SpywareIsolator

par **Malekal_morte** » 04 févr. 2008 14:37

Découvert par LS Anders

SpywareIsolator est un rogue qui peut s'installer sans permission avec des infections ou proposer via de fausses alertes indiquant que vous êtes infecté.

Le seul but de ces fausses alertes est de vous faire acheter ce faux anti-spyware.

par **Malekal_morte** » 14 févr. 2008 13:45

SpywareIsolator est un rogue qui se dit pouvoir nettoyer les traces laissées par les sites visités, ce dernier va afficher des alertes si vous surfez sur des sites pornographiques disant que des traces restent sur l'ordinateur.

Le seul but de ces fausses alertes est de vous faire acheter ce faux anti-spyware.

Les lignes HijackThis relatives à l'infection qui vous rediriger vers ce rogue.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\spywarewarning.mht
O2 - BHO: C:\WINDOWS\system32\Jfs9jg.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\Jfs9jg.dll
O2 - BHO: C:\WINDOWS\system32\Fsd9mk4g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - O4 - HKLM\..\Run: [jkdfj94kgdftdf] C:\WINDOWS\TEMP\winlogan.exe
O4 - HKLM\..\Run: [Microsoft hren1] C:\WINDOWS\mmhren1.exe
O4 - HKLM\..\Run: [netx] C:\WINDOWS\svx.exe
O4 - HKLM\..\Run: [netc] C:\WINDOWS\svc.exe
O4 - HKLM\..\Run: [netw] C:\WINDOWS\svw.exe
O4 - HKLM\..\Run: [IEUpdate] C:\WINDOWS\system32\acelpdecm.exe
O4 - HKLM\..\Run: [net64] C:\WINDOWS\svhoster.exe
O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\system32\adsmsextt.exe
O4 - HKLM\..\Run: [netzip] C:\WINDOWS\svzip.exe
O4 - HKLM\..\Run: [netsv32] C:\WINDOWS\sv.exe
O4 - HKLM\..\Run: [runsql] C:\WINDOWS\runsql.exe
O4 - HKLM\..\RunServices: [IEUpdate] C:\WINDOWS\system32\acelpdecm.exe
O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\system32\adsmsextt.exe
O4 - HKCU\..\Run: [IExplorerService] C:\WINDOWS\system32\WinSock.exe
O4 - HKCU\..\Run: [Windows Recavery Adware] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\lsass.exe
O4 - HKCU\..\Run: [IEUpdate] C:\WINDOWS\system32\acelpdecm.exe
O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\system32\adsmsextt.exe
O4 - HKCU\..\RunServices: [IEUpdate] C:\WINDOWS\system32\acelpdecm.exe
O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\system32\adsmsextt.exe
O4 - HKUS\S-1-5-18\..\Run: [jkdfj94kgdftdf] C:\WINDOWS\TEMP\winlogan.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Windows Recavery Adware] C:\WINDOWS\TEMP\lsass.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Microsoft hren1] C:\WINDOWS\mmhren1.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [jkdfj94kgdftdf] C:\WINDOWS\TEMP\winlogan.exe (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll
O22 - SharedTaskScheduler: sklfc94krteetj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - C:\WINDOWS\system32\Jfs9jg.dll
O22 - SharedTaskScheduler: JKhfj3ofgfgdtj - {B5AF0562-94F3-42BD-F434-2604812C797D} -
O23 - Service: Google Online Search Service - Unknown owner - C:\WINDOWS\system32\winlagons.exe

--
End of file - 5752 bytes

par **Malekal_morte** » 17 févr. 2008 22:58

L'infection a été modiée, l'adresse de Google est modifée via le fichier HOSTS, ceci afin de vous rediriger vers un "faux site" Google :

O1 - Hosts: 79.135.181.243 google.dk
O1 - Hosts: 79.135.181.243 google.se
O1 - Hosts: 79.135.181.243 google.co.nz
O1 - Hosts: 79.135.181.243 google.cn
O1 - Hosts: 79.135.181.243 google.com.pr
O1 - Hosts: 79.135.181.243 google.com.ca
O1 - Hosts: 79.135.181.243 google.com.ch
O1 - Hosts: 79.135.181.243 google.fi
O1 - Hosts: 79.135.181.243 google.co.in
O1 - Hosts: 79.135.181.243 google.co.uk
O1 - Hosts: 79.135.181.243 google.lv
O1 - Hosts: 79.135.181.243 google.co.hu
O1 - Hosts: 79.135.181.243 google.lk
O1 - Hosts: 79.135.181.243 google.com.au
O1 - Hosts: 79.135.181.243 google.ru
O1 - Hosts: 79.135.181.243 google.nl
O1 - Hosts: 79.135.181.243 google.be
O1 - Hosts: 79.135.181.243 google.de
O1 - Hosts: 79.135.181.243 gogle.de
O1 - Hosts: 79.135.181.243 googel.de
O1 - Hosts: 79.135.181.243 google.ro
O1 - Hosts: 79.135.181.243 google.kz
O1 - Hosts: 79.135.181.243 google.by
O1 - Hosts: 79.135.181.243 google.no
O1 - Hosts: 79.135.181.243 google.pl
O1 - Hosts: 79.135.181.243 google.com.pl
O1 - Hosts: 79.135.181.243 google.es
O1 - Hosts: 79.135.181.243 google.pt
O1 - Hosts: 79.135.181.243 google.com.br
O1 - Hosts: 79.135.181.243 google.vc
O1 - Hosts: 79.135.181.243 google.co.za
O1 - Hosts: 79.135.181.243 google.tm
O1 - Hosts: 79.135.181.243 google.com.my
O1 - Hosts: 79.135.181.243 google.bg
O1 - Hosts: 79.135.181.243 google.co.jp
O1 - Hosts: 79.135.181.243 google.ie
O1 - Hosts: 79.135.181.243 google.co.ck
O1 - Hosts: 79.135.181.243 google.com.mx
O1 - Hosts: 79.135.181.243 google.com.om
O1 - Hosts: 79.135.181.243 google.fr
O1 - Hosts: 79.135.181.243 google.mu
O1 - Hosts: 79.135.181.243 google.com.ph
O1 - Hosts: 79.135.181.243 google.com.jm
O1 - Hosts: 79.135.181.243 google.com
O1 - Hosts: 79.135.181.243 google.us
O1 - Hosts: 79.135.181.243 google.ro
O1 - Hosts: 79.135.181.243 http://www.google.dk
O1 - Hosts: 79.135.181.243 http://www.google.se
O1 - Hosts: 79.135.181.243 http://www.google.co.nz
O1 - Hosts: 79.135.181.243 http://www.google.cn
O1 - Hosts: 79.135.181.243 http://www.google.com.pr
O1 - Hosts: 79.135.181.243 http://www.google.com.ca
O1 - Hosts: 79.135.181.243 http://www.google.com.ch
O1 - Hosts: 79.135.181.243 http://www.google.fi
O1 - Hosts: 79.135.181.243 http://www.google.co.in
O1 - Hosts: 79.135.181.243 http://www.google.co.uk
O1 - Hosts: 79.135.181.243 http://www.google.lv
O1 - Hosts: 79.135.181.243 http://www.google.co.hu
O1 - Hosts: 79.135.181.243 http://www.google.lk
O1 - Hosts: 79.135.181.243 http://www.google.com.au
O1 - Hosts: 79.135.181.243 http://www.google.ru
O1 - Hosts: 79.135.181.243 http://www.google.nl
O1 - Hosts: 79.135.181.243 http://www.google.be
O1 - Hosts: 79.135.181.243 http://www.google.de
O1 - Hosts: 79.135.181.243 http://www.gogle.de
O1 - Hosts: 79.135.181.243 http://www.googel.de
O1 - Hosts: 79.135.181.243 http://www.google.ro
O1 - Hosts: 79.135.181.243 http://www.google.kz
O1 - Hosts: 79.135.181.243 http://www.google.by
O1 - Hosts: 79.135.181.243 http://www.google.no
O1 - Hosts: 79.135.181.243 http://www.google.pl
O1 - Hosts: 79.135.181.243 http://www.google.com.pl
O1 - Hosts: 79.135.181.243 http://www.google.es
O1 - Hosts: 79.135.181.243 http://www.google.pt
O1 - Hosts: 79.135.181.243 http://www.google.com.br
O1 - Hosts: 79.135.181.243 http://www.google.vc
O1 - Hosts: 79.135.181.243 http://www.google.co.za
O1 - Hosts: 79.135.181.243 http://www.google.tm
O1 - Hosts: 79.135.181.243 http://www.google.com.my
O1 - Hosts: 79.135.181.243 http://www.google.bg
O1 - Hosts: 79.135.181.243 http://www.google.co.jp
O1 - Hosts: 79.135.181.243 http://www.google.ie
O1 - Hosts: 79.135.181.243 http://www.google.co.ck
O1 - Hosts: 79.135.181.243 http://www.google.com.mx
O1 - Hosts: 79.135.181.243 http://www.google.com.om
O1 - Hosts: 79.135.181.243 http://www.google.fr
O1 - Hosts: 79.135.181.243 http://www.google.mu
O1 - Hosts: 79.135.181.243 http://www.google.com.ph
O1 - Hosts: 79.135.181.243 http://www.google.com.jm
O1 - Hosts: 79.135.181.243 http://www.google.com
O1 - Hosts: 79.135.181.243 http://www.google.us
O1 - Hosts: 79.135.181.243 http://www.google.ro
O1 - Hosts: 79.135.181.243 http://www.video.google.com
O1 - Hosts: 79.135.181.243 http://www.maps.google.com
O1 - Hosts: 79.135.181.243 http://www.groups.google.com
O1 - Hosts: 79.135.181.243 http://www.news.google.com
O1 - Hosts: 79.135.181.243 http://www.images.google.com
O1 - Hosts: 79.135.181.243 http://www.earth.google.com
O1 - Hosts: 79.135.181.243 http://www.code.google.com
O1 - Hosts: 79.135.181.243 http://www.directory.google.com
O1 - Hosts: 79.135.181.243 http://www.labs.google.com

Si vous regardez la capture ci-dessous, google.com affiche une alerte de sécurité : "We are sorry... but serious malwares objects and spyware have been detected on your PC" .. alors que normalement, on doit obtenir le moteur de recherche.
Les liens de l'alerte renvoie vers des sites de des rogues

Si vous comparez le logo Google de la capture ci-dessus et le vrai de la capture ci-dessous, vous constaterez que ce n'est pas la même police de caractère.
Le logo Google peut être affiché via ce lien : http://www.google.fr/LaLALa.php

Malekal.com forum