1. Symantec/
  2. Security Response/
  3. Adware.MoeMoney
  • Ajouter

Adware.MoeMoney

Mis à jour :
13 Février 2007 11:33:01 AM
Type :
Adware
Version :
Not available
Editeur :
EBates
Impact des risques :
Low
Noms de fichiers :
EbatesMoeMoneyMaker14.exe EbateMoeMoneyMaker0.exe EbatesMoeMoneyMaker1.exe EbatesMoeMoneyMaker
Systèmes affectés :
Windows

Ce logiciel publicitaire a besoin de Wjview.exe, un fichier légitime de Microsoft, afin de fonctionner correctement.

Lorsque Adware.MoeMoney s'exécute, il agit ainsi :
  1. Peut créer certains des dossiers et des fichiers suivants :

    • %ProgramFiles%\Ebates_MoeMoneyMaker\Ap350\ebmm350.dat
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Ap350\psid399.dat
    • %ProgramFiles%\Ebates_MoeMoneyMaker\disp350.exe (Adware.WebRebates)
    • %ProgramFiles%\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe (Adware.MoeMoney)
    • %ProgramFiles%\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker1.exe (Adware.MoeMoney)
    • %ProgramFiles%\Ebates_MoeMoneyMaker\README.txt
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Da350\<Current User>\42949a6e27dd.dat
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Da350\<Current User>\42bc3fc14716.dat
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Da350\350sh.dat
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Da350\42949a6652.dat
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Sy350\350_0.dat
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Sy350\350_1.dat
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Sy350\350_2.dat
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Html\popo350a_counv.htm
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Html\popo350a_couyv.htm
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Html\popo350a_non.htm
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Html\popo350a_nv.htm
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Html\pref350a.htm
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Html\pref350a_dis.htm
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Html\scri350a.htm
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Html\spec350a_yv.htm
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm.ico
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_button_clickhere.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_button_getcashbck.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_button_no.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_button_submit.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_button_yes.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_clear.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_cou_button_savenow.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_cou_logo_greenbground.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_cou_moe.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_cou_moe_logo.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_hot.ico
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_logo1.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_logo_topmox.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_moe_question.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_moe_reminder.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_moe_top.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_moe_with_cash.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Images\ebmm_spacer.gif
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Tp350\log.txt
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Tp350\popo350a_counv.htm
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Tp350\popo350a_couyv.htm
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Tp350\popo350a_non.htm
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Tp350\popo350a_nv.htm
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Tp350\pref350a.htm
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Tp350\pref350a_dis.htm
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm
    • %ProgramFiles%\Ebates_MoeMoneyMaker\Sy350\Tp350\spec350a_yv.htm
    • %ProgramFiles%\EbatesMoeMoneyMaker
    • %Userprofile%\Local Settings\Temp\djebmm350.exe
    • %Userprofile%\Local Settings\Temp\jkill.exe

      Remarque :
    • %ProgramFiles% est une variable qui se rapporte au dossier program files. Par défaut, c'est C:\Program Files.
    • %Userprofile% est une variable qui se rapporte au dossier C:\Documents and Settings\<Utilisateur en cours>


  2. Ajoute les valeurs :

    "EbatesMoeMoneyMaker" = "wjview /cp:p "C:\Program Files\EbatesMoeMoneyMaker\System\Code" Main lp: "C:\Program Files
    EbatesMoeMoneyMaker"
    "
    "EbatesMoeMoneyMaker0" = "%Programfiles%\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe"

    à la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    de sorte que de logiciel publicitaire est lancé à chaque démarrage de Windows.

  3. Ajoute la valeur :

    "djebmm350.exe" = "%Userprofile%\Local Settings\Temp\djebmm350.exe"

    à la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

  4. Ajoute les sous-clés de registre suivantes :

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Ebates
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\ins
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\unebmm350
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Uninstall\ebatessvr2.xml

  5. Dépose un fichier appelé disp350.exe. Ce fichier est détecté comme Adware.WebRebates.

  6. Enregistre les habitudes de navigation sur Internet et envoie les informations recueillies à un serveur Web prédéfini.

  7. Télécharge et affiche des publicités.


Résumé| Détails techniques| Suppression
2016 Internet Security Threat Report, Volume 21
  • Twitter
  • Facebook
  • LinkedIn
  • Google+
  • YouTube