XP Guardian 2010

Curson · par **Curson** » 01 mars 2010 23:03

XP Guardian 2010 est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware pour soit disant désinfecter votre ordinateur.

L'infection s'installe dans les dossiers du profil de l'utilisateur :

C:\Documents and Settings\Curson\Local Settings\Application Data\av.exe

Le registre est modifié de façon à exécuter le rogue lorsque l'utilisateur lance Internet Explorer ou Firefox :

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
"C:\Documents and Settings\Curson\Local Settings\Application Data\av.exe" /START "C:\Program Files\Internet Explorer\iexplore.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command]
"C:\Documents and Settings\Curson\Local Settings\Application Data\av.exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe"

Certaines clés liées aux associations de fichiers sont modifiées de façon similaire :

[HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command]
@="C:\Documents and Settings\Curson\Local Settings\Application Data\av.exe" /START "%1" %*

[HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command]
@="C:\Documents and Settings\Curson\Local Settings\Application Data\av.exe" /START "%1" %*

Scan du dropper :

a-squared 4.5.0.50 2010.03.01 Trojan.Win32.FakeAV!IK
AhnLab-V3 5.0.0.2 2010.02.28 -
AntiVir 8.2.1.176 2010.03.01 -
Antiy-AVL 2.0.3.7 2010.03.01 -
Authentium 5.2.0.5 2010.03.01 W32/FakeSec.A.gen!Eldorado
Avast 4.8.1351.0 2010.03.01 -
Avast5 5.0.332.0 2010.03.01 -
AVG 9.0.0.730 2010.03.01 -
BitDefender 7.2 2010.03.01 -
CAT-QuickHeal 10.00 2010.03.01 (Suspicious) - DNAScan
ClamAV 0.96.0.0-git 2010.03.01 -
Comodo 4091 2010.02.28 -
DrWeb 5.0.1.12222 2010.03.01 -
eSafe 7.0.17.0 2010.03.01 -
eTrust-Vet 35.2.7334 2010.03.01 -
F-Prot 4.5.1.85 2010.03.01 W32/FakeSec.A.gen!Eldorado
F-Secure 9.0.15370.0 2010.03.01 -
Fortinet 4.0.14.0 2010.02.28 -
GData 19 2010.03.01 -
Ikarus T3.1.1.80.0 2010.03.01 Trojan.Win32.FakeAV
Jiangmin 13.0.900 2010.03.01 -
K7AntiVirus 7.10.986 2010.03.01 -
Kaspersky 7.0.0.125 2010.03.01 -
McAfee 5907 2010.03.01 -
McAfee+Artemis 5907 2010.03.01 -
McAfee-GW-Edition 6.8.5 2010.03.01 Heuristic.LooksLike.Trojan.FraudPack.H
Microsoft 1.5502 2010.03.01 -
NOD32 4906 2010.03.01 a variant of Win32/Kryptik.CSL
Norman 6.04.08 2010.03.01 -
nProtect 2009.1.8.0 2010.03.01 -
Panda 10.0.2.2 2010.03.01 -
PCTools 7.0.3.5 2010.02.28 -
Prevx 3.0 2010.03.01 -
Rising 22.37.00.04 2010.03.01 Trojan.Win32.FakeAV.BAT
Sophos 4.50.0 2010.03.01 Mal/FakeAV-BT
Sunbelt 5716 2010.03.01 -
Symantec 20091.2.0.41 2010.03.01 AntiVirus2010
TheHacker 6.5.1.7.217 2010.03.01 -
TrendMicro 9.120.0.1004 2010.03.01 -
VBA32 3.12.12.2 2010.03.01 -
ViRobot 2010.2.27.2206 2010.02.27 -
VirusBuster 5.0.27.0 2010.03.01 -

Information additionnelle
File size: 183808 bytes
MD5...: 9ccdaca6e99e0620c564209f097c0b80
SHA1..: d25bc695a3e81f130b82da2ba11dffce6f91133d