[fr] Pack PUP : System Speedup, Advanced System Protector et Deeal

Un pack de programmes parasites / PUP pousse pas mal depuis hier, ce dernier se compose de :

  • un Adware de type Coupon du nom de Deeal
  • Un nettoyeur de registre : System Speedup / Advanced System Protector

Ce dernier n’est pas vraiment nouveau (il en existe pas mal de ce type, se reporter à la page :Nettoyeur et Défragmenteur : ça sert à rien !

System-speedup

Ci-dessous, des captures du forum CommentCamarche dans la partie Virus où l’on peux voir beaucoup de sujets pour ce pack :

System-speedup2 System-speedup3 System-speedup4Le pack en question se compose ajoute aussi un répertoire : C:/Users/TEMP/AppData/Local/Microsoft/WinU\ contenant des exécutables au nom aléatoires débutants des tildés – exemple :

C:/Users/TEMP/AppData/Local/Microsoft/WinU/~awivrxl.exe [495104]
C:/Users/TEMP/AppData/Local/Microsoft/WinU/~yejrpma.exe [491008]

Les détections sont du types :

Lavasoft Ad-Aware Trojan.GenericKD.1602076
AhnLab V3 Security Malware/Win32.Generic
Antiy Labs AVL Trojan[Dropper]/Win32.FrauDrop
avast! Malware-gen 140617-1
AVG Found Luhe.Fiha.A
Baidu Antivirus Adware.Win32.Illyx
Bitdefender Trojan.GenericKD.1602076
Commtouch SDK W32/GenBl.37BD65F1!Olympus
Comodo Security ApplicUnwnt
Dr.Web BackDoor.Cybergate.1
Emsisoft Anti-Malware Trojan.GenericKD.1602076
ESET NOD32 Win32/GameTool.BB
Fortinet FortiGate W32/FrauDrop.ADJIS!tr
F-Secure Trojan.GenericKD.1602076
G Data Trojan.GenericKD.1602076
IKARUS anti.virus Trojan-Dropper.Win32.FrauDrop
Jiangmin Trojan/Reconyc.as
K7 AntiVirus Riskware
K7 Gateway Antivirus Riskware
Kaspersky Trojan-Dropper.Win32.FrauDrop
Malwarebytes Trojan.Inject.RRE
McAfee Artemis!37BD65F12E99
McAfee Web Gateway Artemis!37BD65F12E99
MicroWorld eScan Trojan.GenericKD.1602076
Norman Suspicious_Gen4.FXLPV
nProtect Trojan.GenericKD.1602076
Qihoo 360 Security Win32/Trojan.Dropper.0c3
Reason Heuristics Threat.Win.Reputation.IMP
Sophos Mal/Generic-S
Trend Micro House Call TROJ_GEN.R00UH07C914
Vba32 AntiVirus TrojanPSW.Ruftar
VIPRE Antivirus Trojan.Win32.Generic
Zoner Trojan.Autoit.NPP

Ce fichier semble réinstaller le pack.

Vous trouverez une procédure de désinfection sur le lien suivant : http://forum.malekal.com/supprimer-advanced-system-speedup-t48356.html
Si vous avez besoin d’aide, n’hésitez pas à créer un sujet dans la partie Virus du forum.

EDIT – 3 Juillet

J’ai pu déterminer la source, cela vient d’Illyx/Kreapixel), une société de publicité qui envoie des installeurs de PUPs, déjà bien connus : http://www.malekal.com/2011/11/06/webplayersearch-webplayersearch-com-complitly-pups-par-faux-codec/
Avec la coupe du monde, les gens doivent vouloir voir les matchs par streaming et télécharge n’importe quoi.

Des sites de ‘télévision streaming’ sont créés pour balancer ces installeurs webplayer-foot, exemple-ci dessous :

illyx_pup2WebPlayer_Foot

Ci-dessous l’installeur, comme vous pouvez le constater, le fichier avec le tiltdé se lance tout seul… sans intervention de l’utilisateur – ce n’est d’ailleurs pas la première fois : http://www.malekal.com/2013/03/03/webmediaplayer-bundle-service-x86-en-silence/
Encore une fois, je ne suis pas certains que ce soit légal.
illyx_pup

En vidéo :

http://youtu.be/ZDAeP-NAVwI

 

puis se charge d’aller chercher le reste:

System-speedup5Notez la fenêtre d’installation, pas de bouton annuler, pas de croix en haut à droite.
Dans la barre des tâches, un clic droit fermer n’est pas possible.
En gros on est obligé de tuer le processus (ce qui n’est pas simple pour un débutant).

Du coup l’utilisateur est obligé de faire Next et d’installer les programmes parasites.

illyx_pup4

Les connexions vont clairement vers softs.illyx.com :

illyx_pup3L’installeur créé un service WIN-svrGA qui pointe vers le fichier c:\WINDOWS\system32\srvany.exe (FlyStudio) :

Les fichiers suivants sont créés :

c:\WINDOWS\system32\instsrv.exe
Date: 4/18/2003 6:05 PM
Size: 32 256 bytes
c:\WINDOWS\system32\srvany.exe
Date: 4/18/2003 6:06 PM
Size: 8 192 bytes
c:\WINDOWS\system32\WIN-svrGA.exe
Date: 6/23/2014 11:44 AM
Size: 409 088 bytes

C:\WINDOWS\system32\WIN-svrGA.exe est détecté en Luhe.Fiha.A / Trojan/Reconyc.as

https://www.virustotal.com/fr/file/6dbefeb28cfbdf0ea9218cf60814d4eb1a92e438a0a8ea921deaa1d79a138563/analysis/1404387472/
AVG Luhe.Fiha.A 20140703
AhnLab-V3 Malware/Win32.Generic 20140703
Jiangmin Trojan/Reconyc.as 20140703
Qihoo-360 HEUR/Malware.QVM11.Gen 20140703
Zoner Trojan.Autoit.NPP.autodetect.21080 20140701

Quelques samples :

e0a68247549e6c3145676b5544835d67 winU_exe : http://malwaredb.malekal.com/index.php?&hash=e0a68247549e6c3145676b5544835d67
bd2b3806854fee15e76cb2ce662028da ~spdtafk_exe : http://malwaredb.malekal.com/index.php?&hash=bd2b3806854fee15e76cb2ce662028da
5bd502080637764558e9cf5031389639 ~tgagmdm.exe : http://malwaredb.malekal.com/index.php?&hash=5bd502080637764558e9cf5031389639
134e8fa23641856a5182a2a7ff93f339 ~zxdundw_exe : http://malwaredb.malekal.com/index.php?&hash=134e8fa23641856a5182a2a7ff93f339

Les installeurs :

https://www.virustotal.com/fr/file/8293f9f1586a6c534d52067520d096027e73ddd2e0504d73d54f8d32adaf10aa/analysis/1404397838/
https://www.virustotal.com/fr/file/86423cb8e6b36c947bc814f56832ed4f0f5c24f9bdfc399227cff51c2a78e5bb/analysis/1404397842/

Microsoft Security Essentials et Antivir ne les détectent pas, cela se recoupe avec les sujets de CommentCaMarche.
J’ai envoyé les fichiers aux labos.

EDIT – 6 Juillet – Illyx et Faux Flash Player

Illyx utilise aussi de fausses bannières Flash Player pour faire télécharger son programme d’insallation et les programmes parasites qui vont avec.

FakeFlash

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 30 times, 1 visits today)

One thought on “[fr] Pack PUP : System Speedup, Advanced System Protector et Deeal

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *