L ' ENTRAIDE que l' Entraide

Le meilleur du Web pour vous aider au quotidien ...

Dans les premiers au Weborama de la catégorie " Informatique "
Exclamation


    Toute l'équipe saura vous donner du bonheur et surtout vous aider quelque soit le problème ...





    Réapparition de Protector Rogue

    Partagez
    avatar
    Fondateur
    Corsi'Créateur
    Corsi'Créateur

    Masculin
    Nombre de messages : 1223
    Age : 61
    Localisation : Toujours là, devant mon écran !
    Date d'inscription : 01/05/2006

    Particulier Réapparition de Protector Rogue

    Message par Fondateur le Mar 10 Déc 2013, 16:27

    kiss 



    Réapparition de Protector Rogue


    Comme décrit dans notre post récemment publié " [Vous devez être inscrit et connecté pour voir ce lien] " dans cette même section, il y a un bon nombre de possibilités par lesquelles les malwares peuvent finir par débarquer sur votre ordinateur.  Un des modes d’entrée les plus communs est par un troyen qui vous dupe à l’installer en se déguisant en plugin-in ou application utile:
    [Vous devez être inscrit et connecté pour voir ce lien]
    Les logiciels de sécurité falsifiés sont un type de troyens qui prétendent être un logiciel anti-virus, et en ce moment, il y en a un qui, très ennuyeux, se répand sur Internet et ressemble beaucoup au Protector Rogue de 2012.
    Le Protector Rogue doit son nom au fichier nommé protector-xxx.exe (x pouvant être des lettres quelconques).  Ce malware était très répandu jusqu’à son extinction au mois de septembre de l’année dernière.  Cette nouvelle version a le nom de fichier guard-xxx.exe et la valeur de registre GuardSoftware.
    Comme les pirates informatiques tendent à être généralement paresseux, ils ont l’habitude de baser un nouveau malware sur d’anciennes versions, et GuardSoftware contient un bon nombre des composants de Protector.  En fait, malgré le nom modifié, même l’interface utilisateur graphique (IUG) conserve le design de Windows XP.
    [Vous devez être inscrit et connecté pour voir ce lien]
    Cette interface non modifiée est un bon indice pour tout utilisateur de systèmes d’exploitation plus récents que XP.  Les auteurs de GuardSoftware ont quand même mis en place quelques nouveaux trucs, et c’est grâce à ceux-ci que le malware fonctionne.  La routine d’installation de GuardSoftware ou le dropper a une signature numérique valable, ce qui le rend plus digne de confiance au premier abord et lui permet de contourner certaines formes de détection heuristique.
    [Vous devez être inscrit et connecté pour voir ce lien]
    En même temps, GuardSoftware se sert de techniques de hijacking que l’on n’a pas encore vues dans des logiciels falsifiés comparables.  Une fois installé, GuardSoftware redémarre votre ordinateur et puis bloque l’accès à votre bureau en vous montrant une fenêtre « Analyse en cours »
    [Vous devez être inscrit et connecté pour voir ce lien]
    Cette fenêtre est censé duper les utilisateurs à faire confiance à GuardSoftware, et il y a même une option nommée « Désactiver » dans le menu.  Cette option débloque votre bureau, mais l’analyse ne sera pas terminée pour autant.  Celle-ci continuera en arrière-plan, et vous verrez sans cesse des fenêtre pop-up vous indiquant que votre ordinateur est infecté, tout ceci visant à vous persuader d’acheter la version complète de GuardSoftware, si vous saisissez les détails de votre carte de crédit dans une fenêtre qui ressemble à celle qui suit :
    [Vous devez être inscrit et connecté pour voir ce lien]
    GuardSoftware est un des premiers logiciels falsifiés à se servir de ces blocages d’écran, qui étaient, dans le passé, réservés aux rançongiciels.  Dans le passé, Protector Rogue ne faisait qu’intimider les utilisateurs en montrant des messages terrifiants, tels que « VOTRE ORDINATEUR EST INFECTÉ » ou « PROTECTOR A TROUVÉ 136 VIRUS SUR VOTRE ORDINATEUR!!! ».  Il semble que ceux qui ont développé GuardSoftware ont reconnu que la plupart des utilisateurs d’ordinateurs ne sont plus si naïfs, de sorte qu’une approche plus raffinée est de mise.
    Cette famille de logiciels falsifiés emploient un bon nombre de noms, tels que Windows Expert Console, Windows Cleaning Toolkit et Windows Active Hotspot. En bas, vous voyez quelques listes de hash SHA1 pour ces variantes :

    •  FAAB416D4423F08337707D6FC15FA4ACA143D9BE
    • 2966D9B0B7B27C1CA2FA46F93E26E82FBB7FE64C
    • CB8B40EACC05C5D34396D70C9B9C1D931A780517



    PACE & SALUTE
    [Vous devez être inscrit et connecté pour voir cette image] [Vous devez être inscrit et connecté pour voir cette image]

      La date/heure actuelle est Mar 24 Oct 2017, 02:15