Forums Analyses sécurité Vonteera, Logiciel Potentiellement Indésirable (PUP/LPI)

Mots-clés : , , ,

Affichage de 1 message (sur 1 au total)
  • Auteur
    Messages
  • Nicolas CoolmanNicolas Coolman
    • Administrateur
    @nicocoolmann
    Nombre d'articles : 2201

    Le programme Vonteera se classe dans la catégorie des Logiciels Optionnels Potentiellement Indésirables (LPI/PUP).

    Les LPI, ou PUP, s'installent généralement en tant que programme ou en tant qu'extension de navigateur et sont chargées à chaque démarrage du système d'exploitation.

    Les Logiciel Potentiellement Indésirable (PUP/LPI) peuvent lancer des services, démarrer des tâches planifiées et créer des raccourcis sur votre Bureau. Toutes ces opérations se font avec ou sans votre consentement selon les termes de son contrat d'utilisation. Une fois installé, un LPI peut modifier certains paramètres de vos navigateurs comme par exemple les pages de recherches, la page de démarrage ou encore votre page d'erreur. Il peut recueillir vos habitudes de navigation et les communiquer à un serveur par la méthode de tracking. En cours de navigation il peut afficher des annonces (coupons) et des bannières publicitaires (popups). L'objectif de ce programme est bien souvent de gagner de l'argent en générant du trafic Web vers des sites sponsorisés.

    Logiciel Potentiellement Indésirable (LPI)

    Les logiciels potentiellement indésirables (LPI) ou Potentialy Unwanted Programs (PUP) sont à l’origine de nombreuses infections.
    L’exemple le plus souvent rencontré est celui des adwares InstallCore, CrossRider, Graftor ou Boxore qui polluent la Base de Registres et vos unités de stockage de données. Ils s’installent généralement à votre insu via le téléchargement de gratuiciels. En effet certains sites utilisent la méthode de repaquetage, une opération qui consiste à refaire le module d’installation du logiciel en y ajoutant des options de téléchargement. Ces options permettent d’ajouter d’autres logiciels comme par exemple des barres d’outils de navigateur, des adwares, des logiciels potentiellement indésirables, des logiciels à publicités intrusives, voire des pirates de navigateur.

    Les logiciels espions (spywares) et les logiciels publicitaires (Adwares) indésirables, tout comme les malwares,  peuvent utiliser les failles d'écriture des logiciels légitimes ou celles des systèmes d'exploitation. Il est donc essentiel d'avoir des logiciels officiels et qu'ils disposent d'une mise à jour automatique. De même votre système d'exploitation Windows doit être programmé en mode update automatique et activé, de façon à pouvoir disposer des dernières mises à jour de failles critiques de sécurité.

    Actions principales :
    – Il s’installe en tant que processus lancé au démarrage du système (RP),
    – Il installe un programme d’extension pour le navigateur Google Chrome (G2)
    – Il modifie la page de démarrage du navigateur Internet Explorer (R0),
    Il installe un programme d’extension pour le navigateur Mozilla Firefox (M2),
    – Il installe un plugin pour le navigateur Mozilla Firefox (M3),
    Il s’installe en tant que Browser Helper Object (BHO) de Navigateur internet (O2),
    Il s’installe dans la Base de Registres afin d’être lancé à chaque démarrage du système (O4),
    Il démarre une tâche planifiée en automatique (O38),
    Il s’installe en tant que programme (O42)
    – Il crée de multiples clés de Registre « Software »,
    Ajoute des dossiers supplémentaires (O43),
    – Il s’installe en tant que clé de registre Image File Execution Options (IFEO) (O50))
    Il modifie le fournisseur de recherche Internet (O69),
    – Il crée des clés de registre CLSID (O101),

    Aperçu ZHPDiag :
    [MD5.43913CE153E34296A39CB146C46538A8] – (.Pas de propriétaire – winvr.) — C:\winvr\winvr.exe [20992] [PID.828]
    G2 – GCE: Preference [User Data\Default] [jfhbklndhffnahdploecdffbedhgjnce] Vonteera Safe ads v.1.0 (Activé)
    R0 – HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.arabyonline.com => Trojan.Vonteera
    R0 – HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.arabyonline.com => Trojan.Vonteera
    M2 – MFEP: prefs.js [Administrateur – mteietq8.default\addon@Vonteera.com] [] Vonteera Safe ads v1.5 (..)
    M3 – MFPP: Plugins – [Coolman] — C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\71x8hwhj.default\searchplugins\VenteeRo.xml
    O2 – BHO: Vonteera – {437B9306-2FDE-4054-A3C9-6B49507C12D0} . (.Vonteera – Vonteera.) — C:\Program Files\VonteeraAddon\Vonteera.dll
    O2 – BHO: FoxPro – {598AC71E-BE58-3981-B78A-5C138F423AD6} . (…) — C:\Users\Coolman\Application Data\VolIE\FoxPro_32.dll
    O4 – HKCU\..\Run: [Volaro Update] . (.Volaro – Volaro.) — C:\Program Files\Volaro\Updater\Updater.exe
    O4 – HKCU\..\Run: [Popper] . (…) — C:\Users\taki\Application Data\Popper\ChompUpd.exe
    O4 – HKCU\..\Run: [ARhome] . (…) — C:\Users\taki\Application Data\ARHome\Updater.exe
    [MD5.7A6743646EB873BBE6389A0B963AEAA9] [APT] [4CEFD9B73D6C-1CRMOI2] (…) — C:\Users\Coolman\AppData\Roaming\ARHome\Updater.exe [80896]
    [MD5.7A6743646EB873BBE6389A0B963AEAA9] [APT] [5FOFD9B73D6C-2CRMOI6] (…) — C:\Users\Coolman\AppData\Roaming\ARHome\Updater.exe [80896]
    O42 – Logiciel: Volaro Updater – (.Volaro.) [HKLM] — Volaro Updater
    O42 – Logiciel: Vonteera – (.Vonteera.) [HKLM] — Vonteera
    O42 – Logiciel: ARhome – (.NoVooIT.) [HKLM][64Bits] — ARhome
    O42 – Logiciel: ArHome – (.NoVooIT.) [HKCU][64Bits] — ARhome
    [HKLM\Software\Vontera]
    [HKCU\Software\Vonteera]
    [HKLM\Software\Vonteera]
    [HKCU\Software\Vonteera Safe ads]
    [HKCU\Software\Volaro]
    [HKCU\Software\PluginAddon]
    [HKCU\Software\ARHome]
    [HKCU\Software\NoVooITSet]
    [HKCU\Software\Popper]
    [HKCU\Software\NoVooIT]
    [HKLM\Software\Wow6432Node\NoVooITSet]
    O43 – CFD: 05/08/2013 – 03:38:12 – [0,333] —-D C:\Program Files\Volaro
    O43 – CFD: 05/08/2013 – 03:38:12 – [0,291] —-D C:\Program Files\VonteeraAddon
    O43 – CFD: 30/05/2014 – 15:13:30 – [] —-D C:\Users\Coolman\AppData\Roaming\VolIE
    O43 – CFD: 02/06/2014 – 16:12:21 – [] —-D C:\Users\Coolman\AppData\Roaming\ARHome
    O43 – CFD: 20/12/2013 – 17:56:57 – [] —-D C:\Users\Coolman\Application Data\NoVooIT
    O43 – CFD: 27/12/2013 – 22:00:15 – [0] —-D C:\Users\Coolman\Application Data\NoVooITAddon
    O43 – CFD: 29/07/2014 – 12:34:29 – [] —-D C:\Users\taki\Application Data\Popper
    O43 – CFD: 18/12/2013 – 09:34:45 – [] —-D C:\Program Files (x86)\NoVooIT
    O43 – CFD: 18/12/2013 – 09:34:44 – [] —-D C:\Program Files (x86)\NoVooITAddon
    O43 – CFD: 10/01/2014 – 00:20:27 – [] —-D C:\Users\Coolman\AppData\Roaming\NoVooIT
    O43 – CFD: 10/01/2014 – 00:20:27 – [] —-D C:\Users\Coolman\AppData\Roaming\NoVooITAddon
    O50 – IFEO:Image File Execution Options – volaro – tasklist.exe
    O50 – IFEO:Image File Execution Options – vonteera – tasklist.exe
    O69 – SBI: SearchScopes [HKCU] {756D1D40-E491-4E1D-9BC6-5B37CEDE646E} – (VenteeRo) – http://www.arabyonline.com
    O69 – SBI: SearchScopes [HKCU] 4868D4CAC5974BA59C526420FF340541 – (VenteeRo) – http://www.arabyonline.com
    O69 – SBI: SearchScopes [HKCU] {756D1D40-E491-4E1D-9BC6-5B37CEDE646E} [DefaultScope] – (VenteeRo) – http://www.arabyonline.com
    [HKCR\CLSID\{437B9306-2FDE-4054-A3C9-6B49507C12D0}] (Vonteera Class)
    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{756D1D40-E491-4E1D-9BC6-5B37CEDE646E}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{437B9306-2FDE-4054-A3C9-6B49507C12D0}]
    [HKLM\SOFTWARE\CLASSES\CLSID\{437B9306-2FDE-4054-A3C9-6B49507C12D0}]
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:Volaro Update
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:ARHome
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Volaro Updater]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Vonteera]
    [HKLM\Software\Vontera]
    [HKCU\Software\Vonteera]
    [HKCU\Software\Vonteera Safe ads]
    [HKCU\Software\Volaro]
    [HKCU\Software\ARHome]
    [HKCU\Software\PluginAddon]
    [HKCU\Software\NoVooITSet]
    [HKLM\SOFTWARE\CLASSES\APPID\VONTEERA.DLL]
    C:\Users\Coolman\AppData\Local\Google\Chrome\User Data\Default\Extensions\jfhbklndhffnahdploecdffbedhgjnce
    C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\User.default\extensions\jfhbklndhffnahdploecdffbedhgjnce
    C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\User.default\extensions\addon@Vonteera.com
    C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\71x8hwhj.default\searchplugins\VenteeRo.xml
    C:\Program Files\VonteeraAddon
    C:\Program Files\Volaro
    C:\Users\Coolman\AppData\Roaming\VolIE
    C:\Users\Coolman\AppData\Roaming\ARHome

    Alias :
    Trojan.Generic [BitDefender]
    Win32/TrojanDropper.Agent.QFS [ESET]
    TR/Dropper.Gen [Avira]
    Trojan.DR.Agent!LxMvyQ0qbns [V-Buster]
    Trojan.StartPage [Dr.Web]
    Trojan.Downloader.gen.h [VBA32]
    Win32:Malware-gen [Avast]
    Adware.Vonteera

    Diagnostiquer avec ZHPSuite...  Désinstaller avec Windows...  Supprimer avec ZHPCleaner...  Supprimer avec Malwarebytes...

Affichage de 1 message (sur 1 au total)
  • Vous devez être connecté pour répondre à ce sujet.