Auteur Sujet: [Fiches-Malware] Navipromo/Egdacess/Magic.Control  (Lu 3630 fois)

0 Membres et 1 Invité sur ce sujet

En ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10263
[Fiches-Malware] Navipromo/Egdacess/Magic.Control
« le: octobre 09, 2011, 12:06:15 »
[Fiches-Malware] Navipromo/Egdacess/Magic.Control[/center

Définition

Navipromo/Egdacess/Magic.Control est une infection présente depuis plusieurs années, qui continue sa prolifération.
L'infection s'installe majoritairement via les logiciels suivants :

  • Funky Emoticons
  • Games Attack
  • Go-astro
  • GoRecord
  • HotTVPlayer
  • Live Player
  • MailSkinner
  • Messenger Skinner
  • Instant Access
  • InternetGameBox
  • Sudoplanet

Les symptômes apparents sont l'ouverture intempestive de pages internet à caractère pornographique, ainsi que de pages vous incitant à télécharger/acheter ces faux logiciels que sont les Rogues.

L'infection utilise parfois la technologie Rootkit pour se cacher de l'API et donc de l'utilisateur. Mais ce, de moins en moins.

Comment voir l'infection ?

La moitié du temps, c'est très simple, et l'autre moitié, c'est de la pure déduction; c'est pour ça que l'utilisateur doit signaler les symptômes qu'il rencontre pour faciliter la tâche au Helper.

On peut voir ce type de lignes dans HijackThis (caractéristique de l'infection non rootkitée) :

Citer
O4 - HKCU\..\Run: [pasclfpy] "c:\documents and settings\moi\local settings\application data\pasclfpy.exe" pasclfpy
O4 - HKCU\..\Run: [iommacdt] "c:windows\system32\iommacdt.exe" iommacdt

Comme vous voyez, l'infection se sert de la clef RUN pour se lancer au démarrage de la session.
Facile à reconnaître, car comme vous le voyez, le nom de la valeur est le même que le nom du fichier, et après le nom du fichier, on a le nom tout seul.
Ceci est caractéristique de l'infection. J'ai mis les deux localisations les plus courantes. Cela évolue avec le temps !

Lorsque l'infection est rootkitée, vous ne verrez pas ces lignes, vous ne verrez rien, et il faudra le déduire; à part si vous voyez le nom d'un logiciel dans liste ci-dessus bien-sûr !

L'infection comporte :

  • Un quatuor de fichiers infectieux (qui ouvrent les pubs) :

lkihmdjp.exe (celui qu'on peut voir dans HJT)
lkihmdjp.dat
lkihmdjp_nav.dat
lkihmdjp_navps.dat

Ce qui en gras, est spécifique à l'infection, et avant, nous avons un nom de fichier aléatoire. (le _nav et _navps font partie du nom du fichier).

  • Des modifications dans le Registre bien-sûr (comme toute infection)
  • Des Certificats.

Note: Il peut y avoir plusieurs quatuor de fichiers infectieux !

Comment supprimer l'infection ?

Le développeur IL-MAFIOSO a créé un tool spécifique à cette infection : Navilog1.
Voici un tutoriel de l'utilisation de l'outil : http://pagesperso-orange.fr/il.mafioso/Navifix/presentation.htm
Pour une rapide compréhension des rapports, c'est dans la section Tools.

Toujours infecté ? Une question avant de faire des manipulations ?

Venez poster un nouveau sujet dans ce forum : http://forum.security-x.fr/desinfections/  en prenant soin de suivre la procédure http://forum.security-x.fr/desinfections/procedure-preliminaire/
http://forum.security-x.fr/desinfections/
« Modifié: janvier 03, 2012, 19:07:33 par igor51 »

Security-X

[Fiches-Malware] Navipromo/Egdacess/Magic.Control
« le: octobre 09, 2011, 12:06:15 »

Tags: