Nouveau rogue en circulation?

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
lilidurhone
Messages : 335
Inscription : 13 oct. 2011 07:42

Nouveau rogue en circulation?

par lilidurhone »

Hello à tous

Bref je ne sais pas si c'est nouveau ou pas mais il y a un rogue qui se fait passer pour Gdata

Les détections sur VT sont assez faibles 11/46

Plus d'information sur ce sujet http://www.commentcamarche.net/forum/af ... #p27849284

Pour info il a encore l'exécutable dans les fichiers temps PDT_008
Voilà si ça intéresse quelqu'un

Bonne journée
Image
lilidurhone
Messages : 335
Inscription : 13 oct. 2011 07:42

Re: Nouveau rogue en circulation?

par lilidurhone »

Je remercie l'internaute pour les captures d'écrans

http://www.hostingpics.net/viewer.php?i ... 240084.jpg

Les fichiers infectieux




[MD5.8A749764DB8C8569C017924D6EF313F5] [SPRF][17/05/2013] (.G Data Software AG - G Data AntiVirus 2012.) -- C:\Users\Claudie\AppData\Local\Temp\29568429.exe [887296]
[MD5.9FC31C1CB7ABE5FFCCF76FF29C9067B0] [SPRF][17/05/2013] (.?????????? ?????????? - ???????? ?????? ????????.) -- C:\Users\Claudie\AppData\Local\Temp\3XVP6FI.exe [167936]

Alors verdict ^^
Image
lilidurhone
Messages : 335
Inscription : 13 oct. 2011 07:42

Re: Nouveau rogue en circulation?

par lilidurhone »

Merci pour le mp

Par contre il faudra que le helpé revienne je lui ai dit de ne surtout pas supprimer les deux fichiers en question

Donc dès que j'ai des nouvelles je fais signe ici PDT_003
Image
Malekal_morte
Messages : 110293
Inscription : 10 sept. 2005 13:57

Re: Nouveau rogue en circulation?

par Malekal_morte »

Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
lilidurhone
Messages : 335
Inscription : 13 oct. 2011 07:42

Re: Nouveau rogue en circulation?

par lilidurhone »

Merci Malekal

Bref dès qu'il revient je lui fait supprimer

Pas besoin des fichiers alors

C'est pas la même interface qu'il m'a montré en capture d'écran sur CCM PDT_008
Image
ѠOOT

Re: Nouveau rogue en circulation?

par ѠOOT »

Bonjour lilidurhone,

Nous avons vérifié avec le hash que vous avez signalé dans votre premier message.

[MD5.8A749764DB8C8569C017924D6EF313F5] [SPRF][17/05/2013] (.G Data Software AG - G Data AntiVirus 2012.) -- C:\Users\Claudie\AppData\Local\Temp\29568429.exe [887296]

Il s'agit bien de l'interface "Internet Security 2013" depuis le fichier "amsecure.exe".
lilidurhone
Messages : 335
Inscription : 13 oct. 2011 07:42

[Résolu] Re: Nouveau rogue en circulation?

par lilidurhone »

Oki merci

Bref dès qu'il revient pour finir la désinfection(si il revient je supprime ce qu'il reste d'infectieux PDT_003
Image
ѠOOT

Re: Nouveau rogue en circulation?

par ѠOOT »

Bonjour,

Une petite astuce visible sur le rapport utilisateur.

---\\ Random Export Key (O91)
[HKCU\Software\E554D0C96BE92820D593D734536B4A85]:FRun="0"
[HKCU\Software\E554D0C96BE92820D593D734536B4A85]:O`ld="Houdsodu!Rdbtshux"
[HKCU\Software\E554D0C96BE92820D593D734536B4A85]:Q`ui="B;]Trdsr]Bm`tehd]@qqE`u`]Sn`lhof]`lrdbtsd/dyd"
~ Export Key Software: Scanned in 00mn 00s


Une opération permet de mettre en évidence, le nom du faux logiciel de sécurité ainsi que son emplacement.
Un simple XOR sur les valeurs ASCII et le tour est joué → ⊕ 1 :]

[HKCU\Software\E554D0C96BE92820D593D734536B4A85]:O`ld="Internet Security"
[HKCU\Software\E554D0C96BE92820D593D734536B4A85]:Q`ui="C:\Users\Claudie\AppData\Roaming\amsecure.exe"
lilidurhone
Messages : 335
Inscription : 13 oct. 2011 07:42

Re: Nouveau rogue en circulation?

par lilidurhone »

Hello

Merci



Bref ce matin quelqu'un a posté sur une de mes désinf. et à posté deux liens plus que douteux

hxxp://pctipstrucs.org/os-optimum-tool/os-optimum


Surtout le deuxième qui ressemble fortement à un rogue Oo

hxxp://pctipstrucs.org/virus-removal-tools/48-windows-stability-maximizer-easy-manual-removal-or-with-a-free-virus-removal-tool-
Image
ѠOOT

Re: Nouveau rogue en circulation?

par ѠOOT »

Bonjour,

Il s'agit de liens promotionnels non sollicités émanant d'un affilié à la distribution d'applications ( comme SpyHunter ) du groupe Enigma Software. Ces spams links sont placés pour séduire les utilisateurs désespérés pensant trouver ici le remède miracle à tous les maux de la planète - ou comment alléger inutilement son porte-feuille de quelques euros... L'histoire de savoir si oui ou non ces logiciels de sécurité sont faux est ancienne. Avec un peu de bon sens, on s'aperçoit rapidement que le simple fait d'avoir des pratiques commerciales désagréables et d'utiliser des campagnes marketing agressives sur les forums reflète bien les motivations réelles ces sociétés.

Revenir à « Securite informatique »