[Fiches-Malware] Lop/Swizzor
Définition
Lop regroupe certaines infections s'installant avec des logiciels (Messenger Plus! Live ou de P2P). Ils abusent du fait que la plupart des utilisateurs ne lisent pas le
contrat de licence d'un programme :
Les programmes installant l'infection :
Bitdownload
BitGrabber
BitRoll
BitTorrent Fastest Tool
C2Media
DivoCodec
DivoPlayer
DomPlayer
Download Plugin
GalaPlayer
Get-Torrent
KitPlayer
NetPumper
PluginDL
TorrentGamers
TorrentQ
TorrentSoftware
TorrentSpeeder
Torrent101
Winzix
3wPlayerLes symptômes sont généralement les suivants :
* publicités intempestives (du type
CiD)
* détournement de la page d'accueil
Comment voir l'infection ?
Le seul fait que l'utilisateur se plaigne de publicités intempestives n'est pas suffisant. Mais si dans le post est précisé le type
CiD, la présence de
Lop est certaine. On dénote facilement la présence de Lop dans un rapport
HijackThis. Voici un exemple de ligne type :
O4 - HKLM\..\Run: [DRIVEREADMEPLANBOOB] C:\Documents and Settings\All Users\Application Data\Shimblahdrivereadme\keepmags.exe
O4 - HKCU\..\Run: [Show blah] C:\DOCUME~1\CLEMENT\APPLIC~1\THUNKM~1\Dumb Aim.exe
Alors pourquoi ce sont des lignes typiques de
Lop ? Ce n'est pas très compliqué
* lignes
O4* Un nom entre crochets aléatoire (simple recherche
Google)
* Fichiers TOUJOURS dans
Application Data * Nom de fichier aléatoire (
Google again)
C:\WINDOWS\tasks\A018FEDF91CF7633.job
Du côté des tâches planifiés, vous verrez des fichiers
.job dont le
9e caractère et un
9, plus rarement un
8.
De plus, une vérification du fichier
Hosts permet de détecter la présence d'une infection
Lop.
Le cas de
Vista est différent. Les lignes en
O4 ne sont pas du même type ! Mais bon, on repère facilement vous allez voir
O4 - HKCU\..\Run: [Error mail] "C:\ProgramData\Upload Bags Bags.esuiggx"
O4 - HKCU\..\Run: [two city internet heck] "C:\ProgramData\Axis Hide Tray.436nqx2"
Le dossier
Application Data est ici remplacé par
ProgramData. On remarque également très facilement les sortes d'extensions aléatoires "
.436nqx2".
Comment supprimer l'infection ?
La suppression manuelle était simple mais assez chiante pour tout vous avouer
Heureusement notre maître en
coding,
Eric_71, nous a concoctés un tool qui va bien :
Lop S&DTuto :
http://eric.71.mespages.googlepages.com/lop.sd.frPour une rapide compréhension des rapports, c'est dans la section
Tools.
Toujours infecté ? Une question avant de faire des manipulations ?
Venez poster un nouveau sujet dans ce forum :
http://forum.security-x.fr/desinfections/ en prenant soin de suivre la procédure
http://forum.security-x.fr/desinfections/procedure-preliminaire/http://forum.security-x.fr/desinfections/