Security Guard

Listes des différents Rogues/Scareware
Curson

Security Guard

par Curson »

Security Guard est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware pour soit disant désinfecter votre ordinateur.

Il succède au rogue Dr. Guard et, suite logique des choses, il installe également le rootkit TDL3.

Image


L'infection s'installe dans les dossiers du profil de l'utilisateur global :
C:\Documents and Settings\All Users\Application Data\a2c49\SG85b.exe
Les noms du dossier et de l'exécutable sont générés aléatoirement à l'installation. A noter qu'un autre dossier contenant des fichiers de configuration peut être présent


Le registre est modifié de façon à exécuter le rogue au démarrage du système et lorsque l'utilisateur lance Internet Explorer. Le shell de la session courante est également remplacé.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Security Guard"="C:\Documents and Settings\All Users\Application Data\c07b4bc\SGc07b.exe" /s /d"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}]
@="Implements DocHostUIHandler"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\LocalServer32]
@="C:\\DOCUME~1\\ALLUSE~1\\APPLIC~1\\a2c49\\SG85b.exe"
[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3F2BBC05-40DF-11D2-9455-00104BC936FF}\ProgID]
@="SG85b.DocHostUIHandler"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="'"C:\Documents and Settings\All Users\Application Data\c07b4bc\SGc07b.exe" /s /d'"
Le malware utilise également le "Heap Tracing" sur certaines DLL's :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\eappcfg]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\eappprxy]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh\Napmontr]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\qagent]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\qutil]
De même, il empêche le lancement de nombreux exécutables via Image File Execution Options. Parmi-eux figurent de nombreux AV mais également un certain nombre de rogues concurrents.


Les SearchScopes (Internet Explorer) sont modifiés :
Les préférences de Firefox sont modifiées (via prefs.js et search.xml) pour implémenter un nouvel user-agent et ajouter un nouveau moteur de recherche.
user_pref("general.useragent.extra.firefox", " Firefox 977807097903 Library1.01098 ");
<Image width="16" height="16">data:image/x-icon;base64, ... </Image>
<Url type="text/html" method="GET" template="http://findgala.com/?">
<Param name="q" value="{searchTerms}"/>
<Param name="uid" value="1098"/>
</Url>
</SearchPlugin>
Le fichiers hosts est modifié de façon à rediriger les recherches effectuées par l'internaute et sécuriser l'accès vers les sites d'achat du rogue.
74.125.45.100 4-open-davinci.com
74.125.45.100 securitysoftwarepayments.com
74.125.45.100 privatesecuredpayments.com
74.125.45.100 secure.privatesecuredpayments.com
74.125.45.100 getantivirusplusnow.com
74.125.45.100 secure-plus-payments.com
74.125.45.100 http://www.getantivirusplusnow.com
74.125.45.100 http://www.secure-plus-payments.com
74.125.45.100 http://www.getavplusnow.com
74.125.45.100 safebrowsing-cache.google.com
74.125.45.100 urs.microsoft.com
74.125.45.100 http://www.securesoftwarebill.com
74.125.45.100 secure.paysecuresystem.com
74.125.45.100 paysoftbillsolution.com
74.125.45.100 protected.maxisoftwaremart.com
67.215.240.115 http://www.google.com
67.215.240.115 google.com
67.215.240.115 google.com.au
67.215.240.115 http://www.google.com.au
67.215.240.115 google.be
67.215.240.115 http://www.google.be
67.215.240.115 google.com.br
67.215.240.115 http://www.google.com.br
67.215.240.115 google.ca
67.215.240.115 http://www.google.ca
67.215.240.115 google.ch
67.215.240.115 http://www.google.ch
67.215.240.115 google.de
67.215.240.115 http://www.google.de
67.215.240.115 google.dk
67.215.240.115 http://www.google.dk
67.215.240.115 google.fr
67.215.240.115 http://www.google.fr
67.215.240.115 google.ie
67.215.240.115 http://www.google.ie
67.215.240.115 google.it
67.215.240.115 http://www.google.it
67.215.240.115 google.co.jp
67.215.240.115 http://www.google.co.jp
67.215.240.115 google.nl
67.215.240.115 http://www.google.nl
67.215.240.115 google.no
67.215.240.115 http://www.google.no
67.215.240.115 google.co.nz
67.215.240.115 http://www.google.co.nz
67.215.240.115 google.pl
67.215.240.115 http://www.google.pl
67.215.240.115 google.se
67.215.240.115 http://www.google.se
67.215.240.115 google.co.uk
67.215.240.115 http://www.google.co.uk
67.215.240.115 google.co.za
67.215.240.115 http://www.google.co.za
67.215.240.115 http://www.google-analytics.com
67.215.240.115 http://www.bing.com
67.215.240.115 search.yahoo.com
67.215.240.115 http://www.search.yahoo.com
67.215.240.115 uk.search.yahoo.com
67.215.240.115 ca.search.yahoo.com
67.215.240.115 de.search.yahoo.com
67.215.240.115 fr.search.yahoo.com
67.215.240.115 au.search.yahoo.com
Scan du dropper :
a-squared 4.5.0.50 2010.03.22 Trojan.TDss!IK
AhnLab-V3 5.0.0.2 2010.03.22 -
AntiVir 8.2.1.196 2010.03.22 -
Antiy-AVL 2.0.3.7 2010.03.19 -
Authentium 5.2.0.5 2010.03.22 -
Avast 4.8.1351.0 2010.03.22 Win32:Jifas-EN
Avast5 5.0.332.0 2010.03.22 Win32:Jifas-EN
AVG 9.0.0.787 2010.03.22 -
BitDefender 7.2 2010.03.22 -
CAT-QuickHeal 10.00 2010.03.22 -
ClamAV 0.96.0.0-git 2010.03.22 -
Comodo 4352 2010.03.22 -
DrWeb 5.0.1.12222 2010.03.22 -
eSafe 7.0.17.0 2010.03.21 -
eTrust-Vet 35.2.7382 2010.03.22 Win32/SecurityGuard.A
F-Prot 4.5.1.85 2010.03.22 -
F-Secure 9.0.15370.0 2010.03.22 -
Fortinet 4.0.14.0 2010.03.22 -
GData 19 2010.03.22 Win32:Jifas-EN
Ikarus T3.1.1.80.0 2010.03.22 Trojan.TDss
Jiangmin 13.0.900 2010.03.22 -
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.03.22 -
McAfee 5928 2010.03.22 -
McAfee+Artemis 5928 2010.03.22 Artemis!CBCCDE11D6A5
McAfee-GW-Edition 6.8.5 2010.03.22 -
Microsoft 1.5605 2010.03.22 -
NOD32 4966 2010.03.22 -
Norman 6.04.09 2010.03.22 -
nProtect 2009.1.8.0 2010.03.22 -
Panda 10.0.2.2 2010.03.22 Suspicious file
PCTools 7.0.3.5 2010.03.22 RogueAntiSpyware.VirusDoctor
Prevx 3.0 2010.03.22 Medium Risk Malware
Rising 22.40.00.04 2010.03.22 -
Sophos 4.51.0 2010.03.22 Mal/FakeAV-CS
Sunbelt 6031 2010.03.22 SecurityGuard.FakeVimes
Symantec 20091.2.0.41 2010.03.22 VirusDoctor
TheHacker 6.5.2.0.241 2010.03.22 -
TrendMicro 9.120.0.1004 2010.03.22 -
VBA32 3.12.12.2 2010.03.22 -
ViRobot 2010.3.22.2238 2010.03.22 -
VirusBuster 5.0.27.0 2010.03.22 -

Information additionnelle
File size: 2328576 bytes
MD5...: cbccde11d6a5b739fe7a3c75b0758149
SHA1..: f9e4086a84170918026a3227299312ae4fc43b94
Haut
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Rogues/Scareware & Programmes douteux »