Hijacker.SoftQuick

ZHPDiag R5 – ProxyOverride en mode Loopback

Jusqu’à présent les attaques proxy se limitaient à modifier les paramètres ProxyServer ,ProxyEnable et MigrateProxy. Ce qui avait pour conséquence de bloquer internet à tous les navigateurs.
Toutefois, l’accès au gestionnaire des tâches permettait de stopper le navigateur.
Un scan ZHPDiag nous montrait l’action opérée sur les paramètres Proxy.

Aperçu ZHPDiag :

—\\ Internet Explorer, Proxy Management (R5)
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8877;https=127.0.0.1:8877
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 1
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1

Ensuite un script ZHPFix avec ces 3 lignes remettait tout en ordre.

Rapport de ZHPFix 2013.10.13.10 par Nicolas Coolman, Update du 13/10/2013
========== Eléments de donnée du Registre ==========
SUPPRIMÉ: R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer
SUPPRIMÉ: R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable
SUPPRIMÉ: R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy

Mais vous pouvez être victime d’une attaque proxy beaucoup plus virulante avec le blocage complet de votre station.
L’UC tourne en boucle avec impossibilité d’accéder au gestionnaire des tâches.
En fait le détournement Proxy s’accompagne d’une action complémentaire du bouclage ProxyOverride (loopback) qui se substitue au bouclage sur l’adresse locale (localhost)

Aperçu ZHPDiag :

—\\ Internet Explorer, Proxy Management (R5)
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <-loopback>
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8877;https=127.0.0.1:8877
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 1
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy = 1

La seule façon de s’en sortir, c’est l’arrêt manuel de la station peut mettre fin au bouclage qui monopolise toutes les ressources CPU.

Au redémarrage, il faut exécuter un script ZHPFix sur les 4 lignes R5.

Rapport de ZHPFix 2013.10.13.10 par Nicolas Coolman, Update du 13/10/2013
========== Eléments de donnée du Registre ==========
SUPPRIMÉ: R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride
SUPPRIMÉ: R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer
SUPPRIMÉ: R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable
SUPPRIMÉ: R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy

 

 

(C) Copyrights 2014 – Nicolas Coolman – All rights reserved