Spywarecease

Listes des différents Rogues/Scareware
Malekal_morte
Messages : 112084
Inscription : 10 sept. 2005 13:57

Spywarecease

par Malekal_morte »

Spywarecease est un antispyware visible depuis quelques mois sur la toile.


Il est notamment mis en avant par les redirections Google générées par TDSSServ/TDSServ rootkit, ce qui tend à dire que l'éditeur a des programmes d'affiliation douteux.

Code : Tout sélectionner

1232894196.977 192.168.1.25 http://495334374d44554441412c2c.496136454d7245684e675941.click.eurekster.com/r.php?h=960bd3e7ad9468c28ec07e0453defbd9&s=w304&px=1 http://evidesmart.sspykiller.hop.clickbank.net/hop/?CBRehoppp2=http%3A%2F%2Fwww.spywarecease.com%3Fhop%3Devidesmart&vend=sspykiller&code=00000001000000&affi=evidesmart&hfid=&parms=gid%3D1067354930%26yid%3D%26aid%3D%26s%3Dindex.php%26gclid%3DCOr5l6TbqZgCFYoH3godyWtRnA&key=EA04D95D17056A1CE547D8DBBFB8002C
1232894198.060 192.168.1.25 http://495334374d44554441412c2c.496136454d7245684e675941.click.eurekster.com/r.php?h=960bd3e7ad9468c28ec07e0453defbd9&s=w304&px=1 http://www.spywarecease.com/?hop=evidesmart&gid=1067354930&yid=&aid=&s=index.php&gclid=COr5l6TbqZgCFYoH3godyWtRnA
1232894198.673 192.168.1.25 http://495334374d44554441412c2c.496136454d7245684e675941.click.eurekster.com/r.php?h=960bd3e7ad9468c28ec07e0453defbd9&s=w304&px=1 http://www.spywarecease.com/index.php
L'adresse du site WEB...

Code : Tout sélectionner

1232894235.299    538 192.168.1.25 TCP_MISS/302 428 GET http://www.spywarecease.com/spywarecease.php - DIRECT/70.86.108.201 text/html
1232894235.481    504 192.168.1.25 TCP_MISS/200 6935 GET http://www.spywarecease.com/download.php - DIRECT/70.86.108.201 text/html
1232894235.702    168 192.168.1.25 TCP_MISS/304 322 GET http://www.spywarecease.com/style/main.css - DIRECT/70.86.108.201 -
1232894236.193    192 192.168.1.25 TCP_MISS/304 321 GET http://www.spywarecease.com/style/mainIE.css - DIRECT/70.86.108.201 -
Domain Name: SPYWARECEASE.COM
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibited
Updated Date: 14-aug-2008
Creation Date: 14-aug-2008
Expiration Date: 14-aug-2009

Registrant Contact:
Guangxi Nanning Qiwang Computer Ltd
Luo Gang ()

Fax:
Keyuan Dadao Kechuang Dasha 626
Nanning, GUANGXI 530003
CN

Administrative Contact:
Guangxi Nanning Qiwang Computer Ltd
Luo Gang ([email protected])
+86.13768395729
Fax:
Keyuan Dadao Kechuang Dasha 626
Nanning, 530003
CN
Une recherche google sur [email protected] montre que l'adresse semble avoir été utilisée pour enregistrer dans des domaines de "cash" et "search".
70.86.108.201


Spyware Cease est developpé par CheeseSoft Ltd. (connu aussi sous le Guangxi Nanning Qiwang Computer Ltd)
Site Web : http://www.cheesesoft.com/

Ces derniers développent aussi des logiciels de nettoyage de registre, de désinstallation, duplication de fichiers etc... (ce que les auteurs de rogues font aussi en général) :
Spyware Cease
Driver Checker
Perfect Uninstaller
Registry Easy
Duplicate File Cleaner
Video Download Wizard
Convert Genius
Contrairement aux rogues, SpywareCease n'ouvre aucune popup d'alerte ou de scan au démarrage de l'ordinateur et se désinstalle facilement.
Le scan dure un peu plus d'une minute ce qui est vraiment rapide pour une analyse complète du système.
Il semblerait que SpywareCease s'attarde beaucoup sur le registre Windows.

Sur ma VM non infectée, SpywareCease a détecté des trojans...
Image

sur des clefs du registre Windows, notamment sur une clef Run MSMSGS détecté deux fois.
Image
Le bouton view nous ammène sur l'encyclopédie des menaces du site... la clef est bien présente mais mentionne un fichier 0A257D15.EXE qui n'est pas présent sur le sytème.

(Au passage la description des menaces sont reprises des pages de CA, vous pouvez vérifier).

Image

En réalité, c'est la clef run de MSN fourni par défaut sur Windows XP qui est détectée...
Image

Faux positif temporaire ? erreur ? ou alerte exagérée pour vendre l'antispyware puisqu'il faut bien entendu payer pour pouvoir éradiquer des menaces.

Quoiqu'il en soit, il est difficile de dire si le programme est un rogue ou une arnaque, difficile aussi de dire si le programme est véritablement sérieux.
Dans tous les cas, si vous recevez des popups d'alertes indiquant que votre PC est infecté et vous propose ce programme, ne foncez pas l'acheter.

Restez méfiant quant aux menaces détectés par cet antispyware.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Revenir à « Rogues/Scareware & Programmes douteux »