'Windows Troubleshooter' Technical Support Scam
'Windows Troubleshooter' Technical Support Scam est une campagne lancée par des escrocs informatiques dont le but est de vendre un faux outil de restauration système. 'Windows Troubleshooter' Technical Support Scam est facilité par plusieurs outils téléchargés sur le PC de la victime à travers ce qui est promu comme un shareware cracké (un programme payant). Les escroques utilisent P2P et les réseaux de partage de fichiers ouverts pour distribuer un paquet qui comprend — csrvc.exe, BSOD.exe, troubleshoot.exe, scshtrv.exe et adwizz.exe. Ces outils sont utilisés pour produire un faux écran bleu de la mort, charger des publicités et générer une fenêtre programme intitulée 'Troubleshooting Windows'. Les messages utilisés par 'Windows Troubleshooter' Technical Support Scam visent à perturber et effrayer les utilisateurs ainsi qu'à fournir un faux instrument de dépannage qui vise supposément à récupérer votre système. Les applications lancées dans 'Windows Troubleshooter' Technical Support Scam sont téléchargées depuis le site hxxp://hitechnovation[.]com qui est enregistré sur l'adresse IP 182.50.132.48.
- adwizz.exe (SHA256: 5becf86e5ad1703345fa243458f6a3b6189619f87e67ffab6bc874d6bdf7c03f) est utilisé pour charger les publicités de Banggood.com en arrière-plan et générer des revenus publicitaires. L'application est marquée comme suit:
Artemis!8606B485B012
Suspicious_GEN.F47V1013
Troj.Horse.Gen!c
Trojan.Ransom.TechSupportScam - BSOD.exe (SHA-256: 9a95f7e477cede36981a6a1e01a849d9c6aeac3985ee3a492cf4136bb6dab69c), comme vous pouvez le deviner, est utilisé pour produire un faux écran bleu de la mort. L'application est marquée comme suit:
Suspicious_GEN.F47V1116
TR/Spy.Gen
Trojan/Win32.Agent.C2274128
Win32.Trojan.Spy.Dxdc - csrvc.exe (SHA-256: 60c77f3c0e91218402f4b10ab8f5ecdff4812a1582d699f50664a1dd57a61556) est responsable de la désactivation du gestionnaire de tâches, de l'éditeur de registre et de l'explorateur de fichiers sous Windows. L'application est marquée comme suit:
MSIL/Agent.BGC!tr.spy
Spyware ( 0051b17d1 )
TROJ_GEN.R002H0AKD17
Trojan.Generic.22622103 - scshtrv.exe (SHA-256: ad2d8ad87b2a8b475b11a3fb09d8d6a03d64ab41801cbf57e4bc250f8dfd1e25) et winsrvhst.exe (SHA-256: 5638c04e9d6c863df5993f84cc43778b50e77ccabf9f05c76df00dba3e01a920)) sont conçus pour prendre une capture d'écran de votre bureau et le télécharger sur le serveur « Commande et Contrôle » des auteurs de la menace. L'application est marquée comme suit:
MSIL/Agent.BEU!tr.spy
Spyware ( 00518c121 )
TROJ_GEN.R002C0DKB17
Trojan.GenericKD.12549367
Trojan.MSILPerseus.D2012A
UDS:DangerousObject.Multi.Generic - troubleshoot.exe (SHA-256: 442b6a45b6d786589bd8f85043f04388f565b57e8b797853c18840b270af254b) est la fenêtre programme intitulée 'Troubleshooting Windows'. L'application de dépannage trompeur affiche une longue liste de DLL manquantes et cette dernière offre à l'utilisateur d'acheter 'Windows Defender Essentials' via PayPal. L'application est marquée comme suit:
FileRepMalware
Rogue.TechSupportScam
Suspicious_GEN.F47V1125
Trojan/Win32.Agent.C2274119
Les experts de la cybersécurité notent que 'Windows Troubleshooter' Technical Support Scam comporte plusieurs couches de tactiques et de mécanismes trompeurs pour empêcher les utilisateurs de PC de reprendre le contrôle de la machine infectée. Une autre caractéristique intéressante du programme 'Windows Troubleshooter' est qu'il injecte un code malveillant dans le navigateur Web par défaut et charge une page de paiement personnalisée où les utilisateurs sont censés se connecter avec PayPal et payer pour le pack 'Windows Defender Essentials'. Comme mentionné ci-dessus, 'Windows Troubleshooter' Technical Support Scam vise à vendre un faux logiciel de récupération système et les outils utilisés pour verrouiller votre accès au PC peuvent être utilisés pour déployer une autre charge de malware. Il est recommandé de démarrer en Mode sans échec avec prise en charge réseau et exécuter une analyse complète du système à l'aide d'un programme anti-malware réputé.
