ZHPCleaner et la nouvelle variante Salus.

Depuis quelques semaines une nouvelle variante de l’adware Salus est détectée par ZHPDiag. Salus appartient à une famille de Logiciel Potentiellement Indésirable (LPI) avec des fonctionnalités d’adware et de polluteware.

Caractéristiques Générales :
– Il appartient à une famille de PUP/LPI (Potentially Unwanted Programs).
– Développé par la société Adpeak, Inc.

Caractéristiques de la variante :
Une fois le programme Salus installé, une valeur de registre (RUN) aléatoire est crée pour que le système lance un processus aléatoire à chaque démarrage. Ce processus est placé généralement dans un dossier alétoire du dossier %ProgramFiles”.
Parallèlement il est crée un pilote nommé sur la base de la racine du processus, par exemple si le processus s’appelle “nmi1n2q4njyzymf.exe”, le pilote s’appelera “nmi1n2q4njyzymf.sys”

Actions principales :
– Il s’installe en tant que processus lancé au démarrage du système (RP),
– Il s’installe dans la Base de Registres afin d’être lancé à chaque démarrage du système (O4)
– Il installe des pilotes qui démarrent automatiquement avec le système (O41)
– Il s’installe en tant que programme (O42),
– Il crée des dossiers supplémentaires (O43),
– Il crée de multiples clés de Registre “Software”,
– Il installe un processus aléatoire de taille variable au niveau des dossiers système (O44),
– Il s’installe en tant que driver système (O58),
– Il crée dans le Registre une clé Legacy pointant sur un service malware (O64),
– Il pollue la base de Registres avec de nombreuses clés et valeurs (O88 ),
– Il crée de multiples fichiers et dossiers (O88 ),

Voilà ce que donne le rapport de ZHPDiag :
—\ Processus lancés
– (…) — C:Program Files (x86)Snmy1nwq1njizzgfnmi1n2q4njyzymf.exe

—\ Applications lancées au démarrage du système (O4)
O4 – HKLM..Run: . (…) — C:Program FilesSnmy1nwq1njizzgfnmi1n2q4njyzymf.exe

—\ Pilotes lancés au démarrage (O41)
O41 – Driver: (nmi1n2q4njyzymf) . (.NetFilterSDK.com – NetFilter SDK TDI Hook Driver (WPP).) – C:WindowsSystem32driversnmi1n2q4njyzymf.sys

—\ Logiciels installés (O42)
O42 – Logiciel: Salus – (.Salus.) — Salus

—\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 23/01/2015 – 05:54:04 – [] —-D C:Program FilesSnmy1nwq1njizzgf

—\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44)
O44 – LFC: – 22/01/2015 – 04:58:14 —A- . (.NetFilterSDK.com – NetFilter SDK TDI Hook Driver (WPP).) — C:WindowsSystem32Driversnmi1n2q4njyzymf.sys

—\ Liste des Drivers Système (SDL) (O58)
O58 – SDL:22/01/2015 – 04:58:14 —A- . (.NetFilterSDK.com – NetFilter SDK TDI Hook Driver (WPP).) — C:WindowsSystem32Driversnmi1n2q4njyzymf.sys

—\ Liste des services Legacy (O64)
O64 – Services: CurCS – 22/01/2015 – C:WindowsSystem32driversnmi1n2q4njyzymf.sys (nmi1n2q4njyzymf) .(.NetFilterSDK.com – NetFilter SDK TDI Hook Driver (WPP).) – LEGACY_NMI1N2Q4NJYZYMF

—\ Scan Additionnel (O88 )
:nmy1nwq1njizzgf

C:Program FilesSnmy1nwq1njizzgf
C:Program Files (x86)Snmy1nwq1njizzgfnmi1n2q4njyzymf.exe
C:WindowsSystem32Driversnmi1n2q4njyzymf.sys

Conclusion :
ZHPcleaner prend en charge la suppression de la variante de l’adware Salus :
– Il supprime la valeur de clé run,
– Il supprime le processus malware lancé au démarrage du système,
– Il supprime le dossier malware,
– Il supprime le pilote malware,
– Il demande généralement un redémarrage du système.

Voici un aperçu du rapport de suppression de ZHPCleaner :
~ ZHPCleaner v2015.1.23.33 by Nicolas Coolman (23/01/2015)
~ Run by Coolman (Administrator) (23/01/2015 15:34:33)
~ Windows 7, 64-bit Service Pack 1 (Build 7601)

—\ Explorateur ( Dossiers, Fichiers ). (3)
TROUVÉ fichier: C:Program Files (x86)Snmy1nwq1njizzgfnmi1n2q4njyzymf.exe […] (Heuristic.Salus)
TROUVÉ fichier: C:WindowsSystem32driversnmi1n2q4njyzymf.sys (Heuristic.Salus)
TROUVÉ dossier: C:Program Files (x86)Snmy1nwq1njizzgf (Heuristic.Salus)

—\ Base de Registres ( Clés, Valeurs, Données ). (1)
TROUVÉ valeur: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun\Snmy1nwq1njizzgf (Heuristic.Salus)

Logiciels concernés :
ZHPCleaner
ZHPDiag

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour haut de page