[SUPER] encodage video et Malware

Logiciels

Modérateur: Modérateurs et Modératrices

[SUPER] encodage video et Malware

Messagede div.secu » 16 Mar 2016, 13:30

Bonjour,

Je suis assez étonné de voir SUPER dans votre logithèque , du fait de la foultitude de barre et autre junkware qu'il installe en cachette et de la manière particulièrement vicieuse qu'il à de nous forcer a accepter l'installation de logiciel partenaires ...

A moins que votre version ne soit une version nettoyée je vous avoue que j'ai du mal a comprendre .... Il existe beaucoup d'autre soft tout aussi efficace et beaucoup moins problématique non ?

En tout les cas votre site est top ;) Un des dernier du genre en FR et pour cela mille merci ;)
div.secu
 
Messages: 2
Inscription: 16 Mar 2016, 12:25

Re: [SUPER] encodage video et Malware

Messagede pierre » 16 Mar 2016, 18:03

Bonjour div.secu et bienvenue,

De quel SUPER on parle, là ?

https://www.google.fr/search?q=site:assiste.com+super

Un lien sur le site, SVP car il y en a tellement (tout s'appelle SUPER, ou presque) :Mouaaarrrrffffffff:

Bon, je cherche, je télécharge et je regarde.

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24560
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: [SUPER] encodage video et Malware

Messagede pierre » 16 Mar 2016, 18:11

Re,

C'est ça ?
http://assiste.com/Super_%28convertisse ... o_video%29
Bon sang ! Cette page était un vieil essai de pliage dépliage des paragraphes.
Rien ne fonctionne dans cette page.
En plus il n'y a pas de lien de téléchargement
Bon, je vais à la pèche.
@+
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24560
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: [SUPER] encodage video et Malware

Messagede pierre » 16 Mar 2016, 21:39

Re,

L'ancienne version que j'avais emportait, en bundle, OpenCANDY (un adware)
https://www.virustotal.com/fr/file/e34d ... 442036821/
Ratio de détection :
7/55 il y a 6 mois.
10/55 à l'instant

Nouvelle version téléchargée à l'instant : (le fichier pèse 68 MO)
Ratio de détection :
VirusTotal : 0/55 à l'instant https://www.virustotal.com/fr/file/21fe ... /analysis/
MetaDefender (ex MetaScan) : 0/43 à l'instant https://www.metadefender.com/#!/results ... c9/regular
Jotti : Maximum 50 MO
VirScan : Maximum 20 MO
Gary's Hood Online Virus Scanner : Maximum 10 MO
ThreatExpert : Maximum 5 MO

Sandboxing Anubis : 8 MO max !
Je tente la vxStream (100 MO max) mais il y a 185 jobs avant moi. Je vais avoir les résultats demain !

J'ouvre l'installeur et je choisi " Français ".

Blocage immédiat par KTS d'une tentative de téléchargement d'un outil de monétisation depuis webhop.org avant même d'arriver à la lecture de la EULA ou de quelque case à cocher / décocher que ce soit ou de quelque option d'installation que ce soit. C'est donc systématique. Impossible d'éviter ça. C'est déjà téléchargé avant toute chose.

Si je regarde le site de webhop.org :

Using the technology of Dynamic DNS, Remote Access allows you to remotely access your computer, DVR, webcam, camera system, and other devices using an easy to remember custom hostname.


Prise de contrôle à distance de l'ordinateur, du lecteur de DVD, des caméras, micros, etc. ... :furious3:

Clic sur " Suivant "

La EULA - Je la recopie ici car les petits caractères sur fond blanc me font mal aux yeux. Et... lecture. Oui, je sais, personne ne lit, mais moi, oui !

C'est en anglais, donc illégal et ne peut s'imposer à l'utilisateur, même s'il clique sur l'acceptation, car personne ou presque (mis à part nickW et quelques autres ici, ne peut comprendre un contrat juridique dans une langue étrangère (même en français, ils ne comprendraient pas)).

Le contrat est signé entre le propriétaire des droits du logiciel ou ses revendeurs ! Mais on ne sait rien, ni des uns ni des autres. Donc on signe un contrat avec un inconnu. Il y a bien écrit erightsoft.com mais on n'a aucune inscription d'une personne morale à un registre du commerce et des sociétés, ou à un registre des métiers. erightsoft.com, c'est juste un hébergement sur des serveurs - rien de plus.
Le contrat insiste sur le fait que la société serait aux États Unis et relève exclusivement du droit américain. Pour les autres, débrouillez-vous avec votre législation.

Alors, on fait un Whois. C'est un nom de domaine acheté chez Godaddy, donc il faut aller sur le Whois de Godaddy qui ne partage pas ses Whois avec d'autres :
https://who.godaddy.com/whoisstd.aspx?d ... 0pM24dfblC

Oh miracle - le whois donne un registrant (généralement c'est une information masquée et il faut une injonction d'un juge, justifiée, pour l'obtenir (demande par un avocat ou un huissier...)).
Il réside... à Chypre ! Il faut chercher Agios Mamas pour voir si c'est Chypre ou le Chypre du Nord, dans la zone d'occupation turque.
Bon, c'est Chypre (sud).
Je me demande, avec les conflits actuels dans la région, si un opérateur d'un site dont les serveurs sont sur un autre territoire pourrait être " inquiété ".

Donc, on signe avec une entité qui n'a pas d'existence en tant que " personne morale " et dont l'existence en tant que " personne physique " est hors de toutes atteintes.




C'est moi qui surligne en rouge.

END USER LICENSE AGREEMENT

Limited Use Software License Agreement
Please read BEFORE INSTALLING


PLEASE READ THIS AGREEMENT CAREFULLY BEFORE ATTEMPTING TO INSTALL AND USE THIS SOFTWARE / FREEWARE APPLICATION PROGRAM CALLED SUPER © AND RELATED DOCUMENTATION (COLLECTIVELY, THE "SOFTWARE") AND BEFORE CLICKING ON THE "I ACCEPT THE AGREEMENT" BUTTON BELOW. YOU PERFECTLY UNDERSTAND THAT BY CLICKING ON THE "I ACCEPT THE AGREEMENT" BUTTON BELOW, OR BY INSTALLING OR USING THE SOFTWARE, YOU ARE CONSENTING TO BE STRICTLY AND UNCONDITIONALLY BOUND BY EVERY AND EACH TERM OF THIS AGREEMENT.
DO NOT CLICK ON THE "I ACCEPT THE AGREEMENT" BUTTON BELOW IF YOU DO NOT UNDERSTAND, YOU ARE IN DOUBT, YOU DISLIKE, DISAPPROVE OR DISAGREE WITH ANY OF THESE TERMS AND CONDITIONS.

Subject to the terms and conditions of this Agreement, the Copyright holders and/or its suppliers (c'est qui ? avec qui on signe !) "the Owner(s)" grant you a personal, non-exclusive and non-transferable right to use the Software solely on any personal computer and solely for non-commercial, PERSONAL USE ONLY.

You agree not to make any copies of the Software other than those inherent in loading and using the Software on a personal computer. Any copies made must contain all copyright notices that appear on the furnished Software.

Things You May Not Do
You accept and confirm not to directly or indirectly, willingly or unwillingly,
in whole or in part undertake any of the following actions:

1. modify the Software;
2. reverse assemble, reverse engineer, reverse compile or otherwise attempt
to create a source code equivalent of the Software;
3. remove any proprietary notices or labels pertaining to the Software; or
4. transfer, sell, publish, sublicense, rent, lease, lend, or otherwise
distribute to others, copies of all or any portion of the Software.


You may terminate this license at any time by deleting this software from your PC and destroying all copies of the Setup file in your possession.
This license will automatically be void the moment you use the Software for any purpose other than what is authorized by the terms herein.


Privacy
Only the main GUI (Graphical User Interface) of SUPER © is written by eRightSoft. However, this installation package contains as well other executable files written by third party sponsors (lire Sponsor) et Bundle) that will be launched by simply clicking on the "I ACCEPT THE AGREEMENT" button. Some of these third party companies may recommend or provide advertisements about various services or may even download and install several other softwares or toolbars that replace your current browser's homepage and modify your default browser's search engine (lire Hijack). Note that during the installation process your web browser might be launched to open and display some advertisements or related information.


Un Installing
When you UnInstall SUPER © from your PC machine, you wipe out the files related to the application itself. However, some or all of the third party companies recommendations softwares or toolbars may still be installed on your PC machine.
UnInstalling SUPER © from your PC machine does not remove the related registry modifications applied to your PC machine during the installation. [b][color=#FF0000]Each recommendations software has to be uninstalled separately through the "Configuration Panel". (Ça, il n'est pas évident qu'il y ait une procédure de désinstallation).
eRightSoft does not have any information about the recommended softwares and toolbars offered by the third party companies, therefore eRightSoft cannot provide any technical support or help on how to remove or un-install those recommended softwares and toolbars offered by the third party sponsor companies.[/color][/b]



No Warranty and Limitation of Liability.
eRightSoft PROVIDES THE SITE AND SERVICES "AS IS" AND WITHOUT ANY WARRANTY OR CONDITION, EXPRESS, IMPLIED OR STATUTORY. YOU AGREE THAT YOUR USE OF THE SERVICES SHALL BE AT YOUR SOLE RISK. TO THE FULLEST EXTENT PERMITTED BY LAW, eRightSoft, ITS DIRECT OR INDIRECT REPRESENTATIVES, OFFICERS, DIRECTORS, EMPLOYEES, AND AGENTS DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, IN CONNECTION WITH THE SERVICES AND YOUR USE THEREOF. eRightSoft MAKES NO WARRANTIES OR REPRESENTATIONS ABOUT THE ACCURACY OR COMPLETENESS OF THIS SITE'S CONTENT OR THE CONTENT OF ANY SITES LINKED TO THIS SITE AND ASSUMES NO LIABILITY OR RESPONSIBILITY FOR ANY (I) ERRORS, MISTAKES, OR INACCURACIES OF CONTENT, (II) PERSONAL INJURY OR PROPERTY DAMAGE, OF ANY NATURE WHATSOEVER, RESULTING FROM YOUR ACCESS TO AND USE OF OUR SERVICES, (III) ANY UNAUTHORIZED ACCESS TO OR USE OF OUR SECURE SERVERS AND/OR ANY AND ALL PERSONAL INFORMATION AND/OR FINANCIAL INFORMATION STORED THEREIN, (IV) ANY INTERRUPTION OR CESSATION OF TRANSMISSION TO OR FROM OUR SERVICES, (IV) ANY COMPUTER BUGS, VIRUSES, OR SIMILAR MECHANISMS WHICH MAY BE TRANSMITTED TO OR THROUGH OUR SERVICES BY ANY THIRD PARTY, AND/OR (V) ANY ERRORS OR OMISSIONS IN ANY CONTENT OR FOR ANY LOSS OR DAMAGE OF ANY KIND INCURRED AS A RESULT OF THE USE OF ANY CONTENT POSTED, EMAILED, TRANSMITTED, OR OTHERWISE MADE AVAILABLE VIA THE SERVICES. eRightSoft DOES NOT WARRANT, ENDORSE, GUARANTEE, OR ASSUME RESPONSIBILITY FOR ANY PRODUCT OR SERVICE ADVERTISED OR OFFERED BY A THIRD PARTY THROUGH THE SERVICES OR ANY HYPERLINKED SERVICES OR FEATURED IN ANY BANNER OR OTHER ADVERTISING, AND eRightSoft WILL NOT BE A PARTY TO OR IN ANY WAY BE RESPONSIBLE FOR MONITORING ANY TRANSACTION BETWEEN YOU AND THIRD-PARTY PROVIDERS OF PRODUCTS OR SERVICES. AS WITH THE PURCHASE OF A PRODUCT OR SERVICE THROUGH ANY MEDIUM OR IN ANY ENVIRONMENT, YOU SHOULD USE YOUR BEST JUDGMENT AND EXERCISE CAUTION WHERE APPROPRIATE.

You understand and agree that you use the Site and Services at your own discretion and risk and that you will be solely responsible for any damages that arise from such use. IN NO EVENT SHALL eRightSoft, ITS DIRECT OR INDIRECT REPRESENTATIVES, OFFICERS, DIRECTORS, EMPLOYEES, OR AGENTS, BE LIABLE TO YOU FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, PUNITIVE, OR CONSEQUENTIAL DAMAGES WHATSOEVER RESULTING FROM ANY (I) ERRORS, MISTAKES, OR INACCURACIES OF CONTENT, (II) PERSONAL INJURY OR PROPERTY DAMAGE, OF ANY NATURE WHATSOEVER, RESULTING FROM YOUR ACCESS TO AND USE OF OUR SERVICES, (III) ANY UNAUTHORIZED ACCESS TO OR USE OF OUR SECURE SERVERS AND/OR ANY AND ALL PERSONAL INFORMATION AND/OR FINANCIAL INFORMATION STORED THEREIN, (IV) ANY INTERRUPTION OR CESSATION OF TRANSMISSION TO OR FROM OUR SERVICES, (IV) ANY COMPUTER BUGS, VIRUSES, OR SIMILAR MECHANISMS WHICH MAY BE TRANSMITTED TO OR THROUGH OUR SERVICES BY ANY THIRD PARTY, AND/OR (V) ANY ERRORS OR OMISSIONS IN ANY CONTENT OR FOR ANY LOSS OR DAMAGE OF ANY KIND INCURRED AS A RESULT OF YOUR USE OF ANY CONTENT POSTED, EMAILED, TRANSMITTED, OR OTHERWISE MADE AVAILABLE VIA THE SERVICES, WHETHER BASED ON WARRANTY, CONTRACT, TORT, OR ANY OTHER LEGAL THEORY, AND WHETHER OR NOT eRightSoft IS ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. THE FOREGOING LIMITATION OF LIABILITY SHALL APPLY TO THE FULLEST EXTENT PERMITTED BY LAW IN THE APPLICABLE JURISDICTION. YOU SPECIFICALLY ACKNOWLEDGE THAT eRightSoft SHALL NOT BE LIABLE FOR CONTENT OR THE DEFAMATORY, OFFENSIVE, OR ILLEGAL CONDUCT OF ANY THIRD PARTY AND THAT THE RISK OF HARM OR DAMAGE FROM THE FOREGOING RESTS ENTIRELY WITH YOU.

YOUR ONLY RIGHT WITH RESPECT TO ANY DISSATISFACTION WITH THIS SITE OR SERVICES OR WITH eRightSoft SHALL BE TO TERMINATE USE OF THIS SITE AND SERVICES.

The Services are controlled and offered by eRightSoft from its facilities in the United States of America. eRightSoft makes no representations that the Services are appropriate or available for use in other locations. Those who access or use the Services from other jurisdictions do so at their own volition and are responsible for compliance with local law.


Après le sandboxing, je vais tout de même poursuivre pour voir 3 choses (mais ça risque d'être long - la sandbox s'est cassé la figure et je recommence :

KTS (Kaspersky Total Security (qui a déjà bloqué un téléchargement avant même que l'installation ne commence)
Malwarebytes Premium
Et le petit Unchecky en version 0.4.2 dont le service est en cours d'exécution. A mon avis, il fait ce qu'il peut et n'en peut mais avec ce truc où il n'y a aucune case à décocher.

A suivre...

Et merci pour avoir soulevé ce coin du voile. Je ne met toujours pas le lien de téléchargement sur la fiche mais je l'ai réécrite -elle est en cours d'upload (avec un peu plus de 2210 autres pages, donc d'ici 1 heure environ).

J'attache ce fil de discussion en zone de discussion de la fiche sur SUPER.

Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24560
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: [SUPER] encodage video et Malware

Messagede pierre » 16 Mar 2016, 22:11

Plus que 169 jobs avant le mien.
On voit ça demain.
Pierre
Avatar de l’utilisateur
pierre
 
Messages: 24560
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: [SUPER] encodage video et Malware

Messagede pierre » 16 Mar 2016, 23:01

La VxStream Sandbox s'est encore cassé la figure.
Je crois que je vais abandonner.
Pierre
Avatar de l’utilisateur
pierre
 
Messages: 24560
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: [SUPER] encodage video et Malware

Messagede pierre » 17 Mar 2016, 16:15

Re,

Eu le sandboxing dans la nuit.
C'est là que l'on rencontre les limites des sandbox par rapport aux machines virtuelles.

VxStream ne voit rien !
https://www.hybrid-analysis.com/sample/ ... onmentId=1

  • Dans la SandBox, si un fichier est déposé (écrit), la SandBox voit cette tentative, note cette tentative, mais cette écriture n'existe pas réellement : il est simplement notée une tentative d'écrire un fichier en passant la barrière de confinement de la sandbox, qui le refuse.
  • Dans une machine virtuelle, la création / dépôts des fichiers auraient réellement eu lieu dans un disque virtuel et, de là, ces fichiers peuvent être analysés.

Un peu d'analyses " à la main " :
Je le fais en anglais pour des besoins de communication.


Analysis of SUPER (SUPER © Simplified Universal Player Encoder & Recorder.)
From http://www.erightsoft.com/SUPER.html


VxStream analysis
For the present case, it is useless.
https://www.hybrid-analysis.com/sample/ ... onmentId=1


VxStream don't VirusTotal each file created
It's the limit between SandBox and VM (Virtual Machine).

I give the name SUPERsetup_2016_03_16.exe to the downloaded file

There is no checkboxes. The acceptance of the EULA leads to the acceptance of the simultaneous implantation of adware / hijacker / toolbars / etc. ...

At the opening, before any user interaction (before the acceptance of the EULA), are created :

1/ a directory
C:\Users\ User_Login \AppData\Local\temp\is-I23FJ.tmp
with file :

SUPERsetup_2016_03_16.tmp
Ratio 0/56
https://www.virustotal.com/fr/file/556d ... 458205112/


2/ a directory
C:\Users\ User_Login \AppData\Local\temp\is-8NJ5E.tmp
with files :


flvdec.spk
Ratio 1/54
https://www.virustotal.com/fr/file/13cf ... 458203894/


itdnl32.dll
Ratio 0/56
https://www.virustotal.com/fr/file/b278 ... 458204418/



itdownload.dll
Ratio 1/56
https://www.virustotal.com/fr/file/b258 ... 458204549/
The name itself let think it's a downloader.
In the EULA, we can read this :
"...or may even download and install several other softwares or toolbars that replace your current browser's homepage and modify your default browser's search engine..."
The user must accept the download of unknown programms and the hijack of his browsers.
It is a pyramid mechanism.



sam__2268_il22149.exe
Ratio 9/56
Outil de monétisation (Monetization Tool) Amonetize
Hijacker of browsers
https://www.virustotal.com/fr/file/caf4 ... 458202281/


3/ Sub Dir with 3 files
C:\Users\ User_Login \AppData\Local\temp\is-8NJ5E.tmp\_isetup


_RegDLL.tmp
Ratio 0/56
https://www.virustotal.com/fr/file/4dc0 ... 458209165/


_setup64.tmp
Ratio 0/56
https://www.virustotal.com/fr/file/a4c8 ... 458209319/


_shfoldr.dll
Ratio 0/56
https://www.virustotal.com/fr/file/9884 ... 458209397/

__________________________________________________________________

herdProtect (68 antivirus) ne m'en apprend pas davantage.


Cordialement
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 24560
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: [SUPER] encodage video et Malware

Messagede Tourix » 13 Fév 2017, 19:56

Bonjour,
Histoire de voir qu'il est "propre" quand j'essaie de télécharger ce logiciel en cliquant sur le 1er choix
"Strongly Recommended. WITHOUT any additional 3rd party..." qui me dirige vers hxxx://www.erightsoft.com/GetNOBUNDLESfile.php?c=21, il ne se passe rien en cliquant sur le logo qui tourne en rond...Il est censé me donner le .exe
warning.png
warning.png (4.63 Kio) Vu 1175 fois
Pourtant, comme écrit :
JavaScript activé ; Cookie activé ; HTTP REFERRER ok ; Pare-feu ok ; "Do not use any download manager" ok
faq.png
faq.png (8.8 Kio) Vu 1175 fois
Puis le 2ème choix, non merci.
Avatar de l’utilisateur
Tourix
 
Messages: 580
Inscription: 10 Juin 2014, 08:39


Retourner vers Logithèque

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités