Infection par le trojan SpyDawn

Nicolas Coolman · le 25 février 2007

Infection par le trojan SpyDawn

Ce trojan se retrouve sous le nom "trojan.SpyDawn". Il peut exploiter une faille de mise à jour de votre système. Il exploite une faille du navigateur internet afin d'envoyer des messages d'alertes d'infection. L'utilisateur croit alors qu'il est infecté et que son remède passe par le téléchargement de l'antidote avec l'antitrojan SpyDawn. Ce trojan est considéré comme méchant.

Les sources d'infection du trojan SpyDawn

Voici une liste non-exhaustive de logiciels succeptibles d'introduire ce trojan. Ne nombreux utilitaires contiennent le mot "Spy" :

SpySheriff,
SpywareStrike,
SpyCrush,
SpywareQuake,
SpyFalcon,
SpyHeal,
VirusBurst,
Microsoft Internet Explorer (faille de sécurité),
Antitrojan SpyDawn,
SpyAxe,
SmitFraud,

Les effets du trojan SpyDawn

Les effets de ce cheval de Troie sont multiples, il s'agit principalement de :

des attaques répétées du navigateur internet jusqu'à la découverte et l'exploitation d'une faille de sécurité,
une installation d'applications malwares,
une diminution de la sécurité par vol d'informations,

Les Symptômes visibles du trojan SpyDawn

Les symptômes de ce cheval de Troie que perçoivent les utilisateurs infectés sont multiples, il s'agit principalement de :

une diminution des performances de votre système.
une lenteur anormale du refraichissement des écrans dans votre navigateur internet,
une fausse alerte de sécurité sur l'infection de votre système,
Le « système a détecté un certain nombre d'applications actives de spyware qui peuvent effectuer l'exécution de votre ordinateur. Cliquer l'icône pour se débarasser du spyware non désiré en téléchargeant une solution à jour d'anti-spyware. »

-
dans la zone de notification du Bureau Windows, l'apparition d'une icône montrant l'activité de "Spydawn"
dans la zone de notification du Bureau Windows, l'apparition d'un "Point d'interrogation bleu tournant" pointant sur le site de "Spydawn",
une publicité intrusive du style,

La détection Hijackthis du trojan SpyDawn

Hijackthis détecte ce cheval de Troie. Voici les points de convergence :

installation des ressources dynamiques de noms variables "higehsg.dll", "xkrdk.dll", "msvcp71.dll" sous "C:\Windows\System32",

Voici quelques exemples rencontrés dans les rapports Hijackthis :

*** Rapport 1 ***
[HKEY_CLASSES_ROOT\CLSID\{8329660f-e248-4872-98cc-fb9c4fec7ba8}\InProcServer32] @="C:\WINDOWS\system32\xkrdk.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8329660f-e248-4872-98cc-fb9c4fec7ba8}\InProcServer32] @="C:\WINDOWS\system32\xkrdk.dll"

*** Rapport 2 ***

O21 - SSODL: eitheror - {2016a466-91a2-43c6-97d8-2fd380f065ef} - C:\WINDOWS\system32\higehsg.dll

*** Rapport 3 ***

O4 - HKLM\..\Run: [spyDawn] C:\Program Files\SpyDawn\SpyDawn.exe /h

La détection SmitFraudFix du trojan SpyDawn

Hijackthis détecte ce cheval de Troie. Voici les points de convergence :

installation du programme "Spydawn.exe" dans le dossier "C\Program Files\SpyDawn" et non pas dans le dossier "C\Windows\Program Files\SpyDawn"
création de liens dans les documents de l'utilisateur,

Voici quelques exemples rencontrés dans les rapports SmitFraudFix :

*** Rapport 1 ***
C:\Documents and Settings\...\Application Data\Microsoft\Internet Explorer\Quick Launch\SpyDawn 3.1.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\...\MENUDM~1\SpyDawn 3.1.lnk PRESENT !

C:\DOCUME~1\...\PROGRA~1\SpyDawn PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

C:\DOCUME~1\...\Bureau\SpyDawn.lnk PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\SpyDawn\ PRESENT !

*** Rapport 2 ***
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

C:\Program Files\SpyDawn\ PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

@="C:\WINDOWS\system32\higehsg.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{2016a466-91a2-43c6-97d8-2fd380f065ef}\InProcServer32]

@="C:\WINDOWS\system32\higehsg.dll"

Procédure d'éradication manuelle du trojan SpyDawn

L'éradication manuelle de ce trojan est difficile et risquée pour la stabilité du système. Il vaut mieux demander conseil à un expert en sécutité.

Dans le détail :
1. Arrêter le Processus "spydawn.exe"
2. Décharger les fichiers de ressources dynamiques (DLL) :
  - "msvcp71.dll"
  - "higehsg.dll"
  - "xkrdk.dll"
[*]Supprimer les clés/valeurs de base de registres :
- "HKEY_LOCAL_MACHINE\SOFTWARE\SpyDawn"
- "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpyDawn.exe"
- "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion \Uninstall\SpyDawn"
- "HKEY_CLASSES_ROOT\TypeLib\{661173EE-FA31-4769-97D4-B556B5D09BDA}"
- "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{661173EE-FA31-4769-97D4-B556B5D09BDA"
[*]Rechercher et supprimer les fichiers suivants :
- "spydawn.exe"
- "sd_setup.exe"
- "msvcp71.dll"
- "higehsg.dll"
- "xkrdk.dll"
- "sd.ini"
- "SpyDawn 3.1.lnk"
- "SpyDawn.lnk"
- "SpyDawn 3.1 Website.lnk"
- "Uninstall SpyDawn 3.1.lnk"

[*]Plus précisément, suivre la procédure d'éradication de Malekal_morte

Autres utilitaires

D'autres utilitaires permettent de traquer le trojan SpyDawn.

SmitFraudFix
AVG antispyware
Anti trojan XoftSpySE

La prévention

Penser à faire un nettoyage complet périodique des dossiers temporaires et notamment ceux concernant la navigation internet.
Mettre systèmatiquement à jour les signatures antivirales. Installer de préférence un antivirus avec update automatique.
Faire régulièrement les mises à jour du système Windows, et notamment celles qui portent sur le navigateur "Microsoft Internet Explorer" mais aussi sur les logiciels de messagerie "outlook" et "outlook Express".
Mettre en place un gardien de Base de Registres en mode résidant comme SpyBot. Cette précaution permettra de vous prévenir en cas d'intrusion dans la BDR.
Ne pas accepter de scan antimalware lorsqu'un message d'alerte vous indique que vous êtes infecté.
Consulter régulièrement les processus qui tournent dans votre "Gestionnaire des tâches Windows".