Qvo6 / en.v9.com : YAC, DProtect, iSafe et Trojan.Win32.Staser

Sur Commentcamarche.net les sujets sur le programme parasites qvo6.com reviennent en force.
qvo6_v9_PUP_CCM

qvo6_v9_PUP_CCM2

Pour ceux qui ne connaissent pas, qvo6 est un programme parasite qui modifie les page  de démarrage et de recherche.
Ce dernier modifie aussi les raccourcis de lancement des navigateurs afin de s’ajouter dans la cible pour s’ouvrir au démarrage.

qvo6_v9_PUP_raccourci

 

qvo6_v9_PUP

Dans cette nouvelle campagne, le programme parasite est accompagné d’un programme DProtect.

Voici un rapport OTL de pjjoint : http://pjjoint.malekal.com/files.php?read=20130911_o7w5u10t7l7
Ce dernier se lance par un service :

qvo6_v9_PUP_pjjoint

mais aussi par des DLL qui se lancent par la clef AppIni_DLLs :
qvo6_v9_PUP_pjjoint2
Ceci permet à la DLL de s’injecter dans tous les processus.
Cette fonctionnalité est en autre utilisée par les keylogger pour s’injecter dans tous les processus et hooker les fonctions claviers afin de les récupérer (je dis pas que DProtect un keylogger).

De plus, je soupçonne le programme de modifier les permissions sur la clef et d’enlever les droits en modifications.

qvo6_v9_PUP_suite3

Quel est la fonction de DProtect ?
Remettre qvo6 / v9.com en page de démarrage.
On s’éloigne donc des programmes parasites (PUP) pour s’approcher des Trojan.Startpage.

J’ai trouvé une ancienne version de DProtect – ce dernier est détecté en Trojan.Win32.Staserhttps://www.virustotal.com/fr/file/8230d1092ef2958d28abe018f370f929cbf8abd7cdc5308fe58209c7bccef492/analysis/

sur l’IP 174.36.200.167 – on retrouve plusieurs adresses, dont la page de démarrage v9.com – des URLs pour soft365.com qui appartiennent aux programmes desk365 qui est aussi refourgué avec cette affiliation.
qvo6_v9_PUP_suite2

Sur urlquery.net – on retrouve plusieurs .exe dont eGdpSvc.
Une recherche sur Google montrera que ces programmes ont aussi été refourgués avec qvo6.com : http://forum.malekal.com/rogues-alertes-securite-t7139.html

qvo6_v9_PUP_suite

On trouve aussi une adresse virus-delete qui est un « faux blog de sécurité » dont je vous ai déjà pas mal parlé pour l’antispyware SpyHunter =>http://forum.malekal.com/faux-blogs-securite-spyhunter-spyware-doctor-t12847.html

 

qvo6_v9_PUP_virus-delete

Le programme iSafe est donc proposé en solution pour réparer qvo6.

iSafe

https://www.virustotal.com/fr/file/c0812ce91990ac541d70b79850f25c56f9f3c69b8309b6bb8d162b45654d0b80/analysis/

Copyright (c) 2011-2013 Woodtale Technology Inc>

Publisher WOODTALE TECHNOLOGY INC
Product iSafe Security Protection
Version 2.6.0.1
Original name Setup.exe

Je vous laisse remonter à la capture pjjoint avec le service DProtect et comparer le nom du Publisher, ils sont identiques.

A noter que la version de DProtect que j’ai récupérée sur twotext.com a comme signature : Banyan Tree Technology Limited
Une recherche sur ce nom donne d’autre programme iSafe.

 

La boucle est donc bouclée, puisqu’une affiliation force la page de démarrage et propose en même temps un programme pour solutionner le problème.
Pour le moment le programme iSafe est gratuit, peut-être temporairement en attendant de le faire connaître.
Nul doute que l’on peux ensuite créer un autre système d’affiliation pour multiplier les « faux blog de sécurité ».

La frontière entre PUPs et Trojan s’amoindrissent…

EDIT 18 Septembre

J’ai pris le temps de chercher comment il était propagé, j’ai trouvé un pack qui le refile.
Via une publicité pour Media Player, l’URL semble changer tous les jours…

http://dlp.xvidupdate.com/Player_Setup.exe (5.135.187.147)

Qvo6_DProtect_MediaPlayer
On retrouve les programmes parasites habituels : Qvo6, Pricepeep, Optimizer Pro, My BackupPC, Lollipop.
Et en plus, SurfLyrics.
Qvo6_DProtect_MediaPlayer2
Le lecteur vidéo VAF Player utilisé en prétexte pour refourguer tous les programmes parasites :
Qvo6_DProtect_MediaPlayer3
Les programmes parasites installés avec DProtectSvc.exe pour remettre qvo6 (on retrouve aussi eGdpSvc.exe que j’ai mentionné plus haut) :
Qvo6_DProtect_MediaPlayer4
et côté URLs… On retrouve les IPs que j’ai mentionnées précédemment :

1379500742.629 1188 192.168.1.12 TCP_MISS/200 488948 GET http://www.goplayer.cc/hpnt/tugs_ar_qvo6.exe – DIRECT/174.36.200.164 application/octet-stream
1379500748.370 4307 192.168.1.12 TCP_MISS/200 372274 GET http://dl.elex.soft365.com/Public/newTab/1.1.5.2.crx – DIRECT/50.97.129.8 application/octet-stream
1379500749.934 7028 192.168.1.12 TCP_MISS/200 462308 GET http://www.twonext.com/download/res/eXQ.exe – DIRECT/174.36.200.167 application/octet-stream
1379500752.389 9484 192.168.1.12 TCP_MISS/200 826348 GET http://www.twonext.com/download/res/eGdpSvc.exe – DIRECT/174.36.200.167 application/octet-stream
1379500754.814 4878 192.168.1.12 TCP_MISS/200 1293349 GET http://www.twonext.com/download/res/DProtect.exe – DIRECT/174.36.200.167 application/octet-stream

Qvo6_DProtect_MediaPlayer5

Côté détection, c’est plutôt pas mal.
Le setup est à 11 sur VT, pour un PUPs, c’est pas mal : http://malwaredb.malekal.com/index.php?hash=5351f6172c2c08d35ebdeead504cfcb3

SHA256:37d90020e7f101902f903e668fea04d31b7ae3b66d40491beee8eef0a0961818
File name:malekal_5351f6172c2c08d35ebdeead504cfcb3
Detection ratio:11 / 49
Analysis date:2013-09-18 10:28:42 UTC ( 34 minutes ago )

AntiVir APPL/DomaIQ.Gen 20130918
Avast Win32:DomaIQ-AJ [PUP] 20130918
AVG MalSign.Generic.085 20130918
DrWeb Trojan.Packed.24553 20130918
ESET-NOD32 a variant of MSIL/DomaIQ.E 20130918
Fortinet MSIL/DomaIQ.E 20130918
Kingsoft VIRUS_UNKNOWN 20130829
Malwarebytes PUP.OptionalBundleInstaller.A 20130918
Norman DomaIQ.CERT 20130918
Sophos DomainIQ pay-per install 20130918
VIPRE DomaIQ (fs) 20130918

et l’install DProtect est à 9 : https://www.virustotal.com/en/file/66ad685420c85fcbf28f2ef6c1a7814e192f23c3c7ab678263a7147bc457b3ba/analysis/

SHA256:66ad685420c85fcbf28f2ef6c1a7814e192f23c3c7ab678263a7147bc457b3ba
File name:malekal_957c9c20b7df85c3f8d08e53f4720ba1
Detection ratio:9 / 48
Analysis date:2013-09-18 10:26:29 UTC ( 38 minutes ago )

Avast Win32:Staser-A [Trj] 20130918
Baidu-International 20130918
Comodo UnclassifiedMalware 20130918
Kaspersky Trojan.Win32.Staser.fv 20130918
Kingsoft Win32.Troj.Staser.fv.(kcloud) 20130829
McAfee-GW-Edition Artemis!957C9C20B7DF 20130918
TrendMicro-HouseCall TROJ_GEN.F47V0916 20130918
VIPRE Elex Installer (fs) 20130918

Qvo6_DProtect_MediaPlayer6

EDIT 4 Novembre : YAC – Yet Another Cleaner

Vu ce spam sur un sujet de désinfection de PUPs.

YAC

yac.mx has address 173.192.211.213


YAC3

 

 

Le premier YAC est en fait le programme iSafe qui a été renommé.
D’ailleurs l’installeur va chercher le fichier suivant : http://www.goplayer.cc/original/iSafe_setup.exe

YAC2

YAC qui s’installe avec un pack de programmes parasites et qui génèrent des alertes.
Cela rappelle le principe des scarewares : http://forum.malekal.com/rogues-scareware-programmes-douteux.html

YAC YAC2

EDIT – Mars 12

Fausse alerte disant que votre PC est infecté pour le logiciel YAC (Yet Another Cleaner) :

YAC_fakeAlert YAC_fakeAlert2 YAC_fakeAlert3

EDIT – May 29 2014 : YAC et faux Java

YAC par de fausses mises à jour Java :

playgamemobile.com has address 107.181.254.58
javasdownload.info has address 107.181.254.58

YAC_fakeJava YAC_fakeJava2

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 82 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *