jerecherche.org et chat-land.org

par **Malekal_morte** » 06 janv. 2010 08:58

Voir aussi : https://www.malekal.com/2011/12/29/chat ... trop-bien/

Un petite page concernant la modification du moteur de recherche et page de démarrage en cherche.us
et le processus winternet.exe

Ceci est effectué par le site chat-land.org
Comme d'hab, tomberont dans le piège sont qui lisent pas ou clic trop vite.

Lors de l'inscription au chat, une petite case à cocher est présente (et qui est cochée par défaut à chaque fois, sinon c'est pas drôle) qui stipule que le moteur de recherche sera modifié pour utiliser celui de chat-land.org (chercher.us en somme) :

Avant :

Maintenant :

et effectivement à la fermeture du chat, un script VBS se lance afin d'effectuer ces modifications.
On retrouve aussi le fichier winternet.exe

Process:
Path: C:\WINDOWS\system32\wscript.exe
PID: 480
Information: Microsoft (r) Windows Based Script Host (Microsoft Corporation)
Registry Group: IE Settings
Object:
Registry key: HKCU\Software\Microsoft\Internet Explorer\Main
Registry value: Search Page
New value:
Type: REG_SZ
Value: http://www.cherche.us
Previous value:
Type: REG_SZ
Value: http://www.microsoft.com/isapi/redir.dl ... r=iesearch

Le fichier winternet.exe est téléchargé depuis les serveurs de chat-land.org :

Code : Tout sélectionner

1262770930.327    180 192.168.1.26 TCP_MISS/200 99715 GET http://irc2.chat-land.org/jar/winternet.exe - DIRECT/88.191.52.200 application/x-msdos-program
1262771818.268    176 192.168.1.26 TCP_MISS/200 99715 GET http://irc16.chat-land.org/jar/winternet.exe - DIRECT/88.191.68.123 application/x-msdos-program
1262772375.087    179 192.168.1.26 TCP_MISS/200 99715 GET http://irc2.chat-land.org/jar/winternet.exe - DIRECT/88.191.52.200 application/x-msdos-program

Les lignes HiJackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.cherche.us/keyword/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.cherche.us
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cherche.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.cherche.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.cherche.us
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.cherche.us
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.cherche.us/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.cherche.us
O4 - HKLM\..\Run: [winternet] C:\Documents and Settings\Malekal_morte\winternet.exe
O8 - Extra context menu item: Recherche avec cherche.us - C:\Documents and Settings\Malekal_morte\scriptjava.html

Aucune information quant à la politique de confidentialité de cherche.us.

Le winternet.exe a pour mission de remettre les pages de démarrage et de recherche sur cherche.us, lorsque vous tentez de modifier la page de démarrage, une popup en bas à droite (reprenant la charte du kit Orange), ouvre une fenêtre avec le message :

Il ya une tentative de changement des paramètres de votre navigateur (FireFox).
Il ya une tentative de changement des paramètres de votre navigateur (IE).
Il ya une tentative de changement des paramètres de votre navigateur (Chrome).

On peux alors interdire...

A noter aussi qu'il peut se mettre à jour à partir de l'url : hxxp://vb.telecharger-gratuit.com/majwinternet.exe

Bref winternet.exe n'est pas vraiment malicieux, juste pénible.

Le scan VirusTotal de winternet.exe :

http://www.virustotal.com/analisis/0d01 ... 1262724981

File winternet.exe received on 2010.01.05 20:56:21 (UTC)
Current status: finished

Result: 13/41 (31.71%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.48 2010.01.05 Trojan.Win32.SuspectCRC!IK
AhnLab-V3 5.0.0.2 2010.01.05 -
AntiVir 7.9.1.122 2009.12.31 TR/VB.Downloader.Gen
Antiy-AVL 2.0.3.7 2010.01.05 -
Authentium 5.2.0.5 2010.01.05 -
Avast 4.8.1351.0 2010.01.05 -
AVG 8.5.0.430 2010.01.04 SHeur2.BZPW
BitDefender 7.2 2010.01.05 -
CAT-QuickHeal 10.00 2010.01.05 -
ClamAV 0.94.1 2010.01.05 -
Comodo 3478 2010.01.05 Heur.Suspicious
DrWeb 5.0.1.12222 2010.01.05 -
eSafe 7.0.17.0 2010.01.05 Win32.TRVB.Downloade
eTrust-Vet 35.1.7217 2010.01.05 -
F-Prot 4.5.1.85 2010.01.05 -
F-Secure 9.0.15370.0 2010.01.05 -
Fortinet 4.0.14.0 2010.01.05 -
GData 19 2010.01.05 -
Ikarus T3.1.1.79.0 2010.01.05 Trojan.Win32.SuspectCRC
Jiangmin 13.0.900 2010.01.05 -
K7AntiVirus 7.10.939 2010.01.05 -
Kaspersky 7.0.0.125 2010.01.05 -
McAfee 5852 2010.01.05 New Malware.d
McAfee+Artemis 5852 2010.01.05 Artemis!90F19FCD64A4
McAfee-GW-Edition 6.8.5 2010.01.05 Trojan.VB.Downloader.Gen
Microsoft 1.5302 2010.01.05 -
NOD32 4746 2010.01.05 Win32/VB.ORM
Norman 6.04.03 2010.01.05 -
nProtect 2009.1.8.0 2010.01.05 -
Panda 10.0.2.2 2010.01.05 -
PCTools 7.0.3.5 2010.01.05 -
Prevx 3.0 2010.01.05 Medium Risk Malware
Rising 22.29.01.04 2010.01.05 -
Sophos 4.49.0 2010.01.05 Mal/Behav-024
Sunbelt 3.2.1858.2 2010.01.05 Trojan.Win32.Generic!SB.0
Symantec 20091.2.0.41 2010.01.05 -
TheHacker 6.5.0.3.134 2010.01.05 -
TrendMicro 9.120.0.1004 2010.01.05 -
VBA32 3.12.12.1 2010.01.05 -
ViRobot 2010.1.5.2122 2010.01.05 -
VirusBuster 5.0.21.0 2010.01.05 -
Additional information
File size: 99328 bytes
MD5 : 90f19fcd64a4f6517025a73bac172805
SHA1 : 574821b79567cb6a551e676cb612f9990398930c
SHA256: 0d01927ff03f09e16b45b297f71a8e1776f59f9055c144b65f9aab789be7138a
PEInfo: PE Structure information

Résolution

Utilisez AdwCleaner en suppression.

Bref et comme d'habitude, on conclue par : faites plus attention!

par **Malekal_morte** » 26 févr. 2010 09:43

Possible changement de nom vers binternet.exe
(merci dedetraque)

Fichier binternet.exe reçu le 2010.02.26 00:11:22 (UTC)
Résultat: 5/42 (11.91%)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.26 -
AhnLab-V3 5.0.0.2 2010.02.25 -
AntiVir 8.2.1.172 2010.02.25 -
Antiy-AVL 2.0.3.7 2010.02.25 -
Authentium 5.2.0.5 2010.02.25 -
Avast 4.8.1351.0 2010.02.25 -
Avast5 5.0.332.0 2010.02.25 -
AVG 9.0.0.730 2010.02.25 -
BitDefender 7.2 2010.02.25 -
CAT-QuickHeal 10.00 2010.02.25 -
ClamAV 0.96.0.0-git 2010.02.25 -
Comodo 4064 2010.02.25 -
DrWeb 5.0.1.12222 2010.02.25 -
eSafe 7.0.17.0 2010.02.25 -
eTrust-Vet 35.2.7329 2010.02.25 -
F-Prot 4.5.1.85 2010.02.25 -
F-Secure 9.0.15370.0 2010.02.26 -
Fortinet 4.0.14.0 2010.02.25 -
GData 19 2010.02.26 -
Ikarus T3.1.1.80.0 2010.02.25 -
Jiangmin 13.0.900 2010.02.25 -
K7AntiVirus 7.10.983 2010.02.25 -
Kaspersky 7.0.0.125 2010.02.25 -
McAfee 5903 2010.02.25 New Malware.d
McAfee+Artemis 5903 2010.02.25 New Malware.d
McAfee-GW-Edition 6.8.5 2010.02.25 -
Microsoft 1.5502 2010.02.25 Trojan:Win32/Startpage.NZ
NOD32 4896 2010.02.25 -
Norman 6.04.08 2010.02.25 -
nProtect 2009.1.8.0 2010.02.25 -
Panda 10.0.2.2 2010.02.25 -
PCTools 7.0.3.5 2010.02.25 -
Prevx 3.0 2010.02.26 -
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.25 Sus/Behav-1009
Sunbelt 5700 2010.02.26 -
Symantec 20091.2.0.41 2010.02.26 Suspicious.Insight
TheHacker 6.5.1.6.211 2010.02.25 -
TrendMicro 9.120.0.1004 2010.02.25 -
VBA32 3.12.12.2 2010.02.25 -
ViRobot 2010.2.25.2202 2010.02.25 -
VirusBuster 5.0.27.0 2010.02.25 -
Information additionnelle
File size: 181248 bytes
MD5...: 83a84407b40beff7f5e06eb835892bd5
SHA1..: 12c0933fd00b47b0bef93afb3cd826df700dd6b4
SHA256: dffede0f1c18c0e07f2ff36b776f34081d62038ec8e6b6a8ca139383eb07488e
ssdeep: 3072:R57vHJgeyQ9jHOR7jkRv8e2VPlSxaBgR7xswlcQdI33QYDE5ou9:LTVp9jc
Hxpoxr7xswGsM3QYDf

par **Malekal_morte** » 15 juil. 2011 22:19

On continue avec les Hijacker cherche.us et chat-land.

avec cette fois un jar :

O4 - Startup: Protection.lnk = C:\Documents and Settings\Mak\Protection.jar

Le jar lance un script vbe : %APPDATA%\main.vbe
On peux aussi avoir un autre jar : %APPDATA%\F_ajour.jar

Le jar force la page de démarrage et de recherche des navigateurs en : http://www.search-web.net/

http://www.virustotal.com/file-scan/rep ... 1310760814
http://www.virustotal.com/file-scan/rep ... 1310760818

Il se copie dans le menu Démarrage, donc un simple :
Menu Démarrer / Tous les programmes puis Démarrage
et clic droit supprimer sur Protection.jar
Redémarrer l'ordinateur, devrait permettre de le supprimer et pouvoir changer la page de démarrage.

File name: Protection.jar
Submission date: 2011-07-15 20:13:34 (UTC)
Current status: finished
Result: 3/ 43 (7.0%)

Antivirus Version Last Update Result
AhnLab-V3 2011.07.16.00 2011.07.15 -
AntiVir 7.11.11.172 2011.07.15 -
Antiy-AVL 2.0.3.7 2011.07.15 -
Avast 4.8.1351.0 2011.07.15 -
Avast5 5.0.677.0 2011.07.15 -
AVG 10.0.0.1190 2011.07.15 -
BitDefender 7.2 2011.07.15 -
CAT-QuickHeal 11.00 2011.07.15 -
ClamAV 0.97.0.0 2011.07.15 -
Commtouch 5.3.2.6 2011.07.15 -
Comodo 9394 2011.07.15 -
DrWeb 5.0.2.03300 2011.07.15 -
Emsisoft 5.1.0.8 2011.07.15 Trojan-Downloader.Java.Agent!IK
eSafe 7.0.17.0 2011.07.14 -
eTrust-Vet 36.1.8446 2011.07.15 -
F-Prot 4.6.2.117 2011.07.15 -
F-Secure 9.0.16440.0 2011.07.15 -
Fortinet 4.2.257.0 2011.07.15 -
GData 22 2011.07.15 -
Ikarus T3.1.1.104.0 2011.07.15 Trojan-Downloader.Java.Agent
Jiangmin 13.0.900 2011.07.14 -
K7AntiVirus 9.108.4911 2011.07.15 -
Kaspersky 9.0.0.837 2011.07.15 Trojan-Downloader.Java.Agent.nc
McAfee 5.400.0.1158 2011.07.15 -
McAfee-GW-Edition 2010.1D 2011.07.15 -
Microsoft 1.7000 2011.07.15 -
NOD32 6298 2011.07.15 -
Norman 6.07.10 2011.07.15 -
nProtect 2011-07-15.01 2011.07.15 -
Panda 10.0.3.5 2011.07.15 -
PCTools 8.0.0.5 2011.07.13 -
Prevx 3.0 2011.07.15 -
Rising 23.66.04.03 2011.07.15 -
Sophos 4.67.0 2011.07.15 -
SUPERAntiSpyware 4.40.0.1006 2011.07.15 -
Symantec 20111.1.0.186 2011.07.15 -
TheHacker 6.7.0.1.255 2011.07.15 -
TrendMicro 9.200.0.1012 2011.07.15 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.15 -
VBA32 3.12.16.4 2011.07.15 -
VIPRE 9866 2011.07.15 -
ViRobot 2011.7.15.4571 2011.07.15 -
VirusBuster 14.0.126.0 2011.07.15 -
Additional information
MD5 : 4dbe156d7b76ea7297bd74dd336d52a0
SHA1 : 12609679c8f99afe9d3ad273f31e64f69e6ac9e4
SHA256: 2bfa13637561646c9f438cca8a5e502a3e32936a487736114369afaf639d350f

File name: F_ajour.jar
Submission date: 2011-07-15 20:13:38 (UTC)
Current status: finished
Result: 5/ 43 (11.6%)

Antivirus Version Last Update Result
AhnLab-V3 2011.07.16.00 2011.07.15 -
AntiVir 7.11.11.172 2011.07.15 -
Antiy-AVL 2.0.3.7 2011.07.15 Trojan/win32.agent
Avast 4.8.1351.0 2011.07.15 -
Avast5 5.0.677.0 2011.07.15 -
AVG 10.0.0.1190 2011.07.15 -
BitDefender 7.2 2011.07.15 -
CAT-QuickHeal 11.00 2011.07.15 -
ClamAV 0.97.0.0 2011.07.15 -
Commtouch 5.3.2.6 2011.07.15 -
Comodo 9394 2011.07.15 -
DrWeb 5.0.2.03300 2011.07.15 -
Emsisoft 5.1.0.8 2011.07.15 Trojan-Downloader.Java.Agent!IK
eSafe 7.0.17.0 2011.07.14 -
eTrust-Vet 36.1.8446 2011.07.15 -
F-Prot 4.6.2.117 2011.07.15 -
F-Secure 9.0.16440.0 2011.07.15 -
Fortinet 4.2.257.0 2011.07.15 -
GData 22 2011.07.15 -
Ikarus T3.1.1.104.0 2011.07.15 Trojan-Downloader.Java.Agent
Jiangmin 13.0.900 2011.07.14 -
K7AntiVirus 9.108.4911 2011.07.15 -
Kaspersky 9.0.0.837 2011.07.15 Trojan-Downloader.Java.Agent.nb
McAfee 5.400.0.1158 2011.07.15 -
McAfee-GW-Edition 2010.1D 2011.07.15 -
Microsoft 1.7000 2011.07.15 -
NOD32 6298 2011.07.15 Java/StartPage.NAA
Norman 6.07.10 2011.07.15 -
nProtect 2011-07-15.01 2011.07.15 -
Panda 10.0.3.5 2011.07.15 -
PCTools 8.0.0.5 2011.07.13 -
Prevx 3.0 2011.07.15 -
Rising 23.66.04.03 2011.07.15 -
Sophos 4.67.0 2011.07.15 -
SUPERAntiSpyware 4.40.0.1006 2011.07.15 -
Symantec 20111.1.0.186 2011.07.15 -
TheHacker 6.7.0.1.255 2011.07.15 -
TrendMicro 9.200.0.1012 2011.07.15 -
TrendMicro-HouseCall 9.200.0.1012 2011.07.15 -
VBA32 3.12.16.4 2011.07.15 -
VIPRE 9866 2011.07.15 -
ViRobot 2011.7.15.4571 2011.07.15 -
VirusBuster 14.0.126.0 2011.07.15 -
Additional information
MD5 : 72e4039ba7bff7c422726faa56e180fb
SHA1 : ec688404c21d30fc23be16af7cc7e81263f76a25
SHA256: f9693d17f1194a19e9b436a15a0b3ad23ddc4b580e3c58ecfe84ee7e3b83eb01

par **Malekal_morte** » 14 nov. 2011 13:51

La suite avec un fichier PROTECTION.EXE en .NET Microsoft.

Les lignes ajoutées :

O4 - HKCU..\Run: [lan] C:\Users\xxxx\chat-land\Chat-Landmessenger.jar
O4 - HKCU..\Run: [Protection] C:\Users\xxxx\Protection.exe (Copyright)
O4 - HKCU..\Run: [tempHome] C:\Users\xxxx\AppData\Local\Temp\racourci.vbe
O4 - Startup: C:\Users\xxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Protection.lnk = C:\Users\SYNAPSE\Protection.exe (Copyright)

par **Malekal_morte** » 02 déc. 2011 19:36

Ca continue avec "jerecherche.org"

O4 - HKCU..\Run: [lan] C:\Users\CAFRINE\chat-land\Chat-Landmessenger.jar ()
O4 - HKCU..\Run: [tempHome] C:\Users\CAFRINE\AppData\Local\Temp\racourci.vbe File not found

par **Malekal_morte** » 07 févr. 2012 16:09

Mise à jour avec les fichiers suivants :

O4 - HKCU\..\Run: [lan] C:\Documents and Settings\Mak\chat-land\Chat-Landmessenger.jar
O4 - HKCU\..\Run: [appinfo] C:\Documents and Settings\Makappinfo.exe\appinfo.exe

qui pointe vers les sites :

jerecherche.org
parcourir.org
encyclopedie.org
jexplore.net
je-desire.com

voir aussi du côté de telecharger-gratuit.com - myIweb

Malekal.com forum

jerecherche.org et chat-land.org

jerecherche.org et chat-land.org

Re: winternet.exe / cherche.us et chat-land.org

Re: winternet.exe / cherche.us et chat-land.org

Re: winternet.exe / cherche.us et chat-land.org

Re: winternet.exe / cherche.us et chat-land.org

Re: jerecherche.org et chat-land.org