Méfiez-vous d'"Antivirus 2008" !

illustration2008112301.jpg(Texte modifié le 25 novembre.) Depuis 6 h. ce matin, je m’acharne sur le PC d’un ami auteur-compositeur qui a été infesté avec Antivirus 2008, une des pires chtouilles que j’ai rencontrées à ce jour en matière de détournement (« hijacking »), vous savez ces cafards qui viennent prendre le contrôle de votre navigation Internet (vignette ci-contre). J’ai essayé presque tous les utilitaires (dont Spybot S&D, Spyware Doctor, Hijackthis, Ad aware, etc.) et les trucs connus. Il est maintenant 15 h. quelques et je ne suis pas plus avancé qu’au point de départ. J’aurais tant aimé pouvoir réussir et, tadam!, vous publier la recette en cette chronique. Mais bon, ça sera pour une autre fois.

On m’a dit, tout à l’heure, qu’Antivirus 2008 était un fléau très répandu depuis quelque temps. Pourtant, je n’ai rien trouvé de sérieux sur le Net pour en venir à bout. Encore une fois, plein de petits Jos-Connaissant m’ont fait perdre mon temps avec des recettes toutes aussi farfelues les unes que les autres.

illustration2008112307.jpg

Comment un tel bordel est-il possible alors que le gars dispose d’un antivirus haut de gamme (NOD32) lequel se met à jour aux douze heures ? Le mois dernier, il s’est fait avertir par un « pop up », le même qui m’est apparu en cours de zigonnage ce matin (lillustration ci-haut) que son PC était infecté et qu’il lui fallait installer Antivirus 2008. Échaudé dans le passé, il l’a fait ! Ce maliciel porte en effet un nom honorable et affiche une allure professionnelle; bref, il inspire confiance. Quand il a réalisé son erreur, il a tenté de le désinstaller en passant par le Panneau de configuration de Windows XP. Ce faisant, il n’a gommé que les apparences, laissant le cancer bien caché dans le système.

Malheureusement, cette saloperie vient exercer certains contrôles de navigation Internet aussi bien dans Firefox que dans Internet Explorer (avec Safari, ça m’a semblé moins pire). Elle bloque certains sites et empêche la communication avec d’autres. Dans un premier temps, on croit que la connexion Internet est rendue folle.

illustration2008112304.jpg
illustration2008112305.jpg
illustration2008112306.jpg
illustration2008112309.jpg

Par exemple, si je tape « Technaute » dans n’importe quel moteur de recherche (première illustration ci-haut), j’obtiens une fiche complexe comprenant des URL de section, p. ex. celui de ce blogue-ci (2e illustration). Si je clique sur l’adresse principale, je me ramasse n’importe où (3e illustration). Frustrant ! Mais si je clique sur une des sous adresses, j’arrive à bon port (4e illustration).

Si je veux installer Spybot Search & Destroy ou HijackThis, des antihijackers généralement efficaces, je ne peux taper « spybot » ou « hijackthis » dans Google et cliquer sur le résultat qui m’intéresse. Je vais retontir sur un site de fesses ou de gogosses. Il me faut plutôt aller retaper l’URL dans la barre d’adresse. Ce faisant, j’ai des chances d’y arriver chez Spybot ou Hijackthis. Mais très souvent, j’obtiendrai le fameux panneau comme quoi il est impossible de me connecter au serveur.

illustration2008112308.jpg

Et si je suis chanceux et que j’arrive à accéder au site, je ne serai guère plus avancé. Dès que je tenterai de télécharger l’antiespiogiciel, la communication sera interrompue (illustration ci-haut). Comme si la sale bête voulait se protéger contre mes manœuvres. Idem, si je télécharge le produit sur un autre PC, que je le place sur une clé USB et que je le copie sur le PC infecté, je perds mon temps. La plupart de ces logiciels requièrent une connexion Internet pour fonctionner. Dès lors, la communication est coupée par l’entremise, je présume d’une patente à la sauce LMHOST, ce qui expliquerait pourquoi les sites non spécifiquement bloqués continuent de fonctionner. Pourtant, j’ai ouvert dans Textpad le fichier C:\Windows\System32\drivers\etc\lmhost.sam et je n’ai rien trouvé.

Un copain m’a conseillé de tenter ma chance avec Avira Antivir Rescue System, un utilitaire ISO que l’on peut télécharger sur le site d’Avira. On le grave sur un CD et on le laisse démarrer le PC. Dans mon cas, je l’ai vu découvrir une véritable chienlit en balayant le disque infecté, mais je n’ai pas su quoi faire pour qu’il la détruise. C’est une interface Linux (genre console) unilingue … allemande ! (prises d’écran ci-après)

illustration2008112310.jpg
illustration2008112311.jpg

Tant qu’à être chez Avira, j’ai téléchargé et mis à l’essai leur antivirus gratuit (on en dit beaucoup de bien) et je n’ai pas été plus avancé qu’avec cette vérification complète faite en début de journée sous NOD32, lequel n’est pas le dernier des venus non plus. Ces deux antivirus n’ont rien vu !

Donc, je renonce pour l’instant et, demain, à moins que quelqu’un ait une meilleure idée (les lecteurs de ce blogue sont très nombreux à être plus connaissants que moi), je copierai les données personnelles de mon ami musicien sur une clé USB et je passerai son disque rigide au napalm. Suis-je con de m’acharner ainsi ? Non, je m’amuse ! C’est mon métier de fouiner et d’essayer des trucs.

Mais ça m’embarrasse quand même; c’est moi qui lui ai fait acheter NOD32 l’été dernier…

Ajout du 25 novembre :

Ce matin, j’ai inséré les deux disques rigides de mon copain, tour à tour, dans un boitier USB que j’ai branché à un autre PC. Voulez-vous lire la liste de ce que NOD32 y a débusqué et tué ?

La voici :

5 exemplaires de Win32/Spy.Agent.NKE trojan
3 exemplaires de Win32/Agent.ODG Trojan
2 exemplaires de Win32/Agent.OIK Trojan
2 exemplaires de Win32/Adware.IeDefender.NHG application
2 exemplaires de Win32/Downloader.Ircfast application

Puis, j’ai remis les disques dans le PC, je l’ai redémarré et j’ai désactivé la fonction de restauration de système. J’ai ensuite lancé Malwarebytes et rien n’a été détecté. Je suis allé sur différents sites Web, via Google, sans aucune histoire. Le problème semble avoir été résolu.

La morale ? En ces temps d’aujourd’hui, l’achat d’un boîtier USB (moins de 50 $) où on peut placer un disque rigide n’est pas un luxe. Il est de loin préférable de nettoyer un disque de cette façon que de s’acharner à l’interne. Ce matin, cette opération ne m’a pas pris deux heures

Voilà ! Merci à tous ceux qui ont publié leur conseils quant à la marche à suivre.

Publicités

62 réflexions sur “Méfiez-vous d'"Antivirus 2008" !

  1. @ patdoc

    J’ai utilisé pendant des année le programme Partition Saving qui fonctionne en dos (gérer avec le clavier) http://www.partition-saving.com/

    tu peux regarder sur le site du Gratilog qui offre des choix logiciel possible en version gratuite http://www.gratilog.net/xoops/modules/mydownloads/viewcat.php?op=&cid=227

    Maintenant que je fonctionne avec linux, j’utilise le programme remastersys qui est très polyvalent. Il permet de créer un liveCD conforme à ta machine et permet aussi l’installation sur une autre machine. J’ai d’ailleurs transféré le ghost de mon system76 directement sur mon toshiba M40 sans aucune difficulté. Pourtant les 2 machines n’ont absolument rien en commun au niveau hardware et mon toshiba a démarré sans problème après l’installation et il était conforme à mon system76. Un système idéal pour exporter une configuration logicielle entre plusieurs machines hétéroclites.

    Alain Naud, Edmonton, Alberta, Canada, La Terre.

  2. @rexie
    @trocupei et
    @alain_from_west

    Merci beaucoup. J’uitlise Windows sur un portable et lUbuntu (depuis 15 jrs yééé) sur un desktop. Les infos me seront utiles.

    Merci !

  3. hum ce qui serais interessant serais de faire une image virtuelle de ce systeme et de faire une petite etude forensic dudit malware , ca serais interessant de voir ou il essaye de se connecter (netstat) et de documenter les process qu’il execute et les hook dll qu’il utilise . je suis plutot d’accord avec le commentaire qui disais que MS devrais repartir de 0 , le DLL hell est responsable d’un bon nombre de ces problemes , mais bon ca a l’air que windows 7 sera base sur le kernel de vista …..

  4. La facon la plus facile de régler tout ca.

    1-telecharger highjackthis et analyser le système
    2- Uploader le log sur hijackthis.de
    3- noter toute les entrées malveillantes, et autre bizarreries après analyse.
    4- Bouter avec le CD de windows, et charger la recovery console.
    5- deleter toutes les fichiers notés à l’étape #3 à la main à travers le « command prompt » (Car ils ne s’enlèvent pas en « safe mode »
    6-rouler highjackthis encore, et selectionner les entrées notées auparavant.
    7- Clicker sur « Fix »
    Et FINALEMENT. rouler spybot search and destroy pour enlever les traces restantes.

  5. J’ai eu le même problème avec l’ordinateur de ma cousine, mais malheureusement je ne me souviens plus où j’ai déniché la solution pour l’enlever… c’était un petit programme d’une compagnie reconnue dans le milieu qui permettait d’enlever tous cela simplement en redémarrant l’ordinateur en safe mode… 5 min et le tour était joué(ça m’a prit 2 semaine pour trouver la solution) par après pour être sur qu’elle ne ramasse rien d’autre du genre je l’ai obligé a n’utilisé que Firefox… au moins lui il bloque ces lien vers le site ou on ramasse ces horreurs…

  6. Je Viens tout juste de subir l’attaque…

    je sais pas si je suis en sécurité, mais grâce à vos infos
    éclairées, j’ai planté Firefox aussitôt que j’ai reconnu
    le monstre parce qu’ils s’accrochait le démon

    Et… je suis sur Mac

  7. Je me suis fait un – Ultimate Boot cd -( gratuit ) (http://www.ultimatebootcd.com/ )
    ça me permet de démarrer avec un cd qui roule XP avec les pilotes de mon pc et qui donne le choix d’utiliser un vaste choix d’outils de désinfections et d’optimisation gratuits. Ça demande un peu de préparation mais c’est utile en cas de crise !

  8. J’ai oublier d’ajouter que le Utimatebootcd permet de se connecter à Internet pour les mises à jour des logiciels de désinfection, on peut aussi choisir le fureteur .

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s