||||
Symantec.com > Security Response > Adware.Look2Me
IMPRIMEZ CETTE PAGE

Adware.Look2Me

Version imprimable

Mis à jour : 13 Février 2007 11:36:57 AM
Type : Logiciel publicitaire
Impact des risques : Elevé
Noms de fichiers : VT09.exe VT09_Installer.exe ffInst.exe
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP


Au moment de la rédaction de cet article, un fichier .dll a été soumis à Symantec Security Response. Ce fichier est un composant d'Adware.Look2Me. Le nom de fichier semble être aléatoire et peut changer. Aucun fichier ne nous a été soumis qui installerait ce fichier .dll.

Si ce fichier .dll est exécuté, il peut s'installer comme Browser Helper Object (BHO), ou il peut directement s'installer. La clé CLSID dans le registre, que le BHO ajoute, changera mais commencera toujours par {DDFFA75A-.

Le composant du logiciel publicitaire réalise certaines ou toutes les opérations suivantes :
  1. Crée les fichiers suivants :

    • %System%\[NOM ALÉATOIRE].dll

      Remarque : % System% est une variable qui fait référence au dossier System. Il s'agit par défaut de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).

  2. Ajoute une ou plusieurs des clés de registre et des valeurs suivantes :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian\"ID"
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian\"Idex"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\"[VALEUR CLSID]"
  3. Peut ajouter les valeurs :

    "(par défaut)" = ""
    "IDEX" = "AD"
    "InProcServer32\(par défaut)" = "[CHEMIN VERS %System%\[NOM ALÉATOIRE].DLL]"
    "InProcServer32\ThreadingModel" = "Apartment"


    à la sous-clé de registre :

    HKEY_CLASSES_ROOT\CLSID\[RANDOM CLSID KEY]

  4. Peut ajouter les valeurs :

    "Asynchronous" = "0"
    "DllName" = "[CHEMIN VERS %System%\[NOM ALÉATOIRE].DLL]"
    "Impersonate" = "0"
    "Logoff" = "WinLogoff"
    "Logon" = "WinLogon"
    "Shutdown" = "WinShutdown"

    à la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Run

    de sorte qu'il s'exécute à chaque démarrage de Windows.

  5. Utilise HTTP ou FTP afin de télécharger des exécutables à partir d'un site Web, puis les exécute.

    Remarque : Il peut s'agir de mises à jour ou de composants d'autres logiciels publicitaires.

  6. Ouvre des publicités dans l'Internet Explorer.

  7. Peut changer la page de démarrage d'Internet Explorer en modifiant la valeur de la sous-clé de registre suivante :

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

  8. Supprime la clé de registre suivante, qui empêche BHO de s'exécuter :

    SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

  9. Peut contrôler le trafic Web de l'utilisateur et envoyer ces informations à www.look2me.com.

  10. Peut créer une page Web localement, et faire de cette page la page de recherche par défaut.


Economisez jusqu'à 20% avec un abonnement de 2 ans.
©1995 - 2009 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Symantec dans le monde|
Contrats de licences

** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.