Bonsoir,
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je
voudrai dénoncer un rootkit présent sur un logiciel que je trouvais
intéressant, WebMediaPlayer. Logiciel qui présente quelques centaines de
radio locales sur Internet. Dommage!
Après son installation, j'ai eu une alarme de Zone Alarm qui demandait
l'autorisation de passer, avec un logiciel dont le nom est aléatoire
(suite de consonnes, peu de voyelles) suivi du fatidique .EXE
Refusé, il y a eu plusieurs tentatives avortées. Inquiet de ce remue
ménage, j'ai installé Avastr Anti-rootkit qui me l'a trouvé (bien sûr,
il est invisible, même si on demande à voir tous les fichiers extensions
comprises). Tout désinstallé, je n'avais plus rien.
Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en
avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
J'en ai donc eu la certitude que c'était bien lui.
Attention, lors de la désinstallation, il réclame à corps et a cri le
branchement sur Internet, sinon il refuse de se désinstaller. ... sauf
si on clique plusieurs fois sur le bouton "reéssayer" . Accès refusé sur
le Net, désinstallation un peu à la cosaque. Puis passage de Ccleaner.
Et de plusieurs anti-spywares. et vérification finale par Avast
anti-rootkit.
Je ne sais pas s'il existe un site pour dénoncer ces saletés, ce serait
une bonne chose.
Ha, le programme de désinstallation s'appelle AU_.exe, qui est dans un
des fichiers temp du dossier Documents and settings/propriétaire/Local
settings/~nsu.tmp.
Le rootkit (invisible, sauf pour un anti-rootkit) est dans le dossier
Documents and settings/propriétaire/Local settings/Application data.
Amicalement, Michel
--
http://martin.michel47.free.fr/
Vas voir les nombreux posts sur fr.comp.securite.virus (ou une recharche web) à propos de machin détecte merdouille1&2 mais pas merdouille3 ou alienX alors que bidule détecte même alien5 mais pas les merdouilles.
Toutes les désinfections ratées que j'ai pu lire sur ce forum l'ont été suite à : - non désactivation de la restauration de Windows ; - non utilisation du mode sans échec de base.
Je n'ai eu qu'une fois à reformater un PC infecté : Un collègue avait eu un virus qui lui avait vérollé tous les .exe de son PC...
Le reste du temps, un bon nettoyage et hop, c'est reparti. Bref, formatage, bof...
Cordialement, Ludovic.
Mais comment fais-tu ?
=> http://inforadio.free.fr
Je te laisse chercher la bonne rubrique...
Cordialement, Ludovic
On 25 Oct 2007 11:58:23 GMT, "J.B." <j.bra.t@on.invalid.fr> wrote:
Vas voir les nombreux posts sur fr.comp.securite.virus (ou une
recharche web) à propos
de machin détecte merdouille1&2 mais pas merdouille3 ou alienX alors que
bidule détecte même alien5 mais pas les merdouilles.
Toutes les désinfections ratées que j'ai pu lire sur ce forum
l'ont été suite à :
- non désactivation de la restauration de Windows ;
- non utilisation du mode sans échec de base.
Je n'ai eu qu'une fois à reformater un PC infecté : Un collègue
avait eu un virus qui lui avait vérollé tous les .exe de son PC...
Le reste du temps, un bon nettoyage et hop, c'est reparti.
Bref, formatage, bof...
Vas voir les nombreux posts sur fr.comp.securite.virus (ou une recharche web) à propos de machin détecte merdouille1&2 mais pas merdouille3 ou alienX alors que bidule détecte même alien5 mais pas les merdouilles.
Toutes les désinfections ratées que j'ai pu lire sur ce forum l'ont été suite à : - non désactivation de la restauration de Windows ; - non utilisation du mode sans échec de base.
Je n'ai eu qu'une fois à reformater un PC infecté : Un collègue avait eu un virus qui lui avait vérollé tous les .exe de son PC...
Le reste du temps, un bon nettoyage et hop, c'est reparti. Bref, formatage, bof...
Cordialement, Ludovic.
Mais comment fais-tu ?
=> http://inforadio.free.fr
Je te laisse chercher la bonne rubrique...
Cordialement, Ludovic
Roland Garcia
Quant à l'adware changeant mais récurrent de Webmediaplayer ça ressemblerait plutôt à une guéguerre entre l'éditeur qui essaye de caser son adware (après tout y'a bien des gens qui aiment la pub, voire TF1) et les éditeurs qui le détectent quand ils estiment que certains critères ne sont pas respectés.
Tout ceci n'est pas si facile à comprendre:
Dans cette discussion, le machin NaviPromo semble considéré tantôt comme simple adware utilisant des techniques de rootkit pour se cacher, tantôt comme un rootkit compromettant suffisamment un ordi pour nécessiter une réinstallation complète du système.
La première hypothèse, qui justifierait une absence de détection par la plupart des antivirus, suppose que l'on sait assez précisément ce que fait navipromo : il enverrais des pub, sans autre action néfaste, et n'est qu'un peu plus difficile à virer qu'un adware plus classique. Dans ce cas, une réinstallation du système semble superflu.
Pour la seconde hypothèse, le système est considéré comme compromis par un rootkit. Dans ce cas, me semble t-il, les antivirus n'ont pas d'excuse à ne pas détecter. Et la réinstallation du système semble utile voir nécessaire.
Alors quid ?
Il n'y a là aucun rootkit !!!!
C'est un machin genre mediaplayer qui crée le répertoire: C:Program FilesWebMediaPlayer contenant l'exécutable WebMediaPlayer.exe et celui de désinstallation uninst.exe
Plus discutable, ce logiciel a tendance à verrouiller l'utilisateur lambda: http://www.web-mediaplayer.com/privacy.htm http://www.pc-on-internet.com/uninstall.php
en installant à son insu et dans le répertoire caché (mais que si on le veut bien): C:Documents and Settings*****Local SettingsApplication Datawfoxfpxhqy.exe
lancé par la clé: HKCU..Run: [wfoxfpxhqy] c:documents and settingsrolandlocal settingsapplication datawfoxfpxhqy.exe wfoxfpxhqy
le processus est parfaitement visible dans le gestionnaire des tâches Windows et peut se tuer normalement. Cet exécutable se connecte à:
Le problème est que la désinstallation forcée uninst.exe laisse wfoxfpxhqy.exe en place, mais on peut la terminer facilement en tuant le processus puis en effaçant l'EXE et sa référence dans la BDR.
L'aspect peu transparent ci-dessus fait que les éditeurs d'antivirus le mettent régulièrement dans leur base, ici KAV:
cheval de Troie Trojan-Dropper.Win32.Agent.cjm webmediaplayer_setup.exe//PE_Patch.UPX//UPX
indiquant que le programme procède à l'insu de l'utilisateur (trojan) à l'installation (dropper) d'un logiciel publicitaire (adware):
Quant à l'adware changeant mais récurrent de Webmediaplayer ça
ressemblerait plutôt à une guéguerre entre l'éditeur qui essaye de caser
son adware (après tout y'a bien des gens qui aiment la pub, voire TF1)
et les éditeurs qui le détectent quand ils estiment que certains
critères ne sont pas respectés.
Tout ceci n'est pas si facile à comprendre:
Dans cette discussion, le machin NaviPromo semble considéré tantôt comme
simple adware utilisant des techniques de rootkit pour se cacher, tantôt
comme un rootkit compromettant suffisamment un ordi pour nécessiter une
réinstallation complète du système.
La première hypothèse, qui justifierait une absence de détection par la
plupart des antivirus, suppose que l'on sait assez précisément ce que
fait navipromo : il enverrais des pub, sans autre action néfaste, et
n'est qu'un peu plus difficile à virer qu'un adware plus classique. Dans
ce cas, une réinstallation du système semble superflu.
Pour la seconde hypothèse, le système est considéré comme compromis par
un rootkit. Dans ce cas, me semble t-il, les antivirus n'ont pas
d'excuse à ne pas détecter. Et la réinstallation du système semble utile
voir nécessaire.
Alors quid ?
Il n'y a là aucun rootkit !!!!
C'est un machin genre mediaplayer qui crée le répertoire: C:Program
FilesWebMediaPlayer contenant l'exécutable WebMediaPlayer.exe et celui
de désinstallation uninst.exe
Plus discutable, ce logiciel a tendance à verrouiller l'utilisateur
lambda:
http://www.web-mediaplayer.com/privacy.htm
http://www.pc-on-internet.com/uninstall.php
en installant à son insu et dans le répertoire caché (mais que si on le
veut bien):
C:Documents and Settings*****Local SettingsApplication
Datawfoxfpxhqy.exe
lancé par la clé:
HKCU..Run: [wfoxfpxhqy] c:documents and settingsrolandlocal
settingsapplication datawfoxfpxhqy.exe wfoxfpxhqy
le processus est parfaitement visible dans le gestionnaire des tâches
Windows et peut se tuer normalement. Cet exécutable se connecte à:
Le problème est que la désinstallation forcée uninst.exe laisse
wfoxfpxhqy.exe en place, mais on peut la terminer facilement en tuant le
processus puis en effaçant l'EXE et sa référence dans la BDR.
L'aspect peu transparent ci-dessus fait que les éditeurs d'antivirus le
mettent régulièrement dans leur base, ici KAV:
cheval de Troie Trojan-Dropper.Win32.Agent.cjm
webmediaplayer_setup.exe//PE_Patch.UPX//UPX
indiquant que le programme procède à l'insu de l'utilisateur (trojan)
à l'installation (dropper) d'un logiciel publicitaire (adware):
Quant à l'adware changeant mais récurrent de Webmediaplayer ça ressemblerait plutôt à une guéguerre entre l'éditeur qui essaye de caser son adware (après tout y'a bien des gens qui aiment la pub, voire TF1) et les éditeurs qui le détectent quand ils estiment que certains critères ne sont pas respectés.
Tout ceci n'est pas si facile à comprendre:
Dans cette discussion, le machin NaviPromo semble considéré tantôt comme simple adware utilisant des techniques de rootkit pour se cacher, tantôt comme un rootkit compromettant suffisamment un ordi pour nécessiter une réinstallation complète du système.
La première hypothèse, qui justifierait une absence de détection par la plupart des antivirus, suppose que l'on sait assez précisément ce que fait navipromo : il enverrais des pub, sans autre action néfaste, et n'est qu'un peu plus difficile à virer qu'un adware plus classique. Dans ce cas, une réinstallation du système semble superflu.
Pour la seconde hypothèse, le système est considéré comme compromis par un rootkit. Dans ce cas, me semble t-il, les antivirus n'ont pas d'excuse à ne pas détecter. Et la réinstallation du système semble utile voir nécessaire.
Alors quid ?
Il n'y a là aucun rootkit !!!!
C'est un machin genre mediaplayer qui crée le répertoire: C:Program FilesWebMediaPlayer contenant l'exécutable WebMediaPlayer.exe et celui de désinstallation uninst.exe
Plus discutable, ce logiciel a tendance à verrouiller l'utilisateur lambda: http://www.web-mediaplayer.com/privacy.htm http://www.pc-on-internet.com/uninstall.php
en installant à son insu et dans le répertoire caché (mais que si on le veut bien): C:Documents and Settings*****Local SettingsApplication Datawfoxfpxhqy.exe
lancé par la clé: HKCU..Run: [wfoxfpxhqy] c:documents and settingsrolandlocal settingsapplication datawfoxfpxhqy.exe wfoxfpxhqy
le processus est parfaitement visible dans le gestionnaire des tâches Windows et peut se tuer normalement. Cet exécutable se connecte à:
Le problème est que la désinstallation forcée uninst.exe laisse wfoxfpxhqy.exe en place, mais on peut la terminer facilement en tuant le processus puis en effaçant l'EXE et sa référence dans la BDR.
L'aspect peu transparent ci-dessus fait que les éditeurs d'antivirus le mettent régulièrement dans leur base, ici KAV:
cheval de Troie Trojan-Dropper.Win32.Agent.cjm webmediaplayer_setup.exe//PE_Patch.UPX//UPX
indiquant que le programme procède à l'insu de l'utilisateur (trojan) à l'installation (dropper) d'un logiciel publicitaire (adware):
Il utilise des méthodes propre aux rootkits car il détourne les procédures Windows afin d'interdire l'affichage de ses fichiers et processus, ce qui les rend invisibles. Et l'ouverture de ports ? Essaie une autre semaine avec une autre version de webmediaplayer
C'est un machin genre mediaplayer qui crée le répertoire: C:Program FilesWebMediaPlayer contenant l'exécutable WebMediaPlayer.exe et celui de désinstallation uninst.exe
Oui mais ca c'est la partie visible propre au programme
en installant à son insu et dans le répertoire caché (mais que si on le veut bien): C:Documents and Settings*****Local SettingsApplication Datawfoxfpxhqy.exe
et qu'est ce que tu fais des C:WINDOWSsystem32msclock32.dll C:WINDOWSsystem32msplock32.dll
pour ne citer qu'eux ? (ca c'est dans la nouvelle variante de navipromo)
L'aspect peu transparent ci-dessus fait que les éditeurs d'antivirus le mettent régulièrement dans leur base, ici KAV:
cheval de Troie Trojan-Dropper.Win32.Agent.cjm
Parfois il y a celui la, parfois pas, parfois un autre, parfois 2 Adware différents
webmediaplayer_setup.exe//PE_Patch.UPX//UPX
Quant au PE c'est le bien connu PECompact (compresse et crypte)et UPX un compresseur free. Du reste ils sont souvent détectés comme de possibles infections par nombre de programme (meme SmitFraudFix y a eu droit à une époque :-)
Il n'y a là aucun rootkit !!!!
Il utilise des méthodes propre aux rootkits car il détourne les
procédures Windows afin d'interdire l'affichage de ses fichiers et
processus, ce qui les rend invisibles. Et l'ouverture de ports ?
Essaie une autre semaine avec une autre version de webmediaplayer
C'est un machin genre mediaplayer qui crée le répertoire: C:Program
FilesWebMediaPlayer contenant l'exécutable WebMediaPlayer.exe et celui
de désinstallation uninst.exe
Oui mais ca c'est la partie visible propre au programme
en installant à son insu et dans le répertoire caché (mais que si on le
veut bien):
C:Documents and Settings*****Local SettingsApplication
Datawfoxfpxhqy.exe
et qu'est ce que tu fais des
C:WINDOWSsystem32msclock32.dll
C:WINDOWSsystem32msplock32.dll
pour ne citer qu'eux ? (ca c'est dans la nouvelle variante de navipromo)
L'aspect peu transparent ci-dessus fait que les éditeurs d'antivirus le
mettent régulièrement dans leur base, ici KAV:
cheval de Troie Trojan-Dropper.Win32.Agent.cjm
Parfois il y a celui la, parfois pas, parfois un autre, parfois 2 Adware
différents
webmediaplayer_setup.exe//PE_Patch.UPX//UPX
Quant au PE c'est le bien connu PECompact (compresse et crypte)et UPX un
compresseur free. Du reste ils sont souvent détectés comme de possibles
infections par nombre de programme (meme SmitFraudFix y a eu droit à une
époque :-)
Il utilise des méthodes propre aux rootkits car il détourne les procédures Windows afin d'interdire l'affichage de ses fichiers et processus, ce qui les rend invisibles. Et l'ouverture de ports ? Essaie une autre semaine avec une autre version de webmediaplayer
C'est un machin genre mediaplayer qui crée le répertoire: C:Program FilesWebMediaPlayer contenant l'exécutable WebMediaPlayer.exe et celui de désinstallation uninst.exe
Oui mais ca c'est la partie visible propre au programme
en installant à son insu et dans le répertoire caché (mais que si on le veut bien): C:Documents and Settings*****Local SettingsApplication Datawfoxfpxhqy.exe
et qu'est ce que tu fais des C:WINDOWSsystem32msclock32.dll C:WINDOWSsystem32msplock32.dll
pour ne citer qu'eux ? (ca c'est dans la nouvelle variante de navipromo)
L'aspect peu transparent ci-dessus fait que les éditeurs d'antivirus le mettent régulièrement dans leur base, ici KAV:
cheval de Troie Trojan-Dropper.Win32.Agent.cjm
Parfois il y a celui la, parfois pas, parfois un autre, parfois 2 Adware différents
webmediaplayer_setup.exe//PE_Patch.UPX//UPX
Quant au PE c'est le bien connu PECompact (compresse et crypte)et UPX un compresseur free. Du reste ils sont souvent détectés comme de possibles infections par nombre de programme (meme SmitFraudFix y a eu droit à une époque :-)
th
[...]
Alors quid ?
Il n'y a là aucun rootkit !!!!
C'est un machin genre mediaplayer qui crée le répertoire: C:Program FilesWebMediaPlayer contenant l'exécutable WebMediaPlayer.exe et celui de désinstallation uninst.exe
Plus discutable, ce logiciel a tendance à verrouiller l'utilisateur lambda: http://www.web-mediaplayer.com/privacy.htm http://www.pc-on-internet.com/uninstall.php
en installant à son insu et dans le répertoire caché (mais que si on le veut bien): C:Documents and Settings*****Local SettingsApplication Datawfoxfpxhqy.exe
J'ai eu en effet ce fichier suite à l'installation de sudoplanet ( www.sudoplanet.com/fullpage5/?grpidY&tag_id4 - ATTENTION MALWARE)
L'installation a été faite par un utilisateur connecté comme simple utilisateur (donc pas de droit administrateur).
L'exécutable était invisible en allant dans le dossier correspondant depuis ce même compte utilisateur.
Il devenait visible depuis le compte administrateur (manip faite plusieurs fois sur l'un et l'autre compte parce que ça n'étonnait).
Les options "afficher les dossiers caché" et "afficher les fichiers systèmes" sont pourtant activées pour les deux comptes !
J'en ai déduit que le machin était effectivement capable de se cacher par des procédés qui ressemblent bien aux techniques de rootkit.
Je me suis dit aussi que c'était une bonne idée de ne pas utiliser le compte admin quand ce n'est pas nécessaire.
[...]
Alors quid ?
Il n'y a là aucun rootkit !!!!
C'est un machin genre mediaplayer qui crée le répertoire: C:Program
FilesWebMediaPlayer contenant l'exécutable WebMediaPlayer.exe et celui
de désinstallation uninst.exe
Plus discutable, ce logiciel a tendance à verrouiller l'utilisateur
lambda:
http://www.web-mediaplayer.com/privacy.htm
http://www.pc-on-internet.com/uninstall.php
en installant à son insu et dans le répertoire caché (mais que si on le
veut bien):
C:Documents and Settings*****Local SettingsApplication
Datawfoxfpxhqy.exe
J'ai eu en effet ce fichier suite à l'installation de sudoplanet
( www.sudoplanet.com/fullpage5/?grpidY&tag_id4 - ATTENTION MALWARE)
L'installation a été faite par un utilisateur connecté comme simple
utilisateur (donc pas de droit administrateur).
L'exécutable était invisible en allant dans le dossier correspondant
depuis ce même compte utilisateur.
Il devenait visible depuis le compte administrateur (manip faite
plusieurs fois sur l'un et l'autre compte parce que ça n'étonnait).
Les options "afficher les dossiers caché" et "afficher les fichiers
systèmes" sont pourtant activées pour les deux comptes !
J'en ai déduit que le machin était effectivement capable de se cacher
par des procédés qui ressemblent bien aux techniques de rootkit.
Je me suis dit aussi que c'était une bonne idée de ne pas utiliser le
compte admin quand ce n'est pas nécessaire.
C'est un machin genre mediaplayer qui crée le répertoire: C:Program FilesWebMediaPlayer contenant l'exécutable WebMediaPlayer.exe et celui de désinstallation uninst.exe
Plus discutable, ce logiciel a tendance à verrouiller l'utilisateur lambda: http://www.web-mediaplayer.com/privacy.htm http://www.pc-on-internet.com/uninstall.php
en installant à son insu et dans le répertoire caché (mais que si on le veut bien): C:Documents and Settings*****Local SettingsApplication Datawfoxfpxhqy.exe
J'ai eu en effet ce fichier suite à l'installation de sudoplanet ( www.sudoplanet.com/fullpage5/?grpidY&tag_id4 - ATTENTION MALWARE)
L'installation a été faite par un utilisateur connecté comme simple utilisateur (donc pas de droit administrateur).
L'exécutable était invisible en allant dans le dossier correspondant depuis ce même compte utilisateur.
Il devenait visible depuis le compte administrateur (manip faite plusieurs fois sur l'un et l'autre compte parce que ça n'étonnait).
Les options "afficher les dossiers caché" et "afficher les fichiers systèmes" sont pourtant activées pour les deux comptes !
J'en ai déduit que le machin était effectivement capable de se cacher par des procédés qui ressemblent bien aux techniques de rootkit.
Je me suis dit aussi que c'était une bonne idée de ne pas utiliser le compte admin quand ce n'est pas nécessaire.