[Fiches-Malware] Navipromo/Egdacess/Magic.Control[/center
Définition
Navipromo/Egdacess/Magic.Control est une infection présente depuis plusieurs années, qui continue sa prolifération.
L'infection s'installe majoritairement via les logiciels suivants :
Les symptômes apparents sont l'ouverture intempestive de pages internet à caractère pornographique, ainsi que de pages vous incitant à télécharger/acheter ces faux logiciels que sont les
Rogues.
L'infection utilise parfois la technologie
Rootkit pour se cacher de l'
API et donc de l'utilisateur. Mais ce, de moins en moins.
Comment voir l'infection ?
La moitié du temps, c'est très simple, et l'autre moitié, c'est de la pure déduction; c'est pour ça que l'utilisateur doit signaler les symptômes qu'il rencontre pour faciliter la tâche au Helper.
On peut voir ce type de lignes dans
HijackThis (caractéristique de l'infection
non rootkitée) :
O4 - HKCU\..\Run: [pasclfpy] "c:\documents and settings\moi\local settings\application data\pasclfpy.exe" pasclfpy
O4 - HKCU\..\Run: [iommacdt] "c:windows\system32\iommacdt.exe" iommacdt
Comme vous voyez, l'infection se sert de la clef
RUN pour se lancer au démarrage de la session.
Facile à reconnaître, car comme vous le voyez, le nom de la valeur est le même que le nom du fichier, et après le nom du fichier, on a le nom tout seul.
Ceci est caractéristique de l'infection. J'ai mis les deux localisations les plus courantes. Cela évolue avec le temps !
Lorsque l'infection est rootkitée, vous ne verrez pas ces lignes, vous ne verrez rien, et il faudra le déduire; à part si vous voyez le nom d'un logiciel dans liste ci-dessus bien-sûr !
L'infection comporte :
- Un quatuor de fichiers infectieux (qui ouvrent les pubs) :
lkihmdjp.
exe (celui qu'on peut voir dans HJT)
lkihmdjp.
datlkihmdjp
_nav.dat lkihmdjp
_navps.datCe qui en gras, est spécifique à l'infection, et avant, nous avons un nom de fichier aléatoire. (le _nav et _navps font partie du nom du fichier).
- Des modifications dans le Registre bien-sûr (comme toute infection)
- Des Certificats.
Note: Il peut y avoir plusieurs quatuor de fichiers infectieux !
Comment supprimer l'infection ?
Le développeur
IL-MAFIOSO a créé un tool spécifique à cette infection :
Navilog1.
Voici un tutoriel de l'utilisation de l'outil :
http://pagesperso-orange.fr/il.mafioso/Navifix/presentation.htmPour une rapide compréhension des rapports, c'est dans la section
Tools.
Toujours infecté ? Une question avant de faire des manipulations ?
Venez poster un nouveau sujet dans ce forum :
http://forum.security-x.fr/desinfections/ en prenant soin de suivre la procédure
http://forum.security-x.fr/desinfections/procedure-preliminaire/http://forum.security-x.fr/desinfections/