Pentoweb / Multiexplorer / coramail.net Hijacker : Page de démarrage prise en otage

Un billet concernant le Hijacker PentoWeb / MultiExplorer qui avait valu quelques sujets sur le forum commentcamarche.net :

Le programme est proposé par des internautes sur les forums, Facebook etc vers l’adresse http://www.icofacebook.com/actusbuzz/?act=illu (46.252.201.1 – GDNL – NL).
Ce dernier lance une animation d’effet d’optique et modifie la page de démarrage des navigateurs pour la prendre en otage :

Ceci conduit à un fichier exécutable – ce dernier avait été retiré dernièrement – certaintemant car la détection était bonne Result: 18 /41 (43.9%) http://www.virustotal.com/file-scan/report.html?id=7aba9dc7549270cab425da6bbc0b0aaa3445962b3f94092af092545cf07c72da-1320790743

L’executable lance un fichier setup.exe qui lance un script VBS et un autre executable spirale.exe.

  • setup.exe s’occupe de lancer le script VBS et de le mettre au démarrage, ce script VBS modifie la page de démarrage.
  • spirale.exe lance la vidéo avec l’effet optique et lance une connexion vers la page : hxxp://www.camsympa.com/?id=58895&e=0&w=1&tracker=act_buz (91.226.182.242 – TWOTOWN – BE)

La détection du fichier setup.exe : http://www.virustotal.com/file-scan/report.html?id=4e341575e10ed51b6f5f7b223502a53d9f82d11e73e82869208a79128501e31b-1322414154

File name: setup.exe
Submission date: 2011-11-27 17:15:54 (UTC)
Current status: queued queued analysing finished
Result: 6/ 43 (14.0%)

Compact Print results
Antivirus Version Last Update Result
BitDefender 7.2 2011.11.27 DeepScan:Generic.Malware.SYd!sp.DDFA1B2E
F-Secure 9.0.16440.0 2011.11.27 DeepScan:Generic.Malware.SYd!sp.DDFA1B2E
GData 22 2011.11.27 DeepScan:Generic.Malware.SYd!sp.DDFA1B2E
SUPERAntiSpyware 4.40.0.1006 2011.11.26 Trojan.Agent/Gen-Koobface[Bonkers]
VBA32 3.12.16.4 2011.11.25 Malware-Cryptor.VB.gen.1 

Additional informationShow all
MD5   : 90d35a7cd86174a21ad7cd60cf5d6c19
SHA1  : fc7583792f169cca7ba277c6f964aaa922d7fe2d
SHA256: 4e341575e10ed51b6f5f7b223502a53d9f82d11e73e82869208a79128501e31b
ssdeep: 192:5y12wV1XyMLVauP3eUc/yTXRIuAMI95kGHBEM+h1kNy3uRy4nrT/sSDzwYj6qdhC:5aVEML

File size : 36864 bytes
First seen: 2011-11-27 17:15:54
Last seen : 2011-11-27 17:15:54


Setup.exe qui lance le fichier %PROGRAMFILES\rbjcl.vbs

Le fichier rbjcl.vbs qui est lancé à chaque démarrage modifie la page des navigateurs web vers hxxp://pentoweb.net/gs1.php (213.186.33.87 – OVH – FR)

La détection du script  vbs : http://www.virustotal.com/file-scan/report.html?id=c4cc21f23b221dc83d3412110743eba38e6a95f3267d0bb76d66f2388956e960-1322413212

File name: rbjcl.vbs
Submission date: 2011-11-27 17:00:12 (UTC)
Current status: finished
Result: 7 /42 (16.7%)

Emsisoft 5.1.0.11 2011.11.27 Trojan.VBS.Seeker!IK
Ikarus T3.1.1.109.0 2011.11.27 Trojan.VBS.Seeker
K7AntiVirus 9.119.5542 2011.11.25 Trojan
McAfee-GW-Edition 2010.1D 2011.11.27 Heuristic.BehavesLike.VBS.Exploit.D
Microsoft 1.7801 2011.11.27 Trojan:VBS/Phopaiz.A
NOD32 6663 2011.11.27 Win32/StartPage.OFC
Rising 23.85.04.01 2011.11.25 Trojan.JS.StartPage.an 

MD5   : af78e0ca7f16d21721d68953577efd25
SHA1  : e92c37523d3e5e8fbc338d2f18fe7bd3c8f4d677
SHA256: c4cc21f23b221dc83d3412110743eba38e6a95f3267d0bb76d66f2388956e960

Il est aussi possible qu’une application demandant les informations de connexion Facebook existent (je n’ai pas pu récupérer celle-ci). En donnant les informations de connexion, Il est alors possible de poster des messages automatiquement sur votre Facebook et donc de faire de la publicité pour ces programmes afin de propager ce dernier.

il existe la même chose avec l’adresse coramail.net

Supprimer le Hijacker Pentoweb

Pour supprimer le script du démarrage :

Il faut ensuite supprimer le script :

  • Afficher les fichiers cachés / systèmes
  • Chercher le fichier rbjcl.vbs soit par une recherche de fichiers, soit en allant sur le Disque C puis Program Files/Programmes et supprimer le fichier rbjcl.vbs par un clic droit supprimer
Vous devez ensuite reparamétrer la page de démarrage de vos navigateurs WEB – éventuellement se reporter à cette page : http://www.malekal.com/2011/08/15/desinstaller-un-programme-et-extensions-firefox/
Eventuellement passer un coup d’AdwCleaner (mode suppression) et Malwarebyte Anti-Malware – Si vous avez été infecté par cet Hijacker, c’est que vous ouvrez tous les executables qu’on vous propose, dès lors, il y a potentiellement d’autres programmes potentiellements inutiles à supprimer.
Encore une fois, n’ouvrez pas tous les exécutables qu’on vous propose.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 31 times, 1 visits today)

One thought on “Pentoweb / Multiexplorer / coramail.net Hijacker : Page de démarrage prise en otage

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *