[Résolu] Yoog search

Fill · Message par **Fill** » 08 déc. 2008, 18:15

Bonjour,

J'ignore s'il s'agit d'une vulnérabilité exploitée, mais ce moteur de recherche semble s'incruster dans firefox, et par ricochet, semble également avoir des répercussions sur IE.

Je traîte un cas résistant ici : http://forum.pcastuces.com/sujet.asp?f=25&s=44819

Le moteur Yoog se relance à chaque fois.
L'analyse réalisée montre ceci :

< FireFox Settings [Default Profile] > -> C:\Documents and Settings\José.BANJO83\Application Data\Mozilla\FireFox\Profiles\ua3dij2r.default\prefs.js ->
browser.search.defaultenginename -> "Web Search" ->
browser.search.defaulturl -> "http://search.conduit.com/ResultsExt.as ... ource=3&q=" ->
browser.search.selectedEngine -> "Yoog Search" ->
browser.startup.homepage -> "http://google.fr" ->
browser.startup.homepage_override.mstone -> "rv:1.9.0.4" ->
extensions.enabledItems -> fr-FR@dictionaries.addons.mozilla.org:2.0 ->
extensions.enabledItems -> {ecdee021-0d17-467f-a1ff-c7a115230949}:1.5.43.0 ->
extensions.enabledItems -> {3112ca9c-de6d-4884-a869-9855de68056c}:3.1.20081127W ->
extensions.enabledItems -> {7378B8C2-FC38-41b8-A8C9-875D1F5B0A24}:5.0.1.2 ->
extensions.enabledItems -> {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07 ->
extensions.enabledItems -> {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03 ->
extensions.enabledItems -> {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}:6.0.05 ->
extensions.enabledItems -> {27A2FD41-CB23-4518-AB5C-C25BAFFDE531}:1.4.1 ->
extensions.enabledItems -> turntoolviewer@turntool.com:2.9.5.5 ->
extensions.enabledItems -> {e968fc70-8f95-4ab9-9e79-304de2a71ee1}:0.6.11 ->
extensions.enabledItems -> {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.0.4 ->

Une recherche dans le registre indique cela :

[HKEY_USERS\S-1-5-21-935544689-1573830449-3832639294-1007\Software\Microsoft\Internet Explorer\SearchScopes\{F13C40B2-9670-4D92-8507-5D45CABDCCD6}]
"URL"="http://www3.yoog.com/search.php?q={searchTerms}"

[HKEY_USERS\S-1-5-21-935544689-1573830449-3832639294-1007\Software\Microsoft\Internet Explorer\SearchScopes\{F13C40B2-9670-4D92-8507-5D45CABDCCD6}]
"DisplayName"="Yoog Search"

J'aimerais connaître votre avis afin de savoir s'il y a une solution. Les cas semblent se multiplier sur différents forum, sans solution apparemment.

La suppression de firefox et du profile, suivies d'une ré-installation ne semblent pas non plus apporter la solution attendue.

Merci.

Fill

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

asap29 · Message par **asap29** » 08 déc. 2008, 18:27

Salut
peut etre une piste ici
http://www.commentcamarche.net/forum/af ... oog-search

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

Fill · Message par **Fill** » 08 déc. 2008, 18:33

Bonjour,

Et merci pour la réponse. Les posts 8 et 9 montrent toutefois que l'outil n'a pas été efficace. Même problème qui perdure sur le forum zebulon après passage de cet outil.

L'infection semble se greffer dans les extensions et plugins.

Fill

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

Message par **jpj** » 08 déc. 2008, 18:40

Bonjour,

Question déjà posée mais sans réponse. Qu'as-tu fais ou surtout installé juste avant l'apparition de cette ... ? Et à partir de quel site ?

Fill · Message par **Fill** » 08 déc. 2008, 18:49

Bonjour,

Ce n'est pas moi qui suis touché par cela. Je porte assistance sur le forum pca à quelqu'un qui est touché par cela.

Je vais lui demander ces précisions.

Fill

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

Message par **jpj** » 08 déc. 2008, 19:13

Ah, oui ! Pardon, je n'avais pas regardé attentivement ton fil sur PCAstuces.

Et ben, si les "helpers décontamination" viennent chercher de l'aide sur Geckozone, on est mal barré.

Je suppose que vous avez déjà vérifié que ce n'est pas un service planqué "pseudo-rootkit".

Peut-être une piste pour l'origine de cette saleté : http://extensions.geckozone.org/Conduit mais cela ne donne ni la barre coupable, ni le site de téléchargement. La seule chose qui soit certaine, c'est qu'il y a un programme ou un service derrière qui réinstalle ce truc. Sinon, les procédures normales de désinstallation d'une barre suffiraient.

Jim · Message par **Jim** » 08 déc. 2008, 19:32

Bonjour,

Peut-âtre s'agit il du nouveau truc se propageant spécialement via Firefox?
Voir ICI et ICI

Tenez nous au courant du déroulement de l'affaire...

Nous de notre coté on continuera à conseiller Linux

Fill · Message par **Fill** » 08 déc. 2008, 19:54

Re,

@jpj : Oui, côté infection, on a passé au peigne fin. Mais en effet, quelque chose de bien caché relance Yoog.

@Jim : Oui, ça semble concerner firefox, exploitant (peut-être ?) une faille. On n'en sait pas beaucoup plus.
Les liens que tu donnes, je les avais déjà lus. Ca donne peut-être des idées nouvelles à des pirates et un angle d'attaque différent des infections habituelles. Firefox, victime de son succès mérité, est plus visé.

Je vous tiens au courant pour la suite, mais j'ai appris que Saclès intervenait déjà dans un sujet analogue ici. Il est peut-être inutile de disperser les recherches.

Merci.

Fill

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

Fill · Message par **Fill** » 12 déc. 2008, 08:48

Bonjour,

Les 2 cas ont été réglés (sur Zeb' et pour moi sur pca).
Dans le sujet que j'ai traîté, l'infection modifiait ceci :

1/

FireFox Settings [Default Profile] > -> C:\Documents and Settings\utilisateur\Application Data\Mozilla\FireFox\Profiles\xxx.default\prefs.js
browser.search.defaultenginename -> "Web Search"
browser.search.selectedEngine -> "Yoog Search"

2/

[HKEY_USERS\S-1-5-21-935544689-1573830449-3832639294-1007\Software\Microsoft\Internet Explorer\SearchScopes\{F13C40B2-9670-4D92-8507-5D45CABDCCD6}]
"URL"="http://www3.yoog.com/search.php?q={searchTerms}"

[HKEY_USERS\S-1-5-21-935544689-1573830449-3832639294-1007\Software\Microsoft\Internet Explorer\SearchScopes\{F13C40B2-9670-4D92-8507-5D45CABDCCD6}]
"DisplayName"="Yoog Search"

3/

C:\Program Files\Mozilla Firefox\components\nsadzgalore.dll
%SystemRoot%\System32\cont_adzgalore-remove.exe

4/ Ajout probable du moteur Yoog dans ce dossier, mais je n'ai pas pu le vérifier, la suppression ayant pu se faire sans problème via l'interface de firefox après la suppression des éléments précédents :

C:\Program files\Mozilla Firefox\searchplugins

5/ Il faut aussi surveiller ce dossier et vérifier si des plugins non légitimes ne sont pas rajoutés :

C:\Program files\Mozilla Firefox\plugins

Bonne journée !

Fill

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

Message par **jpj** » 12 déc. 2008, 11:20

Bravo. Quel combat !

Et on ne sait toujours pas comment arrive cette m... Je n'ai pas regardé en détail mais j'ai vu du P2P sur Zebulon et du keygen et du crack chez toi. Et ensuite, on s'étonne...

Apparemment, mais, encore une fois, je n'ai pas tout lu, ta désinfection a été moins destructrice pour Firefox que sur Zebulon. Espérons que vous trouviez plus d'informations sur ce nuisible et que vous puissiez mettre au point une procédure de désinfection.

As-tu pu voir si les clés de la BDR servaient pour Firefox ou si IE était aussi contaminé ? D'après ta citation, elles ne seraient que pour IE ("\Software\Microsoft\Internet Explorer\").

En tout cas, merci du retour.

On t'enverra du monde.

Fill · Message par **Fill** » 12 déc. 2008, 12:16

Salut,

Pour l'origine de l'infection, on ne sait pas très bien. Sûr que p2p et cracks ne doivent pas améliorer les choses

Apparemment, mais, encore une fois, je n'ai pas tout lu, ta désinfection a été moins destructrice pour Firefox que sur Zebulon.

Je n'ai en effet pas eu à supprimer firefox pour réinstaller. Je pense que la dll relançait à chaque fois l'infection, dès le redémarrage de firefox.
Néanmoins, la méthode employée sur zeb' est à retenir au cas où l'autre ne fonctionnerait pas.

As-tu pu voir si les clés de la BDR servaient pour Firefox ou si IE était aussi contaminé ? D'après ta citation, elles ne seraient que pour IE ("\Software\Microsoft\Internet Explorer\").

A priori, l'infection touche firefox, mais cela a des répercutions sur IE (habituellement, c'est le contraire

...).

Par contre, quand on nettoie le profil et les éléments infectieux de firefox, l'infection ne touche plus IE. D'ailleurs, le nettoyage des clés n'a pas fonctionné car elles n'existaient déjà plus :
D'après ce lien : http://forum.pcastuces.com/sujet.asp?pa ... ID=3096968

Failed: RegDelFromValue HKUS\S-1-5-21-935544689-1573830449-3832639294-1007\Software\Microsoft\Internet Explorer\SearchScopes\{F13C40B2-9670-4D92-8507-5D45CABDCCD6}|URL|http://www3.yoog.com/search.php?q={searchTerms} (key not found)
Failed: RegDelFromValue HKUS\S-1-5-21-935544689-1573830449-3832639294-1007\Software\Microsoft\Internet Explorer\SearchScopes\{F13C40B2-9670-4D92-8507-5D45CABDCCD6}|DisplayName|Yoog Search (key not found)

Bonne journée !

Fill

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

[Résolu] Yoog search

[Résolu] Yoog search

Qui est en ligne ?