Spyware Protect 2009

[Malekal_morte]

Spyware Protect 2009 est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware pour soit disant désinfecter votre ordinateur.



Quelques exemples de captures des Fausses pages de scan/alerte de sécurité

[Malekal_morte]

Code : Tout sélectionner

1231857516.556    196 192.168.1.63 TCP_MISS/200 1918 GET http://av10antivir.com/ - DIRECT/94.247.3.17 text/html
1231857517.616    210 192.168.1.63 TCP_MISS/200 662 GET http://oiwert.com/stat/index.php - DIRECT/94.247.3.57 text/html
1231857548.362   1319 192.168.1.63 TCP_MISS/200 262479 GET http://av10antivir.com/free_scan.exe - DIRECT/94.247.3.17 application/octet-stream
1231857558.043    910 192.168.1.63 TCP_MISS/404 265 GET http://spywprotect2009.com/loads.php?r=12.0 - DIRECT/91.207.117.244 text/html

oiwert.com contient un javascript offusqué avec exploit: Microsoft Data Access Components (MDAC) CVE-2006-0003
Voir rapport wepawet.iseclab.org

L'exploit télécharge le payload à l'adresse htxp://withinj.com/stat/exe.php
mais à l'heure de l'écrire de la page le serveur withinj.com ne répond pas (timeout).

malekalmorte@ubuntu:/tmp$ nc -w 10 -z -v withinj.com 80
DNS fwd/rev mismatch: withinj.com != x4.quikhost.net
withinj.com [64.195.235.119] 80 (www) : Connection timed out

Domain Name: AV10ANTIVIR.COM
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Whois Server: whois.PublicDomainRegistry.com
Referral URL: http://www.PublicDomainRegistry.com
Name Server: NS1.EVERYDNS.NET
Name Server: NS2.EVERYDNS.NET
Name Server: NS3.EVERYDNS.NET
Name Server: NS4.EVERYDNS.NET
Status: clientTransferProhibited
Updated Date: 12-dec-2008
Creation Date: 12-dec-2008
Expiration Date: 12-dec-2009

Administrative Contact:
n/a
dns.ppv ([email protected])
n/a
n/a
n/a
n/a
,000000
US
Tel. +999.999999999

[Malekal_morte]

Voir aussi Antivirus System Pro