.07.21 no virus found
Authentium 4.93.8 2007.07.20 no virus found
Avast 4.7.997.0 2007.07.20 no virus found
AVG 7.5.0.476 2007.07.20 no virus found
BitDefender 7.2 2007.07.21 no virus found
CAT-QuickHeal 9.00 2007.07.20 no virus found
ClamAV devel-20070416 2007.07.21 no virus found
DrWeb 4.33 2007.07.21 no virus found
eSafe 7.0.15.0 2007.07.19 no virus found
eTrust-Vet 30.8.3797 2007.07.20 no virus found
Ewido 4.0 2007.07.21 no virus found
FileAdvisor 1 2007.07.21 no virus found
Fortinet 2.91.0.0 2007.07.21 no virus found
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.21 no virus found
Ikarus T3.1.1.8 2007.07.21 no virus found
Kaspersky 4.0.2.24 2007.07.21 no virus found
McAfee 5079 2007.07.20 no virus found
Microsoft 1.2704 2007.07.21 no virus found
NOD32v2 2411 2007.07.21 no virus found
Norman 5.80.02 2007.07.20 no virus found
Panda 9.0.0.4 2007.07.21 Suspicious file
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 no virus found
Symantec 10 2007.07.21 no virus found
TheHacker 6.1.7.150 2007.07.21 no virus found
VBA32 3.12.2.1 2007.07.21 suspected of Trojan-Downloader.WarSpy.1
VirusBuster 4.3.26:9 2007.07.21 no virus found
Webwasher-Gateway 6.0.1 2007.07.21 Win32.Malware.gen!92 (suspicious)
Additional information
File size: 13824 bytes
MD5: 1b1491190a0283818bf4ca4c0fdd7697
SHA1: b56f235c6ae5501201d9285863c13729a6eec372