EDIT : je vous conseille de jeter un lien à cette page qui donne un résume de la situation : https://forum.malekal.com/pup-optional-tuguu-adware-win32-domaiq-pup-outbrowse-t47819.html
Pas mal de personnes touchées par Nation Zoom – le remplaçant de Do-Search qui s’impose en page de démarrage.
( voir page de désinfection pour Nation Zoom : https://forum.malekal.com/supprimer-nation-zoom-t45740.html ).
Ce dernier se propage par de fausses mises à jour Java – ce qui n’est pas vraiment nouveau puisque j’en parlais déjà en Juillet : https://www.malekal.com/2013/07/21/publicites-malicieuses-fausse-mise-a-jour-flash/
L’autre jour, j’avais tweeté le changement de domaine – l’adresse n’avait pas bougé depuis le début xxx.123mediaplayer.com (j’en avais parlé là : https://www.malekal.com/2013/10/16/sunporno-hack-advert-by-plugrush/ ) : https://twitter.com/malekal_morte/status/406330155892609025
Les fausses mises à jour Flash / Java en vidéo :
Aujourd’hui, le domaine a de nouveau changé : http://dlp.cloudsvr206.com/lv1/259/Java/446/713/kKGvYJww (5.135.66.82)
| URL: | http://dlp.cloudsvr206.com/ |
| Ratio de détection : | 1 / 51 |
| Date d’analyse : | 2013-12-03 09:11:21 UTC (il y a 8 minutes) |
La détection de l’installeur : https://www.virustotal.com/fr/file/8a3574de186b19fdfeca263b6140c9aded26ad23b93946467ae6a95c476474f9/analysis/1386061898/
| SHA256: | 8a3574de186b19fdfeca263b6140c9aded26ad23b93946467ae6a95c476474f9 |
| Nom du fichier : | kKGvYJww |
| Ratio de détection : | 5 / 48 |
| Date d’analyse : | 2013-12-03 09:11:38 UTC (il y a 9 minutes) |
Je vais essayer de faire bouger cela.
En attendant, et encore une fois, lorsque vous surfez, n’installez aucune mise à jour (Flash, Java etc), même si des popups s’ouvrent en insistant.
Les mises à jour Java sont lancées par le programme jusched qui affiche une alerte en bas à droite à côté de l’horloge mais aucune popup lors du surf, encore moins quand un executable à executer vous ait balancé.
Le mieux étant de faire les mises à jour depuis le site Java : http://www.java.com/fr/download/
Je ne peux que vous conseiller de lire ceci : https://www.malekal.com/2011/07/27/detection-puplpi-potentially-unwanted-program/
Table des matières
EDIT –
on a droit à la variante du logiciel vidéo obsolète :
Les détections peinent à monter à 10 :
https://www.virustotal.com/fr/file/35f34e6a9e25f475f285c946bfa4974ad7ee1a76d75073dfbd0264209c7fc98b/analysis/1386497174/
https://www.virustotal.com/fr/file/5f04a7606fb3a3f48d5502c793d652cfd7b4a517896d978e2b16551ca6084f29/analysis/1386497179/
D’autre part, Nation Zoom commence à être distribué sur d’autres réseaux d’affiliation que DomaIQ.
EDIT 11 Decembre
A noter une autre variante qui reprend la page de mise à jour Flash : https://www.malekal.com/2013/07/21/publicites-malicieuses-fausse-mise-a-jour-flash/
J’ai mis un autosubmit en place sur malwaredb.
Les détections commencent à s’ajouter petit à petit, on passe de 20% à un petit plus de 30%.
Exemple de détection :
| SHA256: | 43f24df9502993395b2413fe0cc9fd78d228e26aeec93099fa5e3d88b7811d39 |
| Nom du fichier : | 94ad26259d4fdbba23eedd33ce410ca3954ee62d |
| Ratio de détection : | 14 / 49 |
| Date d’analyse : | 2013-12-11 03:00:31 UTC (il y a 5 heures, 19 minutes) |
Avast Win32:PUP-gen [PUP] 20131211
AVG Skodna.Bundle_r.Q 20131211
Baidu-International 20131210
Comodo Application.Win32.DomaIQ.JIK 20131211
DrWeb Trojan.PayInt.1 20131211
ESET-NOD32 a variant of Win32/DomaIQ.AN 20131211
Kaspersky not-a-virus:AdWare.Win32.DomaIQ.dzd 20131210
Kingsoft Win32.Troj.DomaIQ.d.(kcloud) 20130829
Malwarebytes PUP.Optional.Domalq 20131211
McAfee RDN/Generic.bfr!fj 20131211
McAfee-GW-Edition RDN/Generic.bfr!fj 20131211
NANO-Antivirus Trojan.Win32.PayInt.cqkjts 20131211
Rising PE:PUF.DomaIQ!1.9DE0 20131210
VBA32 TScope.Trojan.MSIL 20131210
VIPRE Trojan.Win32.Generic!BT 20131211
~~
| SHA256: | 66f08fecf5511ed14eaf5bd761637ba1dddc0d7deeb7c5c44ae945a7af5bada9 |
| Nom du fichier : | acd37cfbdfd7d99c582b2134c7b16872d349708d |
| Ratio de détection : | 17 / 48 |
| Date d’analyse : | 2013-12-11 03:00:06 UTC (il y a 5 heures, 20 minutes) |
Ad-Aware Dropped:Adware.DomaIQ.M 20131211
Avast Win32:Dropper-gen [Drp] 20131211
AVG Skodna.Generic_r.HV 20131211
BitDefender Dropped:Adware.DomaIQ.M 20131211
DrWeb Adware.Downware.1722 20131211
Emsisoft Dropped:Adware.DomaIQ.M (B) 20131211
ESET-NOD32 a variant of MSIL/DomaIQ.J 20131211
F-Secure Dropped:Adware.DomaIQ.M 20131211
GData Dropped:Adware.DomaIQ.M 20131211
Malwarebytes PUP.Optional.BundleInstaller 20131211
McAfee Artemis!7681013BEB29 20131211
McAfee-GW-Edition Artemis!7681013BEB29 20131211
MicroWorld-eScan Dropped:Adware.DomaIQ.M 20131211
Norman DomaIQ.YSY 20131210
Panda Adware/MultiToolbar 20131210
Sophos DomainIQ pay-per install 20131211
VIPRE DomaIQ (fs) 20131211
et récemment :
EDIT 12 December
La fausse Flash peux amener à un autre programme d’affiliation de programmes parasites.
La détection n’est pas terrible : https://www.virustotal.com/fr/file/bffaab719535b90f023002d6f4267326a321120114084feeec04e36544106485/analysis/1386856741/
http://adobe.leeshow.net/FlashPlayer7/FR/update.php?installer=Flash_Player_11_for_Other_Browsers&browser_type=KHTML&dualoffer=false
http://cldlr.com/?a=4672&c=56475&s1=&s2=7
http://www.hdplugindownload.com/direct-download.html?version=1.1.5.55&ci=3873&capp=FlashPlayer&ti1=228521889&ti2=4672
| SHA256: | bffaab719535b90f023002d6f4267326a321120114084feeec04e36544106485 |
| Nom du fichier : | direct-download.html?version=1.1.5.55 |
| Ratio de détection : | 5 / 41 |
| Date d’analyse : | 2013-12-12 13:59:01 UTC (il y a 1 minute) |
Malwarebytes PUP.Optional.InstallMonetizer 20131212
McAfee Artemis!DF6305482F85 20131212
McAfee-GW-Edition Artemis!DF6305482F85 20131211
Sophos Amonetize 20131212
VIPRE Amonetize (fs) 20131212
Ce dernier propose des Adwares du style Lollipop, BubbleDock, Websteroid etc.
EDIT 6 Janvier
Mi/Fin Décembre des popups ont été ajoutées affichant des alertes.
Lorsque l’internaute surf, la popup s’ouvre et en cliquant sur OK, on atterrit sur la fausse page de mise à jour Java.
La popup s’intitule :
ATTENTION : votre navigateur actuel est dépassée
Une mise à jour de sécurité critique est disponible et vous devez mettre à jour votre lecteur Java Player.
Cette page se fermera automatiquement une fois la mise à jour de sécurité installée.
De plus, la page de Java incorpore un Javascript qui empêche sa fermeture et fait boucler sur la popup d’alerte.
A la manière du ransomware Browlock.
EDIT Janvier 15
La même avec de fausses mises à jour de navigateur WEB : http://malwaredb.malekal.com/index.php?hash=be8b100d6ef43ee6fa36c9c3801fbca5
| SHA256: | 8cc6b1891a367576be0036df4609c0d5d3f4f26fba84dd90870377f7f05c33c2 |
| Nom du fichier : | Setup.exe |
| Ratio de détection : | 8 / 48 |
| Date d’analyse : | 2014-01-15 11:25:26 UTC (il y a 0 minute) |
| AVG | MalSign.Generic.705 | 20140115 |
| ESET-NOD32 | a variant of Win32/DomaIQ.AU | 20140115 |
| GData | Win32.Application.DomaIQ.B | 20140115 |
| Malwarebytes | PUP.Optional.BundleInstaller.A | 20140115 |
| Rising | PE:PUF.DomaIQ!1.9DE0 | 20140115 |
| Sophos | DomainIQ pay-per install | 20140115 |
| VBA32 | BScope.Downware.DomaIQ | 20140115 |
| VIPRE | DomaIQ (fs) | 20140115 |
EDIT MAI 2014 : attaque sur les malvertising Fake Flash/Java
Les popups Flash / Java ont pris de grosses proportions, j’ai commencé à les attaquer :
- Les campagnes de malvertising Fake / Java (en anglais) : http://malvertising.stopmalwares.com/2014/05/pup-domaiq-fake-javaflash-update-pages/
- Le programme PUP.DomaIQ en résumé (Français) : https://forum.malekal.com/supprimer-pup-optional-tuguu-adware-win32-domaiq-t47819.html
Vous notez que sur le premier lien, vers la fin, je note qu’Avast! ne détecte toujours pas l’installeur, j’espère que cela sera corrigé dans les prochains : https://twitter.com/misak19/status/466897774290948096
Voir aussi ce résumé : https://forum.malekal.com/pup-optional-tuguu-adware-win32-domaiq-pup-outbrowse-t47819.html
EDIT Octobore 2015 : Fausse page Java (InstallCore)
DomaIQ / SoftPulse ne distribue plus de fausses pages Java et Flash, mais encore active via de fausses mise à jour de lecteur vidéo : SoftPulse / DomaIQ
Par contre InstallCore lui continue de délivrer de fausse page de mise à jour Java (et Adobe Flash aux USA).
