5 replies to this topic

[MysteryFCM]

Anyone have a download for this?

Was reported via the hpHosts forums;

http://forum.hosts-f...hp?p=1554#p1554

Pretty sure it's directly connected to safetydownload.com, but haven't looked into it yet

[Pierre (aka Terdef)]

Hi all

My page about it (Sorry - in French - but I think all may understand)
Original at http://assiste.forum.free.fr/posting.php?m...st&p=116948


"Description de FixThemNow (Fix Them Now)
FixThemNow (Fix Them Now) est un logiciel crapuleux prétendant être un logiciel de sécurité de type Nettoyeur de disque, traces et BdR (Classe des Anti-traces internes)


Description détaillée de FixThemNow (Fix Them Now)
FixThemNow (Fix Them Now) est un logiciel crapuleux prétendant être un logiciel de sécurité de type Nettoyeur de disque, traces et BdR (Classe des Anti-traces internes). Il s’implante sur votre machine à votre insu, par un moyen ou par un autre

• utilisation d’une faille de sécurité exploitée par un site piégé : un site Internet sur 62, soit plusieurs centaines de millions de sites Internet, contiennent une attaque de type « Drive-by Download » ( http://assiste.com.f...y_download.html ) qui inscrit de force un ou plusieurs parasites (adware…) dans votre ordinateur tandis que vous croyez naviguer paisiblement sur le Net
  
• téléchargement d’un programme piégé : un logiciel sur 20 disponible sur le Net contient un ou plusieurs pièges (spywares, backdoor, keylogger… voir l’ABC à http://assiste.com.free.fr/p/abc/abc_de_la...r_internet.html )
  
• clic sur un lien piège suggéré dans un e-mail, une zone de conversation immédiate (chat) etc. …
  
• téléchargement d’un crack ou d’un hack (100% des hacks et cracks sont des pièges)
  
• Téléchargement de Codecs ou pack de Codecs – la plupart sont piégés
  
• Téléchargement d’un économiseur d’écran ou d’un fond d’écran – la plupart sont piégés
  
• utilisation de la peur avec une publicité alarmante (fausse alerte de sécurité) simulant une analyse de votre machine (il s’agit d’une simple image animée sans aucune analyse) et prétendant y trouver de nombreux parasites ou autres éléments très dangereux pour vous
  
• etc. …

Dans tous les cas, il est impossible à l’internaute « normal » de sortir de cette attaque sans que le mécanisme de l’escroquerie ne s’implante.

L’escroquerie vous harcèle alors sans cesse (toutes les 2 minutes) pour vous rappeler de télécharger gratuitement l’outil miracle nécessaire à l’analyse approfondie de votre ordinateur. Une fois ce téléchargement fait, seul moyen pour « calmer » le harcèlement dont vous êtes victime, l’outil miracle va confirmer l’analyse bidon et annoncer une liste d’erreurs et parasites imaginaires (« tromperie ») (et, peut-être, quelques-uns réels), inventant ainsi (ou exagérant) une menace.

Conclusion sur FixThemNow (Fix Them Now)
Ne vous faites pas avoir !
Vous allez découvrir que l’outil prétendument gratuit n’est qu’une version de démonstration et que pour pouvoir « éradiquer réellement ses inventions » (sic !) il faut payer, très cher, beaucoup plus cher que le prix des produits des ténors de la sécurité, cet outil totalement inconnu, trompeur et parfaitement inefficace. C’est une escroquerie, au sens propre du terme, une crapulerie utilisant des méthodes de vente trompeuses et reposant sur la peur (une forme d’ingénierie sociale). Ne donnez jamais suite à cette attaque ni à aucune autre de même nature.

• Pratiquez le Safe-CEX - Safe-Computer EXploitation (Adoptez le bon comportement sur l'Internet)
  -> http://assiste.com.f...a/safe_cex.html
  
• Pratiquez la Safe Attitude - Ayez les bons reflexes face à la découverte d'un parasite
  -> http://assiste.com.free.fr/p/abc/a/reactio...n_parasite.html
  
• Utilisez ce que vous avez entre les oreilles
  -> http://assiste.com.free.fr/p/abc/c/antivir...e_attitude.html
  
• Eradiquez systématiquement le virus PEBCAK (PELCEC)
  -> http://assiste.com.f...cak_pelcec.html
  
• Couvrez-vous avec un kit de sécurité
  -> http://assiste.com.f...t_securite.html
  
• Si vous n’y arrivez pas
  -> http://assiste.forum.free.fr

Informations techniques sur FixThemNow (Fix Them Now)

Domaine = fixthemnow.com
Machine (host) = 87.117.252.11 ( 321 domaine(s) )

Prétend être un : Nettoyeur de disque, traces et BdR (Classe des Anti-traces internes)

Classe de parasite = WinFixer
Clause de confidentialité (Privacy) = http://fixthemnow.com/privacy.html
Conditions générales (Terms) = http://fixthemnow.com/terms.html
Contrat de licence (EULA) = http://fixthemnow.com/license.html

Image de l'arnaque =




Analyse =


Analyse demandée en SandBoxing : http://research.sunbelt-software.com/ViewM...aspx?id=2038719
Outgoing connections IP :
85.12.60.13
212.198.0.91
212.198.2.51


Outgoing connections Domaine :
cds27.par.llnw.net

Registrant prétendu = Knowhowprotection - Pepitone Ave 21 - San Diego, CA 95126 - US
Registrar = TUCOWS, INC.
Création = 10 05 2007

Téléchargement (dangereux - pour chercheurs uniquement) = hxxp://bsa.safetydownload.com/fixthemnow.com/FixThemNow/setup_en.exe

Instalateur prétendu (Downloader) = Locus Installer
MD5 = f9be49d2313f3e92b0f9f6a2b83029ea
Sha1 = d1f215d2a11e9f7dcf960727b29b43859dce9f48
CLSID = 87EAB0AB-F838-4EFC-AF41-6B0ADCC794AC

Certificat délivré à : LocusSoftware Incorporation
Adresse : hostmaster@softwarelocus.com
Validité : Du 26/04/07 au 26/04/08
Par : UTN-USERFirst-Object - http://www.usertrust.com - The USERTRUST Network - Salt Lake City - UT - US
Autorité de certification : COMODO.
UTN-USERFirst-Object est une des certifications de COMODO comme on peut le voir sur
http://www.comodo.co...tory/index.html
et dans le document ""Comodo Certification Practice Statement"" à
http://www.comodo.com/repository/09_22_200...ement_v.3.0.pdf
User Trust Inc ( http://www.usertrust.com ) a été acquis par COMODO depuis décembre 2004 ( http://www.prleap.com/pr/2534/ ).
Contre-signature : VeriSign Time Stamping Services Signer - G2

Probable opérateur = Verio Productions Limited, Avenue House, St Julian'S Avenue, St Peter Port, Guernsey Gy1 1Wa
Complice financier = DEDICATED PAYMENT SOLUTIONS LTD. - 10 COPTIC STREET, LONDON, WC1A 1NH

Le domaine est juridiquement et fiscalement sur une zone off-shore :
Le site est propriété et opéré par VERIO PRODUCTIONS LIMITED, AVENUE HOUSE, ST JULIAN'S AVENUE, ST PETER PORT, GUERNSEY GY1 1WA<br >Toutes les transactions financières sont exécutées par VERIO PRODUCTIONS LIMITED, AVENUE HOUSE, ST JULIAN'S AVENUE, ST PETER PORT, GUERNSEY GY1 1WA

Cette fiche sera ajouté à la Crapthèque ( http://assiste.com.f...craptheque.html )
Sous le nom de http://assiste.com.f...fixthemnow.html lors de sa prochaine mise à jour.

[MysteryFCM]

Cheers for the info

[MysteryFCM]

LMFAO! ....... this is priceless ......

Just prior to my starting this thread, I sent fixthemnow an e-mail to enquire about a download URL for the trial version (more to confirm my suspicions of association with safetydownload.com). To my amazement, the following arrived this afternoon;

Quote

Dear Sir/Madam,
Thank you for contacting FixThemNow Customer Support Center.

We apologize about the problem you are experiencing.
As we understand you want to intall trial version of our product.
Free version you can download here:
http://bsa.safetydownload.com/SystemErrorRepairFreeSetup_en.exe

Please do not hesitate to email us back if you need any help.

Kenny,
FixThemNow Customer Support Center.

Headers:

Return-Path: <boffin@mysql3.yyz1.setupahost.net>
Delivered-To: services@[REMOVED]
Received: from Postfix filter 42a77884ce2a0a03efc6bb50a6dcdb21 (localhost.localdomain [127.0.0.1])
	by smtp-in-164.livemail.co.uk (Postfix) with SMTP id 3654FEE80C2
	for <services@[REMOVED]>; Tue, 27 Nov 2007 13:21:38 +0000 (GMT)
Received: from box19.yyz1.setupahost.net (smtp.yyz1.setupahost.net [204.16.207.19])
	by smtp-in-164.livemail.co.uk (Postfix) with ESMTP id EDD85EE80BD
	for <fixthemnow_com@[REMOVED]>; Tue, 27 Nov 2007 13:21:37 +0000 (GMT)
Received: from box137.yyz1.vpn ([10.1.2.137] helo=mysql3.yyz1.setupahost.net)
	by box19.yyz1.setupahost.net with smtp (Exim 4.50)
	id 1Ix0Nc-00063F-S1
	for fixthemnow_com@[REMOVED]; Tue, 27 Nov 2007 08:21:36 -0500
Received: (qmail 27639 invoked by uid 65534); 27 Nov 2007 13:21:37 -0000
Date: 27 Nov 2007 13:21:37 -0000
To: fixthemnow_com@[REMOVED]
Subject: [FIXTHEMNOW.COM #CS-03916010] Re: Message for FixThemNow's support: Trial version
MIME-Version: 1.0
Content-Type: multipart/related;
	boundary="----=_NextPart_000_11b12a3935f4b27f8a3a5d5ff94f4e9e"
From: support@fixthemnow.com
Reply-To: support@fixthemnow.com
Message-ID: <03916010@test.mail>
In-Reply-To: <03916010@test.mail>
X-Original-To: fixthemnow_com@[REMOVED]

[MysteryFCM]

Just received the following;

Quote

Dear Steven Burn,

Thank you for contacting FixThemNow Customer Support Center.

Based on the information provided in your letter, you think we fraudulent and somehow connected to infecting people's computers.

I beg to assure you that this information cannot be proved to be true. The only reason why this information appeared in the Internet is competitive companies' desire to discredit FixThemNow. We work for our customers and we cannot afford offering dubious or dangerous products. However, our customers have never complained about problems they impute to us. Our top priority is to satisfy our customers.

Also is seems you are feeling unwelcome about our software because of pop-ups. Unfortunately, we are unable to resolve the mentioned issue since such feature as pop-up windows is normally under responsibility of corresponding advertisement companies. The thing is that some of our products are advertised and promoted with the help of third party companies and not always we can track their methods of advertisement. Thus, taking into consideration the information you have provided, we would recommend you to apply appropriate Anti-spy or Pop-up blocking software.

Thus, if you really encountered a problem when using FixThemNow, please specify it and we will do our best to help you in finding solution.

Thank you for patience and cooperation

Regards,
Eddy,
FixThemNow Customer Support Center.

Summarized: .... it's teh advertisers, not us!

Like we've not heard that before ......

[MysteryFCM]

Just sent the following reply;

Quote

Eddy,
Thank you for your e-mail.

Alas you don't seem to get it, so let me make it quite clear;

1. You are advertising/distributing a known rogue
2. You are doing such via a known malware distribution network (namely bsa.safetydownload.com)
3. This distribution network has been known to us for several months, and is known for the exploitation and summary infection, of it's victims (namely the users that receive such popups/warning "message boxes" and cannot get rid of them, which in turn, ends in the infection of the victim by the aforementioned network).

"Kenny" admitted this affiliation in your first response to myself, concerning the trial download location (27-11-2007, #CS-03916010)

If you would like to dispute this, please feel free to do so publicly via the following forum;

http://www.malwareby...?showtopic=2989