Personal Antivirus

[Malekal_morte]

Personal Antivirus est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware pour soit disant désinfecter votre ordinateur.

[Malekal_morte]

Thanx angelique

Code : Tout sélectionner

1248431177.419    212 192.168.1.25 TCP_MISS/404 417 GET http://cuimage.cn/dat/iexplore.exe - DIRECT/212.117.173.92 text/html
1248431181.727    162 192.168.1.25 TCP_MISS/404 417 GET http://cuimage.cn/dat/iexplore.exe - DIRECT/212.117.173.92 text/html
1248431211.363    423 192.168.1.25 TCP_MISS/200 37271 GET http://missing-codecs.net/download/ - DIRECT/212.117.173.92 application/octet-stream
1248431226.292   3103 192.168.1.25 TCP_MISS/200 389449 GET http://cuimage.cn/img/ - DIRECT/212.117.173.92 application/octet-stream
1248431258.171  26586 192.168.1.25 TCP_MISS/200 389456 GET http://cuimage.cn/dat/ - DIRECT/212.117.173.92 application/octet-stream
1248431301.228   5048 192.168.1.25 TCP_MISS/504 1486 GET http://ad-mode.com/?dir=adv001&page=sub001 - DIRECT/ad-mode.com text/html
1248432653.964    177 192.168.1.25 TCP_MISS/404 292 GET http://natalieportmansite.cn/go.php?id=2029-02&key=d0fabc41c&p=1 - DIRECT/83.133.123.113 text/html

Ajoute les deux lignes suivantes sur HijackThis :

O4 - HKLM\..\Run: [Java Quick Start] C:\Documents and Settings\Malekal_morte\jusched.exe
O4 - HKCU\..\Run: [Malekal_morte] C:\Documents and Settings\Malekal_morte\Malekal_morte.exe

Fichier Codec.exe reçu le 2009.07.24 08:21:35 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 20/41 (48.79%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.07.24 Trojan.Win32.VB!IK
AhnLab-V3 5.0.0.2 2009.07.24 -
AntiVir 7.9.0.228 2009.07.24 TR/VB.tdq.10
Antiy-AVL 2.0.3.7 2009.07.24 Trojan/Win32.VB
Authentium 5.1.2.4 2009.07.24 -
Avast 4.8.1335.0 2009.07.23 Win32:Trojan-gen {Other}
AVG 8.5.0.387 2009.07.23 Generic14.HLF
BitDefender 7.2 2009.07.24 -
CAT-QuickHeal 10.00 2009.07.23 Trojan.VB.tdq
ClamAV 0.94.1 2009.07.24 -
Comodo 1749 2009.07.24 -
DrWeb 5.0.0.12182 2009.07.24 -
eSafe 7.0.17.0 2009.07.23 -
eTrust-Vet 31.6.6637 2009.07.24 -
F-Prot 4.4.4.56 2009.07.23 -
F-Secure 8.0.14470.0 2009.07.24 Trojan.Win32.VB.tdq
Fortinet 3.120.0.0 2009.07.24 W32/VB.TDQ!tr
GData 19 2009.07.24 Win32:Trojan-gen {Other}
Ikarus T3.1.1.64.0 2009.07.24 Trojan.Win32.VB
Jiangmin 11.0.800 2009.07.24 Trojan/VB.mjh
K7AntiVirus 7.10.800 2009.07.23 Trojan.Win32.VB.tdq
Kaspersky 7.0.0.125 2009.07.24 Trojan.Win32.VB.tdq
McAfee 5686 2009.07.23 -
McAfee+Artemis 5686 2009.07.23 Artemis!D94128E849AA
McAfee-GW-Edition 6.8.5 2009.07.24 Trojan.VB.tdq.10
Microsoft 1.4903 2009.07.24 -
NOD32 4272 2009.07.24 Win32/TrojanDownloader.VB.OBF
Norman 6.01.09 2009.07.22 -
nProtect 2009.1.8.0 2009.07.24 -
Panda 10.0.0.14 2009.07.24 Suspicious file
PCTools 4.4.2.0 2009.07.23 -
Prevx 3.0 2009.07.24 High Risk Cloaked Malware
Rising 21.39.40.00 2009.07.24 -
Sophos 4.44.0 2009.07.24 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.07.23 -
Symantec 1.4.4.12 2009.07.24 -
TheHacker 6.3.4.3.373 2009.07.24 -
TrendMicro 8.950.0.1094 2009.07.24 Mal_Hifrm-4
VBA32 3.12.10.9 2009.07.24 -
ViRobot 2009.7.24.1850 2009.07.24 -
VirusBuster 4.6.5.0 2009.07.23 -
Information additionnelle
File size: 36976 bytes
MD5...: d94128e849aa9aaa2522b06bf64684a2
SHA1..: b424608aa0657f2be6f5c68ab2892d2de285cdb0

L'infection affiche un bouclier jaune en bas à droite à côté de l'horloge avec le message :

Alerte Centre de Sécurité!
Warning! votre ordinateur est infecté!

Adresses des fausses alertes faisant la promotion du rogue :

Code : Tout sélectionner

1248431418.875   1171 192.168.1.25 TCP_MISS/200 13294 GET http://privatevirusscannerv2.com/1/img/011.gif - DIRECT/78.46.251.41 image/gif
1248431416.484    249 192.168.1.25 TCP_MISS/200 891 GET http://privatevirusscannerv2.com/1/img/007.gif - DIRECT/83.133.126.155 image/gif
1248431445.567    451 192.168.1.25 TCP_MISS/200 1524 GET http://privatevirusscannerv2.com/1/cb.gif - DIRECT/94.102.48.29 image/gif
1248431448.669    546 192.168.1.25 TCP_MISS/200 233 GET http://privatevirusscannerv2.com/download.php?id=02029-2 - DIRECT/94.102.48.29 text/html

[Malekal_morte]

AVG a rencontré un problème de faux positif avec le logiciel Itunes ce Week-End.
AVG détectait des fichiers Itunes en Trojan.Small.bog. Une mise à jour correctrice est maintenant disponible.

Les auteurs de malwares ont profité de ce faux positif pour effectuer un Google Posoning, en tapant Trojan Small ou Trojan Small.bog de fausses pages conduisant à de fausses alertes faisant la promotion du rogue Personal Antivirus.

L'internaute croyant être infecté par Trojan.Small.bog est alors tenté de télécharger ce rogue.