L’infection Graftor se répand très rapidement, en l’espace de deux jour, j’ai détecté 5 variantes de nom de logiciel et les services qui vont avec.
Caractéristiques :
– Il appartient à une famille de PUP (Potentially Unwanted Program).
– Développé par la société Software Publisher.
Actions principales :
– Il s’installe en tant que service pour être lancé à chaque démarrage du système (O23),(SS/SR),
– Il s’installe en tant que programme (O42),
– Il crée des dossiers supplémentaires (O43),
– Il crée de multiples clés de Registre « Software »,
Voilà ce que donne le rapport de ZHPDiag :
—\ Liste des services NT non Microsoft et non désactivés (O23)
O23 – Service: LighterGeneration (f22bc34d) . (.Software Publisher – ???.) – c:Program Files (x86)LighterGenerationLighterGeneration.dll
O23 – Service: LinkInstance (10c3b81e) . (.Software Publisher – ???.) – c:Program Files (x86)LinkInstanceLinkInstance.dll—\ Logiciels installés (O42)
O42 – Logiciel: LinkInstance – (.Software Publisher.) — {12DA0E6F-5543-440C-BAA2-28BF01070AFA}{10c3b81e}
O42 – Logiciel: LibraryInstance – (.Software Publisher.) — {12DA0E6F-5543-440C-BAA2-28BF01070AFA}{1ca156e3}—\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 20/01/2015 – 14:47:37 – —-D C:Program Files (x86)LibraryInstance
O43 – CFD: 20/01/2015 – 07:41:28 – [] —-D C:Program Files (x86)LinkInstance
Le format rencontré :
Graftor commence par créer un service, plus précisément une clé de registre hexadécimale de 8 caractères. A chaque démarrage ce service lance une ressource de nom variable depuis le dossier des programmes.
Le nom du dossier est le même que celui de la ressource, qui est lui-même identique à la donnée de la valeur de clé « DisplayName ».
Conclusion :
ZHPcleaner prend en charge la suppression de Graftor :
– Il stoppe le service,
– Il supprime la clé de service HKLM,
– Il supprime la ressource malware,
– Il supprime le dossier malware,
– Il demande généralement un redémarrage du PC.
Voici un aperçu du rapport de suppression de ZHPCleaner :
~ ZHPCleaner v2015.1.20.28 by Nicolas Coolman (19/01/2015)
~ Run by Coolman (Administrator) (20/01/2015 20:29:07)
~ Type : Réparer
~ Windows 7, 64-bit Service Pack 1 (Build 7601)—\ Service. (5)
SERVICE ARRETE : f22bc55a
SERVICE ARRETE : f22bc34d
SERVICE ARRETE : 10c3b81e
SERVICE ARRETE : b80b68f9
SERVICE ARRETE : 1ca156e3—\ Explorateur ( Dossiers, Fichiers ). (10)
DEPLACÉ fichier: c:Program Files (x86)BringGenerationBringGeneration.dll […] (Heuristic.Graftor)
DEPLACÉ dossier: C:Program Files (x86)BringGeneration (Heuristic.Graftor)
DEPLACÉ fichier: c:Program Files (x86)LighterGenerationLighterGeneration.dll […] (Heuristic.Graftor)
DEPLACÉ dossier: C:Program Files (x86)LighterGeneration (Heuristic.Graftor)
DEPLACÉ fichier: c:Program Files (x86)LinkInstanceLinkInstance.dll […] (Heuristic.Graftor)
DEPLACÉ dossier: C:Program Files (x86)LinkInstance (Heuristic.Graftor)
DEPLACÉ fichier: c:Program Files (x86)PragmaGenerationPragmaGeneration.dll […] (Heuristic.Graftor)
DEPLACÉ dossier: C:Program Files (x86)PragmaGeneration (Heuristic.Graftor)
DEPLACÉ fichier: c:Program Files (x86)LibraryInstanceLibraryInstance.dll […] (Heuristic.Graftor)
DEPLACÉ dossier: C:Program Files (x86)LibraryInstance (Heuristic.Graftor)—\ Base de Registres ( Clés, Valeurs, Données ). (5)
SUPPRIMÉ clé: HKLMSYSTEMCurrentControlSetServicesf22bc55a (Heuristic.Graftor)
SUPPRIMÉ clé: HKLMSYSTEMCurrentControlSetServicesf22bc34d (Heuristic.Graftor)
SUPPRIMÉ clé: HKLMSYSTEMCurrentControlSetServices10c3b81e (Heuristic.Graftor)
SUPPRIMÉ clé: HKLMSYSTEMCurrentControlSetServicesb80b68f9 (Heuristic.Graftor)
SUPPRIMÉ clé: HKLMSYSTEMCurrentControlSetServices1ca156e3 (Heuristic.Graftor)
Logiciels concernés :
ZHPCleaner
ZHPDiag
