Auteur Sujet: [Fiches-Malware] Lop/Swizzor  (Lu 2982 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10205
[Fiches-Malware] Lop/Swizzor
« le: octobre 09, 2011, 12:20:05 »
[Fiches-Malware] Lop/Swizzor

Définition

Lop regroupe certaines infections s'installant avec des logiciels (Messenger Plus! Live ou de P2P). Ils abusent du fait que la plupart des utilisateurs ne lisent pas le contrat de licence d'un programme :




Les programmes installant l'infection :

Bitdownload
BitGrabber
BitRoll
BitTorrent Fastest Tool
C2Media
DivoCodec
DivoPlayer
DomPlayer
Download Plugin
GalaPlayer
Get-Torrent
KitPlayer
NetPumper
PluginDL
TorrentGamers
TorrentQ
TorrentSoftware
TorrentSpeeder
Torrent101
Winzix
3wPlayer


Les symptômes sont généralement les suivants :
* publicités intempestives (du type CiD)
* détournement de la page d'accueil

Comment voir l'infection ?

Le seul fait que l'utilisateur se plaigne de publicités intempestives n'est pas suffisant. Mais si dans le post est précisé le type CiD, la présence de Lop est certaine. On dénote facilement la présence de Lop dans un rapport HijackThis. Voici un exemple de ligne type :

O4 - HKLM\..\Run: [DRIVEREADMEPLANBOOB] C:\Documents and Settings\All Users\Application Data\Shimblahdrivereadme\keepmags.exe
O4 - HKCU\..\Run: [Show blah] C:\DOCUME~1\CLEMENT\APPLIC~1\THUNKM~1\Dumb Aim.exe

Alors pourquoi ce sont des lignes typiques de Lop ? Ce n'est pas très compliqué :o

* lignes O4
* Un nom entre crochets aléatoire (simple recherche Google)
* Fichiers TOUJOURS dans Application Data
* Nom de fichier aléatoire (Google again)

C:\WINDOWS\tasks\A018FEDF91CF7633.job
Du côté des tâches planifiés, vous verrez des fichiers .job dont le 9e caractère et un 9, plus rarement un 8.
De plus, une vérification du fichier Hosts permet de détecter la présence d'une infection Lop.

Le cas de Vista est différent. Les lignes en O4 ne sont pas du même type ! Mais bon, on repère facilement vous allez voir :red:

O4 - HKCU\..\Run: [Error mail] "C:\ProgramData\Upload Bags Bags.esuiggx"
O4 - HKCU\..\Run: [two city internet heck] "C:\ProgramData\Axis Hide Tray.436nqx2"

Le dossier Application Data est ici remplacé par ProgramData. On remarque également très facilement les sortes d'extensions aléatoires ".436nqx2".

Comment supprimer l'infection ?

La suppression manuelle était simple mais assez chiante pour tout vous avouer :o
Heureusement notre maître en coding, Eric_71, nous a concoctés un tool qui va bien : Lop S&D

Tuto : http://eric.71.mespages.googlepages.com/lop.sd.fr
Pour une rapide compréhension des rapports, c'est dans la section Tools.


Toujours infecté ? Une question avant de faire des manipulations ?

Venez poster un nouveau sujet dans ce forum : http://forum.security-x.fr/desinfections/  en prenant soin de suivre la procédure http://forum.security-x.fr/desinfections/procedure-preliminaire/
http://forum.security-x.fr/desinfections/
« Modifié: janvier 03, 2012, 19:07:09 par igor51 »

Security-X

[Fiches-Malware] Lop/Swizzor
« le: octobre 09, 2011, 12:20:05 »

Tags: