Un nouveau ransomware Trojan.Winlock de type Fake Police avec un message.
C’est la traduction du Virus Gema (qui est l’équivalent de la Sacem allemande).

Ce dernier se charge par des malvertising qui changent dans le temps :

• malvertising sur adf.ly.
• Malvertising sur drtuber.com à travers trafficholder.com

Sacem : Votre ordinateur a été verrouillé.

Des morceaux de musique téléchargés illégalement (piratés) ont été localisés sur votre ordinateur.

Pour la variante observée, les lignes ajoutées :

Le malware se charge donc en HKEY_LOCAL_MACHINE mais aussi dans la rucher User.

Le malware ajoute aussi une clef Active Setup :

 Registry key: HKLMSOFTWAREMicrosoftActive SetupInstalled Components{xZZHlbZp-cp9b-vHzS-P0ZA-6t3dhx9Vn6Sh}

Le malware est actif en mode sans échec et en invites de commandes en mode sans échec rendant la restauration du système impossible comme c’était le cas pour les autres ransomwares.

Désinfection

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html 

Windows Seven

Dans le cas de Windows Seven, vous pouvez faire une restauration du système au démarrage.
La procédure est donnée dans le paragraphe « Réparer votre ordinateur » : http://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

Pour tous OS

Kaspersky Windows Unlocker

Windows Unlocker depuis le CD Live de Kaspersky est aussi une solution.
Vous devez graver le CD et Booter dessus, tout ceci est expliquer sur la page suivante : http://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html
Le principe étant de graver le CD Kaspersky sur un CD ou mettre sur clef USB.
Redémarrer l’ordinateur et changer la séquence de démarrage http://forum.malekal.com/booter-sur-dvd-t9447.html pour faire démarrer sur le CD ou clef USB.

Cliquez sur le menu pour obtenir le Terminal

Dans la fenêtre noire, saisir windowsunlocker (respecter les majuscules/minuscules) :

Lorsque vous lancez Kaspersky Unlocker, repérez le fichier donné en suspicious modification.
Dans l’exemple ci-dessous :  C:Documents and SettingsMakApplication Dataflint4ytw.exe

En vidéo :

http://www.youtube.com/watch?v=7Jn6yKH2r1w

Au redémarrage vous pouvez obtenir votre bureau sans icône et le clic droit qui ne fonctionne pas.

• Télécharger RogueKiller
• Après le pre-scan, Lancer un Scan par le bouton Scan à droite.
• Le bouton Suppression devrait être dégrisé. Cliquez dessus.
• Redémarrer l’ordinateur

Si pas mieux.
Pour afficher les icones, clic droit sur le bureau : Reorganiser les icônes par et cocher Afficher les icônes du Bureau

Microsoft Standalone System Sweeper Tool

Dans le cas où la procédure avec le CD Live de Kaspersky ne fonctionne pas, vous pouvez tenter  Microsoft Standalone System Sweeper Tool.

Microsoft Standalone System Sweeper Tool est un outil fourni par Microsoft qui permet de démarrer depuis un CD ou une clef USB et scanner son ordinateur avec Windows Defender.
Cela peux être pratique dans le cas où Windows est bloqué notamment par des ransomwares / Trojan.Winlock.

Microsoft Standalone System Sweeper Tool est téléchargeable depuis ce lien : http://connect.microsoft.com/systemsweeper

Tutoriel Microsoft Standalone System Sweeper Tool : http://forum.malekal.com/microsoft-standalone-system-sweeper-tool-t36850.html

• Télécharger le programme et le lancer
• Laissez-vous guider et choisissez si vous souhaitez installer sur CD ou Clef USB.
• Lorsque la clef USB ou le CD est prêt : Redémarrer l’ordinateur et modifier la séquence de démarrage : http://forum.malekal.com/booter-sur-dvd-t9447.html
• Laissez le Scan s’opérer
• A l’issu du scan, si vous avez des éléments détectés, cliquez sur le bouton « Clean PC ».
• Redémarrer l’ordinateur normalement afin de vérifier si l’infection est éradiquer.

ZeroAccess / Sirefef

Le virus Sacem peux être installé par le malware ZeroAccess / Sirefef – voir le topic : http://www.malekal.com/2012/04/26/zeroaccesssirefef-droppe-le-virus-sacem/
Si vous avez été infecté par le Virus Sacem, vous pouvez potentiellement être infecté par ZeroAcess / Sirefef.

La présence du fichier dds_trash_log.cmd dans le dossier system32 de Windows en est une caractéristique.

Le topic suivant explique comment éradiquer ZeroAccess / Sirefef : http://forum.malekal.com/zeroaccess-redirections-google-t35666.html

Après la désinfection – Tres important

Des PUPs/LPIs sont certainement installés sur votre ordinateur, ces derniers étant très répandus.
Il est conseillé de faire un scan de suppression (bouton suppression) avec AdwCleaner.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peux infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

Éventuellement filtrer les publicités avec Ad-Block par exemple, pour le navigateur WEB, se reporter au billet : Sécuriser Firefox

Aucune aide ne sera donnée en commentaire, si vous avez besoin d’aide, créer votre propre sujet sur le forum partie VIRUS : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html 

Pour tout besoin d’aide, poster sur le forum et non en commentaire de ce billet, aucune aide ne sera donnée en commentaire, ce n’est pas adequate : http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

On continue avec ces malwares Trojan.Winlock / Trojan.Ransomware : Virus Police qui font des ravages :

• http://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/
• http://www.malekal.com/2011/12/08/trojan-winlock-tropan-ransomware-virus-police-suite/

Il semblerait que ces derniers comme je l’avais indiqué dans le premier billet se propagent par des Malvertising sur les sites de streaming (EDIT – confirmé).
Viser les sites de streaming n’est pas une surprise contenu de la nature du malware et par le fait que les sites de streaming attirent beaucoup de monde (maximation des profits)

Si vous avez été infecté, c’est que votre système est vulnérable aux exploits sur site WEB - Cela signifie que vous ne maintenez pas à jour vos logiciels et contiennent des vulnérabilités  qui permettent l’infection de votre système à la simple visite d’un site.
Dans notre cas, c’est via des publicités pourries (malvertising) sur les sites de streaming.

La version française existe sous 3 formes et est différente selon la version de Windows – la procédure de désinfection est différente selon la variante :

EDIT AVRIL 2012 – La variante ci-dessous n’estp lus propagé voir plus bas pour les autres variantes. 

• Windows XP : dans tous les cas, le fichier C:Windowsexplorer.exe a été remplacé par une version malicieuse. De ce fait, tout démarrage (mode normal, sans échec) arrivera sur le message du virus. Seule l’invite de commandes est disponible et permet quelques manipulations.
• Windows Vista/Seven : deux formes.
• Le mode sans échec est disponibel : version facile il suffit d’aller en mode sans échec avec prise en charge du réseau et de scanner avec Malwarebyte : http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php ou RogueKiller avec l’option Suppression.
• Une autre forme qui modifie la clef Shell pour faire pointer sur un fichier C:Windowsexpl?rer.exe (au lieu de C:Windowsexplorer.exe), l’affichage par l’éditeur du registre Windows (regedit) ne permet pas de distinguer quel est le fichier qui est mentionné dans la clef Shell, dans tous les cas vous aurez explorer.exe. Se reporter à la page : http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicode-powa/ pour la désinfection de cette forme.

et dernièrement :

Comme vous pouvez le constater, cette version est plus soignée.
On a un logo Gendarmerie Nationale.

EDITION DEPUIS JANVIER – AUTRES VARIANTES :

Plusieurs variantes différentes ont vu le jour, les procédures de désinfection sont différentes.
Identifiez bien votre variante afin de suivre la bonne procédure.

Si vous avez cette variante « activite illicite demelée » ou « activite illégale révélée, cette variante a plusieurs écrans différents.
Vous trouvez une procédure sur cette page : http://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/

Pour la version « Virus Gema » – se reporter à la page : http://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/

Pour la version ci-dessous, se reporter à ce lien : http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/

Pour le virus Sacem / Police Nationale, se rendre sur cette page : http://www.malekal.com/2012/03/13/virus-sacem-police-nationale/

Pour la variante Police Nationale, se rendre sur cette page : http://www.malekal.com/2012/03/31/police-nationale-votre-systeme-windows-a-ete-bloque/

Pour ceux avec le fond bleu, se reporter à la page : http://www.malekal.com/2012/04/13/un-autre-ransomware-gendarmerie-votre-ordinateur-a-ete-bloqueverrouille/

Désinfection Virus Gendarmerie Nationale

La procédure ci-dessous est à suivre SI ET SEULEMENT SI vous avez la variante Virus Gendarmerie donnée plus haut.

Voici la procédure de désinfection, l’infection est différente si vous êtes sur Windows XP par rapport à Windows Vista/Seven.
du fait que sur Windows XP le fichier système explorer.exe est remplacé, ce qui n’est pas le cas sur Windows Vista et Seven.

Désinfection Windows Vista/Seven

Dans un premier temps, vérifiez si avez la main en mode sans échec avec prise en charge du réseau : Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez mode sans échec avec prise en charge du réseau.

Si c’est le cas :

• Téléchargez RogueKiller, lancez un scan puis cliquez à droite sur Suppression.
• Téléchargez et installer Malwarebyte Anti-Malware :
• Mettez les définitions virales à jour
• Lancer un scan.
• Lorsque le scan est terminé, sélectionnez les détections et faites Supprimer sélection pour mettre en quarantaine les éléments malicieux détectés.

Redémarrez l’ordinateur en mode normal et regardez ce que cela donne.
Si le PC est désinfecté, mettez à jour tous vos programmes qui ne le sont pas et qui contiennent des vulnérabilités permettant l’infection de votre PC à la simple visite d’un site WEB (voir paragraphe tout à la fin de ce billet).

Si vous n’avez pas la main en mode sans échec, se reporter à la page : http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicode-powa/

Windows XP: Restaurer explorer en invites de commandes en mode sans échec

Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez invite de commandes en mode sans échec

Sur la fenêtre cmd.exe – tapez la commande copy comme dans la capture ci-dessous et valider.
Si un message vous demande de remplacer le fichier accepter. Vous devez avoir un message 1 fichier(s) copié(s).
Saisir exit pour redémarrer l’ordinateur
Redémarrez l’ordinateur et vérifiez si l’infection continue à se lancer.

NOTE : Il est aussi possible de passer la commande SFC /scannow toujours en invites de commandes en mode sans échec.
Le scan devrait restaurer le fichier explorer.exe

Windows XP : Restauration du système en ligne de commandes mode sans échec

C’est la procédure à privilégier.

Cela ne fait pas perdre les données mais restaure Windows à une image prise antièrement (vous devez choisir la date, donc prendre une date antérieure à l’infection).

Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez invite de commandes en mode sans échec

Saisir les commandes suivantes en validant par entrée :
cd %windir%
cd system32
cd restore
rstrui.exe

Ce qui devrait lancer la restauration système de Windows – laissez vous guider et prenez une date antérieure.

http://www.youtube.com/watch?v=bpp2x88ys7E

Redémarrez en mode normal et contastez si l’infection est toujours présente, si c’est le cas, passer à la procédure suivante.

Liens explicatifs vers le fonctionnement de la restauration du système Windows :

• La restauration du système sous Windows XP
• Restauration système Vista/Seven

Windows XP : CD Live Kaspersky

Vous pouvez aussi utiliser le CD Live Kaspersky.
Fichier ISO : http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso
Il est possible de le graver sur CD ou le mettre sur Clef USB, se reporter aux pages suivantes :

• http://forum.malekal.com/kaspersky-live-rescue-t12133.html
• http://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html

Une fois sur le CD, lancer le gestionnaire de fichiers via un clic droit sur le bureau.

Allez dans le dossier Discs puis C puis dossier Windows.
Vérifiez que le fichier twexx32.dll existe.

Si c’est le cas, chercher explorer.exe  et supprimer le (clic droit / mettre à la corbeille).
Chercher twexx32.dll et clic droit puis renommer, nommez le explorer.exe

(le but étant donc de mettre le fichier twexx32.dll en explorer.exe).

Redémarrez l’ordinateur quand cela est fait.

Windows XP : Procédure avec clef Shell

Voici une dernière procédure (en fait il en exite une autre avec des CD Live par exemple avec OTLPE simplement en copiant un explorer.exe).
Les procédures précendentes fonctionnent bien, en théorie vous ne devriez pas avoir besoin d’appliquer celle-ci qui est un peu plus compliqué. Suivez en priorité les étapes précédentes.

Cette procédure consiste à changer la clef Shell pour récupérer la main en mode normal.

Redémarrez en invites de commandes en mode sans échec : Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage et choisissez invite de commandes en mode sans échec

Sur la fenêtre cmd.exe, tapez regedit et validez

Déroulez l’arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINE => Software => Microsoft => Windows NT => CurrentVersion => Winlogon
A droite, chercher Shell, vous devez avoir explorer.exe – remplacer par iexplore.exe
Saisir la commande : shutdown /r  pour que l’ordinateur redémarre

Redémarrez l’ordinateur en mode normal.

Vous devriez avoir Internet Explorer qui se lance tout seul.
Si ce n’est pas le cas, si vous avez votre fond d’écran :

• Faites CTRL+ALT+Suppr sur le clavier pour lancer le gestionnaire de tâches.
• Sur les gestionnaire de tâches :
•  Cliquez sur le Menu Fichier puis Nouvelle tâche
• Saisir iexplore.exe – Si vous êtes sur Windows Vista ou Seven, faites SHFIT+CTRL (à gauche de la barre d’espace – Shift est la touche majuscule) et Entrée pour valider, cela va déclencher l’UAC (demande d’autorisation pour modifier le système), pour Windows XP validez simplement – Internet Explorer se lance

Téléchargez le explorer.exe correspondant à votre système :

• Windows XP SP3 : http://www.malekal.com/download/explorer_XP_SP3.exe
• Windows XP SP2 : http://www.malekal.com/download/explorer_XP_SP2.exe

Après l’avoir téléchargé, copier le dans le dossier Windows sous le nom explorer.exe en remplaçant celui existant.
Le but est de remplacer le explorer.exe malicieux par un légitime afin de récupérer le bureau.

• Retournez sur regedit à partir du gestionnaire de tâche et modifiez la clef Shell en remettant explorer.exe dans la clef.
• Fermer toutes les fenêtres et faites un shutdown -t 1 pour fermer la session toujours à partir du gestionnaîre de tâches.
• Redémarrez l’ordinateur, vous devriez avoir accès à votre système.

La vidéo suivante décrit la procédure :

http://www.youtube.com/watch?v=4pbF-kD5UvY

Procédure Windows Seven et Vista

Se reporter à la partie désinfection de cette page : http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicode-powa/

Après la désinfection – Tres important

Demande de remboursements : http://www.ukash.com/fr/fr/faq/can-i-get-a-refund.aspx
Si vous avez utilisé un ukash pour payer la rançon, il n’est pas forcément débité.
Vous pouvez alors aller sur le site pour prendre une carte prépayée ce qui consommera votre ukash. Vous pourrez alors utiliser la carte prépayée pour acheter un article sur internet.

Contacter Ukash : https://www.ukash.com/fr/fr/support/contact-customer-services.aspx
Si vous avez fait le paiement, contactez les.

Vous pouvez aussi essayer d’acheter directement avec le ukash si les pirates ne l’ont pas encore utilisé.

Sécuriser son PC :

Des PUPs/LPIs sont certainement installés sur votre ordinateur, ces derniers étant très répandus.
Il est conseillé de faire un scan de suppression (bouton suppression) avec AdwCleaner.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peux infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

Éventuellement filtrer les publicités avec Ad-Block par exemple, pour le navigateur WEB, se reporter au billet : Sécuriser Firefox

La malvertising se trouve sur gtsadsdistributed.com

http://balanced.gtsadsdistributed.com/www/delivery/spc.php?zones=headertextad%3D2875%7Cside160banner%3D2873%7CPopUnder%3D2571%7Cad_footer%3D2611%7Cad_belowvid%3D1941%7Cad_rvidtop%3D2171%7Cad_rvidmid%3D1991%7Cad_rvidbot%3D2181%7CIM%3D1851%7C&nz=1&source=&r=45056781&charset=ISO-8859-1&loc=http%3A//www.submityourflicks.com/videos/32963/shes-got-titties.html%3Futm_source%3Deasygals%26utm_medium%3Dnetwork1%26utm_campaign%3Dmike

La bannière à droite Real Man’s Power Starts

La connexion à http://cdn1.fathitnetwork.com/?id=cam73649banwidth300&250&a=78992 (46.37.181.146) qui redirige vers http://aohvoo.sleepme.cc/iniframe/fbabbfdf1479d3f1b567b32b9f832b52/0/b3579056a90e88ce938ba869ea970d98 (195.3.145.50)

Administrative Contact:
Gernuut
Lionella (lionella@printontable.com)
45 Gerrt gate
Kologne
Bayern,33333
DE
Tel. +49.1231231

Ce dernier contient une iframe qui redirige vers http://acagfiadf.co.cc/?b=3

puis le BlackHole : http://www3.malekal.com/malwares/index.php?hash=709bcc9299ca60fca988b311788aefe8

http://acghicdbg.co.cc/main.php?page=9065b71917ffec11

http://acghicdbg.co.cc/data/ap1.php?f=c5826

http://acghicdbg.co.cc/data/hhcp.php?c=c5826

http://acghicdbg.co.cc/Set.jar

http://acghicdbg.co.cc/w.php?f=c5826&e=3

http://acghicdbg.co.cc/w.php?f=c5826&e=0

La détection qui donne du ZeroAccess/Sirefef

https://www.virustotal.com/file/9e4def01f78d10da728f5d167f061a5fc11f64062a25cd34b28ddc33652fb094/analysis/ 

SHA256: 9e4def01f78d10da728f5d167f061a5fc11f64062a25cd34b28ddc33652fb094
File name: 709bcc9299ca60fca988b311788aefe8
Detection ratio: 9 / 42
Analysis date: 2012-05-15 10:03:13 UTC ( 21 minutes ago )

AntiVir TR/Crypt.XPACK.Gen 20120515
DrWeb BackDoor.Maxplus.4956 20120515
Fortinet W32/Kryptik.AB!tr 20120515
Kaspersky HEUR:Trojan.Win32.Generic 20120515
Microsoft Trojan:Win32/Sirefef.P 20120515
NOD32 a variant of Win32/Kryptik.AFPI 20120515
Sophos Mal/ZAccess-Q 20120515
VIPRE Trojan.Win32.Generic.pak!cobra 20120515

On retrouve aussi le message : Activite illicite demée! puisque ce ransomware fait parti de cete famille : http://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/ – pour se désinfecter suivez donc ce lien.
Pas mal d’activité, puisqu’une autre variante avec un autre skin avait été mis en ligne cette semaine : Virus Police Nationale Française : Activite illégale révelée

avec un retour du remplacement d’explorer.exe comme en Décembre 2011.
Je vous renvoie donc à la page suivante : http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/

Softonic bundle aussi Tuto4PC.
Pour ceux qui ne savent pas ce qu’est Tuto4PC, c’est la même chose que TutoPC qui est aussi un peu la même chose qu’Eorezo.

• Fiche Eorezo : https://forum.malekal.com/les-programmes-eorezo-t18245.html
• Fiche PCtuto/Tuto4PC : https://forum.malekal.com/pctuto-eorezo-t33439.html

Le but de TutoPC est de distribuer des tutoriels d’environ 30s sous forme vidéo et d’installer un adware permanent qui va ouvrir des popups de publicité régulièrement (environ toutes les 5 minutes), en clair donc un adware/agent publicitaire.

La fameuse « meilleurs offres du net sur votre PC » qui se résument à des publicités de sonneries mobiles ou de jeux en ligne.. (on voit que Tuto4PC.exe lance le processus Iexplorer.exe qui contacte ads.regiedepub.com pour ouvrir la publicité).

Notamment le site 01net distribue PCTuto : http://www.malekal.com/2011/11/28/pctuto-et-01net-le-foutage-de-gueule-continue/

Ici donc, si on souhaite télécharger AdwCleaner (qui je rappelle supprime les adwares), on se retrouve coché par défaut (opt-in) avec Tuto4PC

qui en théorie propose des tutoriels…

A l’issue de l’installation, le dropper de Tuto4PC est téléchargé et executé en very-silent, cela signifie que l’on aura aucune popup d’installation et de confirmation (le fameux assistant d’installation avec les boutons suivant).

La vidéo suivante montre l’installation, une fois insallé on se retrouve avec les processus Tuto4PC.exe et UpdateTuto4PCHP.exe

http://www.youtube.com/watch?v=tJWETkQSbxs

et au final ? aucun tutoriel…
On voit même qu’un processus tutoriel Avast! est lancé mais comme c’est en silent, rien ne s’ouvre.. Pourquoi Avast! ? car Tuto4PC n’a aucun tutoriel pour AdwCleaner, or ici c’est le downloader Softonic qui propose Tuto4PC pour n’importe quel logiciel téléchargé chez eux… or Tuto4PC n’a pas un tutoriel pour chacun des programmes proposés.

En clair donc, ici Softonic fait installer l’adware Tuto4PC avec aucune contrepartie, aucun tutoriel.
C’était déjà assez moche de se retrouver avec un adware permanent pour un tutoriel de 30s mais ici il est tout simplement pas lancé.

De pire en pire..

Pour la désinfection, se reporter à la page suivante : http://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/

La détection parle d’elle même : https://www.virustotal.com/file/dab9c20a80e673e603881e8fe6eb562ac019fae409f3e291f176e1c778dc4e97/analysis/

SHA256: dab9c20a80e673e603881e8fe6eb562ac019fae409f3e291f176e1c778dc4e97
File name: becd3fccc7cc87811a0bb141cdd1e5a4
Detection ratio: 0 / 41
Analysis date: 2012-05-12 10:28:24 UTC ( 1 heure, 20 minutes ago )

Le malware se lance par une clef Run, le mode sans échec est disponible.

EDIT :

Le nombre de machines infectées à 14h :

à 21h :

Celle ci-dessous est distribuée par trafficholder.com qui possède d’autres malvertising : http://www.malekal.com/2012/05/09/malvertising-sur-drtuber-com-a-travers-trafficholder-com/
Je ne donnerai pas les détails  dans ce billet.

Celle-ci est distribuée par ero-advertising.com

trafficholder.com qui pub pour teenporn-tube.net (85.17.124.5 – LEASEWEB – NL)
Ce dernier est relativement récent :

Domain Name: TEENPORN-TUBE.NET
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Whois Server: whois.PublicDomainRegistry.com
Referral URL: http://www.PublicDomainRegistry.com
Name Server: NS30.TGPTRAFFICBIZNS.COM
Name Server: NS31.TGPTRAFFICBIZNS.COM
Status: clientTransferProhibited
Updated Date: 04-nov-2011
Creation Date: 19-oct-2011
Expiration Date: 19-oct-2012

puis popads.ero-advertising.com redirige vers wowsexvideos.net 
ce dernier contient une iframe qiu redirige vers trik-a.com/ss.php
qui charge un exploitkit à travers un javascript, ce dernier redirige vers kaj182.com 65.254.51.42

puis l’exploitkit charge le code malicieux.

Le malware au final peux être différent, on peux avoir du ransomware Fake Police type « Activite illicite Revélée »

ou  le trojan Clicker  TrojanClicker:Win32/Clidak.A  : http://www3.malekal.com/malwares/index.php?hash=af1c94cbb4dcae3bf6fa7ba18559289d

Les Whois sur les domaines utilisés sont assez interressants.
On voit que WOWSEXVIDEOS.NET est récent :

Domain Name: WOWSEXVIDEOS.NET
Registrar: DOMAINCONTEXT, INC.
Whois Server: whois.domaincontext.com
Referral URL: http://www.domaincontext.com
Name Server: NS1.REGWAY.COM
Name Server: NS2.REGWAY.COM
Status: clientTransferProhibited
Updated Date: 08-may-2012
Creation Date: 08-may-2012
Expiration Date: 08-may-2013

Les informations donnés et notamment l’adresse email aussi :

Administrative Contact:
N/A
Ezaf Hsmit (kigajas@gmail.com)
Seprotshtrasse 84
Berlin,84163DE
Tel. +49.16094966279

Celle-ci est référencée dans un papier de Trend-Micro sur les ransomwares Fake Police
On en déduit donc que WOWSEXVIDEOS.NET a été enregistré pour cette campagne.

même chose pour Trik-a.com, ce dernier est relativement récent :

Domain Name: TRIK-A.COM
Registrar: DIRECTI INTERNET SOLUTIONS PVT. LTD. D/B/A PUBLICDOMAINREGISTRY.COM
Whois Server: whois.PublicDomainRegistry.com
Referral URL: http://www.PublicDomainRegistry.com
Name Server: NS1.LUXEMIL.COM
Name Server: NS2.LUXEMIL.COM
Status: clientTransferProhibited
Updated Date: 21-dec-2011
Creation Date: 21-dec-2011
Expiration Date: 21-dec-2012

L’adresse IP est interressante aussi :

Celle-ci est référencée sur cette page : http://www.malekal.com/2012/03/25/trojan-clicker-a-travers-une-extension-firefox/

Le domaine est connu de Google Safe Browsing :

Voici quelques malwares publiés par les éditeurs d’antivirus, ceci n’est pas l’intégralité des malwares existants actuellement sur Android.
Le but étant d’avoir un aperçu de ce qui existe actuellement et la manière dont ils sont propagés.

Fausse Application qui renferme des malwares

Un des vecteurs d’infection sont de fausses applications qui renforment un malware.

Mi-Avril 2012 – Un faux Angry bird a été mis en ligne sur internet : http://blog.trendmicro.com/rogue-instagram-and-angry-birds-space-for-android-spotted/
L’application a été mise en ligne sur internet via un site qui imitait celui d’Instagram – un service qui propose des applications pour SmartPhone.

La fausse application réclame les droits pour envoyer des SMS afin d’enregistrer celle-ci, le but étant de récupérer les droits d’envois de SMS pour le malware qui par la suite va pouvoir spammer.
La description du malware se trouve ici : http://about-threats.trendmicro.com/Malware.aspx?language=us&name=ANDROIDOS_SMSBOXER.A

Par la suite Trend-Micro publie une liste de fausses applications proposées sur Google Play qui renforme des malwares :

http://nakedsecurity.sophos.com/2011/06/14/plankton-malware-drifts-into-android-market/
Une partie sont des adwares qui vont donc ouvrir des bannières publicitaires et remunérés les auteurs, d’autres permettent la prise de contrôle du SmartPhone comme le font ceux sur PC.

Certaines de ces applications utilisent le spyware Plankton – ce dernier a été découvert courant Juin 2011 : http://www.csc.ncsu.edu/faculty/jiang/Plankton/
Le jar Plankton se charge durant l’installation de l’application puis la partie malicieuse attend des instructions du C&C via des commandes qui lui sont envoyées :

D’autre malwares ont été publiées par la suite, sur le blog de Trend-Micro : TigerBot / Spyera: http://blog.trendmicro.com/a-closer-look-at-androidos_tigerbot-evl/ 
Ce dernier est contrôlé par des commandes qui sont envoyés par SMS – découvert aussi courant Avril 2012 : http://www.csc.ncsu.edu/faculty/jiang/TigerBot/

Ce dernier est capable de :

• Enregistrer les son (incluants les appels)
• Modifier les parmètres réseaux.
• Obtenir la localisation GPS
• Effectuer des captures ou envoyer des images
• Envoyer des SMS
• Redémarrer le SmartPhone
• Tuer des processus en cours d’execution

Dernièrement (Mai 2012), McAfee publie un malware qui se connecte au C&C via le protocole IRC : http://blogs.mcafee.com/mcafee-labs/evolution-of-android-malware-ircbot-for-android
Ce dernier se propage par un faux jeu sous le nom MADDEN NFL 12.

Installation d’Application par website-injection

Puis les  premières infections par website-injection débarquent.

Récemment, les éditeurs de sécurité se font fait echo d’une campagne qui ajoute une iframe sur des sites WEB.
Ceci lance l’installation d’une application (.apk), l’utilisateur devrait avoir une popup de confirmation de l’installation.

• http://blog.mylookout.com/blog/2012/05/02/security-alert-hacked-websites-serve-suspicious-android-apps-noncompatible/
• http://www.symantec.com/connect/blogs/website-injection-campaign-used-conjunction-android-trojan
• http://nakedsecurity.sophos.com/2012/05/03/notcom-malware-for-android-distributed-using-drive-by-downloads 

La détection est Android.Bgserv – Ce dernier est un package modifié de Android Market Security Tool, un outils de Google : http://www.symantec.com/connect/ko/blogs/androidbgserv-found-fake-google-security-patch

Sophos avait publié en Février 2012, une autre website-injection via un lien reçu depuis Facebook : http://nakedsecurity.sophos.com/2012/02/24/android-malware-facebook/
On obtient la popup ci-dessous, le nom du package qui tente de se faire passer pour Opera : com.opera.install

Les web-injection sont couplés à des attaques social engeenering pour tromper les internautes et faire installer l’application qui n’est qu’en fait que le malware.

Conclusion

Trois types d’approche pour propager les infections.

• Imiter des vrais services pour proposer des applications, en espérant que l’internaute tombe dessus via internet
• Proposer de fausses applications dans les services stores
• website-injection : hacker des sites pour proposer l’installation d’un malware sous couvert d’une application légitime

Dans le cas des stores, il semblerait qu’actuellement, ce sont surtout les stores chinois qui soient touchés par de fausses applications.
D’après l’étude de Lockout (voir plus bas), la Russie est aussi pas mal touché.
Il faut savoir que dans le monde du PC, ça commence souvent en Chine et Russie pour finir en Occident.

Compte tenu du nombre d’Androids en circulation, on peux s’attendre à une accélération du nombre de menaces et de la sophistication des attaques pour s’approcher de ce qui se fait sur PC.
Des outils cybercririnels à revendre vont surement voir le jour petit à petit. On peux enfin aussi imaginer, le portage des Exploits Kits actuels pour toucher des Mac et des Androids.
Un même site hackés pourra aller toucher divers équipements.
Voir les prédictions de la société Lockout : http://blog.mylookout.com/blog/2011/12/13/2012-mobile-threat-predictions/

Côté menace, on constate que l’on a déjà toute sorte de malwares, de l’adware à la backdoor en passant par le stealer.
Trend-Micro a mis en ligne un portail qui liste les menaces : http://about-threats.trendmicro.com/mobile/
On est environ à 1 ou 2 nouvelles menaces par moi.

Trend-Micro a aussi publié un livret (en anglais) qui liste les bonnes habitudes à avoir dans l’utilisation de son SmartPhone : http://about-threats.trendmicro.com/ebooks/5-simple-steps-to-secure-your-android-based-smartphones/#/1/

Des antivirus sont aussi disponibles pour SmartPhone, en voici quelque uns :

• Avast! Mobile (Gratuit) : http://www.avast.com/free-mobile-security
• Antivir (Gratuit) : http://www.avira.com/en/avira-free-android-security
• Lockout (Gratuit) : https://www.mylookout.com/download
• AVG : http://www.avg.com/ww-en/antivirus-for-android
• BitDefender Mobile :  https://play.google.com/store/apps/details?id=com.bitdefender.security
• Kaspersky Mobile : http://www.kaspersky.com/fr/kaspersky_mobile_security
• NOD32 Eset Mobile : http://www.eset-nod32.fr/nod32_versions_eset_mobile_antivirus.html
• Symantec Norton Mobile : http://us.norton.com/norton-mobile-security/

Le ranking Alexa.com est assez elevé, ce qui confirme encore que les malvertising sont bien des portes d’entrée pour les sites à haut traffic et que les sites pornographiques sont bien visés, comme je disais dans le précédent billet : Revue de Presse : rapport Symantec et les malvertising ?

hit.trafficholder.com conduit à sun-porno-movies.info (88.214.202.129 – GB)

Ce dernier peux occassionnellement rediriger vers l’exploit Kit, ici du BlackHole

On peux aussi être redirigé vers une publicité classique chez livejasmin.com – Celle-ci est non malicieuse.

Les connexions :

http://www.drtuber.com/player/config.php?h=19f299e1cd07fe4d6b3067718ddd30ef&t=1336560825&vkey=96210e27daca419914d8&pkey=66b58c28d97ab4a9a83aa21545a96bf7

http://www.drtuber.com/tracker.php?target=player&click=1&url=1

http://www.drtuber.com/th.php

http://www.trafficholder.com/in/in.php?drtuber

http://hit.trafficholder.com/cgi-bin/traffic/process.fcgi?a=drtuber&n=&r=

http://sun-porno-movies.info/2/go.php?sid=1

http://relativea.floweroflifebodywork.com/index.php?p=60753f03fbbd2605

http://relativea.floweroflifebodywork.com/data/ap1.php?f=e2e20

http://relativea.floweroflifebodywork.com/data/hhcp.php?c=e2e20

http://relativea.floweroflifebodywork.com/data/ap1.php?f=e2e20

http://relativea.floweroflifebodywork.com/data/ap1.php?f=e2e20

http://relativea.floweroflifebodywork.com/Cal.jar

http://50.7.235.227/w.php?f=e2e20&e=0

http://50.7.235.227/w.php?f=e2e20&e=3

La détection :

https://www.virustotal.com/file/7871359b2529d9e9811834183bac3caf780e9688318540baa2d6dcfb88aeb8ac/analysis/

HA256:	7871359b2529d9e9811834183bac3caf780e9688318540baa2d6dcfb88aeb8ac
File name:	a23bfc97e2bc46d272f5eece97a44610
Detection ratio:	6 / 42
Analysis date:	 2012-05-09 10:54:50 UTC ( 14 minutes ago )

AhnLab-V3	Trojan/Win32.Plosa	20120508
Avast	Win32:Dropper-KVS [Drp]	20120509
Comodo	TrojWare.Win32.Kryptik.ASR	20120509
GData	Win32:Dropper-KVS 	20120509
Kaspersky	HEUR:Trojan.Win32.Generic	20120509

A noter que ce n’est pas la première fois que cette IP délivre des ransomwares Fake Police.
Pas mal de BlackHole avec des domaines différentes conduisent au final à celle-ci : http://www3.malekal.com/malwares/index.php?&url=50.7.235.227

Les adresses du Virus Sacem contactées dans mon cas :

TCP_MISS/302 499 GET http://dersupermarketer.com/partner3/redirector/redirector.php - DIRECT/195.208.185.40 text/html
TCP_MISS/200 2477 GET http://dersupermarketer.com/partner3/universalbezahlung/frankreich/index.php - DIRECT/195.208.185.40 text/html
TCP_MISS/302 499 GET http://dersupermarketer.com/partner3/redirector/redirector.php - DIRECT/195.208.185.40 text/html
TCP_MISS/200 3488 GET http://dersupermarketer.com/partner3/universalbezahlung/frankreich/fresh_buttons/buttons.css - DIRECT/195.208.185.40 text/css
TCP_MISS/200 39008 GET http://dersupermarketer.com/partner3/universalbezahlung/frankreich/bg_fr.gif - DIRECT/195.208.185.40 image/gif
TCP_MISS/200 976 GET http://dersupermarketer.com/partner3/universalbezahlung/frankreich/js/keyboard.js - DIRECT/195.208.185.40 application/javascript
TCP_MISS/200 327 GET http://dersupermarketer.com/partner3/universalpanel/gate.php?hwid=[removed]&pc=[removed]&localip=[removed]&winver=Windows%20XP%20Professional%20x32 - DIRECT/195.208.185.40 text/html

Il semblerait d’après cette page http://trafficholder.com/top.html que trafficbroker.com et trafficholder.com soient liés, or trafficbroker.com a aussi des problèmes de malvertising http://www.malekal.com/2012/04/21/malvertising-delivery-trafficbroker-com-delivre-ransomware-activite-illicite-demelee/

On comprend alors pourquoi la campagne de ce ransomware est très virulente depuis quelques temps :