Data Protection

Listes des différents Rogues/Scareware
Curson

Data Protection

par Curson »

Data Protection est un rogue (faux anti-spyware) qui s'installe sans permission, le malware affiche de fausses alertes vous indiquant que vous êtes infecté par un spyware et vous recommande d'acheter ce faux anti-spyware pour soit disant désinfecter votre ordinateur.

A noter qu'en plus des exploits sur des sites WEB, le rogue peut être contracté via des Faux Codec

Il est souvent accompagné de TDSS/Alureon.

Ce rogue incite également l'utilisateur à désinstaller ses programmes de sécurité.

Supprime les directives de cette page pour supprimer le rogue : http://forum.malekal.com/supprimer-les- ... t5472.html

Image

L'infection est configurée pour se relancer au démarrage :
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Data Protection"="C:\Program Files\Data Protection\datprot.exe"
L'accès au registre est désactivé :
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"="1"
Haut
Malekal_morte
Messages : 114133
Inscription : 10 sept. 2005 13:57

Re: Data Protection

par Malekal_morte »

Le dropper TDSS/Alueron qui va avec : http://forum.malekal.com/http-finderdow ... 25415.html
Process:
Path: C:\WINDOWS\system32\spoolsv.exe
PID: 3464
Information: Spooler SubSystem App (Microsoft Corporation)
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAnmspmpexpb
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
Malekal_morte
Messages : 114133
Inscription : 10 sept. 2005 13:57

Re: Data Protection

par Malekal_morte »

Toujours en vie, peux éventuellement être installé via Bredolab qui se propage par mail (mais ça peux être un autre rogue) :
setting for your mailbox malek_@_malekal.com are changed
SMTP and POP3 servers for malek_@_malekal.com mailbox are changed. Please carefully read the attached instructions before updating settings.
File setup2.zip received on 2010.05.14 14:29:20 (UTC)
Current status: finished
Result: 13/41 (31.71%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.14.01 2010.05.14 Malware/Win32.Heur.h6
AntiVir 8.2.1.242 2010.05.14 TR/Crypt.XPACK.Gen
Antiy-AVL 2.0.3.7 2010.05.14 -
Authentium 5.2.0.5 2010.05.14 W32/Bredolab.T.gen!Eldorado
Avast 4.8.1351.0 2010.05.13 -
Avast5 5.0.332.0 2010.05.13 -
AVG 9.0.0.787 2010.05.14 -
BitDefender 7.2 2010.05.14 Trojan.Bredolab.BR
CAT-QuickHeal 10.00 2010.05.14 Win32.Packed.Krap.x.4
ClamAV 0.96.0.3-git 2010.05.14 -
Comodo 4837 2010.05.14 -
DrWeb 5.0.2.03300 2010.05.14 -
eSafe 7.0.17.0 2010.05.13 -
eTrust-Vet 35.2.7488 2010.05.14 -
F-Prot 4.5.1.85 2010.05.14 W32/Bredolab.T.gen!Eldorado
F-Secure 9.0.15370.0 2010.05.14 Trojan.Bredolab.BR
Fortinet 4.1.133.0 2010.05.14 -
GData 21 2010.05.14 Trojan.Bredolab.BR
Ikarus T3.1.1.84.0 2010.05.14 -
Jiangmin 13.0.900 2010.05.14 -
Kaspersky 7.0.0.125 2010.05.14 -
McAfee 5.400.0.1158 2010.05.14 Generic Dropper.lr
McAfee-GW-Edition 2010.1 2010.05.14 -
Microsoft 1.5703 2010.05.14 -
NOD32 5115 2010.05.14 -
Norman 6.04.12 2010.05.14 -
nProtect 2010-05-14.01 2010.05.14 Trojan.Bredolab.BR
Panda 10.0.2.7 2010.05.14 Trj/CI.A
PCTools 7.0.3.5 2010.05.14 -
Prevx 3.0 2010.05.14 High Risk Cloaked Malware
Rising 22.47.04.03 2010.05.14 -
Sophos 4.53.0 2010.05.14 -
Sunbelt 6302 2010.05.14 Packed.Win32.Krap.x (v)
Symantec 20101.1.0.89 2010.05.14 -
TheHacker 6.5.2.0.280 2010.05.14 -
TrendMicro 9.120.0.1004 2010.05.14 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.14 -
VBA32 3.12.12.5 2010.05.14 -
ViRobot 2010.5.14.2316 2010.05.14 -
VirusBuster 5.0.27.0 2010.05.14 -
Additional information
File size: 8285 bytes
MD5 : 3cc576970874142b33464a749db24046
SHA1 : a54964aa89109ea6523b129e9c35c95879b00efb

Code : Tout sélectionner

1273846454.819    928 192.168.1.27 TCP_MISS/404 584 GET http://69.197.147.187/getfile.php?r=1608745398&p=TUFDSElORT0wRTMzQkZBODc2NDM5QzdDMjk0ODhGQzU3NjRBRTUyMg0KT1A9SU5GTw0KVFJLPTI0DQo= - DIRECT/69.197.147.187 text/html
1273846461.253    762 192.168.1.27 TCP_MISS/404 584 GET http://69.197.147.187/getfile.php?r= - DIRECT/69.197.147.187 text/html
1273846463.727      0 192.168.1.27 TCP_NEGATIVE_HIT/404 591 GET http://69.197.147.187/getfile.php?r=1608745398&p=TUFDSElORT0wRTMzQkZBODc2NDM5QzdDMjk0ODhGQzU3NjRBRTUyMg0KT1A9SU5GTw0KVFJLPTI0DQo= - NONE/- text/html
1273847773.639   1083 192.168.1.27 TCP_MISS/200 22882 GET http://195.88.144.79/fixer_sdgarsadg.exe - DIRECT/195.88.144.79 application/octet-stream
1273847774.138    486 192.168.1.27 TCP_MISS/200 251235 GET http://94.102.52.38/setup.exe - DIRECT/94.102.52.38 application/octet-stream
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Haut
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Rogues/Scareware & Programmes douteux »