Les infections Zlob / VideoAccess / Trojan.Win32.DNSChanger sont des infections du RBN bien connues depuis ces dernières années.
Présentation, but et méthode de propagation de ces infections
Le but de ces infections est en général d'ouvrir de manières intempestives fausses alertes de sécurité afin de vous faire croire que votre PC est infecté pour vous faire télécharger et surtout acheter des rogues.
Il faut donc voir ces infections comme des tremplins vers les arnaques rogues.
Ces alertes sont de manière générales :
- sous forme de popups d'alertes qui peuvent reprendre des écrans Windows ou antivirus connus pour mieux tromper l'internaute.
- possible modification du fond d'écran, avec un message disant que votre ordinateur est infecté.
- icone d'alerte en bas à droite à côté de l'horloge (ballon icon) ouvrant des bulles disant que votre ordinateur est infecté. Les fichiers provoquant ces alertes sont en général détectés en Trojan.Renos/Trojan.FakeAlert
- modification de la page d'accueil de votre navigateur WEB vers de faux sites d'alertes. Il est impossible de modifier de manière manuelle la page. d'accueil.
- Fausses alertes TrojanSPM/LX* - SafeStrip
- winavxmy.exe et alertes WinAntivirus Pro 2007
- Fausses alertes TrojanSPM/LX* - WinAntivirus Pro 2007
- AntispySpider
- SpywareIsolator
- SpywareWarning
Tout au départ, ces faux codecs étaient proposés pour visualiser des vidéos pornographiques. Concrètement, pour visualiser la vidéo pornographique, vous deviez installer ce faux codec.
Depuis plus d'un an, les méthodes de propagations se sont diversifiées pour toujours plus d'internautes :
- On trouve maintenant de faux sites de cracks : http://forum.malekal.com/ftopic4869.php
- Des spams sur des sites ou par emails :
- Des sites hackés : http://forum.malekal.com/viewtopic.php?f=33&t=5754
- De faux sites WEB : http://forum.malekal.com/viewtopic.php?f=66&t=10750
- Des exploits sur site WEB : http://forum.malekal.com/viewtopic.php?f=66&t=14659
Voici une capture d'écran de fenêtre de proposition de téléchargement du faux codec :
Zlob/NetProject
Après 4 ans d'activité intense, Zlob est une infection morte (voir La fin de Zlob?), cette infection est surplantée par TDSSServ/TDSServ rootkit
Zlob est la plus vieille des infections.
Elle est présente depuis Fin 2005/Début 2006.
Cette infection affichait une icone d'alerte dans la barre des tâches.
Elle installait aussi un rogue qui s'ouvrait intempestivement détectant des menaces.
Vous deviez payer bien sûr pour supprimer, ces soit-disantes menaces.
Par la suite, l'infection s'est aussi mise à bloquer la page de démarrage du navigateur WEB redirigeant vers de faux sites d'alertes.
Enfin, l'infection ouvrait de fausses popups d'alertes, voir la page Win32:Zlob-BN [Trj].
L'infection était composée de quelques fichiers, les alertes étaient provoqués par un fichier DLL chargé en BHO puis clef SharedTaskScheduler.
Maintenant l'infection créé un dosier C:\Program Files\NetProject.
Vous pouvez l'infection sous le nom NetProject.
Depuis fin 2007, une sous-branche est aussi apparue pour promouvoir une autre famille de rogue IEDefender, File-Server et dernièrement MalwareBell
Cette sous-branche est caractérisé par la création d'une BHO et se trouvant dans le dossier Windows.
L'infection modifiait la page de recherche Google en ajoutant des liens pornographiques et un message vous disant que vous êtes infectés et que vous devez télécharger un des rogues pour supprimer l'infection.
Maintenant elle ouvre des popups d'alerte incessantes et rediriger l'internaute vers de fausses pages d'alertes.
Quelques exemples de BHO :
O2 - BHO: Gold Manager - {D26AAB3B-B0DD-456C-A7E5-4DA9565FD6EE} - C:\WINDOWS\system32\goldmng.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: BHO5 - {9873E994-669E-4044-BA64-E5D9AD534A55} - C:\WINDOWS\system32\(Random Name).dll
O2 - BHO: BHO.toolbar3 - {A4D16645-4149-41FB-B670-E06072E540C1} - C:\WINDOWS\system32\(Random Name).dll
etc..
VideoAccess / AdWare.Vapsup / Adware:Win32/SmitFraud
Après 4 ans d'activité intense, VAC est une infection morte (voir La fin de Zlob?), cette infection est surplantée par TDSSServ/TDSServ rootkit
VideoAccess est apparu fin 2007 et se propage toujours par de faux codec.
VideoAccess modifie la page de démarrage, le fond d'écran et ajoute une icone d'alerte et enfin affiche de fausses alertes de sécurités via des popups.
Le fond d'écran est caractérisé par un fond rouge et un message Your Privacy is in Danger (fichier du fond d'écran (C:/WINDOWS/privacy-danger/index.htm)
On trouve très souvent une ou plusieurs BHO ainsi que des dll se chargeant par les clefs SSODL
Exemple :
O2 - BHO: MSVPS System - {218B7D50-BC37-4FA8-A57F-6E8DE692BD79} - C:\WINDOWS\vpsnetwork.dll
O21 - SSODL: vpssup - {D003FAC7-C60D-46E8-B628-4F9CADD21071} - C:\WINDOWS\vpssup.dll
O21 - SSODL: expro - {1CF19934-246D-4B85-9795-58B1AA54A1D7} - C:\WINDOWS\expro.dll
VideoAccess en vidéo après le téléchargement d'un crack piégé : http://secuboxlabs.fr/archives/computertoday.html
Trojan.Win32.DNSChanger --> Trojan.Win32.Alureon/Trojan.TDSS
Trojan.Win32.DNSChanger est un Trojan qui modifie vos paramètres DNS (Hijack DNS) afin de pouvoir effectuer des Redirections lors des recherches Google.
Concrèrement l'infection vous redirige vers des sites de pubs, antispywares ou vers des sites d'alertes toujours pour vous faire télécharger des rogues.
Cette infection permet aux auteurs de se faire rémunérer via de la publicités ouverte à votre insu.
L'infection utilise aussi la technologie rootkit ce qui met en général dans le vent les antivirus et antispywares.
Vous trouverez plus d'infos sur la page VideoAccess TrojanDNS/Trojan.DNSChanger.
On reconnait facilement cette infection car elle modifie les DNS avec des adresses en général 85.255 (Ukraine) ou 81.210
Ce qui donne sur HijackThis, les lignes suivantes :
HKLM\System\CCS\Services\Tcpip\..\{440F4843-E2E5-4F10-BF49-C40179F015B6}: NameServer = 81.210.20.254
HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.107 85.255.112.84
HKLM\System\CS1\Services\Tcpip\..\{440F4843-E2E5-4F10-BF49-C40179F015B6}: NameServer = 81.210.20.254
HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.107 85.255.112.84
HKLM\System\CS2\Services\Tcpip\..\{440F4843-E2E5-4F10-BF49-C40179F015B6}: NameServer = 81.210.20.254
HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.107 85.255.112.84
L'infection est maintenant capable de se propager par disques amovibles en créant un dossier :
C:\resycled et bien sûr les fichiers autorun.inf pointant dessus.
L'infection installe maintenant un rootkit avec un driver dans le dossier system32\drivers accompagné d'un fichier DLL, exemple :
"msqpdxserv"="\\?\globalroot\systemroot\system32\drivers\msqpdxryaatxqp.sys"
"msqpdxl"="\\?\globalroot\systemroot\system32\msqpdxkhcnuukf.dll"
Voir la page de désinfection Trojan-DNS
Le tout est détecté en Trojan.Win32.Alureon/Trojan.TDSS (voir scan plus bas).
Vous trouverez une vidéo plus bas montrant l'efficacité de cette infection.
La prochaine génération de Trojan.Win32.DNSChanger modifie la configuration DNS directement au niveau du routeur, voir la page : Trojan.Win32.DNSChanger et routeursFile gasfkyjbvfvisxvb.tmp received on 2009.10.05 20:30:58 (UTC)
Current status: finished
Result: 32/41 (78.05%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.10.05 Trojan.Win32.Alureon!IK
AhnLab-V3 5.0.0.2 2009.10.05 Win-Trojan/Xema.variant
AntiVir 7.9.1.33 2009.10.05 TR/Alureon.19968U.10
Antiy-AVL 2.0.3.7 2009.10.05 Packed/Win32.Tdss.gen
Authentium 5.1.2.4 2009.10.05 -
Avast 4.8.1351.0 2009.10.04 Win32:Alureon-DA
AVG 8.5.0.420 2009.10.04 Packed.Hidden
BitDefender 7.2 2009.10.05 Trojan.Generic.2474880
CAT-QuickHeal 10.00 2009.10.05 Trojan.TDSS.z
ClamAV 0.94.1 2009.10.05 -
Comodo 2520 2009.10.05 TrojWare.Win32.TDSS.z
DrWeb 5.0.0.12182 2009.10.05 BackDoor.Tdss.based.1
eSafe 7.0.17.0 2009.10.05 -
eTrust-Vet 31.6.6777 2009.10.05 Win32/Alureon.AJC
F-Prot 4.5.1.85 2009.10.05 -
F-Secure 8.0.14470.0 2009.10.05 Packed.Win32.TDSS.z
Fortinet 3.120.0.0 2009.10.05 W32/Tdss.Z
GData 19 2009.10.05 Trojan.Generic.2474880
Ikarus T3.1.1.72.0 2009.10.05 Trojan.Win32.Alureon
Jiangmin None 2009.10.05 Trojan/Agent.cymr
K7AntiVirus 7.10.862 2009.10.05 Packed.Win32.TDSS.z
Kaspersky 7.0.0.125 2009.10.05 Packed.Win32.TDSS.z
McAfee 5762 2009.10.05 Generic FakeAlert!ci
McAfee+Artemis 5762 2009.10.05 Generic FakeAlert!ci
McAfee-GW-Edition 6.8.5 2009.10.05 Heuristic.LooksLike.Trojan.Alureon.19968U.H
Microsoft 1.5101 2009.10.05 Trojan:Win32/Alureon.gen!U
NOD32 4482 2009.10.05 Win32/Olmarik.KW
Norman 6.01.09 2009.10.05 -
nProtect 2009.1.8.0 2009.10.05 -
Panda 10.0.2.2 2009.10.05 Spyware/Virtumonde
PCTools 4.4.2.0 2009.10.05 -
Prevx 3.0 2009.10.05 High Risk Rootkit
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.05 Mal/TDSS-F
Sunbelt 3.2.1858.2 2009.10.05 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.10.05 Backdoor.Tidserv
TheHacker 6.5.0.2.029 2009.10.05 Trojan/TDSS.z
TrendMicro 8.950.0.1094 2009.10.05 Cryp_TDSS-6
VBA32 3.12.10.11 2009.10.05 BScope.Trojan.Buzus.991704
ViRobot 2009.10.5.1970 2009.10.05 -
VirusBuster 4.6.5.0 2009.10.05 Trojan.Alureon.HKY
Additional information
File size: 19968 bytes
MD5 : 8966eb3f8a03c014426def4449312ea2
SHA1 : 951649a15a2f63cf36d7c1d837d0c75d1fc186ad
SHA256: c63f8558e220583979908be51dec376384650da441a0d14478a21fa7ee384e10
PEInfo: PE Structure information
Trojan.Win32.BHO.xxxx - Win32/Adware.IeDefender
Trojan.Win32.BHO.xxxx - Win32/Adware.IeDefender est une infection qui charge une BHO sur le système afin d'effectuer :
- des redirections lors des recherches Google
- afficher une alerte sur les résultats des recherches Google (voir capture ci-dessous)
- ouvrir de fausses popups d'alertes afin de rediriger vers des pages faisant la promotion de rogues (voir capture ci-dessous)
Index des menaces et programmes malveillants/Malwares
L'infection peut se propager par de Faux Codec ou Exploit sur site WEB.
Voici un exemple de résultat de recherche Google faussé, on voit un cadre gris Error! et une fausse popup d'alerte
L'infection fait la promotion de de rogues dont les noms changent régulièrement.
A l'heure où sont écrit ces pages, l'infection fait la promotion du rogue WinDefender 2009 et IE Security.
Par le passé, ce fut IE Antivirus, Malware Bell et le tout premier IE Defender (d'où le nom Adware.IEDefender qui peut perdurer)
Exemple de ligne HijackThis infectieuse :
Exemple de détection sur VirusTotal :O2 - BHO: BioSmuth - {72132FDD-5B51-4BC1-BCC8-860F20AF1BF9} - C:\WINDOWS\system32\kiago32a.dll (file missing)
File kiago32a.dll received on 01.29.2009 08:35:06 (CET)
Current status: finished
Result: 29/39 (74.36%)
Compact Print results
Antivirus Version Last Update Result
a-squared - - Trojan.Win32.BHO!IK
AhnLab-V3 - - Win-Trojan/Bho.110592.N
AntiVir - - TR/BHO.kao.1
Authentium - - -
Avast - - Win32:Adware-gen
AVG - - Generic12.AXZU
BitDefender - - Trojan.Generic.1393322
CAT-QuickHeal - - Trojan.BHO.kao
ClamAV - - -
Comodo - - -
DrWeb - - Adware.Bho.407
eSafe - - -
eTrust-Vet - - Win32/SillyBHO.BG
F-Prot - - -
F-Secure - - Trojan.Win32.BHO.kao
Fortinet - - W32/BHO.KAO!tr
GData - - Trojan.Generic.1393322
Ikarus - - Trojan.Win32.BHO
K7AntiVirus - - Trojan.Win32.BHO.kao
Kaspersky - - Trojan.Win32.BHO.kao
McAfee - - Generic Downloader.x
McAfee+Artemis - - Generic Downloader.x
Microsoft - - TrojanDownloader:Win32/Renos.DU
NOD32 - - a variant of Win32/Adware.IeDefender.NIC
Norman - - -
nProtect - - Trojan/W32.BHO.110592.AF
Panda - - Adware/WebSearch
PCTools - - Trojan.BHO!sd6
Prevx1 - - Malicious Software
Rising - - Trojan.Win32.BHO.flv
SecureWeb-Gateway - - Trojan.BHO.kao.1
Sophos - - Mal/Generic-A
Sunbelt - - -
Symantec - - Downloader
TheHacker - - -
TrendMicro - - -
VBA32 - - Trojan.Win32.BHO.kao
ViRobot - - Trojan.Win32.BHO.110592.S
VirusBuster - - -
Additional information
MD5: 969aca18504ea205506168789fa8f69e
SHA1: 3fd652aa4016132addca3bc90f5f18501548b599
Les fix qui suppriment l'infection
Un petit aperçu de ce que peux donner les antispywares courants que l'on fait utiliser partout sur ce type d'infection via la page : Adwares/Spywares : Comment NE PAS désinfecter son PC ?
Pour supprimer ces infections, il est conseillé d'utiliser :
- En priorité SmitFraudfix, voir le Tutorial SmitFraudfix
- Combofix
- Malwarebyte's Anti-Malware
Liens relatifs à l'infection
Ces infections changent d'adresses WEB tous les 1-2 jours avec de nouvelles variantes à la clef (nom de fichiers, CLSID qui changent etc..), ce qui les rend plus ou moins difficiles à traquer pour les antivirus.
- Video ActiveX Object Codec et MySpace
- Video ActiveX Object Codec et Sites WEB
- VideoAccessCodec et les cracks
- Video ActiveX Object Codec et vidéo flash
- VideoAccessCodec/Video ActiveX Object
- hopelessromantic/Trojan.NSIS.StartPage.c
- VideoAccess TrojanDNS/Trojan.DNSChanger
- Streaming Video Playback Error
- Flash Player Object Codec
- IECodec
- IEDefender
- Faux codec et Trojan.DNS débarque sur Mac
- Faux blogs piégés...
- Zlob et le SPAM
- Trojan.DNSChanger : Mass Injection SQL
- Trojan.Win32.DNSChanger et routeurs
- Zlob & MP3 piégés
- Zlob : exploits sur site WEB
Infections bien rodées depuis plusieurs années. Ces infections ont donc pour but de faire de l'argent via les arnaques de type rogues mais aussi de plus en plus via de la publicité (popups), modifications des bannières de publicité voir VideoAccessCodec et injection de bannières publicitaires.
Bref encore une fois, n'ouvrez pas tout ce qu'on vous propose, en cas de doute, passer le fichier sur VirusTotal