Ces infections s’attrapent soit par exploits sur des sites WEB en général pornographiques, soit par de faux codecs pour visualiser des vidéos pornographiques.
Le symptôme principal de ces infections sont des Redirections lors des recherches Google, vous cliquez sur un lien de recherche sur Google et atterrirez sur un lien tout autre que celui attendu.
Trojan-DNS-k / Troj/DNSBust-L / Trojan.Flush.G est une infection qui modifie vos serveur DNS afin de vous rediriger vers des sites de publicités.2008/2009 l’infection change avec un driver et une .dll basée sur Trojan.Win32.Alureon/Trojan.TDSS, la modification des DNS n’est plus systématiques.
Une vidéo de l’infection est disponible depuis ce lien : http://forum.malekal.com/trojan-dnschanger-trojan-win32-alureon-trojan-tdss-t11252.html#p174824
Voir informations supplémentaires plus bas.
Détection Trojan-DNS-k / Troj/DNSBust-L / Trojan.Flush.G
Exemple de log avec HijackThis :
Les serveurs DNS sont modifiés en 85.255 comme le font les infections de type Wareout :
O17 – HKLM\System\CCS\Services\Tcpip\..{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameServer = 85.255.114.106,85.255.112.123
O17 – HKLM\System\CCS\Services\Tcpip\..{5B851CF3-A736-4F53-9479-1CE483306363}: NameServer = 85.255.114.106,85.255.112.123
O17 – HKLM\System\CCS\Services\Tcpip\..{D989E2A6-F89D-44B9-8CE5-5B1A20ED329E}: NameServer = 85.255.114.106 85.255.112.123
O17 – HKLM\System\CCS\Services\Tcpip\..{F9FD5BA7-E0EA-48C1-A489-E1AA230FEFB3}: NameServer = 85.255.114.106,85.255.112.123
O17 – HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.106 85.255.112.123
O17 – HKLM\System\CS1\Services\Tcpip\..{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameServer = 85.255.114.106,85.255.112.123
O17 – HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.106 85.255.112.123
O17 – HKLM\System\CS2\Services\Tcpip\..{4B3FE2D6-94DC-4380-B39C-46273E741177}: NameServer = 85.255.114.106,85.255.112.123
O17 – HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.106 85.255.112.123
Attention l’infection peut modifier les serveurs DNS de certains routeurs dans le cas où le mot de passe par défaut n’a pas été modifié.
Il peut être conseillé dans ce cas après avoir désinfecté les PC de faire un reset du routeur et de le reconfigurer.
2008/2009 l’infection est modifiée : Trojan.Win32.Alureon/Trojan.TDSS
L’infection est maintenant capable de se propager par disques amovibles en créant un dossier :
C:resycled
et bien sûr les fichiers autorun.inf pointant dessus.
L’infection installe maintenant un rootkit avec un driver dans le dossier System32\drivers accompagné d’un fichier DLL, exemple :
« msqpdxserv »= »\\?globalrootsystemroot\System32\\drivers\msqpdxryaatxqp.sys »
« msqpdxl »= »\\?globalrootsystemroot\System32\\msqpdxkhcnuukf.dll »
Sous Windows Vista un service est ajouté : O23 – Service: Windows Tribute Service – Unknown owner – C:\Windows\System32\\kdfta.exe
Suppression Trojan-DNS-k / Troj/DNSBust-L / Trojan.Flush.G
Nettoyez ses disques amovibles (Clefs USB, disque dur externe etc) avec USBFix
