Duuqu est un programme qui s’installe généralement à votre insu via le téléchargement de logiciels gratuits

Caractéristiques :

– Il appartient à une famille de PUP Optionnels (Potentially Unwanted Program).
– Vendeur : PUP.Optional.

Actions principales :

– Il installe un plugin du navigateur Mozilla Firefox (P2),
– Il modifie les adresses IP du fichier Hosts.
– Il s’installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),
– Il démarre une tâche planifiée en automatique (O39),
– Il s’installe en tant que programme (O42),
– Il crée de multiples clés de Registre « Software »,
– Il crée des dossiers supplémentaires (O43),
– Il s’installe dans le dossier Windows prefetcher (O45),
– Il pollue la base de Registres avec de nombreuses clés et valeurs (O88 ),
– Il place un fichier de package MSI dans le dossier systeme Installer (O93)
– Il crée des clés de registre CLSID (O101)

Aperçu ZHPDiag :

—\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)
P2 – FPN: [HKLM] [@www.duuqu.com/omaha/tools//Duuqu Update;version=3] – (.Duuqu Group – Duuqu Update.) — C:\Program Files\Duuqu\Update\1.3.37.0\npDuuquUpdate3.dll

—\\ Redirection du fichier Hosts (O1)
O1 – Hosts: 127.0. 0.1 www.duuqu.com

—\\ Liste des services NT non Microsoft et non désactivés (O23)
O23 – Service: Duuqu Update Service (dqupdate) (dqupdate) . (.Duuqu Group – Duuqu Installer.) – C:\Program Files\Duuqu\Update\DuuquUpdate.exe

—\\ Tâches planifiées en automatique (O39)
O39 – APT:Automatic Planified Task – C:\Windows\Tasks\DuuquUpdateTaskMachineCore.job [878]
O39 – APT:Automatic Planified Task – C:\Windows\Tasks\DuuquUpdateTaskMachineUA.job [882]
[MD5.136E913B1D3771B3535C3622C36B5E38] [APT] [DuuquUpdateTaskMachineCore] (.Duuqu Group.) — C:\Program Files\Duuqu\Update\DuuquUpdate.exe [98360]
[MD5.136E913B1D3771B3535C3622C36B5E38] [APT] [DuuquUpdateTaskMachineUA] (.Duuqu Group.) — C:\Program Files\Duuqu\Update\DuuquUpdate.exe [98360]

—\\ Logiciels installés (O42)
O42 – Logiciel: Duuqu Update Helper – (.Duuqu Group.) [HKLM] — {A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

—\\ HKCU & HKLM Software Keys
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}]
[HKLM\Software\Wow6432Node\Duuqu]
[HKCU\Software\Duuqu]
[HKLM\Software\Duuqu]
[HKLM\Software\VBMZ]

—\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 26/11/2013 – 13:45:16 – [2,156] —-D C:\Program Files\Duuqu
O43 – CFD: 26/11/2013 – 13:45:16 – [0] —-D C:\Users\Coolman\AppData\Local\Duuqu

—\\ Derniers fichiers créés par Windows Prefetcher (O45)
O45 – LFCP:[MD5.2DE360104A2DE0C69115753A5CD9BB85] – 27/11/2013 – 13:50:01 —A- – C:\Windows\Prefetch\DUUQUCRASHHANDLER.EXE-6DB52CCB.pf
O45 – LFCP:[MD5.6D0BD6C70002299A027FF597C25FBA52] – 06/12/2013 – 21:52:00 —A- – C:\Windows\Prefetch\DUUQUUPDATE.EXE-AAA01EF3.pf

—\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)
SS – | Auto 26/11/2013 98360 | (dqupdate) . (.Duuqu Group.) – C:\Program Files\Duuqu\Update\DuuquUpdate.exe
SS – | Demand 26/11/2013 98360 | (dqupdatem) . (.Duuqu Group.) – C:\Program Files\Duuqu\Update\DuuquUpdate.exe

—\\ Windows Installer Scan (NTFS)(O93)
[MD5.6C550D2274DA0250A2CF19C36D87D29C] [WIS][19/08/2013] (.Duuqu Group – Duuqu Update Helper.) — C:\Windows\Installer\4944c9.msi [22016]

—\\ Scan Additionnel (O88 )
[HKLM\SYSTEM\CurrentControlSet\Services\dqupdate]
[HKLM\Software\Wow6432Node\Duuqu]
[HKCU\Software\Duuqu]
[HKLM\Software\Duuqu]
[HKLM\Software\VBMZ]
C:\Program Files (x86)\Duuqu
C:\Program Files\Duuqu
C:\Program Files\Duuqu\Update\DuuquUpdate.exe
C:\Users\Coolman\AppData\Local\Duuqu
C:\Windows\Tasks\DuuquUpdateTaskMachineCore.job
C:\Windows\Tasks\DuuquUpdateTaskMachineUA.job
C:\Windows\Installer\4944c9.msi

—\\ Recherche de clés de registre CLSID (O101)
[HKCR\CLSID\{024BA55C-DA05-4FA5-AD24-5EA6D3C7C153}] (DuuquUpdate Update3Web)
[HKCR\CLSID\{486E4A9A-50F4-4DA4-9F50-363FC9F72939}] (Duuqu Update Core Class)
[HKCR\CLSID\{7D79AC47-48F6-40F8-BA34-17677EAEA37C}] (Duuqu.OneClickProcessLauncher)
[HKCR\CLSID\{9EBB6A38-FB41-458F-AC93-B5B4AEEE2C41}] (Duuqu Update Broker Class Factory)
[HKCR\CLSID\{B03E3833-2BAE-439D-A3E6-1AC654BECEDB}] (DuuquUpdate Update3Web)
[HKCR\CLSID\{B6E89C52-A6C8-4839-A5D1-28A7A5EA46D9}] (Duuqu Update Core Class)
[HKCR\CLSID\{B8669E7E-2C40-42DC-8BA0-314D860F5200}] (Duuqu Update Legacy On Demand)
[HKCR\CLSID\{D4B7651E-076D-4BB2-A021-26F6E7A59A48}] (DuuquUpdate CredentialDialog)
[HKCR\CLSID\{D7BEC320-B746-4A47-B289-509214980E2B}] (Duuqu Update Legacy On Demand)
[HKCR\CLSID\{E555444B-4EA6-4B30-A314-49C2D1BE413D}] (Duuqu Update Process Launcher Class)
[HKCR\CLSID\{EF0AC81C-F34C-4B2E-B85D-91E4DB1E3E9D}] (Duuqu Update Broker Class Factory)

Liens :

www.commentsupprimervirus.com

 

Alias :

PUP.FrameFox
Toolbar.DeltaSearch
Downloader.Duuqu

 

Supprimer (Remove) :

– Supprimer l’extension « Duuqu » de tous les navigateurs installés,
– Supprimer le plugin « Duuqu Update » de tous les navigateurs installés,
– Supprimer le logiciel « Duuqu Update Helper » via le panneau de configuration Windows,
Nettoyer avec ZHPCleaner