Mis à jour : 13 Février 2007 11:46:04 AM
Type : Logiciel publicitaire
Impact des risques : Moyen
Noms de fichiers : Egyrank.dll
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Lorsque Adware.Egyrank est installé, il réalise les opérations suivantes :
- Crée les fichiers suivants :
- %ProgramFiles%\EgyRank\basis.xml
- %ProgramFiles%\EgyRank\Egyrank.dll
- %ProgramFiles%\EgyRank\icons.bmp
- %ProgramFiles%\EgyRank\Egyrank.inf
- %ProgramFiles%\EgyRank\version.txt
- %ProgramFiles%\EgyRank\newversion.txt
- %ProgramFiles%\EgyRank\menu_customization.html
Remarque : %ProgramFiles% est une variable qui se rapporte au dossier program files. Par défaut, c'est C:\Program Files.
- Crée les sous-clés de registre suivantes :
HKEY_CLASSES_ROOT\CLSID\{06EECACB-F7C6-4ab9-B6AE-2DC4ED4588BB}
HKEY_CLASSES_ROOT\CLSID\{CAE916D2-880A-4198-BB83-9E9DBD9615DC}
HKEY_CLASSES_ROOT\Interface\{3FBB839A-017B-465B-82E6-15D9B8F6E936}
HKEY_CLASSES_ROOT\Interface\{4C5CC6AE-70B0-4EC3-BAD5-BA0708F4432C}
HKEY_CLASSES_ROOT\TypeLib\{088930B5-5537-4AE6-B484-98AAB895FC63}
HKEY_CLASSES_ROOT\ToolBand.XBTB02205
HKEY_CLASSES_ROOT\ToolBand.XBTB02205.1
HKEY_CLASSES_ROOT\XBTB02205.IEToolbar
HKEY_CLASSES_ROOT\XBTB02205.IEToolbar.1
HKEY_CLASSES_ROOT\XBTB02205.XBTB02205
HKEY_CLASSES_ROOT\XBTB02205.XBTB02205.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06EECACB-F7C6-4ab9-B6AE-2DC4ED4588BB}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XBTB02205.XBTB02205Toolbar
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Ext\Stats\{06EECACB-F7C6-4AB9-B6AE-2DC4ED4588BB}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Ext\Stats\{CAE916D2-880A-4198-BB83-9E9DBD9615DC}
HKEY_CURRENT_USER\Software\XBTB02205
- Modifie la valeur :
"iexplore.exe" = "0"
dans la sous-clé de registre :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_LOCALMACHINE_LOCKDOWN
de sorte que les éléments tels que des contrôles ActiveX et Javascript puissent fonctionner localement sur l'ordinateur infecté.
- Ajoute la valeur :
"{CAE916D2-880A-4198-BB83-9E9DBD9615DC}"
aux sous-clés de registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
HKEY_CURRENT_USER \Software\Microsoft\Internet Explorer\URLSearchHooks
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
- Il supprime la valeur :
"{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"
de la sous-clé de registre :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
- Ajoute la valeur :
"Mister X" = ""
à la sous-clé de registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform
- Modifie la valeur :
"Start Page" = "[http://]egyrank.com/addsite/homepage.php[SUPPRIMÉ]"
dans la sous-clé de registre :
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
afin de modifier la page de démarrage d'Internet Explorer.
Remarque : Cette page correspondant à la valeur de cette entrée de registre est en fait redirigée vers un site Web différent à chaque fois que la page est consultée.
- Modifie la valeur :
"SearchAssistant: = " [http://]egyrank.com/[SUPPRIMÉ]/sidesearch.php"
dans la sous-clé de registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search
- Affiche une barre d'outils dans la fenêtre d'Internet Explorer.
Technorati
Viadeo
Facebook
LinkedIn
MySpace
Digg
Delicious
Reddit
StumbleUpon
Buzz