Malicious Software Information

Sécurité informatique & Diagnostic.

Blog

PUP.BitGuard

Posted on September 13, 2013 at 6:00 PM

 

Origine :

- Fiche Créée le 13/09/13 par Nicolas Coolman.

- Fiche modifiée le 22/09/13.

 

Caractéristiques :

- Il appartient à une famille de PUP avec des fonctionnalités d'adware et de polluteware.

- Un PUP (Potentially Unwanted Programs) est un programme indésirable.

- Un adware est un programme qui ajoute d'autres programmes à l'insu de l'utilisateur.

- Un polluteware est un logiciel qui pollue les unités de stockage et/ou la Base de Registres.

- Il est souvent associé à Hijacker.Eazel  

- Développé par la société MediaTechSoft Inc.

 

Actions principales :

- Il installe un plugin pour le navigateur Mozilla Firefox (M3),

- Il s'installe en tant que valeur de registre AppInit_DLLs (O20),

- Il s'installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),

- Il démarre une tâche planifiée en automatique (O39),

- Il s'installe en tant que programme (O42),

- Il crée des dossiers supplémentaires (O43),

- Il s'installe dans le dossier Windows prefetcher (O45),

- Il crée de multiples fichiers utilisateurs (O61),

- Il crée dans le Registre une clé Legacy pointant sur un service malware (O64),

- Il crée des clés de registre aléatoires avec de multiples valeurs. (091)

 

Aperçu ZHPDiag :

 

---\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)

M3 - MFPP: Plugins - [Utilisateur] -- C:\Documents and Settings\Coolman\Application Data\Mozilla\Firefox\Profiles\s3a7k4mv.default\searchplugins\BitGuard.xml

 

---\\ AppInit_DLLs Registry value Autorun (O20)

O20 - AppInit_DLLs: . (...) - c:\docume~1\Coolman\applic~1\bitguard\261673~1.238\{c16c1~1\bitguard.dll


---\\ Liste des services NT non Microsoft et non désactivés (O23)

O23 - Service: BitGuard (BitGuard) . (...) - C:\ProgramData\BitGuard\2.6.1673.238\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe


---\\ Tâches planifiées en automatique (O39)

O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\BitGuard.job [280]

 

---\\ Logiciels installés (O42)

O42 - Logiciel: BitGuard - (.MediaTechSoft Inc..) [HKLM][64Bits] -- {15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}

 

---\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)

O43 - CFD: 12/09/2013 - 20:19:18 - [8,084] ----D C:\Documents and Settings\All Users\Application Data\BitGuard

O43 - CFD: 12/09/2013 - 20:19:25 - [0,001] ----D C:\Documents and Settings\Coolman\Menu Démarrer\Programmes\BitGuard

O43 - CFD: 14/09/2013 - 14:39:59 - [8,436] ----D C:\ProgramData\BitGuard

O43 - CFD: 14/09/2013 - 14:40:07 - [0,001] ----D C:\Users\Coolman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard

 

---\\ Derniers fichiers créés par Windows Prefetcher (O45)

O45 - LFCP:[MD5.7B388487CF9C4D3F09244E8BA4ECEF55] - 14/09/2013 - 13:40:17 ---A- - C:\Windows\Prefetch\BITGUARD.EXE-86EB8BEB.pf

 

---\\ Derniers fichiers modifiés ou crées (Utilisateur) (O61)

O61 - LFC: 12/09/2013 - 19:19:25 ---A- . (...) -- C:\Documents and Settings\Coolman\Menu Démarrer\Programmes\BitGuard\Uninstall BitGuard.lnk [1353]

 

---\\ Liste des services Legacy (O64)

O64 - Services: CurCS - 10/09/2013 - Pas de propriétaire (BitGuard) .(...) - LEGACY_BITGUARD

 

---\\ Export de clés de registre aléatoires (O91)

[HKCU\Software\8ed7d0b639bf45]:GUID="{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}" =>Hijacker.Eazel

[HKCU\Software\8ed7d0b639bf45]:INSTALL_FOLDER_NAME="BitGuard"

[HKCU\Software\8ed7d0b639bf45]:PROTECTOR_DLL_NAME="BitGuard.dll"

[HKCU\Software\8ed7d0b639bf45]:PROTECT_EXE_NAME="BitGuard.exe"

[HKCU\Software\8ed7d0b639bf45]:SERVICE_NAME="BitGuard"

[HKLM\Software\8ed7d0b639bf45]:INSTALL_FOLDER_NAME="BitGuard"

[HKLM\Software\8ed7d0b639bf45]:PROTECTOR_DLL_NAME="BitGuard.dll"

[HKLM\Software\8ed7d0b639bf45]:PROTECT_EXE_NAME="BitGuard.exe"

[HKLM\Software\8ed7d0b639bf45]:SERVICE_NAME="BitGuard"


 

---\\ Etat général des services non Microsoft (EGS) (SR=Running, SS=Stopped)

SR - | Auto 13/09/2013 3029472 | (BitGuard) . (...) - C:\ProgramData\BitGuard\2.6.1673.238\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe

 

---\\ Scan Additionnel (O88)

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}]

[HKLM\SYSTEM\CurrentControlSet\Services\BitGuard]

[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BITGUARD]

C:\ProgramData\BitGuard

C:\Users\Coolman\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard

C:\Documents and Settings\Coolman\Menu Démarrer\Programmes\BitGuard

C:\Documents and Settings\All Users\Application Data\BitGuard

C:\Documents and Settings\Coolman\Menu Démarrer\Programmes\BitGuard

C:\WINDOWS\Tasks\BitGuard.job

 

Alias :

Gen:Variant.Adware.BHO.Bprotector.1 [F-Secure]

Win32:BProtect-A [PUP] [Avast!]

PUP.BProtector

 

Liens :

www.virustotal.com


Supprimer (Remove) :

- Supprimer le logiciel "BitGuard" via le panneau de configuration Windows,

- Appliquer un script de nettoyage ZHPFix pour les lignes restantes identifiées dans le rapport ZHPDiag,


Categories: PUP, Adware, Polluteware

Post a Comment

Oops!

Oops, you forgot something.

Oops!

The words you entered did not match the given text. Please try again.

You must be a member to comment on this page. Sign In or Register

0 Comments

Derniers billets...

0 comments
0 comments
0 comments
0 comments

Google Analytics