DivoCodec : Swizzor / iesearch.com et Trojan.WMA

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Malekal_morte
Site Admin
Site Admin
Messages : 99338
Inscription : 10 sept. 2005 13:57
Contact :

DivoCodec : Swizzor / iesearch.com et Trojan.WMA

Message par Malekal_morte »

Plusieurs MP3 infectés de type Trojan/WMA/Wimad.BM sont actuellement en circulation sur les réseaux P2P.
Comme d'habitude, les internautes qui téléchargent et ouvre n'importe quoi comme fichier dont la source n'est pas sûr se feront avoir.

Voici la détection sur VirusTotal d'un de ces MP3 :
File Jena_Lee_-_J_aimerais_tellement.m received on 2009.11.15 03:00:22 (UTC)
Current status: finished
Result: 5/41 (12.20%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.10 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.10 -
Antiy-AVL 2.0.3.7 2009.11.10 Trojan/WMA.GetCodec
Authentium 5.2.0.5 2009.11.10 -
Avast 4.8.1351.0 2009.11.10 -
AVG 8.5.0.423 2009.11.10 -
BitDefender 7.2 2009.11.10 -
CAT-QuickHeal 10.00 2009.11.10 -
ClamAV 0.94.1 2009.11.10 -
Comodo 2905 2009.11.10 -
DrWeb 5.0.0.12182 2009.11.10 Trojan.WMALoader
eSafe 7.0.17.0 2009.11.10 -
eTrust-Vet 35.1.7113 2009.11.10 -
F-Prot 4.5.1.85 2009.11.10 -
F-Secure 9.0.15370.0 2009.11.09 -
Fortinet 3.120.0.0 2009.11.10 -
GData 19 2009.11.10 -
Ikarus T3.1.1.74.0 2009.11.10 -
Jiangmin 11.0.800 2009.11.10 -
K7AntiVirus 7.10.892 2009.11.09 -
Kaspersky 7.0.0.125 2009.11.10 Trojan-Downloader.WMA.GetCodec.ak
McAfee 5797 2009.11.09 -
McAfee+Artemis 5797 2009.11.09 -
McAfee-GW-Edition 6.8.5 2009.11.10 -
Microsoft 1.5202 2009.11.10 TrojanDownloader:ASX/Wimad.BM
NOD32 4592 2009.11.10 -
Norman 6.03.02 2009.11.09 -
nProtect 2009.1.8.0 2009.11.10 -
Panda 10.0.2.2 2009.11.09 -
PCTools 7.0.3.5 2009.11.10 -
Prevx 3.0 2009.11.15 -
Rising 22.21.01.09 2009.11.10 Trojan.DL.Win32.GetCodec.b
Sophos 4.47.0 2009.11.10 -
Sunbelt 3.2.1858.2 2009.11.10 -
Symantec 1.4.4.12 2009.11.10 -
TheHacker 6.5.0.2.064 2009.11.09 -
TrendMicro 9.0.0.1003 2009.11.10 -
VBA32 3.12.10.11 2009.11.09 -
ViRobot 2009.11.10.2029 2009.11.10 -
VirusBuster 4.6.5.0 2009.11.09 -
Additional information
File size: 4549915 bytes
MD5 : b4ae22cb58bd789e4fb9797b9653c092
SHA1 : 79c27d66af017d26bd73904cdb53783937abcfb3
Ces derniers redirigent vers la page suivante qui propose un codec divocodec.com : hxxp://now.divocodec.com/?r=wmp&title=a%20MP3%20song&embedded=false


Image

Comme le montre cette capture, ce codec embarque des sponsors, l'internaute qui lit un peu les conditions d'utilisation verra que ce codec n'est pas clair.

Image

Voici la détection VirusTotal du codec, Trojan.Swizoor ou Lop.com
File DivoCodec-1.1.0.0-setup.exe received on 2009.11.11 21:30:41 (UTC)
Current status: finished
Result: 10/41 (24.39%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.41 2009.11.11 -
AhnLab-V3 5.0.0.2 2009.11.11 -
AntiVir 7.9.1.65 2009.11.11 ADSPY/DivoCodec.345
Antiy-AVL 2.0.3.7 2009.11.11 -
Authentium 5.2.0.5 2009.11.11 -
Avast 4.8.1351.0 2009.11.11 Win32:Trojan-gen
AVG 8.5.0.426 2009.11.11 -
BitDefender 7.2 2009.11.11 -
CAT-QuickHeal 10.00 2009.11.11 TrojanDownloader.Swizzor.gen
ClamAV 0.94.1 2009.11.11 -
Comodo 2920 2009.11.11 -
DrWeb 5.0.0.12182 2009.11.11 -
eSafe 7.0.17.0 2009.11.11 -
eTrust-Vet 35.1.7116 2009.11.11 -
F-Prot 4.5.1.85 2009.11.11 -
F-Secure 9.0.15370.0 2009.11.11 -
Fortinet 3.120.0.0 2009.11.11 -
GData 19 2009.11.11 Win32:Trojan-gen
Ikarus T3.1.1.74.0 2009.11.11 Trojan-Downloader.Win32.Swizzor
Jiangmin 11.0.800 2009.11.11 -
K7AntiVirus 7.10.894 2009.11.11 -
Kaspersky 7.0.0.125 2009.11.11 -
McAfee 5799 2009.11.11 -
McAfee+Artemis 5799 2009.11.11 Artemis!73C8324C35A2
McAfee-GW-Edition 6.8.5 2009.11.11 Heuristic.BehavesLike.Win32.Suspicious.C
Microsoft 1.5202 2009.11.11 TrojanDownloader:Win32/Swizzor.gen!L
NOD32 4597 2009.11.11 -
Norman 6.03.02 2009.11.10 -
nProtect 2009.1.8.0 2009.11.11 -
Panda 10.0.2.2 2009.11.11 Suspicious file
PCTools 7.0.3.5 2009.11.11 -
Prevx 3.0 2009.11.11 Medium Risk Malware
Rising 22.21.02.09 2009.11.11 -
Sophos 4.47.0 2009.11.11 -
Sunbelt 3.2.1858.2 2009.11.11 -
Symantec 1.4.4.12 2009.11.11 -
TheHacker 6.5.0.2.066 2009.11.11 -
TrendMicro 9.0.0.1003 2009.11.11 -
VBA32 3.12.10.11 2009.11.11 -
ViRobot 2009.11.11.2031 2009.11.11 -
VirusBuster 4.6.5.0 2009.11.11 -
Additional information
File size: 345441 bytes
MD5 : 73c8324c35a24688a25fd2649a4c1f46
SHA1 : db72688327a793be0b12caa3b8d604848b76d669
Exemples de lignes ajoutées par le codec - les répertoires dans Application Data sont dû à Swizoor/Lop.com et sont aléatoires :

Code : Tout sélectionner

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.iesearch.com/
O4 - HKLM\..\Run: [eggs joy math type] C:\Documents and Settings\All Users\Application Data\Bind army eggs joy\dent iso.exe
O4 - HKCU\..\Run: [GlobalHide] C:\DOCUME~1\MALEKA~1\APPLIC~1\ARMYLO~1\softtrust.exe
Les popups de publicités ouvertes de Swizoor/lop.com sont assez clairs car dans le titre on retrouve le mot CiD :

Image

Les répertoires ajoutés :
c:\Documents and Settings\All Users\Application Data\Bind army eggs joy
c:\Documents and Settings\Malekal_morte\Application Data\army log
c:\Documents and Settings\Malekal_morte\Start Menu\Programs\Ask Search Assistant
c:\Documents and Settings\Malekal_morte\Start Menu\Programs\DivoCodec
c:\Program Files\army log
c:\Program Files\Ask Search Assistant
c:\Program Files\DivoCodec
Le codec installe donc aussi des composants Ask Search Assistant qui modifie en autre la page de démarrage vers iesearch : hxxp://www2.iesearch.com/

Image

~~


Pour les ânes qui auraient installés ce codec, le composant Swizoor/lop.com et Ask Search Assistant sont désinstallables depuis ajout/suppression de programmes du panneau de configuration sous le nom de :
  • CiD Help
  • Ask Search Assistant
Image

Dans le cas de CiD Help, il vous sera demandé de saisir un digicode :

Image

Le fait de désinstaller Ask Search Assistant ne remet pas la page de démarrage de votre navigateur WEB, à vous de le faire manuellement.
Dans le cas de Swizoor, vous pouvez aussi utiliser Lop Search & Destroy

Encore une fois, arretez de télécharger n'importe quoi, le P2P c'est le mal.

Thanx doc_pc
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Répondre

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »