WinSecurity Toolbar

Listes des différents Rogues/Scareware
Malekal_morte
Messages : 114115
Inscription : 10 sept. 2005 13:57

WinSecurity Toolbar

par Malekal_morte »

WinSecurity Toolbar est une variante de Security Toolbar 7.1 (vous verrez que les alertes sont identiques).

Cette infection affiche de fausses alertes de sécurité afin de vous faire télécharger des de rogues comme XP Antivirus, MalwareAlarms ou SpyShredder.

Les messages d'alertes contiennent le texte suivant :
Alert; Critical
System Warning! Your system is probably infected with version of Spyware.IEMonster.b. Spyware.IEMonster.b is spyware that attempts to steal passwords from Internet Explorer, Mozilla Firefox, Outlook and other programs, including logins and passwords from online banking sessions, eBay, PayPal. It may also create special tracking files to log your activity and compromise your Internet privacy. Spyware.IEMonster then sends stolen passwords and other sensitive information to a php script at a pre-specified website where the stolen details are logged. Click here to protect your computer (recommended)
Windows Security System has detected spyware infection!
Spyware may compromise your privacy or damage your computer. It is recommended to use antispyware tool to prevent data loss and privacy information exposure. Click OK to proceed.;hxxp://xpantivirus.com/download.php/?id=%var%;367;
Windows Security System: Zlob.PornAdvertiser.ba; Adware Zlob.PornAdvertiser.ba detected.
This program advertises sites with explicit content. Please be attentive because advertised content could be illegal;hxxp://xpantivirus.com/2008/1/freescan.php?aid=%var%;582
Windows Security System;Security errors detected. Remove these errors as soon as possible to prevent data loss and privacy information exposure. list.;hxxp://xpantivirus.com/2008/3/freescan.php?aid=%var%;283;
L'infection modifie la page de démarrage vers hxxp://iednserror.info/security/index.php afin d'afficher d'autres fausses alertes de sécurité ainsi qu'une fausse barre jaune ActiveX avec les liens vers les sites des rogues.

On retrouve aussi les alertes "Protection Center" qui étaient présentes avec l'infection Security Toolbar 7?1.
Image

Enfin l'infection créé deux icônes sur le bureau "Uncensored porn" et "BDSM galleries" qui reviennent si on les supprime.

Log HijackThis relatif à cette infection :
F3 - REG:win.ini: run="C:\WINDOWS\system32\winupdate.exe"
O4 - HKCU\..\Run: [ieupdate] "C:\WINDOWS\system32\ieupdates.exe"
O2 - BHO: &Research - {037C7B8A-151A-49E6-BAED-CC05FCB50328} - C:\WINDOWS\system32\winsrc.dll
O3 - Toolbar: &WinSec Toolbar - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - C:\WINDOWS\system32\wscmp.dll
L'infection charge le driver ntload.sys qui bien sûr pas visible sur HijackThis.



Quelques scan des fichiers :
Fichier ntload.sys reçu le 2008.03.31 21:58:19 (CET)
Situation actuelle: terminé
Résultat: 30/32 (93.75%)
Formaté Formaté

Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.1.0 2008.03.31 Win-Trojan/Xema.variant
AntiVir 7.6.0.78 2008.03.31 TR/Rootkit.Gen
Authentium 4.93.8 2008.03.30 -
Avast 4.7.1098.0 2008.03.31 Win32:NTRootKit-B
AVG 7.5.0.516 2008.03.31 Generic5.CVG
BitDefender 7.2 2008.03.31 Trojan.Ntrootkit.AL
CAT-QuickHeal 9.50 2008.03.31 Backdoor.Delf.azr
ClamAV 0.92.1 2008.03.31 -
DrWeb 4.44.0.09170 2008.03.31 Trojan.NtRootKit.112
eSafe 7.0.15.0 2008.03.31 Win32.Delf.azr
eTrust-Vet 31.3.5658 2008.03.31 Win32/VMalum.BRYL
Ewido 4.0 2008.03.31 Backdoor.Delf.azr
F-Prot 4.4.2.54 2008.03.30 W32/Pws.VKG
F-Secure 6.70.13260.0 2008.03.31 Backdoor.Win32.Delf.azr
FileAdvisor 1 2008.03.31 High threat detected
Fortinet 3.14.0.0 2008.03.31 W32/Agent.AL!tr.rkit
Ikarus T3.1.1.20 2008.03.31 Backdoor.Win32.Delf.azr
Kaspersky 7.0.0.125 2008.03.31 Backdoor.Win32.Delf.azr
McAfee 5263 2008.03.31 Generic.dx
Microsoft 1.3301 2008.03.31 Trojan:Win32/NTRootkit.G
NOD32v2 2988 2008.03.31 Win32/TrojanDownloader.Delf.OBJ
Norman 5.80.02 2008.03.31 W32/Delf.BOSE
Panda 9.0.0.4 2008.03.31 Trj/Horst.CQ
Prevx1 V2 2008.03.31 Backdoor.Haxdoor
Rising 20.38.01.00 2008.03.31 Backdoor.Win32.Agent.ywt
Sophos 4.28.0 2008.03.31 Troj/Dloadr-BFX
Sunbelt 3.0.978.0 2008.03.18 Trojan.Ntrootkit.AL
Symantec 10 2008.03.31 Backdoor.Haxdoor
TheHacker 6.2.92.259 2008.03.30 Backdoor/Delf.azr
VBA32 3.12.6.3 2008.03.25 Trojan.NtRootKit.112
VirusBuster 4.3.26:9 2008.03.31 Backdoor.Delf.ZLZ
Webwasher-Gateway 6.6.2 2008.03.31 Trojan.Rootkit.Gen
Information additionnelle
Tamano archivo: 2752 bytes
MD5: b02d39f23da432a2dd65973c0b0e18de
SHA1: 20cb8ce08d561f9fcacb8ad0f44f7748b9736239
Fichier update32.exe reçu le 2008.03.02 12:35:18 (CET)
Situation actuelle: terminé
Résultat: 23/32 (71.88%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 - - Win-Trojan/Xema.variant
AntiVir - - TR/Delphi.Downloader.Gen
Authentium - - -
Avast - - Win32:NTRootKit-B
AVG - - SHeur.YJU
BitDefender - - Trojan.Downloader.Delf.OEU
CAT-QuickHeal - - Backdoor.Delf.ave
ClamAV - - -
DrWeb - - DLOADER.Trojan
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - -
Ewido - - Backdoor.Delf.ave
F-Prot - - -
F-Secure - - Backdoor.Win32.Delf.ave
FileAdvisor - - Low threat detected
Fortinet - - -
Ikarus - - Backdoor.Win32.Delf.ave
Kaspersky - - Backdoor.Win32.Delf.ave
McAfee - - -
Microsoft - - TrojanDownloader:Win32/Delf
NOD32v2 - - Win32/TrojanDownloader.Delf.OBJ
Norman - - -
Panda - - Trj/Horst.CQ
Prevx1 - - SHeur.YJU
Rising - - Backdoor.Win32.Agent.ywu
Sophos - - Mal/Generic-A
Sunbelt - - Trojan-Downloader.Delf.OEU
Symantec - - Trojan.Bootconf
TheHacker - - -
VBA32 - - Backdoor.Win32.Delf.ave
VirusBuster - - -
Webwasher-Gateway - - BlockReason.0
Information additionnelle
MD5: e3d8ce6a6e54a4da54c8f79133441617
SHA1: 650aa6cc68515bb8a3d6c6675dabc0dd00a4c8f6
SHA256: 8d63099779c6072fd4d87a2ee919af4f90a4c0524e9cc76e825c21af3fdca8d4
Fichier winsrc.dll reçu le 2008.04.03 16:30:50 (CET)
Situation actuelle: terminé
Résultat: 19/31 (61.29%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.3.3 2008.04.03 Win-Trojan/Bho.580608
AntiVir 7.6.0.80 2008.04.03 TR/BHO.OU.2
Authentium 4.93.8 2008.04.03 -
Avast 4.7.1098.0 2008.04.02 Win32:BHO-MM
AVG 7.5.0.516 2008.04.03 Adware Generic2.ABPW
BitDefender 7.2 2008.04.03 -
CAT-QuickHeal 9.50 2008.04.02 AdWare.BHO.sr (Not a Virus)
ClamAV 0.92.1 2008.04.03 -
DrWeb 4.44.0.09170 2008.04.03 -
eSafe 7.0.15.0 2008.04.01 AdWare.Win32.BHO.sr
eTrust-Vet 31.3.5667 2008.04.03 -
Ewido 4.0 2008.04.03 Not-A-Virus.Adware.BHO
F-Prot 4.4.2.54 2008.04.02 W32/Bho.CU
F-Secure 6.70.13260.0 2008.04.03 -
FileAdvisor 1 2008.04.03 -
Fortinet 3.14.0.0 2008.04.03 Adware/BHO
Ikarus T3.1.1.20 2008.04.03 not-a-virus:AdWare.Win32.BHO.sr
Kaspersky 7.0.0.125 2008.04.03 not-a-virus:AdWare.Win32.BHO.sr
McAfee 5265 2008.04.02 -
Microsoft 1.3408 2008.04.03 -
NOD32v2 2999 2008.04.03 Win32/Adware.BHO.SR
Norman 5.80.02 2008.04.03 W32/Zlob.BHVO
Panda 9.0.0.4 2008.04.03 Suspicious file
Prevx1 V2 2008.04.03 Trojan.Zlob
Rising 20.38.60.00 2008.04.03 -
Sophos 4.28.0 2008.04.03 Troj/BHO-FD
Sunbelt 3.0.978.0 2008.03.18 Trojan.BHO.OU.2
TheHacker 6.2.92.263 2008.04.03 -
VBA32 3.12.6.3 2008.03.25 AdWare.Win32.BHO.sr
VirusBuster 4.3.26:9 2008.04.02 -
Webwasher-Gateway 6.6.2 2008.04.03 Trojan.BHO.OU.2
Information additionnelle
File size: 240128 bytes
MD5: efa50235a0e1531358732833f67a355d
SHA1: 2da341b7b6a95b7003a10bff4edf03df941b07c1
Fichier wscmp.dll reçu le 2008.04.08 23:05:34 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 1/31 (3.23%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.4.9.0 2008.04.08 -
AntiVir 7.6.0.81 2008.04.08 -
Authentium 4.93.8 2008.04.08 -
Avast 4.8.1169.0 2008.04.08 -
AVG 7.5.0.516 2008.04.08 -
BitDefender 7.2 2008.04.08 -
CAT-QuickHeal 9.50 2008.04.08 -
ClamAV 0.92.1 2008.04.08 -
DrWeb 4.44.0.09170 2008.04.08 -
eSafe 7.0.15.0 2008.04.01 -
eTrust-Vet 31.3.5681 2008.04.08 -
Ewido 4.0 2008.04.08 -
F-Prot 4.4.2.54 2008.04.08 -
F-Secure 6.70.13260.0 2008.04.08 -
FileAdvisor 1 2008.04.08 -
Fortinet 3.14.0.0 2008.04.08 -
Ikarus T3.1.1.26.0 2008.04.08 -
Kaspersky 7.0.0.125 2008.04.08 -
McAfee 5269 2008.04.08 -
Microsoft 1.3408 2008.04.06 -
NOD32v2 3011 2008.04.08 -
Norman 5.80.02 2008.04.08 -
Panda 9.0.0.4 2008.04.08 -
Prevx1 V2 2008.04.08 Generic.Malware
Rising 20.39.12.00 2008.04.08 -
Sophos 4.28.0 2008.04.08 -
Sunbelt 3.0.1032.0 2008.04.08 -
TheHacker 6.2.92.268 2008.04.08 -
VBA32 3.12.6.4 2008.04.06 -
VirusBuster 4.3.26:9 2008.04.08 -
Webwasher-Gateway 6.6.2 2008.04.08 -
Information additionnelle
File size: 1480192 bytes
MD5...: 988e5da1586fd64caa20a324e2cc92e4
SHA1..: 04f374796bfebb958b42308f0c03141dd4330c51
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut

Revenir à « Rogues/Scareware & Programmes douteux »