PIRATE DE SERVEUR PROXY

Un serveur proxy (mandataire) est une machine qui fait l’intermédiaire entre un réseau local (LAN) et internet. Il est généralement utilisé pour rediriger les requêtes HTTP (HyperText Transfer Protocol) et certains protocoles comme par exemple FTP (File Transfert Protocol).

Bien souvent le pirate de proxy (Hijacker Proxy) s’installe en tant que programme comme par exemple « Notation » d’Advernet ou « Homepage » de TheBestMatch. Sa fonction principale est de modifier les paramètres de tous les navigateurs installés comme par exemple les pages de démarrage, les pages de recherche ou la page « 404« . Dans certains cas, ces programmes peuvent bloquer complétement l’accès à internet.

Dans les cas extrêmes, ils peuvent bloquer toutes les ressources du système avec le lancement d’une boucle infinie (Mode loopback de la donnée ProxyOverride). Seul un arrêt manuel de la station peut alors mettre fin au bouclage.

Les Logiciel Potentiellement Indésirable (PUP/LPI) peuvent lancer des services, démarrer des tâches planifiées et créer des raccourcis sur votre Bureau. Toutes ces opérations se font avec ou sans votre consentement selon les termes de son contrat d'utilisation. Une fois installé, un LPI peut modifier certains paramètres de vos navigateurs comme par exemple les pages de recherches, la page de démarrage ou encore votre page d'erreur. Il peut recueillir vos habitudes de navigation et les communiquer à un serveur par la méthode de tracking. En cours de navigation il peut afficher des annonces (coupons) et des bannières publicitaires (popups). L'objectif de ce programme est bien souvent de gagner de l'argent en générant du trafic Web vers des sites sponsorisés.

 Logiciel Potentiellement Indésirable (LPI)

Les logiciels potentiellement indésirables (LPI) ou Potentialy Unwanted Programs (PUP) sont à l’origine de nombreuses infections. L’exemple le plus souvent rencontré est celui des adwares InstallCore, CrossRider, Graftor ou Boxore qui polluent la Base de Registres et vos unités de stockage de données. Ils s’installent généralement à votre insu via le téléchargement de gratuiciels. En effet certains sites utilisent la méthode de repaquetage, une opération qui consiste à refaire le module d’installation du logiciel en y ajoutant des options de téléchargement. Ces options permettent d’ajouter d’autres logiciels comme par exemple des barres d’outils de navigateur, des adwares, des logiciels potentiellement indésirables, des logiciels à publicités intrusives, voire des pirates de navigateur.


 Les logiciels espions (spywares) et les logiciels publicitaires (Adwares) indésirables, tout comme les malwares,  peuvent utiliser les failles d'écriture des logiciels légitimes ou celles des systèmes d'exploitation. Il est donc essentiel d'avoir des logiciels officiels et qu'ils disposent d'une mise à jour automatique. De même votre système d'exploitation Windows doit être programmé en mode update automatique et activé, de façon à pouvoir disposer des dernières mises à jour de failles critiques de sécurité.

ÉLÉMENTS TECHNIQUES

Voir le détail des lignes

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il installe un programme d’extension pour le navigateur Mozilla Firefox (M2),
– Il modifie les paramètres Proxy pour Microsoft Internet Explorer (R5)
– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il s’installe dans la Base de Registres afin d’être lancé à chaque démarrage du système (O4),
– Il s’installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),
– Il démarre une tâche planifiée en automatique (O39),
– Il s’installe en tant que programme (O42),
– Il crée des dossiers supplémentaires (O43),
– Il place un fichier de package MSI dans le dossier systeme Installer (O93)

[collapse]

 Aperçu dans les rapports

Voir le détail des lignes

recensé le 24/12/2012
[MD5.50D981FC745F85C16EB78DF6202A9D42] – (.TheBestMatch – Homepage.) — C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe [273408] [PID.3644]
[MD5.C35DBD373D64FE3B8443E194DAA73150] – (.TheBestMatch – Homepage.) — C:\Program Files (x86)\TheBestMatch\Homepage\Homepage.exe [49664] [PID.]
[MD5.BB49EFB7F60B1624B0C060333D98922A] – (.TheBestMatch – HPMonitor.) — C:\Program Files (x86)\TheBestMatch\Homepage\HPMonitor.exe [30720] [PID.]
M2 – MFEP: prefs.js [Coolman – 2q20i0cq.default\foxyproxy@eric.h.jung] [] FoxyProxy Basic v3.1.4 (..)
M2 – MFEP: prefs.js [Coolman – 2q20i0cq.default\foxyproxy@eric.h.jung] [] FoxyProxy Basic v3.2 (..)
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =
O4 – HKCU\..\Run: [systray] . (.TheBestMatch – Homepage.) — C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe
O4 – HKUS\S-1-5-18\..\Run: [systray] . (.TheBestMatch – Homepage.) — C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe
O4 – HKUS\S-1-5-19\..\Run: [systray] . (.TheBestMatch – Homepage.) — C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe
O4 – HKUS\S-1-5-20\..\Run: [systray] . (.TheBestMatch – Homepage.) — C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe
O4 – HKUS\S-1-5-21-3142596488-2730052083-1217821645-1000\..\Run: [systray] . (.TheBestMatch – Homepage.) — C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe
O23 – Service: (Homepage) . (.TheBestMatch – Homepage.) – C:\Program Files (x86)\TheBestMatch\Homepage\Homepage.exe
O23 – Service: HPMonitor (HPMonitor) . (.TheBestMatch – HPMonitor.) – C:\Program Files (x86)\TheBestMatch\Homepage\HPMonitor.exe
O42 – Logiciel: Homepage – (.TheBestMatch.) [HKLM][64Bits] — {29633E53-BF13-41B5-9E10-19D7843BD9C3}
O43 – CFD: 20/10/2012 – 20:52:34 – [1,565] —-D C:\Program Files (x86)\TheBestMatch
O43 – CFD: 20/10/2012 – 20:52:36 – [0,002] —-D C:\Users\Coolman\AppData\Local\TheBestMatch
SR – | Auto 27/07/2012 49664 | (Homepage) . (.TheBestMatch.) – C:\Program Files (x86)\TheBestMatch\Homepage\Homepage.exe
SR – | Auto 27/07/2012 30720 | (HPMonitor) . (.TheBestMatch.) – C:\Program Files (x86)\TheBestMatch\Homepage\HPMonitor.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{29633E53-BF13-41B5-9E10-19D7843BD9C3
HKLM\SYSTEM\CurrentControlSet\Services\Homepage
HKLM\SYSTEM\CurrentControlSet\Services\HPMonitor
C:\Program Files (x86)\TheBestMatch
C:\Users\Coolman\AppData\Local\TheBestMatch
C:\Program Files (x86)\TheBestMatch\Homepage\DWCSysTray.exe
C:\Program Files (x86)\TheBestMatch\Homepage\Homepage.exe
C:\Program Files (x86)\TheBestMatch\Homepage\HPMonitor.exe

recensé le 04/05/2014
[MD5.940E626BC470367D5407C839B2CA696A] – (.Advernet – Notation.) — C:\Program Files\Notation\Notation.exe [54912] [PID.428]
[MD5.79AFB20A741152D24D967C75407E0332] – (.Advernet – SavdmMonitor.) — C:\Program Files\Notation\NotationMonitor.exe [33920] [PID.2140]
[MD5.6494BC85A3703C40528E66CDA37BF791] [WIS][18/01/2013] (.Advernet – .) — C:\Windows\Installer\ce2a255.msi [1084928]
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8877;https=127.0.0.1:8877
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:56847
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888;https=127.0.0.1:8888
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 1
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1
O4 – HKUS\S-1-5-18\..\Run: [systray] . (.Advernet – Notation.) — C:\Program Files\Notation\NotationSysTray.exe
O4 – HKUS\S-1-5-19\..\Run: [systray] . (.Advernet – Notation.) — C:\Program Files\Notation\NotationSysTray.exe
O4 – HKUS\S-1-5-20\..\Run: [systray] . (.Advernet – Notation.) — C:\Program Files\Notation\NotationSysTray.exe
O23 – Service: (Notation) . (.Advernet – Notation.) – C:\Program Files\Notation\Notation.exe
O23 – Service: NotationMonitor (NotationMonitor) . (.Advernet – SavdmMonitor.) – C:\Program Files\Notation\NotationMonitor.exe
O42 – Logiciel: Notation – (.Advernet.) [HKLM] — {29633E53-BF13-41B5-9E10-19D7843BD9C3}
O43 – CFD: 30/01/2013 – 02:54:01 – [1,739] —-D C:\Program Files\Notation
O43 – CFD: 30/01/2013 – 02:52:56 – [0,222] —-D C:\Users\Coolman\AppData\Local\Notation
O61 – LFC: 27/05/2013 – 17:02:23 —A- C:\Users\Coolman\AppData\Local\Notation\config.dat [802]
O61 – LFC: 27/05/2013 – 21:02:47 —A- C:\Users\Coolman\AppData\Local\Notation\domains.dat [287090]
SR – | Auto 28/12/2012 54912 | (Notation) . (.Advernet.) – C:\Program Files\Notation\Notation.exe
SR – | Auto 28/12/2012 33920 | (NotationMonitor) . (.Advernet.) – C:\Program Files\Notation\NotationMonitor.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{29633E53-BF13-41B5-9E10-19D7843BD9C3
HKLM\SYSTEM\CurrentControlSet\Services\Notation
HKLM\SYSTEM\CurrentControlSet\Services\NotationMonitor
C:\Program Files\Notation\NotationMonitor.exe
C:\Program Files\Notation\NotationMonitor.exe
C:\Program Files\Notation
C:\Windows\Installer\ce2a255.msi

Recensé le 07/05/2015
[MD5.2E33EB8D43CF15EC73E45BAA0DF06191] – (.Secure Digital Services Limited – OfferBox.) — C:\Program Files\OfferBox\OfferBox.exe [1965912]
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;*.offerbox.com
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 1
M3 – MFPP: Plugins – [Coolman — C:\Documents and Settings\Coolman\Application Data\Mozilla\Firefox\Profiles\vljmz4ej.default\searchplugins\OfferBox Search.xml
O39 – APT:Automatic Planified Task – C:\Windows\Tasks\OfferBoxUpdate.job
O42 – Logiciel: OfferBox – (.Secure Digital Services Limited.) [HKLM] — OfferBox

Recensé le 10/08/2015
SUPPRIMÉ donnée: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride [Bad : ]
SUPPRIMÉ donnée: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer [Bad : http=127.0.0.1:8888;https=127.0.0.1:8888]
SUPPRIMÉ donnée: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable [Bad : 1]
SUPPRIMÉ donnée: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings [Bad : Port=8888 ]
SUPPRIMÉ donnée: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings [Bad : Port=8888 ]

[collapse]

 Alias

Voir le détail des lignes

Malwarebytes PUP.Optional.Proxy

[collapse]

 Editeurs associés

Voir le détail des lignes

Advernet
Secure Digital Services Limited
TheBestMatch

[collapse]

 Quelques produits

Voir le détail des lignes

Homepage
HPMonitor
Notation
Notation Monitor
OfferBox
SavdmMonitor

[collapse]

 Algorithme MD5

Voir le détail des lignes

50D981FC745F85C16EB78DF6202A9D42
C35DBD373D64FE3B8443E194DAA73150
BB49EFB7F60B1624B0C060333D98922A
940E626BC470367D5407C839B2CA696A
79AFB20A741152D24D967C75407E0332
6494BC85A3703C40528E66CDA37BF791

[collapse]

COMMENT SUPPRIMER Hijacker Proxy ?

Supprimer avec Microsoft Windows

zhpcleaner

Supprimer avec ZHPCleaner

Diagnostiquer avec ZHPDiag

Responsabilité :   Le principe d'absence de responsabilité du site d'origine, au regard des contenus des sites cibles pointés, est rappelé par l'arrêt du 19 septembre 2001 de la Cour d'Appel de Paris. Les propos que je tiens ici reflètent mon opinion et sont des suggestions - le visiteur n'est pas obligé de les suivre.

 


 Vues totales 65 901 (Aujourd'hui 21 )