Win32/Spatet

Win32/Spatet est un trojan de type RAT (Remote Access Tool) qui permet donc de prendre le contrôle de l’ordinateur infecté.
La détection Win32/Spatet.A est donnée par l’antivirus NOD32.
Rien de vraiment extraordinaire avec ce Trojan puisque ce dernier se charge au démarrage avec une clef RunOnce pointant, dans le cas observé, vers un fichier plugin.exe se trouvant dans le dossier temporaire de la session Windows.

HKU\S-1-5-21-861567501-1532298954-1177238915-1004\...\RunOnce: [Adobe Reader] =>
C:\Documents and Settings\Tarlet\Local Settings\temp\plugin.exe

Ces malwares de type RAT sont distribués très souvent sous forme de :

  • Crack / Keygen
  • Programmes de Cheat pour les jeux
  • Vidéo « douteuse » sur les réseaux sociaux.

Les fonctionnalités de Spatet sont assez classiques pour un RAT, on retrouve :

  • Possède des fonctionnalités de keylogger
  • peut effectuer des captures d’écran du bureau,
  • Ouvrir le lecteur CD-Rom ou encore une fenêtre de chat pour « discuter » avec la victime.
  • Faire télécharger et installer de nouveaux malwares.

Ce guide gratuit vous explique comment désinfecter votre ordinateur, supprimer les trojans Spatet.
Pensez une fois la désinfection terminée à changer tous vos mot de passe.

Continue reading “Win32/Spatet” »

Backdoor.MSIL.Bladabindi

Backdoor.MSIL.Bladabindi est une détection Microsoft qui vise une famille de RAT s’attaquant au système Windows.
RAT est l’acronyme de Remote Access Tool, sous couvert de programme d’administration à distance, ce sont surtout des Trojans et Backdoor qui permettent de contrôler entièrement l’ordinateur de la victime.
Bladabindi est une famille de ces RATs.
Plus d’informations sur ce type de malware, sur la page : Les RAT (Remote Access Tool)

Ces malwares sont propagés souvent à travers de faux téléchargement, souvent sous forme de crack/keygen mis en ligne à travers des vidéos Youtube ou sur des forums de cracks spécialisés.
La victime va télécharger ce crack qui s’avère en réalité être le malware.
Une fois exécuté sur l’ordinateur, si l’antivirus ne détecte pas le Trojan, le PC est alors sous contrôle du pirate.

Voici un exemple de détection Backdoor.MSIL.Bladabindi

Backdoor_MSIL_Bladabindi

Les Backdoor comme Bladabindi permette :

  • de télécharger et exécuter de nouveaux malwares sur l’ordinateur.
  • d’enregistrer les frappes clavier (keylogger).
  • voler les mots de passe des navigateurs WEB et clients FTP.
  • d’effectuer des captures d’écran.
  • ouvrir une fenêtre de chat pour dialoguer avec la victime.

Ces backdoor ne sont pas très sophistiquées, en général, si l’antivirus détecte le fichier malicieux, ce dernier est capable de le supprimer.
En outre, le lancement au démarrage de Windows se fait, en générral, par une simple clef Run ou via le dossier Démarrage (Startup).

Nous vous recommandons de suivre la procédure suivante, qui ne met en avant aucun logiciel payant. Cette fiche de désinfection Bladabindi n’est pas un prétexte pour vous vendre des logiciels payants.
A l’issue de la désinfection de l’ordinateur, nous vous recommandons de changer vos mots de passe.

Continue reading “Backdoor.MSIL.Bladabindi” »

Backdoor.Agent

Backdoor.Agent est une détection qui correspond à la présence d’une backdoor sur l’ordinateur qui permet le contrôle de l’ordinateur.
Le suffixe Agent indique qu’il s’agit d’une détection générale et non pas à une famille de malwares particulière.

Typiquement Backdoor.Agent se déclenche au démarrage de Windows et se connecte à un serveur permettant au pirate de contrôler l’ordinateur, il est donc fort possible que votre antivirus détecte aussi des adresses malicieuses.
Par exemple Avast! peut émettre des détections URL:Mal sans pour autant détecter la source de ces connexions malicieuses soit donc le Backdoor.Agent.

Voici un exemple de détection Backdoor.Agent par Malwarebytes Anti-Malware :

Malwarebytes_Backdoor_Agent

La procédure suivante vous explique comment supprimer Backdoor.Agent, cette procédure de désinfection se base sur des logiciels gratuits et ne met pas en avant de programme de désinfection payant.
En outre, un lien vers un forum d’entraide informatique vous ait donné dans le cas où vous rencontrez des difficultés ou si la procédure ne résout pas les problèmes de Backdoor rencontré.

Le point important est de bien changer ses mots de passe après avoir désinfecter l’ordinateur, ces derniers ayants été probablement récupérer par les pirates. Continue reading “Backdoor.Agent” »

Win32:Aluroot-B Rtk

Win32:Aluroot-B Rtk est une détection de l’antivirus Avast! qui désigne la famille de malware TDSS/Alueron.
Il s’agit d’un des malwares les plus sophistiqués qui permet d’effectuer aux pirates de contrôler l’ordinateur et de faire à peu près tout ce qu’ils veulent en chargeant des modules nécessaires selon les besoins et monétiser ainsi le botnet.
Par exemple, un module de SPAM peut être chargé pour utiliser l’ordinateur comme émetteur de spam ou un module « Clicker » qui simule des clics sur des liens publicitaires pour transformer l’ordinateur en Trojan.Clicker..
TDSS est apparu courant 2010 est devenu un des botnets les plus importants et actif avec ZeroAccess.
Alueron peut, selon la version de Windows être sous la forme d’un bootkit.
Vous trouvez quelques ressources concernant TDSS/Alueron sur les pages suivantes : Rootkit.TDSS TDL 4 (Trojan.Alureon)

Voici quelques détections d’Avast! Win32:Aluroot-B Rtk dans le fichier csrsrv.dll

csrsvr_dll_trojan_aluroot_2

csrsvr_dll_trojan_aluroot

La désinfection de ce malware est complexe, nous vous proposons de suivre la procédure suivante qui pourrait permettre de se débarrasser de Win32:Aluroot-B
Cette procédure est entièrement gratuite et sans arnaque, nous ne tentons pas de vous refourguer des antispywares payants.

Continue reading “Win32:Aluroot-B Rtk” »

Dropper.Generic9

Dropper.Generic9 est une détection de l’antivirus AVG qui désigne un Trojan de type Dropper, c’est à dire un malware conçu qui va installer une infection dans le système (charge utile ou payload en anglais).
Etant donné que la détection est générique, il est impossible de dire à quelle famille de Trojan appartient le malware.

AVG_Dropper_Generic

AVG peut aussi émettre des détections Dropper.Generic_c

Dropper_Generic_c_AVG

Le malware au bout du compte peut être de tout type :

  • Trojan.Spambot : qui va utiliser votre ordinateur pour envoyer des emails de spam
  • Trojan.Hijacker : qui peut éventuellement modifier la configuration système pour réduire la sécurité et permettre l’infection.
  • Trojan.Stealer ou Trojan.Banker : qui va tenter de voler des mots de passe et autres identifiant. Dans le cas de Trojan.Banker, ce dernier est spécialisé dans le vol de compte bancaire.

Vous l’aurez compris, ces détections sont très généralistes, il est difficile de savoir à quelle menace vous avez à faire.
Dès lors, il est conseillé de suivre une procédure standard de désinfection qui devrait permettre de nettoyer l’ordinateur dans son intégralité et supprimer les détections Dropper.Generic9.

Sachez aussi que beaucoup de sites de désinfection et proposent des procédures de désinfections qui ne sont en fait que des prétextes pour vous faire installer des antispywares payants.
Le but final est bien sûr de vous faire acheter ces antispywares payants.

La procédure suivante est complètement gratuite et se base sur des logiciels efficaces et non payants.
Cette procédure générale va supprimer toutes les menaces Trojan Hijacker de votre ordinateur et devrait permettre de retrouver la vitesse initiale de l’ordinateur.

Continue reading “Dropper.Generic9” »

Nanobot

NanoBot (Backdoor:MSIL/Noancooe chez Microsoft – voir aussi la page MSIL:NANOCORE) est une backdoor/trojan de type RAT (Remote Access Tool), c’est à dire que NanoBot permet de contrôler l’ordinateur de la victime et de faire à peu près tout ce que le pirate souhaite.
NanoBot loggue aussi les fenêtres ouvertes, possède des fonctionnalités de keylogger, peut faire des captures d’écran du bureau, ouvrir le lecteur CD-Rom ou encore une fenêtre de chat pour « discuter » avec la victime.

Les RAT (Remote Access Tool) sont des malwares utilisés par des pirates peu expérimentés et en général incapables de programmer leur propre malwares. Ces derniers achètent des kits tout fait et tentent d’infecter des internautes.
En général ces malwares sont propagés par :

  • de faux crack/keygen via des forums ou vidéo.
  • des vidéos faisant la promotion d’utilitaire (cheat, crack et autres).
  • des liens trompeurs sur les forums, comme de fausses mises à jour de Flash ou des trainers sur des forums de jeux en lignes.

Dans le cas de NanoBot ce dernier s’installe de manière classiques avec des clefs RUN et tâches planifiées :

Task: {CCB563C6-FE80-4C22-941C-94D97069A76A} - System32\Tasks\Update\Driverm => C:\Users\robin\AppData\Local\Temp\Driverm.exe [2016-01-23] () <==== ATTENTION
HKU\S-1-5-21-3709466023-1338611908-758753688-1000\...\Run: [SMTP Service] => C:\Users\robin\AppData\Roaming\3E32180C-17C6-4CD5-B364-94ECFB4A1ECB\SMTP Service\smtpsv.exe [712704 2016-01-23] ()
HKU\S-1-5-21-3709466023-1338611908-758753688-1000\...\Policies\Explorer\Run: [Adobe Flash Player] => C:\Users\robin\AppData\Roaming\plugin-container.exe
2016-01-23 10:45 - 2015-08-30 12:53 - 00000000 ____D C:\Users\robin\AppData\Roaming\3E32180C-17C6-4CD5-B364-94ECFB4A1ECB
C:\Users\robin\AppData\Local\Temp\Driverm.exe

Ci-dessous une capture d’écran avec des fichiers .dat contenant certaines informations qui peuvent être récupérés par le pirate comme les fenêtres ouvertes etc.

Trojan_NanoBot

Voici la détection antivirus de ce sample, ce dernier est relativement bien détecté.
La majorité des détections sont du type Backdoor.NanoBot ou Trojan.NanoBot, Microsoft lui détecte ce dernier en Backdoor:MSIL/Noancooe

SHA256: a7dc64e5541a772d5c2e7f14c97218c4d30d56ac57214814a37950411a6a1fd2
Nom du fichier : smtpsv.exe
Ratio de détection : 39 / 54
Date d’analyse : 2016-01-23 11:11:52 UTC (il y a 22 heures, 49 minutes)
Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.2689211 20160123
AVG Atros2.NDT 20160123
Ad-Aware Trojan.GenericKD.2689211 20160123
AegisLab Backdoor.MSIL.NanoBot.ezs!c 20160122
Agnitum Backdoor.NanoBot! 20160123
AhnLab-V3 Malware/Win32.Generic 20160122
Antiy-AVL Trojan[Backdoor]/MSIL.NanoBot 20160123
Arcabit Trojan.Generic.D2908BB 20160123
Avast Win32:Malware-gen 20160123
Avira TR/Dropper.MSIL.192708 20160123
Baidu-International Backdoor.MSIL.NanoBot.ezs 20160123
BitDefender Trojan.GenericKD.2689211 20160123
Cyren W32/Backdoor.SMSI-3277 20160123
DrWeb Trojan.PWS.Steam.5714 20160123
ESET-NOD32 a variant of MSIL/Kryptik.DLV 20160123
Emsisoft Trojan.GenericKD.2689211 (B) 20160123
F-Secure Trojan.GenericKD.2689211 20160123
Fortinet MSIL/Kryptik.DLV!tr 20160123
GData Trojan.GenericKD.2689211 20160123
Ikarus Trojan.MSIL.Crypt 20160123
Jiangmin Backdoor/MSIL.ghr 20160123
K7AntiVirus Trojan ( 004ce3311 ) 20160123
K7GW Trojan ( 004ce3311 ) 20160123
Kaspersky Backdoor.MSIL.NanoBot.ezs 20160123
McAfee RDN/Generic BackDoor 20160123
McAfee-GW-Edition BehavesLike.Win32.Backdoor.jc 20160123
MicroWorld-eScan Trojan.GenericKD.2689211 20160123
Microsoft Backdoor:MSIL/Noancooe.C 20160123
NANO-Antivirus Trojan.Win32.NanoBot.dvwdsr 20160123
Panda Trj/CI.A 20160123
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160123
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160122
Sophos Mal/Generic-S 20160123
Symantec Suspicious.Cloud.2 20160122
Tencent Msil.Backdoor.Nanobot.Eckv 20160123
TrendMicro TROJ_GEN.R00JC0DI115 20160123
VIPRE Trojan.Win32.Generic!BT 20160123
ViRobot Trojan.Win32.Z.Nanobot.712704[h] 20160123
nProtect Trojan.GenericKD.2689211 20160122

Par exemple, ci-dessous une popup de SuperAntispyware (que nous vous conseillons de ne pas utiliser) qui détecte un Trojan/Agent/Gen.NanoCore

Trojan_NanoCore

La détection Backdoor:MSIL/Noancooe chez Microsoft

Backdoor_MSIL_Naancooe

La procédure suivante entièrement gratuite devrait permettre de désinfecter votre ordinateur et vous débarrasser de NanoBot.
Après avoir désinfecté votre ordinateur, il est très fortement conseillé de changer tous vos mots de passe, en effet, le pirate a probablement peut récupérer ces derniers.
Vos comptes en ligne sont donc en danger.

 

Continue reading “Nanobot” »

Other:Malware-Gen [Trj]

Other:Malware-Gen [Trj] est une détection de l’antivirus Avast! qui peut désigner tout type de menaces.
Malware étant le mot en jargon informatique qui désigne toute menace informatique (Trojan, Backdoor, Adwares etc).
Dans le cas ci-dessous, il s’agit d’un RAT (Remote Access Tools) écrit en langage AutoIT.
Les RAT sont des trojans facilement accessibles utilisés par des débutants pour infecter les ordinateurs de leurs victimes, ces menaces sont des couteaux suisses qui permettent de faire à peu près tout sur l’ordinateur comme si le cybercriminels était devant.
Le pirate est alors capable d’effectuer des captures d’écran de l’ordinateur, allumer la webcam, fermer/télécharger des programmes, ouvrir le lecteur CD-Rom et enregistrer les frappes claviers à l’aide d’une fonctionnalité de keylogger.

Other_Malware_gen_Trj

Les malwares de type Other:Malware-Gen [Trj] et plus précisément les RATS sont diffusés à travers de faux cracks/keygen ou des cheats de jeux via des vidéos ou des liens mis sur les forums de discussions.
Pour les infections plus sophistiqués on peut trouver des diffusions du type :

Avast_Other_trj

La procédure suivante, entièrement gratuite, est une procédure de désinfection standard qui devrait permettre de nettoyer votre ordinateur.
En cas de question ou problème, nous vous fournissions aussi le lien vers un forum d’aide.
Il est fortement recommandé de changer vos mots de passe, une fois l’ordinateur désinfection, en effet, ces derniers ont été probablement volés.

Continue reading “Other:Malware-Gen [Trj]” »

Trojan:Win32/Varpes

Trojan:Win32/Varpes est une détection de Microsoft qui correspond à un malware dont les fonctionnalités sont assez classiques.
C’est un trojan qui permet en autre de contrôler l’ordinateur, récupérer des informations de connexions.

Voici les fonctionnalités de Trojan:Win32/Varpes

  • installer et télécharger d’autres malwares.
  • fonctionnalités de click fraud, simule des clics sur les publicités pour faire gagner de l’argent aux cybercriminels.
  • des fonctionnalités de keyloggers
  • envoie des informations aux cybercriminels comme l’historique de navigation WEB, les logins utilisateurs/mots de passe
  • permet le contrôle à distance de l’ordinateur.

C’est donc un malware sophistiqués qui se propage principalement par des exploits sur des sites WEB.

Trojan_win32_Varpes

Trojan:Win32/Varpes peut être relativement difficile à éradiquer. Le guide gratuit suivant vous explique, à partir de programmes gratuits, comment désinfecter votre ordinateur et sécuriser votre ordinateur, soit donc :

  • suivre la procédure de désinfection
  • changer vos mots de passe WEB (Facebook, Mail, jeux en ligne etc), ils ont probablement été volés
  • Sécuriser votre ordinateur, notamment contre les exploits WEB.

 

Continue reading “Trojan:Win32/Varpes” »

Win32/Glupteba

Win32/Glupteba est un trojan qui permet l’accès et le contrôle de l’ordinateur infecté.
CE dernier est relativement courant et se propage essentiel par des exploits WEB dit « Windigo ».
Eset a pas mal suivi ces campagnes, pour plus d’informations se reporter à la page suivante : Operation Windigo : Linux/Ebury et Linux/Cdorked

Si votre ordinateur a été infecté par Glupteba, vous pouvez en déduire que ce dernier est vulnérable aux exploits WEB et que des logiciels installés ne sont pas à jour, notamment Java, produits Adobe (Reader ou Flash) ou Microsoft SilverLight.

ou par le passé se faisant passer pour Nvidia :

Win32/Glupteba se faisait passer au départ pour Nvidia :

O23 – Service: NVIDIA Update Server (NvUpdSrv) – Unknown owner – C:/Documents and Settings/Mak/Local Settings/Application Data/NVIDIA Corporation/Update\nvupd32.exe

Dans les derniers sample, c’est un simple fichier gupdate.exe :

HKLM\...\Run: [gupdate] => C:\Program Files\Company\gupdate\gupdate.exe [144384 2015-12-10] ()

La détection du sample observé :

SHA256: 7018f1f09e34b8fc58b5bfa82b5b5b2bc008e4cb190239b35316278776e1a601
Nom du fichier : gupdate.exe
Ratio de détection : 6 / 55
Date d’analyse : 2015-12-10 13:38:05 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
Cyren W32/Agent.XL.gen!Eldorado 20151210
ESET-NOD32 Win32/Glupteba.AF 20151210
F-Prot W32/Agent.XL.gen!Eldorado 20151210
Kaspersky UDS:DangerousObject.Multi.Generic 20151210
McAfee-GW-Edition BehavesLike.Win32.Wenper.cm 20151210
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20151210

On retrouve des références NVidia dans les strings de Win32/Glupteba

Win32_Glupteba

Comment supprimer Win32/Glupteba ?

La procédure entièrement gratuite suivante vous explique comment supprimer Win32/Glupteba.
Pensez à changer vos mots de passe comme indiqué à la fin de la procédure et sécuriser votre ordinateur notamment contre les Web Exploit.
Continue reading “Win32/Glupteba” »

Trojan.Chickil

Trojan.Chickil est une détection Malwarebytes qui désigne des malwares de type RAT (Remote Access Tools) écrit en Autoit.
Ces malwares permettent la prise de contrôle de l’ordinateur infecté par les pirates.
Probablement aussi que Trojan.Chickil permet de voler les mots de passe enregistrés dans les navigateurs WEB.
Ce trojan est lancé au démarrage du système très souvent par un raccourci dans le dossier Démarrage ou une clef Run.

Exemple avec une clef Run qui lance un raccourci.

HKU\S-1-5-21-776270689-1541426705-108914957-1001\...\RunOnce: [Microsoft Corporation] => C:\ProgramData\b3lRLO.lnk [687 2015-12-05] ()
2015-12-05 11:49 - 2015-12-05 11:49 - 00000687 _____ C:\ProgramData\b3lRLO.lnk
2015-12-05 11:49 - 2015-12-05 11:49 - 00000000 ____D C:\Users\Marjorie\AppData\Roaming\40EF5F1A-EAA6-426A-A5DA-F124488F445F
2015-12-05 11:49 - 2015-12-05 11:49 - 00000000 _____ C:\ProgramData\cRAIhZXB
2015-12-05 11:48 - 2015-12-05 11:48 - 00000053 _____ C:\ProgramData\b3lRLO.folder
2015-12-05 11:48 - 2015-12-05 11:48 - 00000035 _____ C:\ProgramData\b3lRLO.path

Trojan.Chickil_2Malwarebytes Anti-Malware détecte bien ces derniers en Trojan.Chickil

Trojan.ChickilBien souvent, ces malwares viennent de téléchargement trompeur, par exemple, un faux lecteur vidéo, un cheat pour jeu, crack ou keygen promu par des vidéos sur Youtube ou des forums.

Soyez vigilants dans le contenu des téléchargements qui sont faits, car une fois l’ordinateur infecté, vos mots de passe sont volés et vous pouvez perdre l’accès à des comptes en ligne.

Continue reading “Trojan.Chickil” »

MSIL/Immirat

MSIL/Immirat.A est une détection de l’antivirus NOD32 et qui vise un malware de type RAT. (Remote Access Tools), il s’agit donc ici d’un trojan qui permet le contrôle de l’ordinateur à distance.
Ce dernier possède aussi des fonctionnalités de Keylogger.

Ce dernier se chargé par un raccourci dans le dossier Démarrage qui pointe vers un fichier .exe

C:\Users\Antoine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updates.lnk => déplacé(es) avec succès
C:\ProgramData\Microsoft Corporation\Microsoft Corporation\1.1.1.1\[UNPACKER] rld-caofdubl3.iso.exe => déplacé(es) avec succès
C:\Users\Antoine\AppData\Roaming\Imminent => déplacé(es) avec succès

Côté détection, on obtient ceci :

SHA256: d8e0e2a5a51b26b75f7debade73a83bdb86cb10ec6dcba9eb125c3bab0e3963b
Nom du fichier : [UNPACKER] rld-caofdubl3.iso.exe.xBAD
Ratio de détection : 19 / 55
Date d’analyse : 2015-12-05 22:26:28 UTC (il y a 19 heures, 4 minutes)
Antivirus Résultat Mise à jour
ALYac Gen:Variant.Barys.340 20151204
AVG Atros2.BHMR 20151205
Ad-Aware Gen:Variant.Barys.340 20151205
Agnitum Trojan.Agent!FtjTYs82xdE 20151205
Antiy-AVL Trojan[Dropper]/Win32.Injector 20151205
Arcabit Trojan.Barys.340 20151205
Avast Win32:Trojan-gen 20151205
Avira TR/Barys.8588108 20151205
BitDefender Gen:Variant.Barys.340 20151205
DrWeb Trojan.Inject2.9197 20151205
ESET-NOD32 MSIL/Immirat.A 20151205
Emsisoft Gen:Variant.Barys.340 (B) 20151205
F-Secure Gen:Variant.Barys.340 20151205
GData Gen:Variant.Barys.340 20151205
K7AntiVirus Trojan ( 004d4f551 ) 20151202
K7GW Trojan ( 004d4f551 ) 20151202
Kaspersky HEUR:Trojan.Win32.Generic 20151205
MicroWorld-eScan Gen:Variant.Barys.340 20151205
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20151205

Ce genre d’infection provient généralement à la suite d’un crack ou keygen, promu sur des forums, vidéo Youtube/Dailymotion.

Il convient de désinfecter l’ordinateur et surtout changer vos mots de passe, une fois l’infection éradiquée, en effet, le malware a probablement permis de récupérer vos mots de passe WEB.

Continue reading “MSIL/Immirat” »

HackTool:Win32/Keygen

HackTool:Win32/Keygen est une détection de Microsoft mais utilisé par d’autres éditeurs d’antivirus pour désigner des outils de hacks utilisés notamment dans les cracks/keygen.
Cela ne veut pas forcément dire que le crack est malicieux, tout dépend de la volonté de créateur de ce crack.

Néanmoins, sachez que les cracks/keygen sont de gros vecteurs de malwares, beaucoup de créateurs de virus utilisent ces derniers pour propager leurs malwares.
Cela peut aller à la création de faux sites de cracks, dont tous propagent des malwares, à la mise en ligne de cracks malicieux sur des forums spécialisés dans les cracks/keygen, souvent cela redirige vers des malwares de type Rats (Remote Access Tools).
Vous trouverez quelques informations sur ces cracks malicieux sur les dossiers :

Hacktool_keygen

Si votre antivirus détecte HackTool:Win32/Keygen, il y a donc de forte chance que la détection vise un crack que vous avez téléchargé.
Dans tous les cas ou dans le doute, mettez ce dernier en quarantaine.

Si vous avez le moindre doute sur la possibilité d’infection de votre ordinateur et système, nous vous proposons de suivre la procédure de désinfection générique suivante.
Cette procédure de désinfection est complètement gratuite à travers deux outils gratuits Malwarebytes Anti-Malware et NOD32, ces deux antivirus étant très efficaces.

Nous vous communiquons aussi le lien d’un forum d’entraide, dans le cas d’un doute, si vous souhaitez approfondir l’analyse de votre ordinateur à la recherche de malwares.

Continue reading “HackTool:Win32/Keygen” »

Win32:MalOb

Win32:MalOb est une détection générique de l’antivirus Avast!.
MalOb étant la contraction de malware obfuscator et vise les fichiers qui contiennent des éléments visants à cacher un contenu malicieux.

Win32-MalObCette détection Win32:MalOb étant générique, il n’est pas possible de savoir à quel type de menaces vous avez affaire Trojan, Backdoor ou simplement adware (logiciels publicitaires) et encore moins à quelle famille.
Bien qu’il est plus que fort probable que ce soit plutôt une menace de type Trojan ou Backdoor.

Si des alertes régulières Win32:MalOb provenant d’Avast! s’affichent, vous pouvez être certains qu’un malware est actif sur votre ordinateur.

Une désinfection générique est alors nécessaire afin de supprimer cette menace.

La procédure suivante devrait vous permettre justement de désinfection votre ordinateur.
Cette procédure est complètement gratuite puisqu’elle ne se base que sur des logiciels de désinfection gratuits et efficaces.
En outre, un lien vers un forum d’aide vous ait donné afin en cas de problème obtenir une aide personnalisée.
Continue reading “Win32:MalOb” »

Win32:Dropper-Gen

Win32:Dropper-Gen est une détection de l’antivirus Avast! qui désigne un Trojan de type Dropper, c’est à dire un dropper qui va installer une infection dans le système.
Etant donné que la détection est générique, il est impossible de dire à quelle famille de Trojan appartient le malware.

Win32_Dropper_Gen

Avast_Win32_Dropper_Gen

Le malware au bout du compte peut être tout type de menaces malvaillantes. On trouve en général :

  • Trojan.Spambot : qui va utiliser votre ordinateur pour envoyer des emails de spam
  • Trojan.Hijacker : qui peut éventuellement modifier la configuration système pour réduire la sécurité et permettre l’infection.
  • Trojan.Stealer ou Trojan.Banker : qui va tenter de voler des mots de passe et autres identifiant. Dans le cas de Trojan.Banker, ce dernier est spécialisé dans le vol de compte bancaire.

Vous l’aurez compris, ces détections sont très généralistes, il est difficile de savoir à quelle menace vous avez à faire.
Dès lors, il est conseillé de suivre une procédure standard de désinfection qui devrait permettre de nettoyer l’ordinateur dans son intégralité et supprimer les détections Win32:Dropper-Gen.

Sachez aussi que beaucoup de sites de désinfection et proposent des procédures de désinfections qui ne sont en fait que des prétextes pour vous faire installer des antispywares payants.
Le but final est bien sûr de vous faire acheter ces antispywares payants.

La procédure suivante est complètement gratuite et se base sur des logiciels efficaces et non payants.
Cette procédure générale va supprimer toutes les menaces Trojan Hijacker de votre ordinateur et devrait permettre de retrouver la vitesse initiale de l’ordinateur.

Continue reading “Win32:Dropper-Gen” »

Trojan.Win32.Inject

Trojan.Win32.Inject est une détection générique qui désigne des malwares capables d’injecter d’autres processus, souvent le but est de prendre le contrôle de ce dernier afin d’effectuer certains opérations.
Dans la majorité des cas, le malware va tenter d’injecter un processus système comme explorer.exe, svchost.exe ou winlogon.exe afin d’effectuer une connexion vers le serveur de contrôle.

Si le pare-feu n’est pas capable de voir l’injection et selon la configuration du pare-feu, la connexion peut-être accepté.
C’est donc une manière de contourner un blocage du pare-feu.

L’injection peut aussi service à placer des crochets afin de rediriger des fonctionnalités du processus, comme par exemple, les appels clavier. Dans ce cas, l’injection peut servir de keylogger.

Par exemple ci-dessous, on voit le processus légitime Windows svchost.exe qui effectue des connexions SMTP, le PC infecté est donc transformé en Spambot :

La vidéo suivante vous montre le Trojan Bedep en action à travers l’injection de processus Windows :

Voici un exemple de détection Trojan.Win32.Inject :

SHA256: d0b477b2a179d190bd123a94c63ab37704130d30ab732194aafcd5b85f06b310
Ratio de détection : 13 / 56
Date d’analyse : 2015-10-03 17:58:36 UTC (il y a 1 heure, 32 minutes)
Antivirus Résultat Mise à jour
AVG Zbot.AHOH 20151003
AVware Trojan.Win32.Generic!BT 20151003
Antiy-AVL Trojan/Win32.Inject 20151003
Avast Win32:Malware-gen 20151003
ESET-NOD32 a variant of Win32/Kryptik.DYRB 20151003
GData Win32.Trojan.Agent.1420CW 20151003
Kaspersky Trojan.Win32.Inject.vieg 20151003
McAfee Trojan-FHEI!236485DE8654 20151003
McAfee-GW-Edition BehavesLike.Win32.Swrort.ch 20151002
Microsoft Trojan:Win32/Sopinar.C 20151003
Sophos Mal/Tinba-O 20151003
TrendMicro TROJ_GEN.R0E9C0DIU15 20151003
VIPRE Trojan.Win32.Generic!BT 20151003

Voici un exemple de blocage Malwarebytes Anti-Malware payant sur Trojan.Injector

Trojan_injector

Même détection chez Antivir avec TR/Injector

Trojan_Injector_Antivir

Autre exemple de détection de cheval de troie Inject par AVG :

Cheval_troie_inject_AVG

Enfin chez Microsoft, la détection peut être VirTool:Win32/Injector

VirTool_Win32_Injector

Si votre antivirus détecte un Trojan.Win32.Inject, il est fort probable que votre ordinateur soit infecté.

La désinfection nécessite aussi de changer ses mots de passe, si le PC est vraiment infecté, dans le cas où ces derniers ont pu être récupérés.

La procédure suivante est donc une procédure standard de désinfection qui devrait vous permettre de désinfecter et nettoyer votre ordinateur.

Continue reading “Trojan.Win32.Inject” »

1 2 3 4