WebMediaPlayer bundle Service-X86 en silence

Pour ceux qui ne connaissent pas WebMediaPlayer, voici un billet de 2011 : https://www.malekal.com/2011/11/06/webplayersearch-webplayersearch-com-complitly-pups-par-faux-codec/

Ce dernier est toujours proposé des sites de streaming en se faisant passer pour un plugins additionels nécessaires pour visualiser les vidéos ou afficher tous les éléments de la page.
Bref le principe est le même que dans le billet de téléchargement à quelque chose près !

Page de téléchargement : http://securelinkdownload.com/download/dl.php?l=fr2&telecharger=Webplayer (213.186.33.3)

WebMediaPlayer_Servicex86_plugins

J’ai lancé ce dernier qui propose la barre d’outils Delta-Search mais surtout qui charge un fichier plugin.exe :
WebMediaPlayer_Servicex86

Ce dernier télécharge et lance un fichier Services x86-Insternallnstaller.exe :

1362328615.335 4469 192.168.1.27 TCP_MISS/200 3997163 GET http://securelinkdownload.com/download/dl.php?l=pluginos&telecharger=services-x86 – DIRECT/213.186.33.3 application/octet-stream
WebMediaPlayer_Servicex86_2
qui inscrit une BHO : WebMediaPlayer_Servicex86_3

et une clef Run quite pointe sur un programme de mise à jour :
WebMediaPlayer_Servicex86_4-1Firefox est aussi arreté pour charger une extension.

Voici une capture de l’extension Services X86 ajoutée : WebMediaPlayer_Servicex86_10

ce qui donne sur un rapport HijackThis, les lignes suivantes :

O2 – BHO: CrossriderApp0027096 – {11111111-1111-1111-1111-110211701196} – C:/Program Files/Services x86/Services x86.dll
O4 – HKCU/../Run: [Updater27096.exe] C:/Documents and Settings/Kevin/Local Settings/Application Data/Updater27096/Updater27096.exe /extensionid=27096 /extensionname=’Services x86′ /chromeid=cnmdgidklhhnmppphpohildcefnaaflp /stayidle /delay=300

Première chose le programme contacte à chaque connexion à un site des URLS dont le domaine sont du type :

api[chiffre].thetrafficstat.net 173.45.80.98
ig.srvoverlay.com:8080

ig.srvoverlay.com has address 198.72.106.214
ig.srvoverlay.com has address 198.72.106.218
ig.srvoverlay.com has address 198.72.106.206
ig.srvoverlay.com has address 198.72.106.210

Les sites visités avec les referer sont POST.
(Je ne suis pas certains qu’en France, la remonté de ces informations soient légales sans le consentement de l’utilisateur)
WebMediaPlayer_Servicex86_5
Le programme ouvre aussi des publicités de coupons de réductions via les adresses www.superfish.com

superfish.com has address 66.70.120.47
superfish.com has address 63.131.144.201
superfish.com has address 63.131.144.202
superfish.com has address 63.131.144.204
superfish.com has address 63.131.144.205
superfish.com has address 63.131.149.244
superfish.com has address 63.131.149.245
superfish.com has address 63.131.149.246
superfish.com has address 65.17.253.38 WebMediaPlayer_Servicex86_6

Le programme est capable de manipuler les images des sites WEB visités.
Par exemple, sur la capture ci-dessous, des boutons sont ajoutés sous l’image. WebMediaPlayer_Servicex86_7 ou ici sur mon site, une publicité est affichée lorsque l’on passe la souris sur l’image : WebMediaPlayer_Servicex86_8

Le principe des coupons de réductions n’est pas nouveau : https://www.malekal.com/2013/01/20/pupsadwares-tour-dhorizons-des-divers-types-de-programmes-parasites/
Par contre, l’ajout des boutons et publicités sur les images l’est.

Ce qui est aussi nouveau en revanche, c’est le fait que l’installation de ce programme soit en silence, donc à l’insu de l’utilisateur et sans son consentement, ce dernier modifiant le comportement du système, on arrive à la définition même des malwares.

service-x86 est détecté de la sorte : https://www.virustotal.com/fr/file/8656966223bd61cf0483de88e605fd0d39ff2cf9bb03f1adda83184e653c8d8d/analysis/

SHA256: 8656966223bd61cf0483de88e605fd0d39ff2cf9bb03f1adda83184e653c8d8d
Nom du fichier : 6a9005b652fa2ac920c27cf4a3e367f4
Ratio de détection : 7 / 46
Date d’analyse : 2013-03-03 16:46:01 UTC (il y a 30 minutes)

Comodo Heur.Suspicious 20130303
DrWeb Adware.Plugin.22 20130303
Emsisoft Packed.Win32.ScrambleWrapper.AMN (A) 20130303
ESET-NOD32 Win32/Packed.ScrambleWrapper.A 20130303
Ikarus Win32.SuspectCrc 20130226
Symantec WS.Reputation.1 20130303
TrendMicro-HouseCall TROJ_GEN.F47V0222 20130303

Les fichiers en question :

EDIT 13 Octobre

Simplement pour dire que WebMediaPlayer refourgue maintenant Pricora et ceci toujours au lancement du setup sans intervention de l’utilisateur.
Sample : http://malwaredb.malekal.com/index.php?hash=f9878d126d297b68b0f264afe298d61a

Picora Adware
Print Friendly, PDF & Email
(Visité 163 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet