Un petite page concernant la modification du moteur de recherche et page de démarrage en cherche.us
et le processus winternet.exe
Ceci est effectué par le site chat-land.org
Comme d'hab, tomberont dans le piège sont qui lisent pas ou clic trop vite.
Lors de l'inscription au chat, une petite case à cocher est présente (et qui est cochée par défaut à chaque fois, sinon c'est pas drôle) qui stipule que le moteur de recherche sera modifié pour utiliser celui de chat-land.org (chercher.us en somme) :
Avant :

Maintenant :


et effectivement à la fermeture du chat, un script VBS se lance afin d'effectuer ces modifications.
On retrouve aussi le fichier winternet.exe


Le fichier winternet.exe est téléchargé depuis les serveurs de chat-land.org :Process:
Path: C:\WINDOWS\system32\wscript.exe
PID: 480
Information: Microsoft (r) Windows Based Script Host (Microsoft Corporation)
Registry Group: IE Settings
Object:
Registry key: HKCU\Software\Microsoft\Internet Explorer\Main
Registry value: Search Page
New value:
Type: REG_SZ
Value: http://www.cherche.us
Previous value:
Type: REG_SZ
Value: http://www.microsoft.com/isapi/redir.dl ... r=iesearch
Code : Tout sélectionner
1262770930.327 180 192.168.1.26 TCP_MISS/200 99715 GET http://irc2.chat-land.org/jar/winternet.exe - DIRECT/88.191.52.200 application/x-msdos-program
1262771818.268 176 192.168.1.26 TCP_MISS/200 99715 GET http://irc16.chat-land.org/jar/winternet.exe - DIRECT/88.191.68.123 application/x-msdos-program
1262772375.087 179 192.168.1.26 TCP_MISS/200 99715 GET http://irc2.chat-land.org/jar/winternet.exe - DIRECT/88.191.52.200 application/x-msdos-program
Aucune information quant à la politique de confidentialité de cherche.us.R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cherche.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cherche.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.cherche.us
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.cherche.us
O4 - HKLM\..\Run: [winternet] C:\Documents and Settings\Malekal_morte\winternet.exe
O8 - Extra context menu item: Recherche avec cherche.us - C:\Documents and Settings\Malekal_morte\scriptjava.html
Le winternet.exe a pour mission de remettre les pages de démarrage et de recherche sur cherche.us, lorsque vous tentez de modifier la page de démarrage, une popup en bas à droite (reprenant la charte du kit Orange), ouvre une fenêtre avec le message :
On peux alors interdire...Il ya une tentative de changement des paramètres de votre navigateur (FireFox).
Il ya une tentative de changement des paramètres de votre navigateur (IE).
Il ya une tentative de changement des paramètres de votre navigateur (Chrome).

A noter aussi qu'il peut se mettre à jour à partir de l'url : hxxp://vb.telecharger-gratuit.com/majwinternet.exe
Bref winternet.exe n'est pas vraiment malicieux, juste pénible.
Le scan VirusTotal de winternet.exe :
http://www.virustotal.com/analisis/0d01 ... 1262724981
RésolutionFile winternet.exe received on 2010.01.05 20:56:21 (UTC)
Current status: finished
Result: 13/41 (31.71%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.48 2010.01.05 Trojan.Win32.SuspectCRC!IK
AhnLab-V3 5.0.0.2 2010.01.05 -
AntiVir 7.9.1.122 2009.12.31 TR/VB.Downloader.Gen
Antiy-AVL 2.0.3.7 2010.01.05 -
Authentium 5.2.0.5 2010.01.05 -
Avast 4.8.1351.0 2010.01.05 -
AVG 8.5.0.430 2010.01.04 SHeur2.BZPW
BitDefender 7.2 2010.01.05 -
CAT-QuickHeal 10.00 2010.01.05 -
ClamAV 0.94.1 2010.01.05 -
Comodo 3478 2010.01.05 Heur.Suspicious
DrWeb 5.0.1.12222 2010.01.05 -
eSafe 7.0.17.0 2010.01.05 Win32.TRVB.Downloade
eTrust-Vet 35.1.7217 2010.01.05 -
F-Prot 4.5.1.85 2010.01.05 -
F-Secure 9.0.15370.0 2010.01.05 -
Fortinet 4.0.14.0 2010.01.05 -
GData 19 2010.01.05 -
Ikarus T3.1.1.79.0 2010.01.05 Trojan.Win32.SuspectCRC
Jiangmin 13.0.900 2010.01.05 -
K7AntiVirus 7.10.939 2010.01.05 -
Kaspersky 7.0.0.125 2010.01.05 -
McAfee 5852 2010.01.05 New Malware.d
McAfee+Artemis 5852 2010.01.05 Artemis!90F19FCD64A4
McAfee-GW-Edition 6.8.5 2010.01.05 Trojan.VB.Downloader.Gen
Microsoft 1.5302 2010.01.05 -
NOD32 4746 2010.01.05 Win32/VB.ORM
Norman 6.04.03 2010.01.05 -
nProtect 2009.1.8.0 2010.01.05 -
Panda 10.0.2.2 2010.01.05 -
PCTools 7.0.3.5 2010.01.05 -
Prevx 3.0 2010.01.05 Medium Risk Malware
Rising 22.29.01.04 2010.01.05 -
Sophos 4.49.0 2010.01.05 Mal/Behav-024
Sunbelt 3.2.1858.2 2010.01.05 Trojan.Win32.Generic!SB.0
Symantec 20091.2.0.41 2010.01.05 -
TheHacker 6.5.0.3.134 2010.01.05 -
TrendMicro 9.120.0.1004 2010.01.05 -
VBA32 3.12.12.1 2010.01.05 -
ViRobot 2010.1.5.2122 2010.01.05 -
VirusBuster 5.0.21.0 2010.01.05 -
Additional information
File size: 99328 bytes
MD5 : 90f19fcd64a4f6517025a73bac172805
SHA1 : 574821b79567cb6a551e676cb612f9990398930c
SHA256: 0d01927ff03f09e16b45b297f71a8e1776f59f9055c144b65f9aab789be7138a
PEInfo: PE Structure information
Utilisez AdwCleaner en suppression.
Bref et comme d'habitude, on conclue par : faites plus attention!