Trojan:Win32/Comisproc : PCTuto/Eorezo

Sur le forum de CCM, on peux voir quelques cas d’un trojan nommé Trojan:Win32/Comisproc, du coup, je me demandais ce que c’était.
Trojan.ComisProc : PCTuto / Eorezo

J’ai remarqué, systématiquement, la présence de Eorezo ou TutoPC/Tuto4PC

Un petite vérification confirme bien qu’un des fichiers durant l’installation, par exemple, de PCTuto est détecté en Trojan:Win32/Comisproc

Trojan.ComisProc : PCTuto / Eorezo

Le lien du malware :

313959055.086 128 192.168.1.111 TCP_MISS/200 21077 GET http://dles.eorezo.com/download/su_fr.exe?jUrMqP9yIX6xpGRDKohE%2FOKaNrySRNkWZ%2BeghtnpUNQWGFuvlqcygHe9qkoxQnbiNVKFUmOjzGQ3BntObeGOIqSFLQnkluGfaJrZIoQU1hP9gHott2R7YoMW%2Fe0RJhVmoaosY7EXUuIe7QqnJOIUW5HEshN4sbOzeE6WNcHPdw6VXYg9cmRWROCiuEnCGDCd - DIRECT/188.165.192.211 application/x-msdos-program

La détection : http://www.virustotal.com/file-scan/report.html?id=3662122ed22f5e9ebfb430b4aefb2a3366d5da9159e6985eff50d1d7859aa6fc-1313958125

File name: su_fr.exe
Submission date: 2011-08-21 20:22:05 (UTC)
Current status: finished
Result: 26/ 44 (59.1%)AhnLab-V3 2011.08.21.00 2011.08.21 Trojan/Win32.Gen
AntiVir 7.11.13.155 2011.08.21 ADWARE/Adware.Gen
Antiy-AVL 2.0.3.7 2011.08.21 Trojan/Win32.Agent.gen
AVG 10.0.0.1190 2011.08.21 Downloader.Agent2.ARIT
BitDefender 7.2 2011.08.21 Adware.Agent.NGZ
Comodo 9823 2011.08.21 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.08.21 Trojan.Click1.54859
Emsisoft 5.1.0.10 2011.08.21 AdWare.Agent!IK
F-Secure 9.0.16440.0 2011.08.21 Adware.Agent.NGZ
Fortinet 4.2.257.0 2011.08.21 Adware/Adload
GData 22 2011.08.21 Adware.Agent.NGZ
Ikarus T3.1.1.107.0 2011.08.21 AdWare.Agent
McAfee 5.400.0.1158 2011.08.21 Downloader.a!dk
McAfee-GW-Edition 2010.1D 2011.08.21 Downloader.a!dk
Microsoft 1.7604 2011.08.21 Trojan:Win32/Comisproc
NOD32 6398 2011.08.21 Win32/TrojanDownloader.Adload.NII
Norman 6.07.10 2011.08.20 W32/Agent.VCCE
Panda 10.0.3.5 2011.08.21 Generic Malware
PCTools 8.0.0.5 2011.08.21 Trojan.Gen
Symantec 20111.2.0.82 2011.08.21 Trojan.Gen.2
TheHacker 6.7.0.1.282 2011.08.20 Trojan/Downloader.Adload.nii
TrendMicro 9.500.0.1008 2011.08.17 TROJ_GEN.F43C1HD
TrendMicro-HouseCall 9.500.0.1008 2011.08.21 TROJ_GEN.F43C1HD
VBA32 3.12.16.4 2011.08.21 TrojanDownloader.Adload.nii
VIPRE 10234 2011.08.21 Trojan.Win32.Generic!BT
VirusBuster 14.0.179.0 2011.08.21 Trojan.DL.Adload!N6YxOxYMn4E
Additional information
MD5 : 2f83537250cb8220c57b43e13222bd45
SHA1 : b7e8aba1e01de0619df7ba656c184a2f339e190d
SHA256: 3662122ed22f5e9ebfb430b4aefb2a3366d5da9159e6985eff50d1d7859aa6fc

A noter que sur ces pages où j’avais donné des liens de détections :
http://www.malekal.com/2011/07/14/eorezo-pctuto-tuto4pc-pourquoi-les-antivirus-ne-detectent-rien/
http://www.malekal.com/2011/07/19/eorezo-pctuto-tuto4pc-pourquoi-les-antivirus-ne-detectent-rien-suite/

J’avais donné le lien : http://dfr.pctuto.com/download/sufr.exe
qui est un fichier qui fait grosso modo la même chose.

http://www.virustotal.com/file-scan/report.html?id=b0b49065b210a1395248b2dc6d83bf045256dfd64e8e54fe24dbe24d8392aebd-1313958536

File name: sufr.exe
Submission date: 2011-08-21 20:28:56 (UTC)
Current status: finished
Result: 22/ 44 (50.0%) VT Community
Print results Antivirus Version Last Update Result
AhnLab-V3 2011.08.21.00 2011.08.21 Trojan/Win32.Agent
AntiVir 7.11.13.155 2011.08.21 ADWARE/Adware.Gen
Antiy-AVL 2.0.3.7 2011.08.21 Trojan/Win32.Agent.gen
AVG 10.0.0.1190 2011.08.21 Downloader.Agent2.ARIT
BitDefender 7.2 2011.08.21 Adware.Agent.NGZ
CAT-QuickHeal 11.00 2011.08.21 TrojanClicker.Agent.tod
DrWeb 5.0.2.03300 2011.08.21 Trojan.Click1.54859
Emsisoft 5.1.0.10 2011.08.21 AdWare.Agent!IK
eSafe 7.0.17.0 2011.08.21 Win32.Trojan
F-Secure 9.0.16440.0 2011.08.21 Adware.Agent.NGZ
Fortinet 4.2.257.0 2011.08.21 W32/Agent.TOD!tr
GData 22 2011.08.21 Adware.Agent.NGZ
Ikarus T3.1.1.107.0 2011.08.21 AdWare.Agent
K7AntiVirus 9.110.5037 2011.08.20 Trojan
McAfee 5.400.0.1158 2011.08.21 Generic Downloader.x!fzw
McAfee-GW-Edition 2010.1D 2011.08.21 Generic Downloader.x!fzw
NOD32 6398 2011.08.21 Win32/TrojanDownloader.Adload.NII
Norman 6.07.10 2011.08.20 W32/Agent.VCCE
TheHacker 6.7.0.1.282 2011.08.20 Trojan/Downloader.Adload.nii
VBA32 3.12.16.4 2011.08.21 TrojanDownloader.Adload.nii
VIPRE 10235 2011.08.21 Trojan.Win32.Generic!BT
VirusBuster 14.0.179.0 2011.08.21 Trojan.DL.Adload!N6YxOxYMn4E
MD5 : 090f7d066f94377ff9046c8e7a634f00
SHA1 : 708d6333b6328b2b76028ca72ead81f210646ca5
SHA256: b0b49065b210a1395248b2dc6d83bf045256dfd64e8e54fe24dbe24d8392aebd

Dans le précédent, Microsoft ne détecte pas le fichier.
Je l’ai envoyé, espérons que Microsoft ajoute une détection pour ce dernier.

C’est une bonne chose pour prévenir les utilisateurs de la présence de l’Adware. On regretera qu’Avast! ne détecte pas le fichier mais Malwarebyte lui détecte tout le pack.

Si Trojan:Win32/Comisproc est détecté..

Ne paniquez pas, vous avez installez les programmes Eorezo ou TutoPC/Tuto4PC

Savez-vous que le service transmet certaines informations ? comme par exemple votre adresse, numéro de télephone qui ont été saisis lors de l’inscription ?
PCTuto/Eorezo modifie aussi ta page de démarrage vers lo.st, il se peux aussi que ce site transmettent certaines informations et affiche des popups de publicité.

Enfin le programme installe un adware qui ouvre des popups de publicités sur l’adresse regiedepub.com

Ce dernier se désinstalle :

  • Pour Windows Vista/Seven : Allez dans le Panneau de Configuration puis Programmes
  • Pour Windows XP : Allez dans le Panneau de Configuration puis Ajout/Suppression de programmes
  • Cherchez, Eorezo/PCTuto/TutoPC et SoftwareUpdate / AutoUpdate
  • Vous pouvez aussi installer et passer un coup de Malwarebyte Anti-Malware et supprimer tout ce qui est détecté.

TutoPC/Tuto4PC et Eorezo

Protester contre ces pratiques

Si vous estimez que ces pratiques sont discutables et vous avez été en quelques sortes victimes, vous pouvez protester en envoyant une lettre type à votre député ainsi qu’à la CNIL afin d’obliger les éditeurs d’adwares commercials à le stipuler de manière clair sur le site et lors de l’installation des logiciels qu’un agent publicitaire va être installé et lever toute ambiguïté et pas seulement dans les CGU (une extension de cette loi en quelque sorte :  http://fr.jurispedia.org/index.php/Instruments_juridiques_de_lutte_contre_le_spam_(fr)

La lettre type est disponible en téléchargement à cette adresse : http://pjjoint.malekal.com/files.php?id=b22c377c74l9t12l13g116f10b7f815u7c12e6u15r8b7g14v14x8u10n14

Lisez bien le contenu et vérifiez que les événements relatés sont bien ceux qui vous sont arrivés et que vous êtes réellement d’accord avec.

Pour connaître l’adresse de votre député, cliquez sur le lien suivant et recherchez votre député par rapport à votre circonscription : Députés français

Voici, pour tous les Européens, le lien permettant d’atteindre votre Représentant au niveau du Parlement Européen : Députés Européens

Pour la CNIL, l’adresse est la suivante :

Commission Nationale de l’Informatique et des Libertés
8, rue Vivienne
CS 30223
75083 Paris cedex 02

Vous pouvez aussi cette pétition électronique : http://www.mesopinions.com/Contre-les-adwares-caches-petition-petitions-88232ec28afefd5a3d362d178b1a16d7.html#signer-petition

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 37 times, 1 visits today)

2 thoughts on “Trojan:Win32/Comisproc : PCTuto/Eorezo

  1. Tuto4PC traine Commentçamarche en justice. 30/09/2011. «Je ne sais pas si vous connaissez Tuto4PC mais moi perso, je n’en avais jamais entendu schtroumpfer jusqu’à ce jour. Et l’ami Sebsauvage m’a fait un petit mail aujourd’hui pour me sensibiliser au sujet. En gros, Tuto4PC est un site qui schtroumpf des tutos mais qui si vous allez un peu vite en besogne ira schtroumpfer un schtroumpfware schtroumpfant tout un tas de schtroumpferies sur votre PC (…).»
    Source : korben.info/tuto4pc.html
    Billets en relation :
    18/07/2011. Tuto4PC: un éditeur d’adware s’introduit en bourse : http://www.journaldunet.com/ebusiness/le-net/tuto4pc-eorezo-franck-rosset.shtml
    21/08/2011. Trojan:Win32/Comisproc : PCTuto/Eorezo : http://www.malekal.com/2011/08/21/trojanwin32comisproc-pctutoeorezo/
    30/09/2011. Le projet autoblog : sebsauvage.net/streisand.me/fr/index.html
    30/09/2011. MIrrors of CCM’s articles about TUTO4PC : pad.telecomix.org/gegsavin

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *