LOP - lop.com - C2 Media
Pierre Pinard© (30.03.04)
Généralités
- Nom
lop.com
- Autres noms
lop [and@doxdesk.com]
C2 Media [Spybot Search and Destroy] s'appuyant, pour la nommer, sur C2 Media, l'auteur de toute cette série de malveillances
LopAdvert [McAfee]
MP3Search [McAfee]
MpAdvert [McAfee]
TrojanClicker.Win32.Rotarran (variante Lop.Com.WinactiveJ)
TrojanDownloader.Win32.Small.bp
Troj/Tubmo [Antivirus Sophos] pour des raisons inconnues
- Description Résumée
Famille de hijackers (programmes malveillants) qui détournent votre page de démarrage d'Internet Explorer pour vous faire démarrer vers le site lop.com ("Live Online Portal") ou vers l'un de leurs innombrables clones. En voici quelques-uns de connus:
- aavc.com
- acjp.com
- ebch.com
- ebdv.com
- ebdw.com
- ebjp.com
- ebkn.com
- ebky.com
- eblv.com
- ebmu.com
- ebvr.com
- ecmh.com
- ecpm.com
- ecwz.com
- ecyb.com
- eduy.com
- eeev.com
- ibmx.com
- icwb.com
- icwo.com
- icwp.com
- iddh.com
- idhh.com
- ifiz.com
- iguu.com
- samz.com
- saoe.com
- sbjr.com
- sbnl.com
- sbnt.com
- sbvr.com
- scbm.com
- sckr.com
- scrk.com
- sdry.com
- seld.com
- sfux.com
- sipo.com
- smds.com
- srib.com
- srox.com
- srsf.com
- ssaw.com
- ssby.com
- surj.com
- tbvg.com
- tdak.com
- tdko.com
- tdmy.com
- tefs.com
- tfil.com
- thko.com
- tjar.com
- tjaw.com
- tjdo.com
- tjem.com
- tjgo.com
- torc.com
- wabq.com
- wabu.com
- wbkb.com
- wfix.com
- wflu.com
En outre sbee.com et scmb.com, qui ne sont plus des clones de lop.com l'ont été par le passé.
Une tâche est exécutée à chaque démarrage qui force votre page de démarrage et votre page de recherches vers les sites et outils de lop.com chaque fois que vous tentez de les restaurer.
- Variantes
- lop/Trinity : une vieille variante qui ajoute seulement des raccourcis et hijack votre page de démarrage.
- lop/Dialer : un dialer pornographique
- lop/Toolbar : une barre d'outils et ses liens publicitaires qui s'ajoute à Internet Explorer.
- lop/Rnd : une version de lop/Toolbar qui emploie des identificateurs (CSLID) et des noms de fichiers complètement aléatoires, la rendant difficile à détecter.
- lop/AYB: un protocole d'URL employé par les mini-navigateurs MP3Search et similaires, lancé à chaque démarrage. Vient rarement seule - habituellement avec lop/Toolbar ou lop/Rnd.
- lop/Loader : un processus d'installation qui ouvre une petite fenêtre de progression au milieu de l'écran, charge et exécute lop/AYB et lop/Toolbar ou lop/Rnd.
- lop/IMZ : un processus d'installation type lop/Loader pour lop/Rnd et FavoriteMan/IMZ.
- lop/Active : une mise à jour de lop/Rnd qui surveille les Mots-clés des pages visitées et place des boutons publicitaires, adaptés à la volée, dans la barre. Ouvre également une fenêtre flottante sur le bureau au démarrage. Peut aussi hijacker la page de démarrage vers active-max.com, mysearchnow.com, searchwebnow.com ou find-quick.com aussi bien que vers l'un de leurs "domaines traditionnels" de quatre lettres listés ci-dessus.
Ce qu'il fait
| Publicité |
Violation de la vie privée |
Introduit une faille de sécurité |
Introduit une instabilité du système |
Oui
|
Non
|
Oui
|
Oui
|
- Publicité :
Oui. Quelques icônes de raccourci sont ajoutées sur le bureau. Des centaines de liens sont ajoutés dans les favoris, généralement vers des sites pornographiques. D'autres sont dans une barre d'outils non sollicitée, appelée "Accessories", ajoutée à Internet Explorer. Le processus exécuté au démarrage affiche occasionellement des pop-ups publicitaires sans qu'il y ai connexion au Net, les ressources ayant été stockées sur vos disques depuis l'adserver qui le pilote, lors d'une précédente connexion.
- Violation de la vie privée :
Non
- Introduit une faille de sécurité :
Oui. Certaines variantes comportent des dispositifs de mise à jour, de téléchargement et d'exécution de code arbitraire inconnu et sans votre consentement, depuis le serveur qui contrôle la malveillance.
- Introduit une instabilité du système :
Oui. Exécuter le logiciel hors connexion peut provoquer beaucoup de demandes de connexion. Windows semble "suspendu" durant quelques minutes chaque fois que cela arrive.
Editeur
C2 Media
Autres produits du même éditeur
Lop.com, Lop.com.WinActive, Lop.com.WinActiveJ, Lop.com/Active, Lop.com/AYB, Lop.com/Dialer, Lop.com/IMZ, Lop.com/Loader, Lop.com/RND, Lop.com/Toolbar, Lop.com/Trinity
Les noms de fichiers suivants sont donnés afin de faciliter les recherches:
1111.exe, 2443.exe, 2dimensionofexploits.asm, 2dimensionofexploitsenc.hta, 2dimensionofexploitsenc.php, adult entertainment.url, adult.lnk, adult.lnk, agreement-.htm, aswwxs.reg, aybgwarn.htm, aybgwarn.htm, aybwarn.htm, aybwarn.htm, backup.reg, brdrsstl.exe, ckcoofrunea.exe, ckouvcrcgcea.dll, cyd1.exe, desktop.htm, desktop.swf, dkbrtfvz.dll, download_plugin.exe, download_plugin.exe, eshglkfvcr.dll, eshglkfvcr.dll, eshglkfvcr.dll, etu1.exe, exploit1.htm, fblfssstoozl.exe, freemp3z.exe, frlyjeebtrn.dll, frlyjeebtru.dll, frymqbrproa.dll, gambling and online casinos.lnk, gambling and online casinos.lnk, gchmfrea.exe, glckqksdr.dll, glzchtb.lib, hchdrllmsta.dll, header (1).htm, header (2).htm, header (3).htm, header.htm, hpt1.exe, install.htm, install.txt, installation report download_plugin.htm, keyhost.exe, khzc256.tmp, ktbxbllyth.dll, links.txt, llssalycshh.dll, lop notes.txt, lrgluoot.exe, mp3 music search.lnk, mp3 music search.lnk, mp3.exe, mp3.exe, mp3serch.exe, mp3_plugin.exe, mp3_plugin.exe, news and sports.lnk, news and sports.lnk, online movies.lnk, online movies.lnk, onlinecontent.lnk, plg_ie0.dll, prnshgrdssb.dll, rgg1.exe, rxesttrssck.dll, sfx71e4.tmp, sfxbe.tmp, shxshoalldtrl.exe, software_plugin.exe, srytuikb.exe, ssaxstxoaieoagrh.reg, tchstlmmdrm.htm, the_ultimate_browser_enhancer.exe, toolbar_uninstall.exe, trojandownloader.win32.small.bp.exe, trstbfkl.exe, twunk001.mtx, ujstfrprssck.dll, ulyfchcrcrdcr.htm, uninstall.exe, vlluafrq.exe, wa_inst.exe, wshbrybr.exe, x.exe, xlj1.exe, ystck32.exe, yxogltoo.exe, zvxcypnh.exe, zxenmgrbl.dll
Méthode de distribution
Installation conduite par un contrôle ActiveX depuis de très nombreux sites, une fenêtre en pop-up étant souvent utilisée
Il y a souvent des pop-ups en cascades (pop-up ouvrant une pop-up ouvrant une pop-up sans fin) pour de prétendus outils de recherche et download de fichiers MP3, exploitant la confusion ainsi créée pour installer lop.com. Cependant, les variantes downloaders de lop.com sont aussi apparues sur quelques réseaux traditionnels publicitaires (adservers) qui s'en font ainsi le complice. Le fichier exécutable pointé par le downloader est susceptible d'avoir un nom comme:
- mp3.exe
- mp3search.exe
- mp3_finder.exe
- mp3_plugin.exe
- mp3Software_plugin.exe
- napster2.exe
- FreeMP3.exe
- freemp3s.exe
- freemp3z.exe
- FreeMP3Music.exe
- free_deals.exe
- free_plugin.exe
- freeplugin.exe
- Software_Plugin.exe
- Download_Plugin.exe
- download_file.exe
- The_Ultimate_Browser_Enhancer.exe
- sex_viewer.exe
- free_sex_viewer.exe
- Adult_Software.exe
- keygen33win.exe
- download_serial.exe
- free_warez.exe
En outre, on trouve cette malveillance livrée en "paquet cadeau" attachée à des téléchargements de logiciels depuis le site piégé edonkey.com (note: le vrai site de eDonkey est edonkey2000.com) ou dans des générateurs de clefs pour logiciels piratés et dans l'add-in Messenger Plus pour MSN Messenger, de Patchou (voir cette page).
Détection
.
Informations techniques
.
Eradication
- Manuelle
Vous devez connaître et maîtriser les actions manuelles suivantes
Dans de nouvelles variantes, par exemple celle dirigeant vers searchexe.com, une méthode pour supprimer lop.com de votre ordinateur vous est proposée (par exemple à h..p://www.searchexe.com/help.html). C'est un véritable foutage de gueule. La méthode proposée consisterais à simplement restaurer votre page de démarrage dans votre navigateur. Faire ceci résulte en un enfermement de votre page de démarrage (home page) dans un jeu de cadres (un "frameset") dont le cadre du bas comporte une barre d'outils de recherches propriétaire de lop.com avec, également, des raccourcis vers des annonceurs publicitaires, racourcis qui sont modifiés (ajustés - adaptés) en temps réel, en fonction des Mots-clés contenus dans la page visitée.
Il existe également un outil de désinstallation proposé directement sur le site de lop.com à l'adresse h..p://lop.com/toolbar_uninstall.exe.
- Si vous avez installé un fichier hosts, il y a de fortes chances pour que celui-ci vous interdise l'accès à ce serveur. Il vous faudra alors inhiber hosts en le renommant, le temps d'aller sur leur site.
- Il y a toujours un risque de malhonnêteté avec ces outils proposés par les auteurs même des malveillances.
Eradication manuelle :
Ouvrez le répertoire "Application Data". Peut être trouvé dans le répertoire "Windows" pour Windows 95/98/Me, dans le répertoire "Documents and Settings" pour 2000 et XP mais celui-ci est caché donc, dans l'explorateur de Windows, faites Outils > Options des dossiers > Affichage et là, sélectionnez "Afficher les fichiers et dossiers cachés". Dans Windows NT 4, c'est dans le répertoire utilisateur, dans "WinNT\Profiles".
Les noms de fichier des dossiers de lop.com peuvent changer à chaque installation mais, normalement, sous Windows, il ne devrait y avoir aucun fichier dans "Application Data", que des répertoires aussi est-il généralement facile de sélectionner les coupables.
Noms de fichier connus pour la DLL toolbar (lop/Toolbar, lop/Rnd) ou la DLL de protocole (lop/AYB) :
- blztstull[letter ' a ', ' c ', ' j ', ' p ', ' s, ' t ' ou ' y'].dll
- blztstull['pr ', ' TR ' ou ' oo'].dll
- chksbdrlya.dll
- dmvcrthl.exe
- eaeeishllblc.dll
- eelykofrllfrpr.dll
- eelykofrllfrj.dll
- ealymfrprwch.dll
- epllkeeoopr.dll
- freabrlaouw.dll
- gldqumssfrie.dll
- hglllyxrxw.dll
- icdrhwno.dll
- heeachmstll.dll
- meepajlr.dll
- ousszidrta.dll
- digit].dll plg_ie[any
- prxzoustustgr.dll
- prnouestssstx.dll
- digit].dll quizbt[any
- quglwachfs.dll
- sstroallhqch.dll
- tblchepruprgr.dll
- trdzhtxf.exe
- trstshcrscksr.dll
- ukfroigl.dll
- upckeetoutw.dll
- veaeyglckr.dll
- woafrquzn.dll
- yeecrsoustoull.dll
- ziebaeeoaeepr.dll
Noms de fichier connus pour la tâche dans le systray et pour le hijacker:
- asshuktr.exe
- bilyooas.exe
- byb_save.exe
- crgbeaoa.exe
- eaymulyl.exe
- eeublidc.exe
- glxshmcr.exe
- ijlysseb.exe
- jqumysto.exe
- kfriegbs.exe
- llfggrdr.exe
- lltckiey.exe
- lopsearc.exe
- meemnckyqbr.exe
- meepajlr.exe
- mprcouie.exe
- oofrkxpe.exe
- peebqusz.exe
- quveioot.exe
- shoucrck.exe
- ssmeeibl.exe
- tchpeatr.exe
- tglblrll.exe
- trstdris.exe
- ulyuiexeechp.exe
- vestufck.exe
- vfthrcbr.exe
- xogyfhp.exe
- ykphmbre.exe
- ylynfste.exe
D'autres dossiers que vous pouvez trouver avec quelques versions incluent des bibliothèques d'icône (noms de fichier connus tchejea.lib et iCndE.lib) et des GIFs. Ceux-ci peuvent tous être supprimés également. Vous pourriez également avoir certains de ces fichiers dans le répertoire Windows.
- desktop.htm
- dnserror.htm
- jexpoofro.htm
- i_dnserr.gif
- s_dnserr.gif
- r_dnserr.gif
- b_dnserr.gif
- tiejexpoo.gif
- xiejexpoo.gif
- oiejexpoo.gif
- uiejexpoo.gif
Ouvrez la base de registre (Démarrer > Exécuter > Regedit) et localisez la clef HKEY_local_machine \Software\Microsoft\Windows\CurrentVersion\Run. Si vous n'avez pas utilisé le dispositif d'uninstall, il doit y avoir une entrée avec une valeur du genre "C:\WINDOWS\APPLIC~1\(task name).exe - QuieT". Supprimez-la. Le nom de cette entrée change selon les différentes variantes. Les noms connus sont:
- abtu
- brchfgl
- brfrgroo
- chytrw
- eeullz
- eedrtss
- lldrlyk
- lssxsh
- stoafv
- oooami
- oooik
- oucno
- phqtr
- pprwly
- qncu
- stjlee
- uaouea
- trglckea
- xckja
- ymste
- zvoah
- twquh
- ubipwdk
- winactive
- wstpsh
- ybmk
Dans la variante lop/Active, il y aura, à la place, une entrée "winactive" pointant vers winactive.exe. Supprimez ceci aussi .
Vous devriez également supprimer les entrées suivantes si vous les avez et qu'elles ne sont pas simplement vides:
- HKEY_local_machine\Software\Microsoft\Windows\CurrentVersion\Telephony\DomainName
- HKEY_local_machine\System\CurrentControlSet\Services\VxD\MSTCP\Domain
- HKEY_local_machine\System\CurrentControlSet\Services\Tcpip\Parameters\Domain
- HKEY_local_machine\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{ vérif tous interfaces }\Domain
En outre vous pouvez enlever la clef de paramétrage de lop si vous pouvez la trouver. Elle est dans HKEY_LOCAL_MACHINE\Software et a, elle aussi, un nom variant aléatoirement. Les exemples connus sont:
- ckotetlllyllshz
- kseateasteestoe
- rhvlveasteafpr
- ssaxstxoaieoagrh
- TrinityAYB (variante de lop/Trinity)
Ensuite, si vous n'avez pas employé le dispositif d'uninstall, ouvrez une fenêtre "mode de commande DOS (Démarrer > Tous les programmes > Accessoires) et saisissez les commandes suivantes "sans les guillemets" afin de "désenregistrer" les dll.
cd "%WinDir%\System"
regsvr32 /u [nom de la DLL]
en substituant à "nom de la DLL" le nom complet du fichier de la DLL, quelque soit son nom. Truc / astuce : Vous pouvez faire un "drag and drop" du nom de la dll depuis l'explorateur de Windows vers le point d'insertion de la commande dans la fenêtre DOS, ainsi vous n'avez pas à le saisir avec tous les risques de fautes de frappe.
Redémarrer l'ordinateur maintenant. Vous devriez alors être en mesure de détruire tous les fichiers mentionnés ci-dessus ainsi que les raccourcis ajoutés au bureau et dans les favoris (dits "signets" ou "Bookmarks" dans Netscape / Mozilla). Pour la variante lop/Active vous devez totalement supprimer le répertoire "Active Window" qui se trouve dans le dossier "Program Files".
Vous pouvez maintenant restaurer la page de démarrage de votre navigateur (home page) et la page de recherches.
Vous pouvez également souhaiter examiner votre ordinateur pour s'assurer qu'aucun dialer n'a été installé. Lop.com est connu pour inclure des dialers. Si vous avez la variante lop/IMZ il est également possible que la malveillance FavoriteMan/IMZ ait, en cascade, installé d'autres malveillances tels que BargainBuddy, IGetNet ou n-Case.
toujours exécuter l'intégralité de "LA MANIP" après cette désinfection.
- Automatique avec son propre uninstal
lop/Toolbar
Met, normalement, un petit icône rond dans le systray (prèt de l'horloge). Essayez un clic droit (clic avec le bouton droit) dessus > menu > help > uninstall. Dans les nouvelles variantes, vous devrez répondre à une énigme ennuyante avant qu'elle ne parte!
lop/Rnd
Pas d'icône dans le systray mais, parfois, une entrée dans Ajout/Suppression de programmes qui peut être utilisée pour supprimer cette variante. Le nom de l'option d'uninstall change aléatoirement mais tend à suivre un modèle, par exemple:
- Browser Enhance r
- Brows er Enhancer
- Ultimate Browse r Enhancer
- Ultimate Browser En hancer
- L.O P. Un insta11
- L O.P. Un instal1
- Live 0n line Portal
- Live.0nli ne Porta1
lop/Active
Ont une entrée "Window Active" additionnelle qui doit également être supprimée.
Désinstalleur universel.
Attention : lop.com prétend proposer, avec h__p://lop.com/new_uninstall.exe, un désinstalleur universel. N'y touchez pas ! Voici l'analyse de ce prétendu désinstalleur par 18 antivirus :
| Antivirus |
Version |
Update |
Result |
| AntiVir |
6.30.0.12 |
05.24.2005 |
TR/Dldr.Swizzor.CK |
| AVG |
718 |
05.22.2005 |
Downloader.Swizzor.4.C |
| Avira |
6.30.0.12 |
05.24.2005 |
TR/Dldr.Swizzor.CK |
| BitDefender |
7.0 |
05.24.2005 |
Trojan.Downloader.Swizzor.CK |
| ClamAV |
devel-20050501 |
05.24.2005 |
Trojan.Downloader.Swizzor-17 |
| DrWeb |
4.32b |
05.24.2005 |
Trojan.Swizzor |
| eTrust-Iris |
7.1.194.0 |
05.24.2005 |
no virus found |
| eTrust-Vet |
11.9.1.0 |
05.24.2005 |
no virus found |
| Fortinet |
2.27.0.0 |
05.24.2005 |
Adware/Lop |
| Ikarus |
2.32 |
05.24.2005 |
AdWare.Lop.J |
| Kaspersky |
4.0.2.24 |
05.24.2005 |
Trojan-Downloader.Win32.Swizzor.ck |
| McAfee |
4497 |
05.23.2005 |
potentially unwanted program Adware-Lop |
| NOD32v2 |
1.1106 |
05.23.2005 |
Win32/TrojanDownloader.Swizzor.CK |
| Norman |
5.70.10 |
05.23.2005 |
W32/Swizzor.BO |
| Panda |
8.02.00 |
05.23.2005 |
Adware/Lop |
| Sybari |
7.5.1314 |
05.24.2005 |
W32/Swizzor.B |
| Symantec |
8.0 |
05.23.2005 |
no virus found |
| VBA32 |
3.10.3 |
05.23.2005 |
Trojan-Downloader.Win32.Swizzor.ck |
En cas de difficultées.
Ne contactez pas le pseudo support de lop.com ( support@lop.com ) pour une assistance. Rendez-vous sur les Forums d'Assiste.com).
toujours exécuter l'intégralité de "LA MANIP" après cette désinfection.
- Automatique avec un outil
toujours exécuter l'intégralité de "LA MANIP" après cette désinfection.
- Conséquences de l'éradication
Aucune. Ah! Si. La navigation est propre et le système est plus rapide.
Suggestion de serveurs à ajouter à hosts
Hosts - Qu'est-ce que c'est?
wrn.net
Suggestion d'IPs de serveurs à bloquer
Par exemple en utilisant PeerGuardian.
.
Cookies à éradiquer utilisés par ce parasite
lop.com
Nota : Au 30.03.04 il est identifié 52 cookies différents pour lop.com, il est donc conseillé d'utiliser SpywareStopper ou Spyware Blaster pour leur couper l'herbe sous les pieds, à eux et à des centaines d'autres.
Liens, sources et ressources
Pour rédiger cette fiche, les sites suivants ont été consultés
- wrn.net est le site qui déploie le système d'affiliation auprès des webmasters qui vont piéger leurs sites. Introduire ce nom de domaine dans hosts
- SpywareInfo Sa page sur Lop.com
- PC Word Un article parlant de C2 Media et Lop.com
- and@doxdesk.com lop.com Source essentielle de cette page
- PestPatrol lop.com Source essentielle de cette page
Porter plainte
Portez plainte iciO.C.L.C.T.I.C
MINISTERE DE L'INTERIEUR
Direction Centrale de la Police Judiciaire
Sous-Direction des Affaires Economiques et Financières
8, rue de Penthièvre
75008 PARIS
Tel : 01.49.27.49.27
Télécopie : 01.40.97.88.59
oclctic@interieur.gouv.fr
Retour d'information (FeedBack)
S'il y a la moindre chose nouvelle ou à ajouter ou à corriger sur cette page, merci d'utiliser le petit formulaire de feedback ci-dessous.
Rédigé en écoutant Ecoute
|
