Éditeur : Stratex International - SmitFraud - SpySheriff

Certification SSL donnée par secure.isoftpay.com (expire le 11/09/2007)

Cette crapulerie implante le parasite SmitFraud (les crapuleries suivantes, au moins, implantent SmitFraud : AdwarePunisher, AdwareSheriff, AlphaCleaner, AntiSpyware Soldier, AntiVermeans, AntiVermins, AntiVerminser, AntiVirus Gold, AntiVirusGold, AntivirusGolden, AVGold, Brain Codec, BraveSentry, DirectVideo, EliteCodec, eMedia Codec, FreeVideo, Gold Antivirus, Gold Codec, GoldAntivirus, HQ Codec, iCodecPack, Image ActiveX Object, iMediaCodec, IntCodec, iVideoCodec, JPEG Encoder, Key Generator, LiveProtect, Malware Alarm, MalwareAlarm, MalwaresWipeds, MalwareWipe, MalwareWiped, MalwareWipePro, MalwareWiper, MediaCodec, Media-Codec, MMediaCodec, MovieCommander, MPCODEC, Mr. AntiSpy, My Pass Generator, PCODEC, Perfect Codec, PestCapture, PestTrap, PornMag Pass, PornPass Manager, PowerCodec, PrivateVideo, PSGuard, QualityCodec, quicknavigate.com, Registry Cleaner, Security iGuard, Silver Codec, SiteEntry, SiteTicket, Smitfraud, Spy Locked, Spy Sheriff, SpyAxe, SpyCrush, SpyDown, SpyFalcon, SpyGuard, SpyHeal, SpyHeals, SpyLocked, SpyMarshal, SpyMarshall, SpySheriff, SpySherrif, SpySoldier, Spyware Locked, Spyware Soft Stop, Spyware Vanisher, SpywareKnight, SpywareLocked, SpywareQuake, SpywareSheriff, SpywareStrike, Startsearches.net, strCodec, Super Codec, TitanShield AntiSpyware, TrueCodec, Trust Cleaner, UpdateSearches.com, VidCodecs, Video Access ActiveX Object, Video ActiveX Object, VideoAccess, VideoBox, VideoCompressionCodec, VideoKeyCodec, VideosCodec, Virtual Maid, VirusBlast, VirusBurst, Win32.puper, WinAntiSpyPro, WinHound, WinMediaCodec, X Password Generator, X Password Manager, ZipCodec)

SpyMarshal est connu sous divers noms :

Brave Sentry
BraveSentry
Diaremover
Malware Alarm
MalwareAlarm
Malware.Spyaxe
Malware.SpywareStrike
MalwareWipe
Mr. AntiSpy
Pest Trap
PestCapture
PestTrap
PestWiper
Spy Trooper
SpyAxe
SpyDemolisher
SpyFalcon
SpyMarshall
SpySheriff
SpyTrooper
Spyware Quake
SpywareNo
SpywareQuake
Spyware-Stop
SpywareStrike
Virus Burst
VirusBurst

Eradication
Toutes ces variantes appartiennent à la famille de parasites appelée "SmitFraud" et s'éradiquent avec :
SmitfraudFix (de S!ri, balltrap34 et moe31) depuis http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Décompresser la totalité de l'archive.
Double cliquer sur smitfraudfix.cmd (dans le dossier SmitfraudFix).
Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.
Envoyer le rapport de SmitfraudFix (contenu du fichier C:\rapport.txt) dans un fil de discussion à ouvrir dans le forum Logs HijackThis (Demandes d'analyse de logs).

Chaque variante utilise un Exploit ou un Cheval de Troie ou un ver pour se progaper.

cws.yexe, l'une des variantes du hijacker furieux CoolWebSearch est utilisée.

Chaque variante prétend à une infection et tente ou force le téléchargement du correctif prétendu, un antivirus crapuleux PSGuard (c'est lui qui affiche le célèbre "écran bleu de la mort" avec le message, en anglais : "Vous êtes infecté par Trojan-Spy.HTML.Smitfraud.c") ou Security iGuard ou Spyware Vanisher

Stratex International
Téléphone : (44) 207-0439724 (9:00h - 18:00h du lundi au vendredi)
Information Stratex International
145-157 St John Street 2nd floor
London, EC1V4PY
United Kingdom

Principe d'un même logiciel (clône) connu sous plusieurs noms

Lorsqu'un produit logiciel tente d'occuper le Web sous plusieurs noms (laissant croire à l'existence de plusieurs logiciels concurrents, parfois aux apparences légèrement différentes), au lieu de capitaliser sur un seul nom, c'est que ce logiciel n'a aucune qualité ni aucune notoriété. En étant présent sur le Web sous plusieurs noms, il s'agit d' « occuper le terrain » - de « ratisser large », une forme de SEO - Search Engine Optimisation - Optimisation pour moteurs de recherche agressive, apparentée au cybersquatting, dupant les moteurs de recherche et ceux qui les utilisent. Le but est de capturer et piéger le maximum d'internautes. Ce logiciel est donc, de part ses méthodes de diffusion, de mauvaise qualité et trompeur. Les développeurs de logiciels malveillants et les escros utilisent souvent cette méthode. Chaque fois qu'un logiciel est identifié comme étant le clone d'un autre, tous sont immédiatement considérés comme des tentatives de duperies. Le logiciel, son éditeur et son auteur sont immédiatement suspects. SpyMarshal est, à ce titre, un crapwares. SpyMarshal est inséré dans la crapthèque sous chacun de ses noms.

Non ! Acte d'achat uniquement ! N'offre aucune possibilité d'évaluation du produit.

Cette crapulerie est implantée par le parasite SmitFraud. On a pu observer également l'usage de deux autres parasites pour déployer cette crapulerie : Zlob et, parfois, PurityScan.

SpyMarshal est déployé (entre autres méthodes) en utilisant le parasite SmitFraud qui utilise sa propre méthode de propagation virale.

Le parasite de déploiement SmitFraud :

Méthodes de déploiement génériques

Procédure de décontamination

anti-malwares, anti-crapwares, anti-adwares

Les machines suivantes peuvent être bloquées, par exemple en utilisant votre pare-feu.