Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24

Nous téléphoner

+7 (495) 789-45-86

Forum

Vos requêtes

  • Toutes :
  • Non clôturées :
  • Dernière : le -

Nous téléphoner

+7 (495) 789-45-86

Profil

Retour aux actualités

Doctor Web a examiné un installateur de logiciels indésirables et de publicités "impossibles à supprimer"

le 16 décembre 2016

Les programmes malveillants conçus pour l’installation non autorisée d’autres applications sont très populaires auprès des malfaiteurs. Sur Internet, il existe beaucoup de soi-disant " programmes partenaires "qui proposent une rémunération pour l'installation de logiciels, et les auteurs de virus en profitent. Un de ces Trojans installateurs nommé Trojan.Ticno.1537 a été analysé par les chercheurs de Doctor Web au début du mois de décembre 2016.

Trojan.Ticno.1537 est téléchargé sur un ordinateur ciblé par un autre malware. Une fois lancé, il tente de détecter la présence d’un environnement virtuel et d’outils de débogage en vérifiant les noms des processus en cours d’exécution et les branches du Registre Windows. De plus, il vérifie le Product ID Windows , le nom de l’utilisateur et de l’ordinateur, le nombre de dossiers imbriqués dans le répertoire Program Files, le nom du fabricant du BIOS et la présence dans le système d’exploitation des processus perl.exe ou python.exe en cours d’exécution. Si la vérification est concluante, le programme malveillant lance l’Explorateur puis cesse de fonctionner.

Si le Trojan n’a rien détecté de suspect, il enregistre sur le disque le fichier nommé 1.zip.

#drweb

L'image ci-dessus présente une boîte de dialogue spécifique qui permet de sauvegarder le fichier de Microsoft Windows : dans le coin inférieur gauche, il contient le lien " Options avancées " qui, lorsqu’il est cliqué, permet au Trojan.Ticno.1537 d’afficher une liste de programmes qu’il va installer sur l'ordinateur :

#drweb

Lorsque vous cliquez sur le bouton "Save", le Trojan.Ticno.1537 commence à télécharger et installer ces programmes.

#drweb

Parmi les applications que le malware installe sur l’ordinateur, on trouve le navigateur Amigo et le programme HomeSearch@Mail.ru édité par la société Mail.Ru, ainsi que les Trojans Troian.ChromePatch.1, Trojan.Ticno.1548, Trojan.BPlug.1590, Trojan.Triosir.718, Trojan.Clickmein.1 et Adware.Plugin.1400.

Le Trojan.ChromePatch.1 mentionné ci-dessus, est un Trojan publicitaire qui pénètre dans le système avec l’application TrayCalendar, créée en 2002. Le programme lui-même et le Trojan sont emballés dans le même package d’installation.

#drweb

En même temps que la copie de TrayCalendar sur le disque, l’installateur enregistre et installe une extension pour Google Chrome. La caractéristique la plus intéressante de Trojan.ChromePatch.1 est qu’il est capable d’infecter le fichier de ressources du navigateur Chrome, resources.pak. Les pirates utilisent cette astuce au moins depuis le printemps 2015 afin que des publicités s’affichent dans Chrome même après la suppression du malware. Lors de la contamination, ce fichier ne change pas de taille puisque Trojan.ChromePatch.1 y recherche les chaînes avec des commentaires et les remplace par son propre code. Le but de Trojan. ChromePatch.1 est d'afficher dans le navigateur Chrome des publicités non sollicitées.

Dr.Web Antivirus détecte et neutralise tous les programmes malveillants mentionnés dans cet article, qui ne représentent donc aucun danger pour nos utilisateurs.

Plus d'infos sur ce Trojan

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2017

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg