> Tous les forums > Forum Sécurité
 info: Moteur de recherche xeoo dans firefox
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Batch_Man
  Posté le 03/04/2009 @ 20:13 
Aller en bas de la page 
Astucien

Bonjour,

Le moteur de recherche xeoo est installé dans firefox ? Alors vous avez obligatoirement téléchargés firefox sur ce site:

hxxp://www.mozilla.fr/

Et donc pas le site officiel.

Le moteur de recherche xeoo est impossible à supprimer sans l'aide d'un helper pour le moment.

Je télécharge donc le fichier d'installation qui se nomme "mozilla_firefox_3_04_fr.exe" et je le lance:

La page d'installation me propose d'installer Mozilla Firefox 3.04 alors que la version actuelle ( 03/04/2009 ) est la version

3.08.

La page d'installation à malgré tout l'aire d'être normale:

Donc je clique sur suivant.

Je tombe sur un programme qui me propose deux choix:

  1. Installer le setup de firefox
  2. Installer le moteur de recherche xeoo

Donc c'est un fichier d'installation modifié mais je clique sur Installer car en plus j'ai un bonus: ce superbe moteur de recherche !

Le programme d'installation ne demande même pas le dossier où sera installé firefox et s'installe comme bon lui semble.

Bref maintenant l'installation est terminée:

Je regarde plus profondément et je vois dans le dossier d'installation de firefox ( %programfiles%\Mozilla Firefox ) un fichier nommé browserconfig.properties je l'ouvre et je retrouve

browser.startup.homepage=http://www.xeoo.com/?p=h&a=f

Donc la page de démarrage par défaut est maintenant http://www.xeoo.com/?p=h&a=f

Hop je découvre un autre fichier "old-homepage-default.propertie"

et bien sûr je l'ouvre et je trouve...

browser.startup.homepage=http://www.xeoo.com/?p=h&a=f

Donc toujours cette même page de xeoo, la page est en quelques sorte forcée au démarrage.

Grâce à un petit programme je trouve les dossiers et les fichiers créés le même jour et il m'indique ce dossier:

C:\Program Files\Mozilla Firefox\defaults\profile

à l'intérieur se trouve le dossier chrome

et les fichiers bookmarks.html, localstore.rdf, mimeTypes.rdf, prefs.js (ho un fichier de configuration de firefox )

Justement celui qui va nous intérresser et le fichier pref.js qui contient:


user_pref("pref.browser.homepage.disable_button.bookmark_page", false);
user_pref("pref.browser.homepage.disable_button.current_page", false);
user_pref("pref.browser.homepage.disable_button.restore_default", false);

user_pref("browser.places.importBookmarksHTML", true);
user_pref("browser.places.importDefaults", false);

user_pref("browser.search.selectedEngine", "xeoo.com");
user_pref("keyword.URL", "http://xeoo.com/?p=url&a=firefox&k=");
user_pref("browser.startup.homepage", "http://www.xeoo.com/?p=h&a=firefox");

Pour les 5 première lignes pas vraiment d'information si ce n'est que les valeur sont désactivées.

Pour les 3 dernières:

la 1ère indique que le moteur de recherche sélectionné est xeoo.com

la 2ème dit que lors de mes recherches il faut regarder dans http://xeoo.com/?p=url&a=firefox&k=

et la 3ème indique que la page d'accueil par défaut sera http://www.xeoo.com/?p=h&a=firefox

Bref votre navigateur est configuré pour faire tout avec xeoo.com.

Si je continue dans mes recherches je vois que le fichier

C:\Program Files\Mozilla Firefox\searchplugins\xeoocom.xml

est créé, bizarre même nom que mon moteur de recherche alakon. et si je l'ouvre je vois très bien que c'est xeoo encore.

et il à pour but de rediriger vos recherche par la petite barre de recherche firefox:

Commence vraiment à être envahissant ce moteur de recherche !

L'infection semble aussi créer ce dossier:

"%PROGRAMFILES%\Mozilla Firefox Bonus"

Contenant plusieurs fichiers de xeoo.com

Dans mon fichier

C:\Documents and Settings\Thomas\Application Data\Mozilla\Firefox\Profiles\ruly9hls.default\pref.js j'ai retrouvé les même traces de xeoo.com:

user_pref("pref.browser.homepage.disable_button.bookmark_page", false);
user_pref("pref.browser.homepage.disable_button.current_page", false);
user_pref("pref.browser.homepage.disable_button.restore_default", false);

user_pref("browser.places.importBookmarksHTML", true);
user_pref("browser.places.importDefaults", false);

user_pref("browser.search.selectedEngine", "xeoo.com");
user_pref("keyword.URL", "http://xeoo.com/?p=url&a=firefox&k=");
user_pref("browser.startup.homepage", "http://www.xeoo.com/?p=h&a=firefox");

De plus il semble aussi infecter infecter internet explorer avec la même technique que Yoog Search: les Search Cops !

En effet il installe ceci:

HKEY_USERS\%ALEATOIRE%\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A},DisplayName=Xeoo.com
HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A},DisplayName=Xeoo.com

-----------------------------------------------------------

Voilà c'était pour informations si vous êtes infectés par cette bête faite nous en part sur le forum de sécurité et nous vous en débarrasserons !

Batch_Man


Publicité
lazzzy
 Posté le 03/04/2009 à 20:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Salut,

une fusion Yoog_Fix avec un utilitaire similaire pour supprimer en plus ce dont il est question dans ton sujet, ce serait envisagé ?

Batch_Man
 Posté le 03/04/2009 à 21:00 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re,

Oui j'envisage de le faire mais rien n'est sûr.

ça ne doit pas être très difficile car il utilise les même méthodes que Yoog Search sans les fichiers .dll et .exe alétoires.

Batch_Man

Batch_Man
 Posté le 03/04/2009 à 22:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Re !

Et voilà 1h30min après c'est intégré

Il faut que je teste tout sur Vista, j'ai un ami qui devrait pouvoir ce Week-End ( Yoog + Xeoo )

De même que la version de suppression de Yoog_Fix en ligne est la première et donc beaucoup moins fine, précise et

fonctionnelle que la version précédente qui le sera beaucoup + et ça je peux vous le garantir !

Donc la version n'est pas encore en ligne.

Batch_Man

lazzzy
 Posté le 04/04/2009 à 10:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Au vu de ta capture d'écran, je n'ai pas l'impression que le moteur de recherche s'impose, du moins à l'insu de l'utilisateur éveillé (est-ce le cas avec Yoog d'ailleurs ?), as-tu essayé de décocher "Xeoo" au moment de l'install

Par ailleurs quid de ce moteur de recherche ? j'ai lancé qques requêtes ça a l'air pertinent. J'ai cru comprendre que c'était lié aux résultats de yahoo sans pour autant avoir trouvé de confirmation, difficile de trouver une URL "à propos de xeoo" pour en savoir un peu plus.

Fill
 Posté le 04/04/2009 à 10:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut,

Après désinfecté un cas, je m'étais en effet rendu compte que ce moteur s'installait avec la version non officielle.

Fill

Batch_Man
 Posté le 04/04/2009 à 10:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour Lazzzy, Fill, tlm,

Effectivement le moteur ne s'impose normalement pas si on le décoche à l'installation.

Mais après pour s'incruster il s'incruste !

Yoog Search ou du moins l'adware adzgalore s'installe je crois à cause du P2P donc de ce coté c'est différent car comme le

dit Fill c'est à cause d'un installateur non officiel venu de hxxp://www.mozilla.fr/

Batch_Man

madamadam2003
 Posté le 12/09/2009 à 20:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvelle astucienne

Objet: parasitage par xeoo.com

Ce détournement du moteur de recherche firefox par xeoo.com s'est effectué lors du téléchargement sur le faux site de mozilla.

Vous dites que l'intervention d'un "helper" est nécessaire.Que dois-je faire pour la déclencher?

Avec mes remerciements.

Slts

Batch_Man
 Posté le 12/09/2009 à 22:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Salut,

Si tu es infecté, alors tu créés un nouveau sujet en expliquant ton problème.

Note: Yoog_Fix ne prend plus en charge cette infection et se concentre sur ADRotator.

Batch_Man

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Moteur de recherche dregol sur firefox
virus possible dans le moteur de recherche google
écriture impossible dans un moteur de recherche ..
Moteur de recherche non désiré qui s'est incrusté
[Info] Adobe corrige une 2ème faille zero-day dans Flash
HELLOSEARCH en moteur de recherche imposé
Ghostery dans Firefox.
Activer la recherche de rootkit dans MBAM
MaskMe (module dans FireFox)
infection par omiga + dans firefox
Plus de sujets relatifs à info: Moteur de recherche xeoo dans firefox
 > Tous les forums > Forum Sécurité