Adware.VirtualBouncer

Version imprimable

Mis à jour : February 13, 2007 11:33:58 AM
Type : Adware
Version : n/a
Editeur : SpywareLabs Inc
Impact des risques : Medium
Noms de fichiers : VirtualBouncer.exe
Systèmes affectés : Windows

Comportement


Adware.VirtualBouncer se fait passer pour un outil légitime de suppression de logiciels espions mais se configure pour s'exécuter au démarrage de Windows et reste en mémoire sur l'ordinateur compromis. Le logiciel publicitaire essaiera périodiquement de contacter un serveur à distance afin de télécharger des mises à jour et des instructions.

Certaines versions que nous avons vues inviteront l'utilisateur à acheter une mise à niveau de Virtual Bouncer, en affichant des publicités intempestives indiquant que l'ordinateur est exposé à des risques.

Symptômes


Les fichiers sont détectés comme Adware.VirtualBouncer.

Transmission


Ce programme publicitaire doit être installé manuellement ou installé comme composant d'un autre programme.

Dates de la protection antivirus

  • Version initiale des définitions Rapid Release October 02, 2014 révision 022
  • Dernière version des définitions Rapid Release October 13, 2017 révision 035
  • Version initiale des définitions Daily Certified September 24, 2003
  • Dernière version des définitions Daily Certified October 14, 2017 révision 004
  • Date de la version initiale des définitions Weekly Certified September 24, 2003

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Mis à jour : February 13, 2007 11:33:58 AM
Type : Adware
Version : n/a
Editeur : SpywareLabs Inc
Impact des risques : Medium
Noms de fichiers : VirtualBouncer.exe
Systèmes affectés : Windows


Certaines versions d'Adware.VirtualBouncer afficheront un contrat de licence d'utilisateur final (EULA) quand elles sont installées, donnant au logiciel le droit de télécharger et installer des "mises à jour" du logiciel à partir de ses serveurs.

D'autres versions peuvent effectuer ces actions silencieusement, sans informer l'utilisateur de ce qui se passe.

Selon la version, le logiciel publicitaire peut réaliser les opérations suivantes :

  1. Crée les fichiers suivants :

    • %ProgramFiles%\VBouncer\VBouncer.exe
    • %ProgramFiles%\VBouncer\VBDNR.dll
    • %AppData%\VBouncer\*.*
    • %UserPrograms%\Virtual Bouncer\*.lnk
    • %System%\vb2uninstaller4_19.EXE

      Remarque : %ProgramFiles% est une variable qui se rapporte au dossier Program Files. Par défaut, c'est C:\Program Files.
      %AppData% est une variable qui se rapporte au dossier suivant : C:\Documents and Settings\All Users\Application Data
      %UserPrograms% est une variable qui se rapporte au dossier suivant : C:\Documents and Settings\<utilisateur actuel>\Menu Démarrer\Programmes
      % System% est une variable qui fait référence au dossier System. Il s'agit par défaut de C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) ou C:\Windows\System32 (Windows XP).

  2. Modifie la valeur :

    "VBouncer" = "C:\PROGRA~1\VBouncer\VBouncer.exe"

    dans la sous-clé de registre :

    HKEY_ALL_USERS\SOFTWARE\Microsoft\Windows\CurrentVerison\Run

    de sorte que le logiciel publicitaire s'exécute au démarrage.

  3. Crée les sous-clés de registre suivantes :

    HKEY_CLASSES_ROOT\CLSID\{25AE1A9B-87D2-418F-A3A6-5A46EDC37A84}
    HKEY_CLASSES_ROOT\CLSID\{9CC6F6D3-8B13-4206-ABC1-8B285F9413A7}
    HKEY_CLASSES_ROOT\CLSID\{9FE4D9E6-13BB-43E0-8C74-9800573DA4D6}
    HKEY_CLASSES_ROOT\CLSID\{A85C505E-AAE3-4CB0-AEE1-CB8213B140FB}
    HKEY_CLASSES_ROOT\CLSID\{B0BE4BBC-C1B6-4EA3-B346-7358FEC20248}
    HKEY_CLASSES_ROOT\CLSID\{BE40278C-1C4E-4A63-BC3D-811646900A1A}
    HKEY_CLASSES_ROOT\CLSID\{CF0FBBF5-1DDD-4D58-B480-AC2C2A4186D3}
    HKEY_CLASSES_ROOT\CLSID\{DCB5773B-4D84-4E6F-8E21-96F2A5B431A8}
    HKEY_CLASSES_ROOT\CLSID\{EEC056CE-3E1B-4571-BEE1-EAB9876B35F8}
    HKEY_CLASSES_ROOT\Interface\{0990E9A3-FC49-4AA8-91CE-F738BCBB7C8F}
    HKEY_CLASSES_ROOT\Interface\{261214CB-3021-4DE0-9D21-5957ACD1781A}
    HKEY_CLASSES_ROOT\Interface\{2C2EBD54-ED76-4343-902B-336D1DB63763}
    HKEY_CLASSES_ROOT\Interface\{36C9C487-E14F-4BB9-9882-AC613193EE46}
    HKEY_CLASSES_ROOT\Interface\{6A4C71B1-1A79-483A-A400-F026936CC7B7}
    HKEY_CLASSES_ROOT\Interface\{85D1E607-0C1A-4E69-BA9B-2E5FFA382D68}
    HKEY_CLASSES_ROOT\Interface\{88EB5B21-0FE7-4208-8F1C-26915F7E2432}
    HKEY_CLASSES_ROOT\Interface\{934E4898-DE90-45E1-ADF4-C383DCAE7B26}
    HKEY_CLASSES_ROOT\Interface\{BE05F07D-131C-4935-941B-0D41CEB07E67}
    HKEY_CLASSES_ROOT\Interface\{E2B951F0-9F32-4260-90F7-A988BEFF7F0C}
    HKEY_CLASSES_ROOT\Interface\{F634E01A-833A-49FB-BAE2-3A00CECC3A94}
    HKEY_CLASSES_ROOT\TypeLib\{73D7ABFE-D325-430A-817F-64C7BFD48813}
    HKEY_CLASSES_ROOT\VBDNR.cCookie
    HKEY_CLASSES_ROOT\VBDNR.cErrorLog
    HKEY_CLASSES_ROOT\VBDNR.cHistory
    HKEY_CLASSES_ROOT\VBDNR.cRegistryRoutines
    HKEY_CLASSES_ROOT\VBDNR.cScheduler
    HKEY_CLASSES_ROOT\VBDNR.cSignature
    HKEY_CLASSES_ROOT\VBDNR.cThreatLevel
    HKEY_CLASSES_ROOT\VBDNR.cUserSettings
    HKEY_CLASSES_ROOT\VBDNR.DNRDirector
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virtual Bouncer
    HKEY_ALL_USERS\Software\VB and VBA Program Settings
    HKEY_ALL_USERS\Software\VB and VBA Program Settings\VBouncer
    HKEY_ALL_USERS\Software\VB and VBA Program Settings\VBouncer\Settings


Mis à jour : February 13, 2007 11:33:58 AM
Type : Adware
Version : n/a
Editeur : SpywareLabs Inc
Impact des risques : Medium
Noms de fichiers : VirtualBouncer.exe
Systèmes affectés : Windows


Les instructions suivantes concernent tous les produits antivirus de Symantec qui prennent en charge la détection de risques de sécurité.

  1. Mettre à jour les définitions.
  2. Désinstaller le risque de sécurité.
  3. Exécuter une analyse complète du système.
  4. Supprimer toutes les valeurs ajoutées au registre.
Pour plus de détails sur chacune de ces étapes, lisez les instructions suivantes.

1. Pour mettre à jour les définitions
Pour obtenir les définitions les plus récentes, lancez votre programme Symantec et exécutez LiveUpdate.

2. Pour désinstaller le risque de sécurité
  1. Effectuez l'une des opérations suivantes :
    1. Sur la barre des tâches de Windows 98 :
      1. Cliquez sur Démarrer > Paramètres > Panneau de configuration.
      2. Dans la fenêtre du Panneau de configuration, cliquez deux fois sur Ajout/Suppression de programmes.

    2. Sur la barre des tâches de Windows Me :
      1. Cliquez sur Démarrer > Paramètres > Panneau de configuration.
      2. Dans la fenêtre du Panneau de configuration, cliquez deux fois sur Ajout/Suppression de programmes.
        Si l'icône Ajout/Suppression de programmes n'apparaît pas, cliquez sur Afficher toutes les options du panneau de configuration.

    3. Sur la barre des tâches de Windows 2000 :
      Par défaut, Windows 2000 est configuré comme Windows 98. Vous pouvez ainsi suivre les instructions données pour Windows 98. Si la configuration est différente, cliquez sur Démarrer > Paramètres > Panneau de configuration puis cliquez sur Ajout/Suppression de programmes.

    4. Sur la barre des tâches de Windows XP :
      1. Cliquez sur Démarrer > Panneau de configuration.
      2. Dans la fenêtre du Panneau de configuration, cliquez deux fois sur Ajout/Suppression de programmes.

  2. Cliquez sur Virtual Bouncer.


    Remarque :
    Vous devrez peut-être utiliser la barre de défilement pour afficher toute la liste.

  3. Cliquez sur Ajouter/Supprimer, Modifier/Supprimer ou Supprimer (en fonction de votre système d'exploitation). Suivez les invites.

    Remarque : Après avoir exécuté l'applet Ajout/Suppression de programmes, tous les fichiers doivent être supprimés. Il est conseillé d'exécuter une analyse complète du système pour vérifier que c'est bien le cas. Cependant, il est possible qu'aucun fichier ne soit détecté après avoir utilisé la fonction Ajout/Suppression de programmes.
3. Pour exécuter l'analyse
  1. Lancez votre programme antivirus de Symantec, puis exécutez une analyse complète du système.
  2. Si des fichiers sont détectés et en fonction de la version du logiciel que vous utilisez, certaines options suivantes peuvent s'afficher :

    Remarque : Ceci s'applique seulement aux versions de Norton AntiVirus qui prennent en charge la détection de risques de sécurité. Si vous exécutez une version de Symantec Antivirus Corporate Edition qui prend en charge la détection de risques de sécurité, et si la détection de risques de sécurité a été activée, vous verrez seulement une boîte de dialogue indiquant les résultats de l'analyse. Si vous avez des questions à ce propos, contactez l'administrateur réseau.
    • Exclure (non recommandé) : Si vous cliquez sur ce bouton, le programme configurera le risque de manière à ce qu'il ne soit plus détecté. En d'autres termes, le programme antivirus conservera le risque de sécurité sur l'ordinateur et ne le détectera plus pour le supprimer.

    • Ignorer : Cette option indique au moteur d'analyse d'ignorer le risque pour cette analyse seulement. Il sera encore détecté à la prochaine analyse.

    • Annuler : Il s'agit d'une nouvelle option de Norton AntiVirus 2005. Elle est utilisée quand le programme a déterminé qu'il ne peut pas supprimer un risque de sécurité. Cette option d'annulation indique au moteur d'analyse d'ignorer le risque pour cette analyse seulement ; ainsi, le risque sera détecté à la prochaine analyse.

      Pour supprimer véritablement le risque de sécurité :
      • Cliquez sur le nom du fichier (sous la colonne Nom de fichier).
      • Dans la boîte de dialogue Informations sur l'élément, saisissez le nom complet du chemin d'accès et le nom du fichier.
      • Servez-vous ensuite de l'Explorateur Windows pour localiser et supprimer le fichier.

        Si Windows signale qu'il ne peut supprimer le fichier, cela signifie qu'il est utilisé. Dans ce cas, suivez les autres instructions de cette page, redémarrez l'ordinateur en mode sans échec puis supprimez le fichier en utilisant l'Explorateur Windows. Redémarrez l’ordinateur en Mode normal.

    • Supprimer : Cette option tentera de supprimer les fichiers détectés. Dans certains cas, le moteur d'analyse n'en sera pas capable.
      • Si un message du type "Echec de la suppression" s'affiche, supprimez manuellement le fichier.
      • Cliquez sur le nom de fichier du risque sous la colonne Nom de fichier.
      • Dans la boîte de dialogue Informations sur l'élément, saisissez le nom complet du chemin d'accès et le nom du fichier.
      • Servez-vous ensuite de l'Explorateur Windows pour localiser et supprimer le fichier.

        Si Windows signale qu'il ne peut supprimer le fichier, cela signifie qu'il est utilisé. Dans ce cas, suivez les autres instructions de cette page, redémarrez l'ordinateur en mode sans échec puis supprimez le fichier en utilisant l'Explorateur Windows. Redémarrez l’ordinateur en Mode normal.
Important : Si votre produit antivirus Symantec signale qu'il ne peut pas supprimer un fichier détecté, il est possible que ce fichier soit utilisé par Windows. Pour résoudre ce problème, exécutez l'analyse en mode sans échec. Pour des instructions détaillées, consultez le document intitulé : Comment démarrer l'ordinateur en mode sans échec . Si vous avez redémarré l'ordinateur en mode sans échec, exécutez l'analyse une nouvelle fois.

Après avoir supprimé les fichiers, redémarrez l'ordinateur en mode normal et passez à la section suivante.

Des messages d'avertissement peuvent s'afficher lorsque l'ordinateur est redémarré, puisque le risque n'est peut-être pas encore totalement supprimé. Vous pouvez ignorer ces messages et cliquer sur OK. Ces messages ne s'afficheront plus au redémarrage de l'ordinateur lorsque vous aurez appliqué toutes les instructions de suppression. Les messages affichés peuvent ressembler au message suivant :

Objet : [Chemin du fichier]
Corps du message : Windows cannot find [nom du fichier]. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

4. Pour supprimer la valeur du registre
Important : Nous vous recommandons vivement d’effectuer une sauvegarde du registre avant d’y apporter des modifications. Une modification incorrecte du registre peut provoquer la perte définitive de données ou la corruption de fichiers. Ne modifiez que les sous-clés indiquées. Consultez le document intitulé Comment faire une copie de sauvegarde du Registre de Windows .
  1. Cliquez sur Démarrer > Exécuter.
  2. Tapez regedit

    Puis cliquez sur OK.

    Remarque : Si l'Editeur du Registre ne s'ouvre pas, le risque a pu modifier le registre pour en empêcher l'accès. Security Response a développé un outil permettant de résoudre ce problème. Téléchargez et exécutez cet outil, puis poursuivez la suppression.

  3. Accédez à la sous-clé :

    HKEY_ALL_USERS\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  4. Dans le volet droit, supprimez toute valeur se rapportant à Virtual Bouncer.

  5. Naviguez vers ces clés et supprimez-les :

    HKEY_CLASSES_ROOT\CLSID\{25AE1A9B-87D2-418F-A3A6-5A46EDC37A84}
    HKEY_CLASSES_ROOT\CLSID\{9CC6F6D3-8B13-4206-ABC1-8B285F9413A7}
    HKEY_CLASSES_ROOT\CLSID\{9FE4D9E6-13BB-43E0-8C74-9800573DA4D6}
    HKEY_CLASSES_ROOT\CLSID\{A85C505E-AAE3-4CB0-AEE1-CB8213B140FB}
    HKEY_CLASSES_ROOT\CLSID\{B0BE4BBC-C1B6-4EA3-B346-7358FEC20248}
    HKEY_CLASSES_ROOT\CLSID\{BE40278C-1C4E-4A63-BC3D-811646900A1A}
    HKEY_CLASSES_ROOT\CLSID\{CF0FBBF5-1DDD-4D58-B480-AC2C2A4186D3}
    HKEY_CLASSES_ROOT\CLSID\{DCB5773B-4D84-4E6F-8E21-96F2A5B431A8}
    HKEY_CLASSES_ROOT\CLSID\{EEC056CE-3E1B-4571-BEE1-EAB9876B35F8}
    HKEY_CLASSES_ROOT\Interface\{0990E9A3-FC49-4AA8-91CE-F738BCBB7C8F}
    HKEY_CLASSES_ROOT\Interface\{261214CB-3021-4DE0-9D21-5957ACD1781A}
    HKEY_CLASSES_ROOT\Interface\{2C2EBD54-ED76-4343-902B-336D1DB63763}
    HKEY_CLASSES_ROOT\Interface\{36C9C487-E14F-4BB9-9882-AC613193EE46}
    HKEY_CLASSES_ROOT\Interface\{6A4C71B1-1A79-483A-A400-F026936CC7B7}
    HKEY_CLASSES_ROOT\Interface\{85D1E607-0C1A-4E69-BA9B-2E5FFA382D68}
    HKEY_CLASSES_ROOT\Interface\{88EB5B21-0FE7-4208-8F1C-26915F7E2432}
    HKEY_CLASSES_ROOT\Interface\{934E4898-DE90-45E1-ADF4-C383DCAE7B26}
    HKEY_CLASSES_ROOT\Interface\{BE05F07D-131C-4935-941B-0D41CEB07E67}
    HKEY_CLASSES_ROOT\Interface\{E2B951F0-9F32-4260-90F7-A988BEFF7F0C}
    HKEY_CLASSES_ROOT\Interface\{F634E01A-833A-49FB-BAE2-3A00CECC3A94}
    HKEY_CLASSES_ROOT\TypeLib\{73D7ABFE-D325-430A-817F-64C7BFD48813}
    HKEY_CLASSES_ROOT\VBDNR.cCookie
    HKEY_CLASSES_ROOT\VBDNR.cErrorLog
    HKEY_CLASSES_ROOT\VBDNR.cHistory
    HKEY_CLASSES_ROOT\VBDNR.cRegistryRoutines
    HKEY_CLASSES_ROOT\VBDNR.cScheduler
    HKEY_CLASSES_ROOT\VBDNR.cSignature
    HKEY_CLASSES_ROOT\VBDNR.cThreatLevel
    HKEY_CLASSES_ROOT\VBDNR.cUserSettings
    HKEY_CLASSES_ROOT\VBDNR.DNRDirector
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Virtual Bouncer
    HKEY_ALL_USERS\Software\VB and VBA Program Settings
    HKEY_ALL_USERS\Software\VB and VBA Program Settings\VBouncer
    HKEY_ALL_USERS\Software\VB and VBA Program Settings\VBouncer\Settings

  6. Quittez l’Editeur du Registre.