Rogue sur OVH : Kaspersky Internet Security 2010

Bloqueur de pub détectée - Vous bloquez l'affichage des publicités.
Pour soutenir le site, merci de bien vouloir laisser les publicités s'afficher.

Plus d'informations : Comment désactiver les bloqueurs de publicité sur un site internet.

Posté sur le forum partie Rogue/Scarewarehttps://forum.malekal.com/kaspersky-internet-security-2010-t35092.html

Un rogue qui reprend le nom de la suite Kaspersky : Kaspersky Internet Security
Comme vous pouvez le voir, l'imitation est assez dégue, puisqu'on a une belle barre de scroll à droite.
De plus, si on descend, on a une superposition de la fenêtre de détection sur la page principale.

Le dropper télécharge les images et compagnies sur un serveur distant, en l'occurence ici sur l'adresse 94.23.39.156 qui est chez OVH.
Ce qui est assez original.

A noter aussi qu'une adresse afffili.com (188.165.244.159 - toujours chez OVH) est contacté pour télécharger un Trojan.Win32.Scar :

Côté fichiers créés :

c:\Documents and Settings\Mak\Application Data\daemon.exe
		Date: 12/12/2011 3:22 PM
		Size: 287 744 bytes
	c:\Documents and Settings\Mak\Application Data\rundx.dll
		Date: 12/12/2011 3:22 PM
		Size: 199 680 bytes
	c:\Documents and Settings\Mak\Application Data\update.exe
		Date: 12/12/2011 3:22 PM
		Size: 287 744 bytes

	HKEY_CURRENT_USER\Control Panel\Desktop "SCRNSAVE.EXE"
		Type: REG_SZ
		Data: C:\Documents and Settings\Mak\Application Data\Microsoft\Windows\3dtext.scr


La clef Run pour lancer le rogue au démarrage : O4 - HKCU\..\Run: [daemon] C:\Documents and Settings\Mak\Application Data\daemon.exe 

et pour le Trojan.Scar : O4 - HKLM\..\Run: [sysrunc] C:\WINDOWS\System32\sysrunc.exe


Le malware change aussi la mise en veille pour charger un binaire :
	HKEY_CURRENT_USER\Control Panel\Desktop "SCRNSAVE.EXE"
		Type: REG_SZ
		Data: C:\Documents and Settings\Mak\Application Data\Microsoft\Windows\3dtext.scr
qui retélécharge le pack et réinstalle tout à chaque lancement :

A noter enfin que le rogue lance aussi attrib, un peu comme le font les faux défragmenteurs/réparateurs pour cacher les icônes du bureau, documents etc mais cela ne fonctionne pas.

A noter pas mal de malwares sur OVH, notamment les domaines où OVH est le registrar aelita.fr et jesais.fr qui propage du Trojan.Scar par des exploits sur site WEB.

domain:      aelita.fr
status:      ACTIVE
hold:        NO
holder-c:    ANO00-FRNIC
admin-c:     ANO00-FRNIC
tech-c:      OVH5-FRNIC
zone-c:      NFC1-FRNIC
nsl-id:      NSL22808-FRNIC
registrar:   OVH
anniversary: 29/10
created:     29/10/2007
last-update: 30/10/2009
source:      FRNIC

domain:      jesais.fr
status:      ACTIVE
hold:        NO
holder-c:    ANO00-FRNIC
admin-c:     ANO00-FRNIC
tech-c:      OVH5-FRNIC
zone-c:      NFC1-FRNIC
nsl-id:      NSL22808-FRNIC
registrar:   OVH
anniversary: 30/10
created:     30/10/2007
last-update: 04/05/2008
source:      FRNIC
Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article Rogue sur OVH : Kaspersky Internet Security 2010 mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum