Faux Norton Antivirus 2008, gratuit mais malveillant !!!

[chantal11]

Bonjour,

L'éditeur britannique Sophos émet une alerte au sujet d'un cheval de Troie se faisant passer pour une copie gratuite de Norton Antivirus 2008 sponsorisée par Google.....

....n'est en réalité qu'un ignoble cheval de Troie répertorié par Sophos sous le nom de Troj/FakeAV-AD et dont la mission est de générer de fausses alertes de sécurité afin que l'utilisateur commande une version complète....

Lire l'alerte sur GNT

Restons vigilants, ne nous laissons pas piéger

@+

[nardino]

Bonjour,

Heureusement que c'est Norton qui n'a pas une très bonne presse, mais ce genre de message va en attraper plus d'un, hélas.

@+

[chantal11]

Bonjour,

Oui, il faut s'attendre à une vague de demande de désinfection !!!

Il va y avoir du boulot pour les "helpers-nettoyeurs"

@+

[breizhspotlight]

Bonjour !

Cette attaque, je la connais très bien pour avoir désinfecté un certain nombre de pc et j'ai étudié son comportement, et j'ai compris que cette attaque se servait d'une faille de Windows via le Service affichage des messages (à désactiver donc dans Windows XP)... Elle est facilement supprimable grâce à Navilog1 http://pagesperso-orange.fr/il.mafioso/ par il.mafioso, ainsi que CCleaner...

Voilà,

[nardino]

Bonsoir.

Je viens de charger ce programme gratuit d'après les adresses données par Sophos sur cette vidéo : http://www.viddler.com/explore/SophosLabs/videos/22/

Voici ce qu'il en ressort.
Une alerte de Windows Defender dont je n'ai pas saisi l'ecran lors du lancement du téléchargement.
Rien avec AVG.
Ensuite en images.






Le rapport Navilog

Search Navipromo version 3.6.5 commencé le 26/09/2008 à 18:52:22,78

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files\navilog1
Session actuelle : "nardino"
Mise à jour le 22.08.2008 à 17h30 par IL-MAFIOSO

Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***
*** Recherche dossiers dans "C:\WINDOWS" ***
*** Recherche dossiers dans "C:\Program Files" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***
*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\nardino\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\nardino\locals~1\applic~1" ***
*** Recherche dossiers dans "C:\Documents and Settings\nardino\menudm~1\progra~1" ***
*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net

*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\nardino\locals~1\applic~1" *

*** Recherche fichiers ***
*** Recherche clés spécifiques dans le Registre ***
*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :

2)Recherche Heuristique :
* Dans "C:\WINDOWS\system32" :
* Dans "C:\Documents and Settings\nardino\locals~1\applic~1" :
3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :

*** Analyse terminée le 26/09/2008 à 18:54:11,36 ***

Je l'ai resserré pour un gain de place.
Je n'ai pas encore installé MBAM sur cette VM.
Je vais voir ce soir.
Donc il faut le télécharger et l'installer, une fois de plus "complicité" de la victime et aveuglement devant les alertes.
@+

Edit : voici pour MBAM

[chantal11]

Bonsoir,

J'en pleure encore, le "ducon.lajoie@tulacru.net" en vaut mille

On va attendre la suite de l'épisode

@+

[Esclapion]

Bonsoir à tous,

je vais surveiller ce sujet. J'espère que Nardino a de quoi réinstaller son PC de test ?

[chantal11]

Bonsoir,

Je n'avais pas vu que Nardino avait réjouté le rapport de Malwarebytes.

Donc ces rogues "antivirus protection" et "multiple" représentent le Troj/FakeAV-AD ?

@+

[nardino]

Bonsoir.

C'est l'intérêt d'une machine-test, tu en fais une copie et quand elle déconne trop tu la remplaces.
@+

[bernard53]

Bonsoir

super explication nardino