KillSpy - Attention
      KillSpy
KillSpy En français Logiciel "crapware" inutile ou piégé ou trompeur ou frauduleux ou crapuleux
Ne pas télécharger - Ne pas utiliser - Ne pas acheter - Ne pas tester
Fraude ou tromperie ou crapulerie ou piège

KillSpy En français  Software “crapware” useless or trapped or misleading or fraudulent or villainous
Do not download - Do not use - Do not buy - Do not try
Fraud or racket or villainy or trap
 KillSpy

            Nom
   KillSpy 
Groupe   Nous-Tech Solutions Ltd. 
Classe   Anti-spywares; Anti-adwares (Classe des anti-trojans) 
Autres noms Un même produit vendu ou offert sous plusieurs noms est suspect, qu'il le soit par des sites appartenant à l'éditeur lui-même Nous-Tech Solutions Ltd. ou par des affiliés à lui. Il s'agit d'une forme de cybersquatting ("occuper le terrain" - "ratisser large"). Il s'agit aussi de brouiller les pistes et d'empêcher ou retarder la traçabilité d'un produit. Un produit propre et efficace capitalise sur son nom et ne se cache pas.

Ces produits sont les mêmes :
Ultimate Defender
UDefender
1stAntiVirus
KillSpy
SpyDeface
 
Observations  
KillSpy de la société Nous-Tech Solutions Ltd.


Sa présence peut être découverte par l'existance d'un ou de plusieurs des fichiers suivants :
UDefender_Installer[1].exe
udefender_installer[1].exe
%appdata%\58256af6.exe
%local_settings%\temp\tinst3.exe
%program_files%\ultimate defender\app.exe
%program_files%\ultimate defender\iesafe.exe
installer.exe
ucleaner_45aTq2V13X[1].exe
udefender_45aTq2V13X[1].exe
udefender_installer.exe

Selon Symantec, et selon le nom sous lequel ce parasite s'est installé, vous devriez trouver :
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Start 1stAntiVirus.lnk
C:\Documents and Settings\Administrator\Desktop\1stAntiVirus.lnk
C:\Documents and Settings\Administrator\Desktop\1stAntiVirus.pkg
C:\Documents and Settings\Administrator\Start Menu\Programs\1stAntiVirus\Register 1stAntiVirus.lnk
C:\Documents and Settings\Administrator\Start Menu\Programs\1stAntiVirus\Start 1stAntiVirus.lnk
C:\Documents and Settings\Administrator\Start Menu\Programs\1stAntiVirus\Uninstall 1stAntiVirus.lnk

%ProgramFiles%\1stAntiVirus\App.exe
%ProgramFiles%\1stAntiVirus\drv\securedisk.dcc
%ProgramFiles%\1stAntiVirus\drv\xpdriver.sys
%ProgramFiles%\1stAntiVirus\extensions.pkg
%ProgramFiles%\1stAntiVirus\program.info
%ProgramFiles%\1stAntiVirus\Uninstall.exe
%ProgramFiles%\1stAntiVirus\Update.exe
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Start KillSpy.net.lnk
%UserProfile%\Desktop\KillSpy.net.lnk
%UserProfile%\Desktop\KillSpy.net.pkg
%Userrofile%\Start Menu\Programs\KillSpy.net\Register KillSpy.net.lnk
%UserProfile%\Start Menu\Programs\KillSpy.net\Start KillSpy.net.lnk
%UserProfile%\Start Menu\Programs\KillSpy.net\Uninstall KillSpy.net.lnk
%ProgramFiles%\KillSpy.net\App.exe
%ProgramFiles%\KillSpy.net\drv\securedisk.dcc
%ProgramFiles%\KillSpy.net\drv\xpdriver.sys
%ProgramFiles%\KillSpy.net\extensions.pkg
%ProgramFiles%\KillSpy.net\logs\1144058126.log
%ProgramFiles%\KillSpy.net\program.info
%ProgramFiles%\KillSpy.net\Uninstall.exe
%ProgramFiles%\KillSpy.net\Update.exe
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\Start SpyDeface.lnk
C:\Documents and Settings\Administrator\Desktop\SpyDeface.lnk
C:\Documents and Settings\Administrator\Desktop\SpyDeface.pkg
C:\Documents and Settings\Administrator\Start Menu\Programs\SpyDeface\Register SpyDeface.lnk
C:\Documents and Settings\Administrator\Start Menu\Programs\SpyDeface\Start SpyDeface.lnk
C:\Documents and Settings\Administrator\Start Menu\Programs\SpyDeface\Uninstall SpyDeface.lnk
C:\Program Files\SpyDeface\App.exe C:\Program Files\SpyDeface\drv\securedisk.dcc
C:\Program Files\SpyDeface\drv\xpdriver.sys
C:\Program Files\SpyDeface\extensions.pkg
C:\Program Files\SpyDeface\logs\1144150040.log
C:\Program Files\SpyDeface\logs\1144150054.log
C:\Program Files\SpyDeface\program.info
C:\Program Files\SpyDeface\Uninstall.exe
C:\Program Files\SpyDeface\Update.exe


Ou par l'existence de l'une ou plusieurs des clés suivantes dans la base de registre :
hklm\software\Microsoft\Windows\CurrentVersion\Uninstall\1stAntiVirus
hkcu\software\XXI\1stAntiVirus
hklm\software\Microsoft\Windows\CurrentVersion\Uninstall\KillSpy.net
hkcu\software\XXI\KillSpy.net
hklm\software\Microsoft\Windows\CurrentVersion\Uninstall\SpyDeface
HKEY_USERS\S-1-5-21-220523388-1844823847-682003330-500\Software\XXI\SpyDeface
HKEY_USERS\S-1-5-21-220523388-1844823847-682003330-500\Software\XXI\SpyDeface.com

Une Analyse HijackThis donnera une ligne de type/
O4 - HKCU\..\Run: [Ultimate Defender.install] "C:\Documents and Settings\Utilisateur\Local Settings\Temporary Internet Files\Content.IE5\U5ELMHSF\UDefender_Installer[1].exe"

Le téléchargement n'est pas celui du logiciel lui-même (Ultimate Defender...) mais d'un Downloader (UDefender_Installer.exe ...) lui-même suspect :

Analyse avec VirusTotal (28 antivirus) :



 
RogueRemover Pro
SmitFraudFix		   Ce logiciel crapuleux est éradiqué automatiquement par l'outil spécialisé dans cette chasse : RogueRemover Pro que nous vous recommandons (11,84 € pour une licence à vie) de RubberDucky alias Marcin Kleczynski sur MalwareBytes (et également auteur de AboutBuster, E2TakeOut, FileASSASSIN, Qoofix et RegASSASSIN). Vous pouvez télécharger une version d'essai.

Protégez-vous avec nos kits de sécurité.
Tromperie Ce produit est trompeur. Il prétend découvrir quelque chose là où il n'y a rien à découvrir afin de vous inquiéter et vous conduire vers un acte d'achat d'un produit dont il fait la promotion ! (Ne pas confondre les "résultats trompeurs d'une démonstration" qui sont de pseudos résultats forgés (fabriqués), d'avec les "faux positifs" qui sont des résultats erronés provenant d'une analyse réelle (mauvais programme et / ou mauvaise base de signatures, par exemple).
 
Agression / Peur    
Faux (positifs / négatifs) Ce produit "donne" des résultats d'analyse faibles à ridicules ! L'outil peut produire des :
  • faux négatifs - des parasites implantés ne sont pas détectés alors qu'ils ne présentent pas de difficultés particulières aux utilitaires majeurs de même nature.
  • faux positifs - des parasites n'existant pas sont détectés, soit par crapulerie, soit par inadéquation entre la base de signatures (parfois volée) et le moteur d'analyse (parfois volé également).
Ne pas confondre les "résultats trompeurs d'une démonstration" qui sont de pseudos résultats forgés - fabriqués, d'avec les "faux positifs" qui sont des résultats erronés provenant d'une analyse réelle par un mauvais utilitaire (mauvais programme et / ou mauvaise base de données.
 
Usurpation / Hijacking    
Installation silencieuse Ce produit s'installe silencieusement, à votre insu. Utilise des failles de sécurité ou des scripts ou des contrôles ActiveX etc. ... Pratique appelée globalement "Drive by download".
 
CyberSquatting    
Piratage logiciel    
Piratage BdD  

Trojan Ce logiciel est utilisé en Cheval de Troie pour faire pénétrer à votre insu des parasites dans votre machine.
Témoignages  

Conditions
Vie Privée
Privacy
   http://www.udefender.com/privacy_policy.php 
Conditions
Clauses Générales du site
Terms
 Aucune clause (ou pas trouvée) 
Conditions
Agrément de licence
Eula (End User Licence Agrement)
   Aucune clause (ou pas trouvée) 
Version d'essai
Trial
    
Rédemption  
 
Mettre en liste noire   Les domaines (sites) et machines suivants peuvent être bloqués.

Utilisez Hosts pour bloquer les domaines suivants.
udefender.com
topshareware.com
shareup.com
programurl.com
cleansofts.com
download3k.com
sharewareplaza.com
softplatz.com
newfreedownloads.com
download-by.net
getfreesofts.com
newfreedownloads.com
download-by.net
getfreesofts.com
sharewareconnection.com
vicman.net
softpedia.com
myzips.com
surfpack.com
softjamboree.com
filehungry.com
redsofts.com
qarchive.org
yankeedownload.com
tucows.com
programsdb.com
9-2-1-0.category.butterflydownload.com
category.butterflydownload.com
butterflydownload.com
downloadsofts.com
freedownloadmanager.org
download3000.com
soft32.com
daolnwod.net
3d2f.com
soft32download.com
defender.qarchive.org
astalavista.cc
dnka.com
softhypermarket.co
utilities.softlandmark.com
softlandmark.com
securitysoftwarezone.com
defend.qarchive.org
bestsoftware4download.com
spydeface.com
teslaplus.com


Utilisez votre pare-feu pour bloquer les machines suivantes (adresses IPs).
Analyse du code   Analyse pas encore effectuée (ou absence du code dans ma collection - pourriez-vous m'indiquer un lien de téléchargement de ce code)
     
Données pour chercheurs
    
Url du téléchargement    
MD5    
SHA1    
Programme d'affiliation    
Registrant    
Registrar    
     
Précautions d'usage  

Prenez l'habitude d'analyser tous vos téléchargements avant de les utiliser !
Analyse gratuite en ligne d'un fichier avec "VirusTotal" (32 antivirus et anti-trojans)
Analyse gratuite en ligne de votre machine par Trend Micro HouseCall
Scans de ports en ligne
Scans de failles en ligne
 
Lancer un désinstalleur avant d'installer un programme (téléchargé ou non ) !
Total Uninstall
Ashampoo UnInstaller Suite
     
En savoir plus  
La Crapthèque - Logiciels de sécurité crapuleux ou nuls à ne jamais utiliser
La liste des logiciels crapuleux de Eric L. Howes sur SpywareWarrior

Bloquer les domaines (sites) crapuleux avec Hosts

La logithèque
L'alternathèque

Les antivirus
Les anti-trojans/anti-spywares
Les pare-feux

Réactions à avoir face à la découverte d'un parasite
Google   Google KillSpy
Google killspy
Google Nous-Tech Solutions Ltd.
Google KillSpy Nous-Tech Solutions Ltd.
A l'aide !   KillSpy En français Forum
KillSpy En français Forum HijackThis Analyse de logs (type HijackThis...)
Décontamination   Protocole d'auto-décontamination simple suivi d'une demande de vérification
Protocole d'auto-décontamination étendu - "La Manip"
Installez un Kit de sécurité
     
Précisions / Informations  
Merci de me signaler les erreurs et omissions.

En français Contact informatif à propos de cette fiche:
Afin de fournir une information correcte, précise et à jour, j'encourage l'éditeur de ce produit ou service à me contacter si la moindre partie de cette fiche est à réviser.

En anglais Contact information about this card:
In order to provide correct, accurate and up to date information, I encourage the editor of this product or service to contact me if any part of this card is to be revised.



Information sur le document original :
© Pierre Pinard et Assiste.com - 1999 • 2007. Ce document, intitulé « », dont l'url est « », est extrait de l'encyclopédie de la sécurité informatique «http://assiste.com». Il est mis à votre disposition selon les termes de licence «Creative Commons» qui s'imposent à vous. Vous avez le droit de copier et modifier la copie de cette page dans les conditions fixées par cette licence et tant que cette note est reproduite intégralement et apparaît clairement dans la copie ou la copie modifiée. Lire les conditions de la licence.


Vie et maintenance du site
Vous avez trouvé de l'aide ? Ces pages vous ont été utiles ? Soutenez le site par une donation.
     
Donation avec PayPal Donation par chèque Donation par lettre Autres donations

 Google   Yahoo!   Ask Jeeves   AllTheWeb   Msn   Lycos   Technorati   Feedster   Bloglines   Altavista   Voila

 Rechercher " "
 Google   Yahoo!   Ask Jeeves   AllTheWeb   Msn   Lycos   Technorati   Feedster   Bloglines   Altavista   Voila
 Google   Yahoo!   Ask Jeeves   AllTheWeb   Msn   Lycos   Technorati   Feedster   Bloglines   Altavista   Voila
Historique des révisions
Proposer une mise à jour du site, une révision, une correction, un complément sur cette page

Dernière modification le samedi 2 juin 2007
 
   
Rédigé en écoutant :
Music