Bonjour,

le 09.12.2003 j'ai observé qu'un site de download propose l'utilitaire SpyBlocker version 7.2 (la version actuelle) en un format de compression .rar. Ce format de compression est inhabituel et n'est pas utilisé par SpyBlocker ce qui me met la puce à l'oreille. J'observe alors que la taille annoncée est de 4.06 MO alors que la compression .rar donne des résultats légèrement plus compacts que la compression .zip utilisée par SpyBlocker. Le produit d'origine pèse, au même moment, sur le site de l'éditeur, un peu plus de 3 MO. Je décide donc de downloader les 2 pour les comparer. Le produit d'origine pèse exactement 3 423 760 octets tandis que le même produit sur le site de download pèse 4 291 745 octets - donc le site de download accole à SpyBlocker un binder et un backdoor ou un RAT ou un adware. C'est à http://wheredown.com/softview.asp?id=1044

J'installerais le fichier piégé le jour ou j'aurais une machine dédiée aux explosions - pour l'instant, l'analyse du fichier compressé (pas installé) n'a rien donné avec les anti-trojans et antivirus que j'ai.

Binder
http://assiste.free.fr/p/internet_attaques/binder.php

J'ajoute les 3 domaines suivants à ma liste hosts:

download:downloadfromwheredown.com (under construction)
dl1.wheredown.com (no web site at this address)
wheredown.com


Terdef
http://assiste.com