Voici un exemple de proposition d'installation de WebShield depuis une fenêtre d'installation DomaIQ/SoftPulse
Une fois installé, des publicités vont se charger dans l'ordinateur depuis l'adresse 7769domain.com
WebShield se charge depuis un service Windows avec un nom de dossier et fichiers aléatoire.
Typique de l'adware PullUpdate.
dont voici l'analyse antivirus :R2 yioncpZa; C:\ProgramData\rQfoFtXKxds\yioncpZa.exe [3000824 2015-12-07] (Irrational Number Applications)
2015-12-07 22:24 - 2015-12-07 22:24 - 00000000 ____D C:\Users\Marjorie\AppData\Local\WebShield
2015-12-07 22:23 - 2015-12-07 22:24 - 00000000 ____D C:\ProgramData\WebShield
2015-12-07 22:23 - 2015-12-07 22:24 - 00000000 ____D C:\ProgramData\rQfoFtXKxds
SHA256: 4bbab0eb7b998c78d1dcb9b23c6288b52a82da63ee7e91d3d04209fd9b7f317e
Nom du fichier : yioncpZa.exe
Ratio de détection : 20 / 55
Date d'analyse : 2015-12-08 07:20:06 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
AVG Downloader.CBD 20151208
AhnLab-V3 PUP/Win32.PullUpdate 20151208
Avira ADWARE/PullUpdate.Gen7 20151208
Baidu-International Adware.Win32.PullUpdate.IrNu 20151207
Bkav W32.HfsAdware.3AEF 20151207
DrWeb Adware.Yontoo.79 20151208
ESET-NOD32 a variant of MSIL/Adware.PullUpdate.G.gen 20151208
Fortinet Adware/PullUpdate 20151208
Ikarus PUA.Downloader 20151208
Jiangmin AdWare/MSIL.joc 20151207
K7GW Hacktool ( 655367771 ) 20151208
Kaspersky not-a-virus:AdWare.MSIL.PullUpdate.ev 20151208
Malwarebytes PUP.Optional.WebShield 20151207
McAfee Artemis!4CD000FBA01E 20151208
McAfee-GW-Edition Artemis 20151208
Panda PUP/WebShield 20151207
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20151208
SUPERAntiSpyware PUP.WebShield/Variant 20151208
Symantec SAPE.Heur.b0c2 20151207
Tencent Msil.Adware.Pullupdate.Phgq 20151208
Dans la capture ci-dessus, on note qu'un autre processus dans un autre emplacement est aussi lancé C:\ProgramData\Urmruusikne\1.0.6.1\heurclor.exe avec une détection assez similaire.
Comme tous ces adwares, les publicités vont être assez fréquentes et être pénibles pour l'internaute.SHA256: 4af4316a736e64e9b219941cea458815d798554a41dfa7c82d88c59333cf5e74
Nom du fichier : heurclor.exe
Ratio de détection : 20 / 55
Date d'analyse : 2015-12-08 07:25:59 UTC (il y a 1 minute)
Antivirus Résultat Mise à jour
ALYac Gen:Heur.MSIL.Androm.3 20151208
Ad-Aware Gen:Heur.MSIL.Androm.3 20151208
Arcabit Trojan.MSIL.Androm.3 20151208
Avast Win32:Evo-gen [Susp] 20151208
Avira ADWARE/PullUpdate.Gen7 20151208
BitDefender Gen:Heur.MSIL.Androm.3 20151208
CAT-QuickHeal PUP.Androm.A3 20151208
Cyren W32/S-05aa94e4!Eldorado 20151208
ESET-NOD32 a variant of MSIL/Adware.PullUpdate.P 20151208
Emsisoft Gen:Heur.MSIL.Androm.3 (B) 20151208
F-Prot W32/S-05aa94e4!Eldorado 20151208
F-Secure Gen:Heur.MSIL.Androm.3 20151208
GData Gen:Heur.MSIL.Androm.3 20151208
Ikarus PUA.Downloader 20151208
Malwarebytes Adware.PullUpdate 20151207
McAfee-GW-Edition BehavesLike.Win32.Backdoor.cc 20151208
MicroWorld-eScan Gen:Heur.MSIL.Androm.3 20151208
Qihoo-360 QVM03.0.Malware.Gen 20151208
Rising PE:Adware.PullUpdate!1.A191 [F] 20151207
Symantec SAPE.Heur.645c 20151207
En outre, les publicités chargées par cet adware font la promotion d'arnaque comme : Voici un exemple de publicité Ad by WebShield :
Ou encore ces bannières publicitaires Ad by WebShield qui se positionnent par dessus le site visité, une vraie pollution visuelle pour l'utilisateur de l'ordinateur.
En outre, vous pouvez avoir une popup en bas à droite de la page visitée "Facebook Connect" et/ou "Twitter Widgets"
qui ouvre un encart WebShield.
Comment supprimer WebShield et 7769domain
Suivez simplement la procédure de désinfection standard des PUPs/Adwares : Désinfection PUPs - PUP.Optional / Adwares.