PUP.Optional.Tuguu / Adware.Win32.DomaIQ / PUP.OutBrowse

[Malekal_morte]

PUP.Optional.Tuguu / Adware.Win32.DomaIQ est un programme d'affiliation de packs de programmes parasites qui se propagent essentiellement par de fausses mises à jour Flash, Java ou Video Update / Lecteur Video.

Exemple :

• Popups Video Player Update / Mise à jour Lecteur Vidéo.
• fausses popups Java / Flash

Le WE du 1er Novembre, une grosse campagne de ces malvertising a eu lieu, notamment les sites Ebay et DeviantArt furent touchés : http://forum.malekal.com/virus-java-vir ... 49616.html
Ebay est souvent touché => http://forum.malekal.com/malvertising-l ... 48884.html

Plus d'informations sur ce réseau de malvertising, se reporter à ce lien : Malvertising - Kyle & Stan

Comment se propage PUP.Optional.Tuguu / Adware.Win32.DomaIQ
La société Tuguu gère le pack et des groupes peuvent en faire la promotion via le programme d'affiliation, le groupe gagne de l'argent à chaque installation réussie du pack, donc plus ce groupe va installer ce pack, plus il va gagner de l'argent.
D'où pour certains des méthodes plus que border line avec des tromperies comme les fausses mises à jour Java afin qu'un maximum d'utilisateur télécharge et installe ce pack.

Exemple d'une vidéo qui montre les malvertising Fake Flash qui remplace le site que l'on tente de visiter


ou encore cette vidéo où on voit un onglet qui s'ouvre tout seul



On peux aussi avoir des propositions de mise à jour "Media Player" ou "Video Player" avec des adresses lpmxpXXX.com
ou X sont des chiffres.
Exemple avec Ebay : https://www.malekal.com/2014/05/20/ebay ... -obsolete/



La majorité des détournements des pages de démarrage/recherche sur les navigateur proviennent de ce programme parasite étant donné que les fausses mises à jour Java / Flash font des ravages. On en parlait par exemple avec Nation Zoom sur ce sujet : https://www.malekal.com/2013/12/03/nati ... up-domaiq/

Quelques exemples de détections : https://www.virustotal.com/fr/file/a4ba ... /analysis/

AntiVir APPL/DomaIQ.Gen 20140515
ESET-NOD32 a variant of Win32/DomaIQ.BE 20140515
Ikarus PUA.Tugus 20140515
K7AntiVirus Unwanted-Program ( 004962371 ) 20140515
K7GW Unwanted-Program ( 004962371 ) 20140515
Malwarebytes PUP.Optional.Tuguu 20140515
Panda Trj/Genetic.gen 20140515
Sophos DomainIQ pay-per install 20140515
VIPRE DomaIQ (fs) 20140515

https://www.virustotal.com/fr/file/b2af ... 400231403/

AVG Skodna.Generic_r.HX 20140516
Ad-Aware Adware.DomaIQ.P 20140516
Agnitum Adware.DomaIQ!qWi++TO3cxQ 20140515
AhnLab-V3 PUP/Win32.DomaIQ 20140515
AntiVir APPL/DomaIQ.P.1 20140516
Avast Win32:DomaIQ-BS [PUP] 20140516
BitDefender Adware.DomaIQ.P 20140516
ByteHero Virus.Win32.Part.a 20140516
CAT-QuickHeal Adware.Domal.A5 20140516
Comodo Application.Win32.DMIQ.A 20140516
Emsisoft Adware.DomaIQ.P (B) 20140516
F-Secure Adware.DomaIQ.P 20140516
Fortinet Adware/DomaIQ 20140516
GData Adware.DomaIQ.P 20140516
Ikarus AdWare.DomaIQ 20140516
Jiangmin AdWare/DomaIQ.cj 20140516
K7AntiVirus Unwanted-Program ( 00493b941 ) 20140516
K7GW Unwanted-Program ( 00493b941 ) 20140515
Kaspersky not-a-virus:AdWare.Win32.Lollipop.qp 20140516
Kingsoft Win32.Troj.DomaIQ.e.(kcloud) 20140516
Malwarebytes PUP.Optional.BundleInstaller.A 20140516
McAfee Adware-DomaIQ!62B76E6AA326 20140516
MicroWorld-eScan Adware.DomaIQ.P 20140516
NANO-Antivirus Riskware.Win32.DomaIQ.crbkiq 20140516
Panda Trj/CI.A 20140515
Rising PE:PUF.DomaIQ!1.9EEB 20140507
Sophos DomainIQ pay-per install 20140516
Symantec WS.Reputation.1 20140516
VBA32 BScope.Downware.DomaIQ 20140514
VIPRE Trojan.Win32.Generic!BT 20140516
Zillya Adware.DomaIQ.Win32.31 20140516
nProtect Adware.DomaIQ.P 20140515

https://www.virustotal.com/fr/file/8ef6 ... /analysis/

AVG Generic.D24 20140515
AntiVir APPL/DomaIQ.Gen 20140515
Baidu-International Adware.Win32.DomaIQ.AjGx 20140515
ESET-NOD32 a variant of Win32/DomaIQ.BE 20140515
Fortinet Adware/MSIL_DomaIQ 20140515
GData Win32.Trojan-Downloader.Lisp.A 20140515
K7AntiVirus Unwanted-Program ( 004962371 ) 20140515
K7GW Unwanted-Program ( 004962371 ) 20140515
Kaspersky not-a-virus:AdWare.MSIL.DomaIQ.apyg 20140515
Malwarebytes PUP.Optional.BundleInstaller.A 20140515
Panda PUP/MultiToolbar.A 20140515
Sophos DomainIQ pay-per install 20140515
VIPRE DomaIQ (fs) 20140515

Par exemple, l'installeur dans le cas des "Video Player Update" peux se présenter sous la forme d'un programme New Player - il faut juste trouver un prétexte pour que l'utilisateur ouvre l'installeur....



Fausses page Flash et Java :




ou encore de fausses indications de mises à jour nécessaires pour refourguer un programme de mise à jour de drivers : http://forum.malekal.com/attention-mise ... 48820.html






Ce dernier vous annonce qu'il va installer une multitude de programmes MyPCBackup, AntiMalware Activeris, Feven et Optimizer Pro.
Bien entendu, il y a des conditions générales avec la mention DomaIQ. C'est en anglais, vous comprenez pas ? qu'importe, cliquez sur suivant pour que votre PC devienne une machines à sous



Début Mai, je me suis attaqué à ces malvertisings et j'espère leur avoir fait mal, ceci est résumé sur la page suivante (en anglais) : http://malvertising.stopmalwares.com/20 ... ate-pages/

Avast! et URL:Mal

Avast! détecte maintenant ces redirections de cette manière :

Code : Tout sélectionner

16/05/2014 14:17:26	http://192.184.48.12/fa2.php?dsb=10924152 [L] URL:Mal (0)
16/05/2014 14:38:52	http://192.184.48.12/fa2.php?dsb=10924150 [L] URL:Mal (0)
16/05/2014 14:44:59	http://192.184.48.12/fa2.php?dsb=10924150 [L] URL:Mal (0)
16/05/2014 18:24:41	http://192.184.48.12/fa2.php?dsb=10924150 [L] URL:Mal (0)
16/05/2014 18:24:46	http://192.184.48.12/fa2.php?dsb=10924152 [L] URL:Mal (0)
16/05/2014 18:24:46	http://192.184.48.12/fa2.php?dsb=10924152 [L] URL:Mal (0)
16/05/2014 18:24:47	http://192.184.48.12/fa2.php?dsb=10924152 [L] URL:Mal (0)

L'IP et la page PHP peux changer.

avast2.png

Blockulicious

Le programme Blockulicious peux bloquer ces publicités malicieuses : Blockulicious

Mon Antivirus détecte PUP.DomaIQ ou PUP.Tuguu

La détection DomaIQ est seulement l'installeur qui va ensuite installer d'autres programmes parasites (toujours par affiliation, la société Tuguu va gagner de l'argent à chaque installation réussie des autres programmes, ouvertures de publicités etc).

Donc si votre antivirus détecte ce dernier, c'est probablement un installeur qui se trouve dans votre dossier de téléchargement, vous pouvez le supprimer manuellement.
Si vous avez des publicités intempestives qui s'ouvrent sur l'ordinateur, alors suivez la procédure de désinfections des PUP.Optional / Adwares ou encore SoftPulse et DomaIQ / Win32/SoftPulse

Demander de l'aide sur le forum

Si vous n'arrivez pas à vous désinfecter, vous pouvez créer un sujet dans la partie Virus du forum afin d'obtenir de l'aide : virus-aide-malwares-vers-trojans-spywares-hijack.html

Prévention

Pour ne plus vous faire avoir par les programmes parasites - lisez la page suivante : Adwares / PUPs et programmes parasites

[Malekal_morte]

SoftPulse (Aka DomaIQ) est toujours vivant.
Les fausses pages de mises à jour Java et Flash sont beaucoup moins actives.

Mais encore actif sur de fausses sites de cracks/Keygen ou sur des sites de streaming.
En haut un bandeau pour faire télécharger une mise à jour Media Player.



Cette bannière est poussée par Toro Advertising :
Poussé par Toro Advertising :

Admin Name: Toro Advertising
Admin Organization: Toro Advertising
Admin Street: Toro Street 35
Admin City: Barcelona
Admin State/Province: none
Admin Postal Code: 8210
Admin Country: ES
Admin Phone: +34.6666666
Admin Phone Ext.:
Admin Fax:
Admin Fax Ext.:
Admin Email: [email protected]

qui conduit à l'habituelle page de mise à jour du "lecteur video".



Le fichier est signé DIGITAL PLUGIN S.L.U - toujours en Espagne.

CN = DIGITAL PLUGIN S.L.U
O = DIGITAL PLUGIN S.L.U
L = Guia de Isora
S = Santa Cruz de Tenerife
C = ES

=> https://www.virustotal.com/fr/file/1a5b ... /analysis/

SHA256: 1a5b0670f85b3574dc3583bb06325d54c513f073c36f6d8bf61e71ef6b4dd1ff
Nom du fichier : Setup.exe
Ratio de détection : 26 / 55
Date d'analyse : 2015-10-30 13:56:40 UTC (il y a 4 minutes)

ALYac Adware.Agent.QBB 20151030
AVG AdPlugin.FJI 20151030
AVware Adware.SoftPulse 20151030
Ad-Aware Application.Bundler.DomaIQ.Y 20151030
Agnitum PUA.SoftPulse! 20151029
AhnLab-V3 PUP/Win32.SoftPulse 20151030
Antiy-AVL GrayWare[AdWare:not-a-virus,HEUR]/Win32.SoftPulse 20151030
Arcabit Application.Bundler.DomaIQ.Y 20151030
Avira PUA/Softpulse.Gen 20151030
BitDefender Application.Bundler.DomaIQ.Y 20151030
Bkav W32.HfsAdware.41F7 20151029
ClamAV Win.Adware.Softpulse-208 20151030
DrWeb Trojan.Domaiq.321 20151030
ESET-NOD32 a variant of Win32/SoftPulse.AJ potentially unwanted 20151030
F-Secure Application.Bundler.DomaIQ 20151030
GData Application.Bundler.DomaIQ.Y 20151030
Jiangmin AdWare/SoftPulse.avzn 20151030
K7AntiVirus Unwanted-Program ( 004ce22e1 ) 20151030
K7GW Unwanted-Program ( 004ce22e1 ) 20151030
Kaspersky not-a-virus:AdWare.Win32.SoftPulse.eewt 20151030
Malwarebytes PUP.Optional.SoftPulse 20151030
MicroWorld-eScan Application.Bundler.DomaIQ.Y 20151030
NANO-Antivirus Riskware.Win32.SoftPulse.dydypc 20151030
Sophos SoftPulse (PUA) 20151030
VIPRE Adware.SoftPulse 20151030
Zillya Adware.BrowseFox.Win32.128684

Le setup installe MixVideoPlayer qui va ouvrir occasionnellement des publicités via C:\Program Files\MixVideoPlayer\BrowserWeb.exe

[Malekal_morte]

Deux sites de streaming qui poussent du SoftPulse / DomaIQ.
Le premier par un faux message de mise à jour MediaPlayer



le second même type faux message de mise à jour Java.

Domain Name: NEWSOFTIN.COM
Registrar: NAME.COM, INC.
Sponsoring Registrar IANA ID: 625
Whois Server: whois.name.com
Referral URL: http://www.name.com
Name Server: NS1PSW.NAME.COM
Name Server: NS2DQR.NAME.COM
Name Server: NS3JNR.NAME.COM
Name Server: NS4KSY.NAME.COM
Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Updated Date: 05-feb-2015
Creation Date: 05-feb-2015
Expiration Date: 05-feb-2016

qui conduit à GETSOFTWRED.COM

Domain Name: GETSOFTWRED.COM
Registry Domain ID: 1966408884_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.scip.es
Registrar URL: http://www.dondominio.com
Updated Date: 2015-10-06T17:36:06+02:00
Creation Date: 2015-10-06T15:35:04+02:00
Registrar Registration Expiration Date: 2016-10-06T15:35:04+02:00
Registrar: DonDominio (SCIP)
Registrar IANA ID: 1383
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +34.871-98-66-00


Domain Status: ok (http://www.icann.org/epp#ok)
Registry Registrant ID:
Registrant Name: Whois Privacy Service Protects this domain
Registrant Organization: Only contact by email, all postal mail will be rejected
Registrant Street: Ronda Institut, 24
Registrant City: Manacor
Registrant State/Province: Illes Balears
Registrant Postal Code: 07500
Registrant Country: ES
Registrant Phone: +34.871987733
Registrant Phone Ext:
Registrant Fax: +34.871986601
Registrant Fax Ext:
Registrant Email: [email protected]

Le Setup est signé par Symantec et encore en Espagne https://www.virustotal.com/fr/file/d9db ... 447690886/

CN = Volvan Premium
O = Volvan Premium
L = Barcelona
S = Barcelona
C = ES

~~

ou encore ce faux message de mise à jour Flash :



qui conduit à la fausse page de téléchargement du lecteur vidéo.

On retrouve les mêmes régies publicitaires.

Code : Tout sélectionner

http://toroadvertisingmedia.com/js/show_ads_toroadv.js?pubId=2004
http://toroadvertisingmedia.com/ads?v=1&key=f7f077d9be04d0df34a8d18db8b398ff&adsCampaignKey=1449578667612&ch=&click=&tz=1&t=1449578667739&requestUrl=http%3A%2F%2Fc.netu.tv%2F152.html%3F5&requestRef=http%3A%2F%2Fhqq.tv%2Fplayer%2Fembed_player.php%3Fvid%3D235235208235238239231224208234228205%26autoplay%3Dno&flashVer=14.0%20r0&toroadv_width=468&toroadv_height=60&scrWidth=1280&scrHeight=1024
http://www.newsoftin.com/9IIwciD0/videoupdater/?sid=ODAzIzE2MDMjMTI2IzIwMDR8NzY5MDV8RlJ8MnwxfHw&PubID=300
http://www.getsoftwred.com/30733620257C2D67267724575D31612F99ED412F1253FEE8B272CFD6080AEDC9FDED5552D4967E3090E31217E2AA5FBA?sid=ODAzIzE2MDMjMTI2IzIwMDR8NzY5MDV8RlJ8MnwxfHw&slp=www.newsoftin.com&PubID=300

[Malekal_morte]

On continue avec les campagnes DomaIQ / SoftPulse.

Ce dernier est proposé par..... Bing... et oui.
Notez que Bing propose aussi des arnaques SMS à l'installation de Flash Player.
(A ce sujet, se reporter à la page : PUPs/Adwares : guerre des moteurs de recherche)





Le programme d'affiliation est différent des précédents mais on retrouve des similitudes comme des URLs en admin.xxx



Le fichier signé par Sambamedia - Enregistré aux USA :

CN = Sambamedia LLC
O = Sambamedia LLC
L = Wilmington
S = Delaware
C = US

Le setup est différent des précédents aussi mais propose à peu près les mêmes programmes indésirables et adwares.
La détection est bonne : https://www.virustotal.com/fr/file/78a9 ... 448739698/

SHA256: 78a9d5ea1efeb823206b5a4176d8f7dcd8a9d29c90418217370560d9fa79ea50
Nom du fichier : daemon_tools_lite.exe
Ratio de détection : 32 / 55
Date d'analyse : 2015-11-28 19:41:38 UTC (il y a 0 minute)

A noter la détection de NOD32 que je n'avais pas vu jusque là : a variant of Win32/Adware.Sambamedia.A
La page de bienvenue


et la série des adwares/programmes indésirables...
Browser-App
BrowserAir
Check Me Up
LolliScan
Super Optimizer






On Termine par MyPCBackup :


Bravo à Bing.