Hijacker.Office

Ce programme est connu pour pirater certaines versions de Microsoft Office.
– Il s’installe à votre insu via le téléchargement de logiciels gratuits.
– Il se propage aussi par le biais des réseaux de partage Peer To Peer et les clés USB.
– Fiche créée le 03/07/2013.

Caractéristiques :

– Il appartient à une famille d’hijackers avec des fonctionnalités de PUP et de riskware.
– Un LPI est un Logiciel Potentiellement Indésirable
– Un PUP (Potentially Unwanted Programs) est un programme indésirable.
– Un riskware est un logiciel dont le code possède des failles d’écritures susceptibles d’être exploitées par des pirates.

Actions principales :

– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il s’installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),
– Il crée dans le Registre une clé Legacy pointant sur un service malware (O64),

Aperçu ZHPDiag :

—\\ Processus lancés
[MD5.9E97011C50DB3F6BC6A4B21BE5197A1E] – (…) — C:\Windows\KMService.exe [163840] [PID.2044]

—\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 – Service: KMService (KMService) . (…) – C:\WINDOWS\system32\srvany.exe
O23 – Service: KMService (KMService) . (…) – C:\Windows\SysWOW64\srvany.exe

—\\ Liste des services Legacy (LALS) (O64)
O64 – Services: CurCS – C:\WINDOWS\system32\srvany.exe – KMService (KMService) .(…) – LEGACY_KMSERVICE

—\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
SR – | Auto 8192 | (KMService) . (…) – C:\Windows\system32\srvany.exe

—\\ Scan Additionnel (O88 )
[HKLM\SYSTEM\CurrentControlSet\Services\KMService]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_KMSERVICE]
C:\Windows\KMService.exe

Alias :

RiskWare.Tool.CK [MBAM]
HKTL_KEYGEN [TrendMicro)
HackTool:Win32/Keygen [Microsoft]

Supprimer (Remove) :

Nettoyer avec ZHPCleaner

2015-07-08T21:22:35+00:00Catégories : Hijacker, PUP, Riskware|Mots-clés : , , |0 commentaire

Laisser un commentaire