Article tagué antivirus

Voici une page de connaissances sur Firefox, le fonctionnement générale, les profils (répertoires avec le détails par fichiers), les extensions etc.

Pour rappel, vous avez une autre page sur le site pour sécuriser le navigateur Firefox : http://www.malekal.com/securiser_Firefox.php

Lire la page Firefox : Profils / Extensions etc

Grosse campagne de mail malicieux depuis quelques jours au profit du malware Win32/Bubnix.A/Win32/Bredolab.

Ce malware est aussi très présent sur des exploits sur sites WEB puisqu’il vole les identifiants FTP, dans le cas d’une infection du PC d’un webmaster, pour modifier le site et y ajouter un javascript malicieux qui infecte les internautes.
(se reporter à la page http://forum.malekal.com/hack-web-site-par-vol-ftp-t22837.html

[img]http://www.malekal.com/fichiers/spywares/bubnix.png

Voici deux pages qui regroupent les mails malicieux :
* http://forum.malekal.com/twitter-spam-campagne-malicieux-t26362.html
* http://forum.malekal.com/spam-malicieux-round-bubnix-bredolab-t26393.html

Le premier lien reprend un mailling Twitter, si l’internaute clic, il attérit sur un site avec un exploit, si ce dernier réussit l’infection s’installe.
Le second lien reprend divers types de mails avec des pièces jointes au format HTML contenant un javascript malicieux, si ouvert et si l’exploit réussi, l’infection s’installe sur le système.

[img]http://www.malekal.com/fichiers/spywares/Twitter_Spam_Campagne2.png

[img]http://www.malekal.com/fichiers/spywares/bubnix_bredolab_mail_malicieux_outlook.png

Le javascript et les droppers sont très mal détectés donc ne comptez pas sur votre antivirus pour bloquer.
De même la désinfection n’est pas automatique, Combofix ou Malwarebyte Anti-Malware ne supprime pas tout!

Prudence donc !

Antispyware Soft et Security Master AV sont deux rogues. Antispyware Soft vient d’une famille qui sévit depuis quelques semaines quant à Security Master AV c’est une mise à jour d’une famille qui sévit depuis plusieurs mois.

Voir la fiche Antispyware Soft
Voir la fiche Security Master AV

La désinfection d’Antispyware Soft est par forcément simple car ce dernier installe un proxy qui peut bloquer internet ou les téléchargements de fix.

Voici une procédure qui permet de supprimer la famille de rogue Antispyware Soft : http://www.malekal.com/Antivirus_Antispyware_soft_suite.php

Pour Security Master AV, vous pouvez utiliser la procédure "standard des rogues" donnée dans ce lien : http://forum.malekal.com/supprimer-les-rogues-scareware-t5472.html#p37851

[img]http://www.malekal.com/fichiers/spywares/AntispywareSoft_MSNVirus2.png

RKIT/Bubnix.S / Rootkit.WIN32.BUBNIX.s est un rookit qui se présente avec un nom aléatoire dans le dossier driver.
Exemples :
c:\windows\system32\ebaf.sys
C:\WINDOWS\system32\drivers\ajxacv.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom ’4c5bcda3.qua’ !
C:\WINDOWS\system32\drivers\djhefdh.sys
[RESULTAT] Contient le cheval de Troie TR/Spy.574464.14
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom ’4c4bcda4.qua’ !
C:\WINDOWS\system32\drivers\mlbqib.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom ’4c45cda6.qua’ !
C:\WINDOWS\system32\drivers\oqoqxi.sys
[RESULTAT] Contient le modèle de détection du rootkit

Il est accompagné par un fichier avec nom aléatoire se terminant par 32.exe dans le Menu Démarrer / Tous les programmes / Démarrage – exemples :
wwwpos32.exe
wwwzuc32.exe

La ligne HijackThis est de type :
O4 – Global Startup: wwwzuc32.exe . C:\Documents And Settings\<user>i\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe

Courant Mai 2010, la propagation se fait par exploits sur des sites WEB

Si vous êtes infecté par ce malware, il y a donc de grandes chances que vous ne mainteniez pas vos programmes à jour et donc ces derniers contiennent potentiellement des vulnérabilités qui permettent l’infection de votre système.

Si vous êtes webmaster : Le malware xxxx32.exe vole les identifiants de compte FTP et ajoute un javascript malicieux sur votre site afin d’infecter les internautes visitant
votre site à leur tour.
Après désinfection de votre PC, il convient de modifier les mots de passe des comptes FTP et de nettoyer votre site.
Voir la page Hack WEB site par vol FTP

Voir la page : cheapfad.ru:8080 / passportblues.ru:8080 / Bubnix.S

Lire la page Supprimer RKIT/Bubnix.S / Rootkit.WIN32.BUBNIX.s

Data Protection a déjà été remplacé par un nouveau rogue (faux anti-spyware) du nom de User Protection.

voir la fiche de DadataProtection

Il est conseillé de suivre la Procédure de désinfection des Trojans/Backdoor

[img]http://www.malekal.com/fichiers/spywares/DigitalProtection.png

~~

Total PC Defender 2010 a déjà été remplacé par un nouveau rogue (faux anti-spyware) du nom de User Protection.

voir la fiche de Total PC Defender 2010

[img]http://www.malekal.com/fichiers/spywares/Total_PC_Defender_2010.png

~~

AKM Antivirus 2010 Pro a déjà été remplacé par un nouveau rogue (faux anti-spyware) du nom de User Protection.

AKM Antivirus 2010 Pro se propage beaucoup via
des exploits sur des sites WEB

voir la fiche de AKM Antivirus 2010 Pro

Son petit frère RST Antivirus 2010

[img]http://www.malekal.com/fichiers/spywares/AKM_Antivirus_2010_Pro.png

Notez enfin que Security Essentials 2010 est toujours aussi présent.