Zango/PinBall : hippogeekSA, SweetPacks et Internet Turbo via fake Xvid

Vu sur un site de streaming, une page proposant un codec Xvid (en général ça pue => http://forum.malekal.com/faux-codec-zlob-videoaccess-trojan-win32-dnschanger-t878.html ).

URL : http://www.zalaa.com/embed-f98deszt3ydn.html

Registrant:
Home
i block house no 574 gujaini
i block house no 574 gujaini
kanpur, Uttar Pradesh 208022
India

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: ZALAA.COM
Created on: 28-Jul-07
Expires on: 28-Jul-13
Last Updated on: 03-Apr-12

Administrative Contact:
ojha, rajneesh rajneesh_ojha@yahoo.com
Home
i block house no 574 gujaini
i block house no 574 gujaini
kanpur, Uttar Pradesh 208022
India
+91.9455133913 Fax — +91.9455133913

et vlan un .exe : http://www3.malekal.com/malwares/index.php?hash=9cd868454250bdea9f3f4111491ff4a3

https://www.virustotal.com/file/adedd69b6ea884a79f16107ebb31e6c9ac3593e6f7e39a9a252437485c955431/analysis/

SHA256: adedd69b6ea884a79f16107ebb31e6c9ac3593e6f7e39a9a252437485c955431
File name: files/9cd868454250bdea9f3f4111491ff4a3-XvidSetup.exe
Detection ratio: 28 / 42

Analysis date: 2012-06-05 15:47:15 UTC ( 17 minutes ago )
AhnLab-V3 Adware/Win32.ScreenSaver 20120602
AntiVir ADWARE/Adware.Gen 20120602
Avast Win32:Zango-AQ [PUP] 20120602
AVG Skodna.Generic_r.AN 20120602
BitDefender Gen:Variant.Graftor.28303 20120603
ClamAV W32.Adware.Screensaver 20120602
Comodo ApplicUnwnt.Win32.AdWare.Hotbar.kkti 20120602
DrWeb Adware.Hotbar.700 20120603
Emsisoft Win32.SuspectCrc!IK 20120603
F-Prot W32/HotBar.O4.gen!Eldorado 20120602
F-Secure Gen:Variant.Graftor.28303 20120602
Fortinet Adware/Hotbar 20120603
GData Gen:Variant.Graftor.28303 20120603
Ikarus Win32.SuspectCrc 20120602
Jiangmin AdWare/ScreenSaver.ps 20120602
K7AntiVirus Adware 20120601
Kaspersky not-a-virus:AdWare.Win32.ScreenSaver.e 20120603
McAfee Adware-HotBar.d 20120603
McAfee-GW-Edition Adware-HotBar.d 20120603
NOD32 a variant of Win32/Adware.HotBar.P 20120602
Norman W32/180Solutions.BSE 20120602
nProtect Trojan-Clicker/W32.Graftor.325808.P 20120602
PCTools Adware.Clkpotato 20120603
Sophos ClickPotato Installer 20120603
Symantec Adware.Clkpotato!gen3 20120603
TotalDefense Win32/Zango.Pinball.B[HOTBAR] 20120601
TrendMicro-HouseCall TROJ_GEN.F37BZLN 20120602
VIPRE Pinball Corporation. (v) 20120602


Et vlan on propose Internet Turbo pour rien optimiser et rien accélerer et SweetPacks. SweetPacks et c’est SweetIM un PUPs avec un nouveau.
Ce dernier est très présent dans les rapports.

On reconnait le graphisme de l’installeur Zango/Pinball qui a déjà sévit par le passé, notamment par de faux codec VLC : http://forum.malekal.com/vlc-plugin-offerbox-hotbar-shopperreports-clickpotato-t29633.html

Puis a pas mal baissé par la suite :

Le setup xvid se lance à la fin, pour rappelle, logiciels libres repackés (PUPs ) pour y ajouter des programmes sponsorisés.
L’éditeur se fait donc de l’argent à travers le travail libre des développeurs.

Internet Turbo 2012

et là magnifique Sweet qui crééer son propre programme de nettoyage : SweePCFix

C’est sûr que quand on a installé des programmes parasites, barre d’outils et autres et que le PC rame, l’utilisateur va se ruer sur des nettoyeurs qui servent à rien, mais l’important c’est qu’il y croit pour vendre.
La boucle est bouclée chez Sweet.

Lignes Hijackthis :
O2 – BHO: SWEETIE – {EEE6C35C-6118-11DC-9C72-001320C79847} – C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 – Toolbar: &Radio – {8E718888-423F-11D2-876E-00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: SweetPacks Toolbar for Internet Explorer – {EEE6C35B-6118-11DC-9C72-001320C79847} – C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 – HKLM\..\Run: [iTurbo] C:\Program Files\iNTERNET Turbo\ITTray.exe
O4 – HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 – HKLM\..\Run: [Sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe
O4 – HKCU\..\Run: [hippogeekSA] « C:\Documents and Settings\Mak\Local Settings\Application Data\hippogeekSA\bin\1.0.5.0\hippogeekSA.exe »

 

Pour supprimer ces parasites, allez les désinstaller :

  • Pour Windows Vista/Seven : Allez dans le Panneau de Configuration puis Programmes et Fonctionnalités
  • Pour Windows XP : Allez dans le Panneau de Configuration puis Ajout/Suppression de programmes

et aussi au niveau des navigateurs WEB :

AdwCleaner s’avère très utile aussi : http://forum.malekal.com/adwcleaner-t33839.html

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 17 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *