Attention: TVAnts & PPStream & TVUPlayer

par **Malekal_morte** » 31 mars 2007 19:39

Attention aux programmes permettant de visualiser des chaînes TV sur internet.
Les programmes suivants :
* TVAnts
* PPStream
* TVUPlayer
* JLC's Internet TV

Depuis quelques mois, ces programmes sont vecteurs d'infections chinoises - Il suffit de visualiser une chaîne de TV piégée pour se faire infecter.

Ces Programmes sont à utiliser avec précautions ! Dans la mesure du possible, je vous conseil de ne pas les utiliser!!

Les infections chinoises sont très corriaces à supprimer car elles installent des drivers au sein du système, ces drivers réinstallent l'infection si vous supprimer (ou votre antivirus) des parties de l'infection. Les drivers sont en général assez mal détectés par les antivirus.

Les infections sont composés de multiples trojans et toolbars. Elles sont aussi malheureusement composées de rootkits.
Quelques noms de ces trojans : W32.Hitapop / Adware.Sogou / SuperUtilBar / W32/PetTick.A / QinqDL

Voir : https://www.malekal.com/Hitapo_Sogou_QinqDL.php

Voici un exemple de ces infections :
Généralement on trouve - W32.Hitapop :
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\system32\winsys16_070221.dll start

Ces toolbars :
O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Programme\Gemeinsame Dateien\CPUSH\cpush.dll <-- Adware.Sogou / SohuGame
O2 - BHO: ÊµÓÃËÑË÷ - {6CFD436C-7AAD-4e50-992F-C0C87A94CAD2} - C:\Archivos de programa\superutilbar\superutilbar.dll <-- SuperUtilBar / SuperUtilBar

- Souvent des fichiers ms*.exe
O4 - HKCU\..\Run: [mssys32] C:\WINDOWS\system32\mssys32.exe <-- W32/PetTick.A / [url=http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_PETTICK.A&VSect=T]W32/PetTick.A
O4 - HKCU\..\Run: [mshtmll] regsvr32 /s C:\WINDOWS\system32\mshtmll.dll <-- Trojan-Downloader.Win32.Delf.bas

- d'autres fichiers :
Pour ceux là, voir : http://fileinfo.prevx.com/spyware/qq1ed ... 1.EXE.html
%WINDIR%\SYSTEM32\DUFS1.EXE
%WINDIR%\SYSTEM32\DUFS2.EXE
%WINDIR%\SYSTEM32\JDSTHU2.EXE
C:\WINDOWS\system32\jsefusf.dll

- Souvent plein de BHO avec des noms aléatoires identifié en QinqDL/W32/DLoader.AIYY [NORMAN], Win32/QinqDL.0th!Trojan [eAV], Backdoor.Trojan [Symantec],

Trojan-Clicker.Win32.BHO.i [Kaspersky] :
O2 - BHO: afdd - {DFCB34B6-902D-426E-AE2B-1B294AE19F4F} - C:\WINDOWS\system32\4c18ntos.dll
O3 - Toolbar: afdd - {DFCB34B6-902D-426E-AE2B-1B294AE19F4F} - C:\WINDOWS\system32\4c18ntos.dll

O4 - HKLM\..\RunServices: [*Security Center] secctr.exe <-- WORM_SDBOT.BRO / Backdoor.Win32.IRCBot.n

- et surtout ce répertoire facile à connaître :
O9 - Extra button: ²Æ¸»Í¨ - {C1F0024B-8278-4999-B7E6-2718426D9FE6} - C:\Program Files\²Æ¸»Í¨\caif.dll (HKCU)

- Un rootkit : http://www.pcpr.cn/article/3/2007/2007020842458.html
O20 - Winlogon Notify: cryptimg - C:\WINDOWS\SYSTEM32\cryptimg.dll
O20 - Winlogon Notify: sclgntfys - C:\WINDOWS\sclgntfys.dll

- Des services :
O23 - Service: 4C5A618A - Unknown owner - C:\WINDOWS\system32\4C5A618A.EXE (file missing)
O23 - Service: jsefusf - Unknown owner - C:\WINDOWS\system32\jsefusf.exe (file missing)
O23 - Service: 1D7B219A - Unknown owner - C:\WINDOWS\system32\1D7B219A.EXE (file missing)
O23 - Service: 7DC4E847 - Unknown owner - C:\WINDOWS\system32\7DC4E847.EXE (file missing)

par **Malekal_morte** » 08 avr. 2007 15:30

L'infection se fait à travers les url de publicités.
Le fichier trojan-downloader est alors automatiquement téléchargé et executé, soit via une faille sur le navigateur WEB, soit sur une faille du lecteur vidéo.
D'où le fait de bien tenir à jour ses logiciels.