Adware Boxore

Boxore est un adware qui existe depuis pas mal de temps et qui est relativement actif, en temoigne ces désinfections sur le forum de CommentCaMarche.


Ce dernier est distribué en autre par le programme PlayerPlus proposé en autre sur les sites de streaming.
Le programme qui reprend le client vidéo libre Mplayer en y ajoutant des PUPs Babylon en autre et Boxore.

http://www.redirectmylink.com/?to=http://linkmeee.com/37816858 (46.252.206.1)
http://linkmeee.com/37816858 (46.252.206.1)
http://www.playerplus.com/PlayerPlusX.exe (194.150.236.242)



Boxore se charge par une clef Run et installe un service Software Update Service :

O4 – HKLM\..\Run: [Boxore Client] C:\Program Files\Boxore\BoxoreClient\boxore.exe => http://www3.malekal.com/malwares/index.php?hash=82ad3ed6919a9da4564224d7ad16a6e5
O23 – Service: Software Update Service (supdate) (supdate) – Boxore OU. – C:\Program Files\Software\Update\SoftwareUpdate.exe => http://www3.malekal.com/malwares/index.php?hash=93c3595890481046b07615e0c47120fe


Les propriétés de l’exe sont claires :

L’adware fait des POSTS, ce dernier créé un GUID pour identifier la machine et envoie des informations sur le service pack installé :

TCP_MISS/204 364 GET http://www.dlmanager.net/omaha/clients/cr-tools/service/check2/?appid=%7B8D358B02-92A9-4150-8A80-11B40FCCA1DC%7D&appversion=1.2.197.0&applang=&machine=1&version=1.2.197.0&osversion=5.1&servicepack=Service%20Pack%202 – DIRECT/194.150.236.197 text/html
TCP_MISS/204 364 GET http://www.dlmanager.net/omaha/clients/cr-tools/service/check2/?appid=%7B8D358B02-92A9-4150-8A80-11B40FCCA1DC%7D&appversion=1.2.197.0&applang=&machine=1&version=1.2.197.0&osversion=5.1&servicepack=Service%20Pack%202 – DIRECT/194.150.236.197 text/html

Boxore.exe effectue des POSTS régulièrement afin d’obtenir les informations sur les campagnes de publicités et récupérer le lien de la popup à ouvrir.
Ceci permet de choisir les délais d’ouverture des popups, si le serveur ne retourne aucune URL, aucune popup ne sera ouverte.

TCP_MISS/200 543 POST http://www.boxore.com/api.php?module=get_client_offer&client=1.1.0.2&channel=60 – DIRECT/194.150.236.159 text/xml

Boxore se charge de lancer le navigateur par défaut pour ouvrir la publicité.
C’est le même mécanisme que PCTuto / Eorezo

Exemple de popup :

 

Quelques informations concernant la régie openadserving.com :

www.openadserving.com is an alias for openadserving.com.
openadserving.com has address 67.227.236.89
openadserving.com has address 67.227.236.73

 

Celle-ci appartient à Webinfluence dont je parlais déjà au niveau des arnaques faux plugins sur les sites de streaming : http://forum.malekal.com/vlc-plugin-offerbox-hotbar-shopperreports-clickpotato-t29633.html

www.webinfluence.com is an alias for webinfluence.com.
webinfluence.com has address 194.150.236.156

webinfluence est sur la même range que playerplus.com.

 

 

WebInfluence c’est aussi adcash (67.227.236.89 / 67.227.236.73 – même IP qu’openadserving.com) qui est aussi très actif sur les sites de streaming.
D’ailleurs dans les campagnes, on retrouve les merdes habituelles type SweetIM, Babylon mais mais… aussi PlayerPlus.

Sur le site de l’éditeur, on retrouve l’adresse en Estonie comme pour WebInfluence (adresse mentionnée sur le billet des faux plugin VLC).


openadserving.com a un ranking de ~4000 sur Alexa.com

 

Désinfection et détections

Côté détection, une belle bulle sur VirusTotal :

A noter que Malwarebyte Anti-Malware ne détecte pas Boxore. Je vais tenter de les contacter pour faire ajouter une détection.
AdwCleaner se charge bien de cet adware.
Enfin je vais ajouter les adresses dans Anti-HOSTS PUPs/Adware

 

 EDIT – Juillet 2012

Refourgué aussi par FLV Player – se reporter à la page : http://forum.malekal.com/flv-player-boxore-yontoo-wagram-sweetim-ezlooker-t39374.html

Boxore - FLV Player

 EDIT 30 Juillet

Pas mal de plaintes de popups pornographiques et à chaque fois la présence de Boxore.

Boxore renvoie une campagne : access.direction-x.com

qui ouvre un contenu très explicite.
Boxore ouvre donc des popups pornographiques – dans le cas où il y a des enfants c’est très génant.

Je profite de l’édition pour signaler que 01net refourgue l’adware : http://www.malekal.com/2012/02/03/01net-bundle-bfm-tv-toolbar/

et la bonne nouvelle car y en a quand même, c’est que Malwarebyte Anti-Malware a ajouté Boxore :