MS a blogué sur un type de rogues qui est assez répandu : http://blogs.technet.com/mmpc/archive/2 ... -in-1.aspx
Le rogue se charge par un fichier av.exe qui se lance par les shell\open\command
Voir : http://forum.malekal.com/guardian-2010-t23690.html[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
"C:\Documents and Settings\Curson\Local Settings\Application Data\av.exe" /START "C:\Program Files\Internet Explorer\iexplore.exe"
Le rogue existe sous 33 noms mais n'est en fait que le même, l'interface était déjà utilisé l'année dernière via les infections braviax.
Les noms changent selon la version de Windows à savoir :
quelques fiches de ce rogue :Windows 7 :
Win 7 Internet Security 2010
Win 7 Internet Security
Win 7 Antivirus Pro 2010
Win 7 Antivirus Pro
Win 7 Antivirus 2010
Win 7 Antivirus
Win 7 Defender 2010
Win 7 Guardian
Win 7 Guardian 2010
Antivirus Win 7 2010
Win 7 Antispyware 2010
Windows Vista :
Vista Internet Security 2010
Vista Internet Security
Vista Antivirus Pro 2010
Vista Antivirus Pro
Vista Antivirus 2010
Vista Antivirus
Vista Defender 2010
Vista Guardian
Vista Guardian 2010
Antivirus Vista 2010
Vista Antispyware 2010
Windows XP :
XP Internet Security 2010
XP Internet Security
XP Antivirus Pro 2010
XP Antivirus Pro
XP Antivirus 2010
XP Antivirus
XP Defender 2010
XP Guardian
XP Guardian 2010
Antivirus XP 2010
XP Antispyware 2010
http://forum.malekal.com/antispyware-2010-t23820.html
http://forum.malekal.com/antivirux-2010-t23850.html
http://forum.malekal.com/antivirus-pro-2010-t23613.html
http://forum.malekal.com/internet-security-t23292.html
et capture de l'interface :

Combofix ou Malwarebyte's Anti-Malware s'en charge.