Win32/Boaxxe

Win32/Boaxxe
5 (100%) 2 votes

Win32/Boaxxe est un trojan de type Trojan.Clicker, c’est à dire que c’est un Trojan qui va simuler des clics sur des publicités afin de faire gagner de l’argent aux concepteurs du malware.

Le malware se compose d’exécutable mais installe aussi des extensions malicieuses sur les navigateurs Firefox et Google Chrome, ceci afin de contrôler le surf opéré par l’utilisateur.

Cela permet de modifier les résultats des recherches Google lorsque l’internaute clic sur un résultat, il va se trouver sur un site WEB choisi par le malware pour rediriger l’internaute vers des publicités en relation avec les mots clefs tapés dans le moteur de recherche.

Il ne reste plus qu’à Win32/Boaxxe de simuler les clefs lorsque la page WEB s’ouvre.

ESET a publié une étude assez détaillée de ce malware : http://www.welivesecurity.com/2014/01/14/boaxxe-adware-a-good-ad-sells-the-product-without-drawing-attention-to-itself-pt-1/

Ci-dessous un exemple de détection NOD32 sur un ordinateur infecté par Win32/Boaxxe, on trouve aussi des détections, on trouve bien une détection dans les extensions Firefox – dans le cas observé Win32/Boaxxe est accompagné d’un autre malware nommé Sathurbot.

Microsoft peut détecter l’extension en TrojanClicker:JS/Faceliker

C:\Users\All Users\Microsoft\Secure\Icons\IconsCacheHelper.dll	a variant of Win64/Sathurbot.A trojan	
C:\Users\All Users\Microsoft\Secure\Icons\temp\tmpE59B.exe	Win32/Boaxxe.BR trojan	
C:\ProgramData\Microsoft\Secure\Icons\IconsCacheHelper.dll	a variant of Win64/Sathurbot.A trojan	cleaned by deleting (after the next restart) - quarantined
C:\ProgramData\Microsoft\Secure\Icons\temp\tmpE59B.exe	Win32/Boaxxe.BR trojan	cleaned by deleting - quarantined
C:\Users\Benjamin\AppData\Roaming\Mozilla\Firefox\Profiles\jnrzfh1c.default-1408432214703\extensions\{519A4093-56ED-DBB9-904B-DBC84988EEC3}\components\ShellDiscImage.js	Win32/Boaxxe.BU trojan	cleaned by deleting - quarantined

Côté méthode de propagation, Win32/Boaxxe ce dernier utilise surtout les exploits sur site WEB et notamment via des malvertisings.
Un exemple de malvertising conduisant à une infection Win32/Boaxxe avait été observé fin Juillet 2014, vous trouvez les informations sur la page : http://www.malekal.com/2014/01/31/w32boaxxe-by-swf-redirector/

La procédure suivante vous guide dans la désinfection de Win32/Boaxxe.

Nettoyer sur Malwarebytes Anti-Malware

https://www.youtube.com/watch?feature=player_embedded&v=tR-udi9MGU4

Scan en ligne NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : http://www.malekal.com/2010/11/12/scanner-votre-ordinateur-avec-un-antivirus-en-ligne-2/#NOD32

NOD32_ScanEnLigne0

Réinitialiser ses navigateurs WEB

Il peut être nécessaire de réinitialiser les navigateurs WEB Firefox et Google Chrome afin de suppriemr les éventuelles extensions malicieuses installés par Boaxxe

Sécuriser votre ordinateur

Il est conseillé de changer tous vos mots de passe qui peuvent avoir été récupérés.

Voici une page qui explique comment sécuriser son ordinateur : Sécuriser son ordinateur.

Besoin d’aide ?

Si besoin, Vous trouverez une procédure plus complète sur la page suivante : http://forum.malekal.com/desinfection-pups-programmes-parasites-t44500.html

Prenez le temps de lire la partie « Se Protéger » pour éviter de réinstaller des adwares ou programmes parasites.

Pour toute aide personnalisée, vous pouvez créer un sujet dans la partie Virus du forum malekal.com : http://forum.malekal.com/