WebMediaPlayer bundle Service-X86 en silence

Pour ceux qui ne connaissent pas WebMediaPlayer, voici un billet de 2011 : http://www.malekal.com/2011/11/06/webplayersearch-webplayersearch-com-complitly-pups-par-faux-codec/

Ce dernier est toujours proposé des sites de streaming en se faisant passer pour un plugins additionels nécessaires pour visualiser les vidéos ou afficher tous les éléments de la page.
Bref le principe est le même que dans le billet de téléchargement à quelque chose près !

Page de téléchargement : http://securelinkdownload.com/download/dl.php?l=fr2&telecharger=Webplayer (213.186.33.3)

WebMediaPlayer_Servicex86_plugins

J’ai lancé ce dernier qui propose la barre d’outils Delta-Search mais surtout qui charge un fichier plugin.exe :
WebMediaPlayer_Servicex86

Ce dernier télécharge et lance un fichier Services x86-Insternallnstaller.exe :

1362328615.335 4469 192.168.1.27 TCP_MISS/200 3997163 GET http://securelinkdownload.com/download/dl.php?l=pluginos&telecharger=services-x86 – DIRECT/213.186.33.3 application/octet-stream
WebMediaPlayer_Servicex86_2
qui inscrit une BHO : WebMediaPlayer_Servicex86_3

et une clef Run quite pointe sur un programme de mise à jour :
WebMediaPlayer_Servicex86_4-1Firefox est aussi arreté pour charger une extension.

Voici une capture de l’extension Services X86 ajoutée : WebMediaPlayer_Servicex86_10

ce qui donne sur un rapport HijackThis, les lignes suivantes :

O2 – BHO: CrossriderApp0027096 – {11111111-1111-1111-1111-110211701196} – C:/Program Files/Services x86/Services x86.dll
O4 – HKCU/../Run: [Updater27096.exe] C:/Documents and Settings/Kevin/Local Settings/Application Data/Updater27096/Updater27096.exe /extensionid=27096 /extensionname=’Services x86′ /chromeid=cnmdgidklhhnmppphpohildcefnaaflp /stayidle /delay=300

Première chose le programme contacte à chaque connexion à un site des URLS dont le domaine sont du type :

api[chiffre].thetrafficstat.net 173.45.80.98
ig.srvoverlay.com:8080

ig.srvoverlay.com has address 198.72.106.214
ig.srvoverlay.com has address 198.72.106.218
ig.srvoverlay.com has address 198.72.106.206
ig.srvoverlay.com has address 198.72.106.210

Les sites visités avec les referer sont POST.
(Je ne suis pas certains qu’en France, la remonté de ces informations soient légales sans le consentement de l’utilisateur)
WebMediaPlayer_Servicex86_5
Le programme ouvre aussi des publicités de coupons de réductions via les adresses www.superfish.com

superfish.com has address 66.70.120.47
superfish.com has address 63.131.144.201
superfish.com has address 63.131.144.202
superfish.com has address 63.131.144.204
superfish.com has address 63.131.144.205
superfish.com has address 63.131.149.244
superfish.com has address 63.131.149.245
superfish.com has address 63.131.149.246
superfish.com has address 65.17.253.38 WebMediaPlayer_Servicex86_6

Le programme est capable de manipuler les images des sites WEB visités.
Par exemple, sur la capture ci-dessous, des boutons sont ajoutés sous l’image. WebMediaPlayer_Servicex86_7 ou ici sur mon site, une publicité est affichée lorsque l’on passe la souris sur l’image : WebMediaPlayer_Servicex86_8

Le principe des coupons de réductions n’est pas nouveau : http://www.malekal.com/2013/01/20/pupsadwares-tour-dhorizons-des-divers-types-de-programmes-parasites/
Par contre, l’ajout des boutons et publicités sur les images l’est.

Ce qui est aussi nouveau en revanche, c’est le fait que l’installation de ce programme soit en silence, donc à l’insu de l’utilisateur et sans son consentement, ce dernier modifiant le comportement du système, on arrive à la définition même des malwares.

service-x86 est détecté de la sorte : https://www.virustotal.com/fr/file/8656966223bd61cf0483de88e605fd0d39ff2cf9bb03f1adda83184e653c8d8d/analysis/

SHA256: 8656966223bd61cf0483de88e605fd0d39ff2cf9bb03f1adda83184e653c8d8d
Nom du fichier : 6a9005b652fa2ac920c27cf4a3e367f4
Ratio de détection : 7 / 46
Date d’analyse : 2013-03-03 16:46:01 UTC (il y a 30 minutes)

Comodo Heur.Suspicious 20130303
DrWeb Adware.Plugin.22 20130303
Emsisoft Packed.Win32.ScrambleWrapper.AMN (A) 20130303
ESET-NOD32 Win32/Packed.ScrambleWrapper.A 20130303
Ikarus Win32.SuspectCrc 20130226
Symantec WS.Reputation.1 20130303
TrendMicro-HouseCall TROJ_GEN.F47V0222 20130303

Les fichiers en question :

EDIT 13 Octobre

Simplement pour dire que WebMediaPlayer refourgue maintenant Pricora et ceci toujours au lancement du setup sans intervention de l’utilisateur.
Sample : http://malwaredb.malekal.com/index.php?hash=f9878d126d297b68b0f264afe298d61a

Picora Adware

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 76 times, 1 visits today)

4 thoughts on “WebMediaPlayer bundle Service-X86 en silence

  1. Bonjour, après plusieurs heures, j’ai réussi à éradiquer cette vérole. Beaucoup de sites conseillent SpyHunter mais il faut la version payante. Voici donc comment j’ai procédé si ça peut aider :
    Nettoyage de la BDR : suppression de toutes les clés Sweethim, crossrider.
    Malgré cela, j’avais toujours les boutons sur les images et une fenêtre Deal Finder qui s’ouvrait.
    Firefox : il y avait bien service x86 dans les plugins mais pas de bouton supprimer.
    J’ai donc recherché dans about:config et j’ai trouvé des lignes à rallonge qui commençaient toutes par : Extensiona217xxxxxxxxxxxxxxxxxxxxxxxxxxx il y en a une soixantaine environ.
    bouton droit : réinitialiser (pour chaque ligne) et redémarrer Firefox: nickel plus rien et gratuit.

  2. Merci beaucoup à Joël ! En effet, j’ai été dans about:config, et en réinitialisant tout ce qui concernait delta search ou crossrider, je n’ai plus aucun problème !

  3. C’est aussi valable pour Webgameplay, du meme développeur.

    Après l’avoir installé, j’ai découvert une nouvelle forme de publicité sur Facebook, j’ai cru au début que ça venait de Facebook, car dans le fil d’actualité ainsi que sur des pages, il y avait une publication « Facebook a publié », là il s’agit d’une publicité flash (chose qui n’a jamais existé sur Facebook) avec en dessous les boutons j’aime, commenter, partager ainsi que les nombres de j’aime, commentaires, et partages, pourtant quand on clique dessus ça ouvre dans tous les cas la publicité.
    Je n’avais pas fait le rapprochement avec l’installation de Webgameplay, mais quand je me suis retrouvé avec des publicités qui s’affichaient en pointant la souris sur certains éléments du portail Orange, c’est là que j’ai compris qu’il avait un probleme, d’autant que mes navigateurs se mettaient à ramer.
    J’ai ouvert le gestionnaire des taches et découvert le programme « Services x86 », et il suffit de le desinstaller via le panneau de configuration (ajout/supression de programmes)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *