Quelques topics concernant cet adware :
- Windows 8 infecté, publicités Jabuticaba / Super Offres
- J'ai eu le virus publicitaire 'Super Offres' sur Windows 8.1
L'adware se caractérise donc par des encarts Super Offres mais aussi des popups lors du surf vers reimage ou des arnaques de support téléphonique.
L'adware jabuticaba revient souvent.
L'adware en question se caractérise par des injections dans les pages WEB visitées avec les URLs :
- fp135.digitaloptout.com
- istatic.eshopcom.com
- cdncage-a.akamaihd.net
- q2u3z6t8.ssl.hwcdn.net/js/vbates.js <= adware vbates
- hxxp://www.tr553.com (déjà utilisé par beaucoup d'adware par le passé)
- on peut aussi trouver des urls outbrain.com
Cela peut conduire à des connections vers mip.prod.wajamu.com (Adware.Wajam ?)
et des publicités Powered by vbates ou Ads by vbates :
Comme évoqué dans l'introduction, la caractéristique principale est que l'adware semble patcher un fichier légitime Windows, ce qui est une première à savoir dnsapi.dll afin de pouvoir injecter les publicités.
Ce qui rend inopérant la plupart des outils de désinfection (AdwCleaner etc) et antivirus, la désinfection peut aussi endommager la couche réseau.
Ci-dessous, des erreurs reportées sur dnsapi.dll par SFC durant un scan sur un Windows 10. SFC n'est pas capable de restaurer le fichier système.
Je n'ai pas le hash du fichier pour le moment.
2 DLL probablement patchés par v-bates :
https://www.virustotal.com/fr/file/d05c ... 438599020/
https://www.virustotal.com/fr/file/c3de ... 438596285/
La page d'affiliation de l'adware Jabuticaba sur une IP bien connue de VirusTotal.
EDIT - Dernière variante LaSuperBa où on trouve le logo de la famille adware v-bates
En vidéo :
patch dnsapi.dll et Antivirus
Avast! détecté ce dernier en Win32:Patched-XXX
Microsoft Security Essential (MSE) détecte dnsapi.dll en Trojan:Win32/Patched du coups il est automatiquement mis en quarantaine ce qui engendre des problèmes ou la perte de la connexion internet.
On trouve aussi beaucoup de détection Trojan.Patched.Shopperz
SHA256: ac8013f3e9914f58bfe1ba998c65584e5d2a89fd7bb93d2607adf0a7c9755f43
File name: dnsapi.dll
Detection ratio: 25 / 56
Analysis date: 2016-05-16 14:46:26 UTC ( 48 minutes ago )
Antivirus Result Update
ALYac Trojan.Patched.Shopperz.1 20160516
AVware Trojan.Win32.DllPatched.hst (v) 20160511
Arcabit Trojan.Patched.Shopperz.1 20160516
BitDefender Trojan.Patched.Shopperz.1 20160516
CAT-QuickHeal Trojan.DllPatcher.A4 20160516
Comodo TrojWare.Win32.Patched.AO 20160516
Cyren W32/Patched.EQ!Eldorado 20160516
DrWeb Trojan.Hosts.37558 20160516
Emsisoft Trojan.Patched.Shopperz.1 (B) 20160516
F-Prot W32/Patched.EQ!Eldorado 20160516
F-Secure Trojan.Patched.Shopperz.1 20160516
Fortinet W32/Patched.AP!tr 20160516
GData Trojan.Patched.Shopperz.1 20160516
Ikarus Trojan.Win32.Patched 20160516
Kaspersky Trojan.Win32.Patched.qw 20160516
McAfee Artemis!FA02EC912483 20160516
McAfee-GW-Edition Artemis!Trojan 20160516
eScan Trojan.Patched.Shopperz.1 20160516
Microsoft Trojan:Win32/Patched.AZ.gen!dll 20160516
NANO-Antivirus Trojan.Win32.Patched.ebrznn 20160516
Sophos Troj/Patched-BM 20160516
Symantec Trojan.Mentono!inf 20160516
TrendMicro-HouseCall HT_PATCHED_FA0500F8.UVPM 20160516
VIPRE Trojan.Win32.DllPatched.hst (v) 20160516
Zillya Trojan.PatchedGen.Win32.11 20160516
Supprimer v-bates / patch dnsapi.dll - publicité "Super Offres"
Les outils qui visent cette variantes adware v-bates
- AdwCleaner gère l'infection.
- RepairDNS
- Combofix (ne fonctionne pas sur Windows 8 et Windows 10)
- DnsApero sauf Windows 10
- HitmanPro
Voir aussi la fiche sur supprimer-virus.com : http://www.supprimer-virus.com/lasuperb ... er-offres/]
Ces outils pour la pluspart restaurent un fichier dnsapi.dll provenant du magasin des composants Windows.
Si aucune version saine du fichier dnsapi.dll n'est présente, la restauration ne sera possible et les outils ne pourront supprimer l'adware v-bates.
Vous pouvez alors tenter la procédure suivante.
Sur Windows 8 et versions supérieures
Cela ne fonctionnera pas sur un Windows Vista et Seven.
Lancez un DISM : SFC / CheckSur / DISM
Soit donc, en invite de commandes en administrateur, passe la commande :
(si vous avez un message "Utilisez une invite de commandes avec élévation de privilèges pour effectuer cesDISM /Online /Cleanup-image /Restorehealth
tâches." - c'est que vous n'avez pas lancé l'invite de commandes par un clic droit puis exécuter en tant qu'administrateur).
~~
puis toujours en invite de commandes administrateur :
Vous devez obtenir un message indiquant que la protection a détecté des éléments endommagés et qu'il faut redémarrer l'ordinateur.sfc /scannow
Redémarrez l'ordinateur.
Terminez l'opération par un nettoyage un RepairDNS
EDIT - 9 Octobre 2015 : quelques noms de détections pour cette infection v-bates
Edité pour ajouter quelques noms de détections
Quelques autres noms utilisés :
- nom générique : Trojan:W32/Dllpatcher.A chez F-Secure et Trojan.DNSPatcher chez Malwarebytes
- Trojan.Win32.Noplemento - utilisé notamment par Antivir/Avira : TR/NopleMento
- Trojan.Cuffahlt chez Microsoft
