Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection par le trojan SpyCrush


Nicolas Coolman
 Partager

Messages recommandés

logowindowsxppd8.jpg Infection par le trojan SpyCrush

Ce trojan se retrouve par exemple sous les noms "Trojan.SpyCrush", "Trojan.VirusBurst" ou "Trojan.Smitfraud". Il peut exploiter une faille de mise à jour de votre système. Il exploite une faille du navigateur internet afin d'envoyer des messages d'alertes d'infection. L'utilisateur croit alors qu'il est infecté et que son remède passe par le téléchargement de l'antidote avec l'antitrojan SpyCrush. Ce trojan est considéré comme méchant.

 

 

chevalhq5.png Les sources d'infection du trojan SpyCrush

Voici une liste non-exhaustive de logiciels succeptibles d'introduire ce trojan. Ne nombreux utilitaires contiennent le mot "Spy" :

  • SpySheriff,
  • SpywareStrike,
  • SpyDawn,
  • SpywareQuake,
  • SpyFalcon,
  • SpyHeal,
  • SpyAxe,
  • VirusBurst,
  • Microsoft Internet Explorer (faille de sécurité),
  • SmitFraud,

 

chevalhq5.png Les effets du trojan SpyCrush

Les effets de ce cheval de Troie sont multiples, il s'agit principalement de :

  • des attaques répétées du navigateur internet jusqu'à la découverte et l'exploitation d'une faille de sécurité,
  • une installation d'applications malwares,
  • une diminution de la sécurité par vol d'informations,
  • une régénération à chaque démarrage du système,

 

chevalhq5.png Les Symptômes visibles du trojan SpyCrush

Les symptômes de ce cheval de Troie que perçoivent les utilisateurs infectés sont multiples, il s'agit principalement de :

  • une diminution des performances de votre système.
  • une lenteur anormale du refraichissement des écrans dans votre navigateur internet,
  • une fausse alerte de sécurité sur l'infection de votre système,
  • dans la zone de notification du Bureau Windows, l'apparition d'une icône montrant l'activité de "SpyCrush",
  • dans la zone de notification du Bureau Windows, l'apparition d'un "Point d'interrogation bleu tournant" pointant sur le site de l'anti-trojan "SpyCrush",
     
  • une publicité intrusive du style,
    spbq0.jpg

chevalhq5.png La détection Hijackthis du trojan SpyCrush

Hijackthis détecte ce cheval de Troie. Voici les points de convergence :

  • installation du programme "Spydawn.exe" dans le dossier "C\Program Files\SpyCrush" et non pas dans le dossier "C\Windows\Program Files\SpyCrush",
  • Création de la ressource dynamique "syycum.dll" sous "C:\Program Files\SpyCrush",

Voici quelques exemples rencontrés dans les rapports Hijackthis :

 

O21 - SSODL: hemadynamometer - {6076d2b1-634c-4685-843b-f826045ea5dc} - C:\WINDOWS\system32\syycum.dll

 

O4 - HKLM\..\Run: [spyCrush] C:\Program Files\SpyCrush\SpyCrush.exe /h

O4 - HKLM\..\Run: [spyCrush] C:\Program Files\SpyCrush\

O21 - SSODL: hemadynamometer - {6076d2b1-634c-4685-843b-f826045ea5dc} - C:\WINDOWS\System32\syycum.dll

 

 

chevalhq5.png La détection SmitFraudFix du trojan SpyCrush

Hijackthis détecte ce cheval de Troie. Voici les points de convergence :

  • installation du programme "SpyCrush.exe" dans le dossier "C\Program Files\SpyCrush" et non pas dans le dossier "C\Windows\Program Files\SpyCrush"
  • création de liens dans les documents de l'utilisateur,

Voici quelques exemples rencontrés dans les rapports SmitFraudFix :

 

SmitFraudFix v2.89

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\syycum.dll PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri

Search SharedTaskScheduler''s .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{6076d2b1-634c-4685-843b-f826045ea5dc}"="hemadynamometer"

 

[HKEY_CLASSES_ROOT\CLSID\{6076d2b1-634c-4685-843b-f826045ea5dc}\InProcServer32]

@="C:\WINDOWS\system32\syycum.dll"

 

SmitFraudFix v2.92

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\syycum.dll PRESENT !

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri

Search SharedTaskScheduler''s .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{6076d2b1-634c-4685-843b-f826045ea5dc}"="hemadynamometer"

 

[HKEY_CLASSES_ROOT\CLSID\{6076d2b1-634c-4685-843b-f826045ea5dc}\InProcServer32]

@="C:\WINDOWS\system32\syycum.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{6076d2b1-634c-4685-843b-f826045ea5dc}\InProcServer32]

@="C:\WINDOWS\system32\syycum.dll"

 

 

chevalhq5.png Procédure d'éradication manuelle du trojan SpyCrush

L'éradication manuelle de ce trojan est difficile et risquée pour la stabilité du système. Il vaut mieux demander conseil à un expert en sécutité.

  • Dans le détail :
    • Arrêter le Processus "spyCrush.exe"
       
    • Décharger les fichiers de ressources dynamiques (DLL) :


      •  
      • "syycum.dll"

       

      [*]Supprimer les clés/valeurs de base de registres :

      • "HKEY_LOCAL_MACHINE\SOFTWARE\SpyCrush"
         
      • "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SpyCrush.exe"
         
      • "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion \Uninstall\SpyCrush"
         
      • "HKEY_CLASSES_ROOT\TypeLib\{661173EE-FA31-4769-97D4-B556B5D09BDA}"
         
      • "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{661173EE-FA31-4769-97D4-B556B5D09BDA"
         
      • "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ShellServiceObjectDelayLoad\{6076D2B1-634C-4685-843B-F826045EA5DC}"
        Au démarrage du système , l'explorateur charge les valeurs placées dans la clé de Base de Registres "ShellServiceObjectDelayLoad". Pour information, il n'existe que quatres valeurs par défaut à savoir "CDBurn", "PostBootReminber", "SysTray" et "WebChek".

       

       

      [*]Rechercher et supprimer les fichiers suivants :

      • "spyCrush.exe"
         
      • "syycum.dll"
         
      • "SpyCrush 5.1.lnk"
         
      • "SpyCrush 5.1 Website.lnk"
         
      • "Uninstall SpyCrush 5.1.lnk"

    chevalhq5.png Autres utilitaires

    D'autres utilitaires permettent de traquer le trojan SpyDawn.

    • SmitFraudFix
    • AVG antispyware
    • SpyWeeper

    chevalhq5.png La prévention

    • Penser à faire un nettoyage complet périodique des dossiers temporaires et notamment ceux concernant la navigation internet.
    • Mettre systèmatiquement à jour les signatures antivirales. Installer de préférence un antivirus avec update automatique.
    • Faire régulièrement les mises à jour du système Windows, et notamment celles qui portent sur le navigateur "Microsoft Internet Explorer" mais aussi sur les logiciels de messagerie "outlook" et "outlook Express".
    • Mettre en place un gardien de Base de Registres en mode résidant comme SpyBot. Cette précaution permettra de vous prévenir en cas d'intrusion dans la BDR.
    • Ne pas accepter de scan antimalware lorsqu'un message d'alerte vous indique que vous êtes infecté.
    • Consulter régulièrement les processus qui tournent dans votre "Gestionnaire des tâches Windows".

    articlesgy5.jpg

    Index de traitement des infections

    Lexique des ressources dynamiques à supprimer.

    J'ai un problème avec une DLL !

Modifié par coolman
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Partager

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...