Mis à jour : 13 Février 2007 11:32:39 AM
Type : Logiciel publicitaire
Diffuseur : GAIN Publishing
Impact des risques : Faible
Noms de fichiers :
Fsg_[VERSION NUMBER].exe
Trickler_[VERSION NUMBER].exe
CMESys.eGMT.exe
GainPlugin.dll
HDPlugin
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Quand Adware.GAIN est installé, il réalise les opérations suivantes :
- Peut insérer un fichier dans le dossier %System%. Le nom de fichier semble varier en fonction du programme qui l'installe. Quelques noms de fichier connus sont :
- Fsg_[NUMERO DE VERSION].exe
- Trickler.exe.
Remarque : %System% est une variable. Le logiciel publicitaire détermine l'emplacement du dossier System et se copie sur cet emplacement. Par défaut, il s'agit de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).
- Crée les fichiers suivants :
- %ProgramFiles%\Fichiers communs\CMEII\*.*
- %ProgramFiles%\ Fichiers communs\GMT\*.*
- %Windir%\Temp\Trickler_[NUMERO DE VERSION].exe
- %Windir%\Temp\fsg[NUMERO DE VERSION].exe
- %Windir%\Downloaded Program Files\GainPlugin.dll
- %UserProfile%\Menu Démarrer\Programmes\Démarrage\GStartup.lnk
- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\GAIN Publishing\About GAIN Publishing.lnk
- C:\Documents and Settings\All Users\Menu Démarrer\Programmes\GAIN Publishing\GAIN Publishing Web Site.URL
Remarques :
- %ProgramFiles% est une variable qui se rapporte au dossier program files. Par défaut, c'est C:\Program Files.
- %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows (Windows 95/98/Me/XP) ou C:\Winnt (Windows NT/2000).
- %UserProfile% est une variable qui se rapporte au dossier profil de l'utilisateur en cours. Par défaut, il s'agit de C:\Documents and Settings\[Utilisateur en cours] (Windows NT/2000/XP).
- Crée les sous-clés de registre suivantes :
HKEY_CLASSES_ROOT\CLSID\{54e7e082-1da6-412e-96b5-c290fcef5329}
HKEY_CLASSES_ROOT\CLSID\{DBAE7000-01EC-4162-8FEB-8A27AC937CA0}
HKEY_CLASSES_ROOT\Interface\{22D34833-06F9-4CE6-9FF7-CE4DA0BA351D}
HKEY_CLASSES_ROOT\Interface\{54E7E080-1DA6-412E-96B5-C290FCEF5329}
HKEY_CLASSES_ROOT\TypeLib\{2EC7A834-9C5E-4154-BADC-0D86A2EDC82D}
HKEY_CLASSES_ROOT\TypeLib\{54E7E081-1DA6-412E-96B5-C290FCEF5329}
HKEY_CLASSES_ROOT\GetAndRun.DFRun
HKEY_CLASSES_ROOT\GetAndRun.DFRun.1
HKEY_CLASSES_ROOT\HDPlugin.HDPluginCtrl
HKEY_CLASSES_ROOT\HDPlugin.HDPluginCtrl.1
HKEY_CLASSES_ROOT\ttjltept
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\{4A840E1E-2BA8-47de-923E-0E00407EB530}
HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\AppInfo\CME
HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\AppInfo\GMT
HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\CMEII\GSNInstalled
HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator\dyn
HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator\stat\GMT
HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\GInternet
HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\trickles
HKEY_LOCAL_MACHINE\SOFTWARE\hlnpan
- Ajoute les valeurs :
"Trickler" = "[CHEMIN D'ACCES AU FICHIER DU LOGICIEL PUBLICITAIRE]"
"CMESys" = "%ProgramFiles%\Fichiers communs\CMEII\CMESys.exe"
à la sous-clé de registre :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
de sorte que le logiciel publicitaire s'exécute au démarrage de Windows.
- Se connecte à un serveur sur le domaine [NOM ALEATOIRE].gator.com sur le port 80 et lui envoie les habitudes de navigation de l'utilisateur. Le logiciel publicitaire télécharge également des publicités à partir du serveur.
Remarque : D'autres programmes téléchargent Adware.GAIN pour leur permettre de télécharger et d'afficher des fenêtres publicitaires.
Technorati
Viadeo
Facebook
LinkedIn
MySpace
Digg
Delicious
Reddit
StumbleUpon
Buzz