SpywareWarning / Hoax.Win32.SysCare.e

[Malekal_morte]

Pour supprimer l'infection, suivez la procédure Supprimer les alertes SpywareWarning

Cette infection affiche des alertes afin de vous faire télécharger et surtout acheter des rogues comme VirusGarde, AVSystemCare etc..
Les alertes sont sur des infections qui n'existant Trojan-Spy.Win32@mx, Spyware.Cyberlog etc..

L'infection modifie la page de démarrage avec des alertes "Warning! Spyware Detected on your PC!"
La page de démarrage est en fait un fichier en local sur la machine C:\Windows\system32\spywarewarning.mht affichant une alerte.



Les liens contenus sur la page d'acceuil modifiée ouvre des alertes Spyware.Cyberlog-X et propose le téléchargement de rogues ... mais aussi ouvrir des sites pour télécharger de faux codec ou des sites contenants des exploits ajoutant d'autres infections.



Enfin l'infection peut ajouter une icône en bas à droite à côté de l'horloge ouvrant des bulles d'alerte Trojan-Spy.Win32@mx




L'infection ajoute ou modifie les lignes suivantes sur HijackThis :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\spywarewarning.mht
O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe
O4 - HKLM\..\Run: [netsv32] C:\WINDOWS\sv.exe
O4 - HKLM\..\Run: [netzip] C:\WINDOWS\svzip.exe
O4 - HKLM\..\Run: [runsql] C:\WINDOWS\runsql.exe
O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe
O4 - HKLM\..\Run: [IEUpdate] C:\WINDOWS\system32\apphelpm.exe
O4 - HKLM\..\RunServices: [IEUpdate] C:\WINDOWS\system32\apphelpm.exe
O4 - HKCU\..\Run: [IEUpdate] C:\WINDOWS\system32\apphelpm.exe
O4 - HKCU\..\RunServices: [IEUpdate] C:\WINDOWS\system32\apphelpm.exe
O23 - Service: Logical Disk Manager dmserverwinmgmt (dmserverwinmgmt) - Unknown owner - C:\WINDOWS\system32\accwizu.exe
O23 - Service: Remote Procedure Call (RPC) Locator RpcLocatorlanmanserver (RpcLocatorlanmanserver) - Unknown owner - C:\WINDOWS\system32\accessf.exe

Note les lignes avec les suivantes sont aléatoires :

O23 - Service: Logical Disk Manager dmserverwinmgmt (dmserverwinmgmt) - Unknown owner - C:\WINDOWS\system32\accwizu.exe
O23 - Service: Remote Procedure Call (RPC) Locator RpcLocatorlanmanserver (RpcLocatorlanmanserver) - Unknown owner - C:\WINDOWS\system32\accessf.exe

[Malekal_morte]

Rien de bien nouveau dans cette nouvelle variante qui contient tous les ingrédients d'une infection maintenant bien rodée : page de démarrage du navigateur WEB modifiée, fausses alertes de sécurité, icone d'alerte en bas à droite.

Toutes les propositions d'alertes sont pour le rogue Spyware Scanner 2008 via l'url : hxxp://spywareisoscanner.com/

Ajoute les lignes suivantes sur HijackThis :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\spywarewarning.mht
O4 - HKLM\..\Run: [IEUpdate] C:\WINDOWS\system32\adsmsextq.exe
O4 - HKCU\..\RunServices: [IEUpdate] C:\WINDOWS\system32\adsmsextq.exe

La page de démarrage est donc hijackée vers C:\WINDOWS\system32\spywarewarning.mht "Spyware Detected on your PC!" donnant ceci :



S'ensuit des alertes "Critical System Warning!" pour le soit disant Spyware.Cyberlog-X qui n'existe pas :



avec le texte suivant :

You system is probably infected with latest version of Spyware.Cyberlog-X.
Type: xxxx
Spyware xxxx
Infected Length: 266,129 bytes
Risk: xxxx
High: xxxx
Affected Systems: xxxx
Windows 95, 98, 2000, NT, 2000 Server, Windows XP
Behavior:
Spyware.Cyberlog-X is a spyware program that monitors user
activity, logs keystrokes, and track Web sites visited.
Symptoms:
Low internet connection speed
Low system perfomance
Secyrity center alerts
Strange pop up windows
Protection:
Click OK to download antispyware software.

ou des alertes Windows Security Alert :

Windows security alert
Warning! Spyware detected on you PC. Click here for more information.
Slow operation speed might have been caused by malicious spyware. Download antispyware software and run full system scan to remove viruses from you computer. Click here to start downloading.
You computer is not protected against spyware! Spyware able to steal you data including passwords , credit card numbers, etc. Scan you computer for spyware immediately!

et bien sûr la fameuse icone d'alerte en bas à droite à côté de l'horloge avec cette fois-ci un bouclier rouge :



En double-cliquant dessus, une fausse fenêtre du Centre de Sécurité (Security Center) s'ouvre :




Détection du dropper :

Complete scanning result of "a3dv.exe", processed in VirusTotal at 06/29/2008 15:54:08 (CET).

[ file data ]
* name..: a3dv.exe
* size..: 92672
* md5...: 5f798de71bbaaa94e3fffb614c477082
* sha1..: c44f7c4d5acd298e610d3a7ca5da7cfbd437440a
* peid..: -

[ scan result ]
AhnLab-V3 2008.6.27.1/20080629 found nothing
AntiVir 7.8.0.59/20080628 found [DR/Delphi.Gen]
Authentium 5.1.0.4/20080629 found nothing
Avast 4.8.1195.0/20080628 found nothing
AVG 7.5.0.516/20080629 found nothing
BitDefender 7.2/20080629 found [Trojan.Crypt.Delf.T]
CAT-QuickHeal 9.50/20080628 found nothing
ClamAV 0.93.1/20080628 found nothing
DrWeb 4.44.0.09170/20080629 found nothing
eSafe 7.0.17.0/20080626 found nothing
eTrust-Vet 31.6.5911/20080627 found nothing
Ewido 4.0/20080627 found nothing
F-Prot 4.4.4.56/20080629 found nothing
F-Secure 7.60.13501.0/20080626 found nothing
Fortinet 3.14.0.0/20080629 found nothing
GData 2.0.7306.1023/20080629 found nothing
Ikarus T3.1.1.26.0/20080629 found [Downloader.Delphi]
Kaspersky 7.0.0.125/20080629 found nothing
McAfee 5327/20080627 found nothing
Microsoft 1.3704/20080629 found [VirTool:Win32/DelfInject.gen!AM]
NOD32v2 3225/20080629 found nothing
Norman 5.80.02/20080627 found nothing
Panda 9.0.0.4/20080629 found nothing
Prevx1 V2/20080629 found nothing
Rising 20.50.62.00/20080629 found nothing
Sophos 4.30.0/20080629 found nothing
Sunbelt 3.0.1176.1/20080626 found [VIPRE.Suspicious]
Symantec 10/20080629 found nothing
TheHacker 6.2.96.364/20080628 found nothing
TrendMicro 8.700.0.1004/20080627 found nothing
VBA32 3.12.6.8/20080629 found nothing
VirusBuster 4.5.11.0/20080623 found nothing
Webwasher-Gateway 6.6.2/20080629 found [Trojan.Dropper.Delphi.Gen]