Nation Zoom et fausses mises à jour Java (PUP.DomaIQ)

EDIT : je vous conseille de jeter un lien à cette page qui donne un résume de la situation : http://forum.malekal.com/pup-optional-tuguu-adware-win32-domaiq-pup-outbrowse-t47819.html

Pas mal de personnes touchées par Nation Zoom – le remplaçant de Do-Search qui s’impose en page de démarrage.
( voir page de désinfection pour Nation Zoom : http://forum.malekal.com/supprimer-nation-zoom-t45740.html ).

Ce dernier se propage par de fausses mises à jour Java – ce qui n’est pas vraiment nouveau puisque j’en parlais déjà en Juillet : http://www.malekal.com/2013/07/21/publicites-malicieuses-fausse-mise-a-jour-flash/

L’autre jour, j’avais tweeté le changement de domaine – l’adresse n’avait pas bougé depuis le début xxx.123mediaplayer.com (j’en avais parlé là : http://www.malekal.com/2013/10/16/sunporno-hack-advert-by-plugrush/ ) : https://twitter.com/malekal_morte/status/406330155892609025

NationZoom_FakeJava

 

Les fausses mises à jour Flash / Java en vidéo :

http://www.youtube.com/watch?v=gz0ZmdO-ca4

http://www.youtube.com/watch?v=jTxG2aaaujE

http://www.youtube.com/watch?v=ADJUZa2rdSg

Aujourd’hui, le domaine a de nouveau changé : http://dlp.cloudsvr206.com/lv1/259/Java/446/713/kKGvYJww (5.135.66.82)

https://www.virustotal.com/fr/url/f18e457d4e9eaa03e9b5fbdbd29c9d968477738d3ef5e6807818c82d33f49071/analysis/1386061881/

URL:http://dlp.cloudsvr206.com/
Ratio de détection :1 / 51
Date d’analyse :2013-12-03 09:11:21 UTC (il y a 8 minutes)

La détection de l’installeur : https://www.virustotal.com/fr/file/8a3574de186b19fdfeca263b6140c9aded26ad23b93946467ae6a95c476474f9/analysis/1386061898/

SHA256:8a3574de186b19fdfeca263b6140c9aded26ad23b93946467ae6a95c476474f9
Nom du fichier :kKGvYJww
Ratio de détection :5 / 48
Date d’analyse :2013-12-03 09:11:38 UTC (il y a 9 minutes)

Je vais essayer de faire bouger cela.

En attendant, et encore une fois, lorsque vous surfez, n’installez aucune mise à jour (Flash, Java etc), même si des popups s’ouvrent en insistant.
Les mises à jour Java sont lancées par le programme jusched qui affiche une alerte en bas à droite à côté de l’horloge mais aucune popup lors du surf, encore moins quand un executable à executer vous ait balancé.

Java_maj
Le mieux étant de faire les mises à jour depuis le site Java : http://www.java.com/fr/download/

Je ne peux que vous conseiller de lire ceci : http://www.malekal.com/2011/07/27/detection-puplpi-potentially-unwanted-program/

EDIT –

on a droit à la variante du logiciel vidéo obsolète :

lecteurvideo_obsolete

 

Les détections peinent à monter à 10 :

https://www.virustotal.com/fr/file/35f34e6a9e25f475f285c946bfa4974ad7ee1a76d75073dfbd0264209c7fc98b/analysis/1386497174/
https://www.virustotal.com/fr/file/5f04a7606fb3a3f48d5502c793d652cfd7b4a517896d978e2b16551ca6084f29/analysis/1386497179/

D’autre part, Nation Zoom commence à être distribué sur d’autres réseaux d’affiliation que DomaIQ.

EDIT 11 Decembre

A noter une autre variante qui reprend la page de mise à jour Flash : http://www.malekal.com/2013/07/21/publicites-malicieuses-fausse-mise-a-jour-flash/

PUP_flash

J’ai mis un autosubmit en place sur malwaredb.
Les détections commencent à s’ajouter petit à petit, on passe de 20% à un petit plus de 30%.

Exemple de détection :

SHA256:43f24df9502993395b2413fe0cc9fd78d228e26aeec93099fa5e3d88b7811d39
Nom du fichier :94ad26259d4fdbba23eedd33ce410ca3954ee62d
Ratio de détection :14 / 49
Date d’analyse :2013-12-11 03:00:31 UTC (il y a 5 heures, 19 minutes)

Avast Win32:PUP-gen [PUP] 20131211
AVG Skodna.Bundle_r.Q 20131211
Baidu-International 20131210
Comodo Application.Win32.DomaIQ.JIK 20131211
DrWeb Trojan.PayInt.1 20131211
ESET-NOD32 a variant of Win32/DomaIQ.AN 20131211
Kaspersky not-a-virus:AdWare.Win32.DomaIQ.dzd 20131210
Kingsoft Win32.Troj.DomaIQ.d.(kcloud) 20130829
Malwarebytes PUP.Optional.Domalq 20131211
McAfee RDN/Generic.bfr!fj 20131211
McAfee-GW-Edition RDN/Generic.bfr!fj 20131211
NANO-Antivirus Trojan.Win32.PayInt.cqkjts 20131211
Rising PE:PUF.DomaIQ!1.9DE0 20131210
VBA32 TScope.Trojan.MSIL 20131210
VIPRE Trojan.Win32.Generic!BT 20131211

~~

SHA256:66f08fecf5511ed14eaf5bd761637ba1dddc0d7deeb7c5c44ae945a7af5bada9
Nom du fichier :acd37cfbdfd7d99c582b2134c7b16872d349708d
Ratio de détection :17 / 48
Date d’analyse :2013-12-11 03:00:06 UTC (il y a 5 heures, 20 minutes)

Ad-Aware Dropped:Adware.DomaIQ.M 20131211
Avast Win32:Dropper-gen [Drp] 20131211
AVG Skodna.Generic_r.HV 20131211
BitDefender Dropped:Adware.DomaIQ.M 20131211
DrWeb Adware.Downware.1722 20131211
Emsisoft Dropped:Adware.DomaIQ.M (B) 20131211
ESET-NOD32 a variant of MSIL/DomaIQ.J 20131211
F-Secure Dropped:Adware.DomaIQ.M 20131211
GData Dropped:Adware.DomaIQ.M 20131211
Malwarebytes PUP.Optional.BundleInstaller 20131211
McAfee Artemis!7681013BEB29 20131211
McAfee-GW-Edition Artemis!7681013BEB29 20131211
MicroWorld-eScan Dropped:Adware.DomaIQ.M 20131211
Norman DomaIQ.YSY 20131210
Panda Adware/MultiToolbar 20131210
Sophos DomainIQ pay-per install 20131211
VIPRE DomaIQ (fs) 20131211

PUP.Optional.Domalqet récemment :PUP.Optional.Domalq2

EDIT 12 December

La fausse Flash peux amener à un autre programme d’affiliation de programmes parasites.
La détection n’est pas terrible : https://www.virustotal.com/fr/file/bffaab719535b90f023002d6f4267326a321120114084feeec04e36544106485/analysis/1386856741/

http://adobe.leeshow.net/FlashPlayer7/FR/update.php?installer=Flash_Player_11_for_Other_Browsers&browser_type=KHTML&dualoffer=false
http://cldlr.com/?a=4672&c=56475&s1=&s2=7
http://www.hdplugindownload.com/direct-download.html?version=1.1.5.55&ci=3873&capp=FlashPlayer&ti1=228521889&ti2=4672

SHA256:bffaab719535b90f023002d6f4267326a321120114084feeec04e36544106485
Nom du fichier :direct-download.html?version=1.1.5.55
Ratio de détection :5 / 41
Date d’analyse :2013-12-12 13:59:01 UTC (il y a 1 minute)

Malwarebytes PUP.Optional.InstallMonetizer 20131212
McAfee Artemis!DF6305482F85 20131212
McAfee-GW-Edition Artemis!DF6305482F85 20131211
Sophos Amonetize 20131212
VIPRE Amonetize (fs) 20131212

Ce dernier propose des Adwares du style Lollipop, BubbleDock, Websteroid etc.

PUP_shit PUP_shit2 PUP_shit3

EDIT 6 Janvier

Mi/Fin Décembre des popups ont été ajoutées affichant des alertes.
Lorsque l’internaute surf, la popup s’ouvre et en cliquant sur OK, on atterrit sur la fausse page de mise à jour Java.

La popup s’intitule :

ATTENTION : votre navigateur actuel est dépassée
Une mise à jour de sécurité critique est disponible et vous devez mettre à jour votre lecteur Java Player.
Cette page se fermera automatiquement une fois la mise à jour de sécurité installée.

De plus, la page de Java incorpore un Javascript qui empêche sa fermeture et fait boucler sur la popup d’alerte.
A la manière du ransomware Browlock.

DomaIQ_popup

EDIT Janvier 15

La même avec de fausses mises à jour de navigateur WEB : http://malwaredb.malekal.com/index.php?hash=be8b100d6ef43ee6fa36c9c3801fbca5

SHA256:8cc6b1891a367576be0036df4609c0d5d3f4f26fba84dd90870377f7f05c33c2
Nom du fichier :Setup.exe
Ratio de détection :8 / 48
Date d’analyse :2014-01-15 11:25:26 UTC (il y a 0 minute)
AVGMalSign.Generic.70520140115
ESET-NOD32a variant of Win32/DomaIQ.AU20140115
GDataWin32.Application.DomaIQ.B20140115
MalwarebytesPUP.Optional.BundleInstaller.A20140115
RisingPE:PUF.DomaIQ!1.9DE020140115
SophosDomainIQ pay-per install20140115
VBA32BScope.Downware.DomaIQ20140115
VIPREDomaIQ (fs)20140115

 

DomaIq_fausse_miseajour_navigateur DomaIq_fausse_miseajour_navigateur2 DomaIq_fausse_miseajour_navigateur3

EDIT MAI 2014 : attaque sur les malvertising Fake Flash/Java

Les popups Flash / Java ont pris de grosses proportions, j’ai commencé à les attaquer :

Vous notez que sur le premier lien, vers la fin, je note qu’Avast! ne détecte toujours pas l’installeur, j’espère que cela sera corrigé dans les prochains : https://twitter.com/misak19/status/466897774290948096

Voir aussi ce résumé : http://forum.malekal.com/pup-optional-tuguu-adware-win32-domaiq-pup-outbrowse-t47819.html

EDIT Octobore 2015 : Fausse page Java (InstallCore)

DomaIQ / SoftPulse ne distribue plus de fausses pages Java et Flash, mais encore active via de fausses mise à jour de lecteur vidéo : SoftPulse / DomaIQ

Par contre InstallCore lui continue de délivrer de fausse page de mise à jour Java (et Adobe Flash aux USA).

installcore_fakejava

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 180 times, 1 visits today)

2 thoughts on “Nation Zoom et fausses mises à jour Java (PUP.DomaIQ)

  1. plus ça va et plus je me demande a quoi serre les antivirus qui coûte chère, alors que malwarebytes coûte moins chère et a une meilleurs détection !!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *