Win32/Spatet

Win32/Spatet est un trojan de type RAT (Remote Access Tool) qui permet donc de prendre le contrôle de l’ordinateur infecté.
La détection Win32/Spatet.A est donnée par l’antivirus NOD32.
Rien de vraiment extraordinaire avec ce Trojan puisque ce dernier se charge au démarrage avec une clef RunOnce pointant, dans le cas observé, vers un fichier plugin.exe se trouvant dans le dossier temporaire de la session Windows.

HKU\S-1-5-21-861567501-1532298954-1177238915-1004\...\RunOnce: [Adobe Reader] =>
C:\Documents and Settings\Tarlet\Local Settings\temp\plugin.exe

Ces malwares de type RAT sont distribués très souvent sous forme de :

  • Crack / Keygen
  • Programmes de Cheat pour les jeux
  • Vidéo « douteuse » sur les réseaux sociaux.

Les fonctionnalités de Spatet sont assez classiques pour un RAT, on retrouve :

  • Possède des fonctionnalités de keylogger
  • peut effectuer des captures d’écran du bureau,
  • Ouvrir le lecteur CD-Rom ou encore une fenêtre de chat pour « discuter » avec la victime.
  • Faire télécharger et installer de nouveaux malwares.

Ce guide gratuit vous explique comment désinfecter votre ordinateur, supprimer les trojans Spatet.
Pensez une fois la désinfection terminée à changer tous vos mot de passe.

Continue reading “Win32/Spatet” »

Backdoor.Agent

Backdoor.Agent est une détection qui correspond à la présence d’une backdoor sur l’ordinateur qui permet le contrôle de l’ordinateur.
Le suffixe Agent indique qu’il s’agit d’une détection générale et non pas à une famille de malwares particulière.

Typiquement Backdoor.Agent se déclenche au démarrage de Windows et se connecte à un serveur permettant au pirate de contrôler l’ordinateur, il est donc fort possible que votre antivirus détecte aussi des adresses malicieuses.
Par exemple Avast! peut émettre des détections URL:Mal sans pour autant détecter la source de ces connexions malicieuses soit donc le Backdoor.Agent.

Voici un exemple de détection Backdoor.Agent par Malwarebytes Anti-Malware :

Malwarebytes_Backdoor_Agent

La procédure suivante vous explique comment supprimer Backdoor.Agent, cette procédure de désinfection se base sur des logiciels gratuits et ne met pas en avant de programme de désinfection payant.
En outre, un lien vers un forum d’entraide informatique vous ait donné dans le cas où vous rencontrez des difficultés ou si la procédure ne résout pas les problèmes de Backdoor rencontré.

Le point important est de bien changer ses mots de passe après avoir désinfecter l’ordinateur, ces derniers ayants été probablement récupérer par les pirates. Continue reading “Backdoor.Agent” »

Dropper.Generic9

Dropper.Generic9 est une détection de l’antivirus AVG qui désigne un Trojan de type Dropper, c’est à dire un malware conçu qui va installer une infection dans le système (charge utile ou payload en anglais).
Etant donné que la détection est générique, il est impossible de dire à quelle famille de Trojan appartient le malware.

AVG_Dropper_Generic

AVG peut aussi émettre des détections Dropper.Generic_c

Dropper_Generic_c_AVG

Le malware au bout du compte peut être de tout type :

  • Trojan.Spambot : qui va utiliser votre ordinateur pour envoyer des emails de spam
  • Trojan.Hijacker : qui peut éventuellement modifier la configuration système pour réduire la sécurité et permettre l’infection.
  • Trojan.Stealer ou Trojan.Banker : qui va tenter de voler des mots de passe et autres identifiant. Dans le cas de Trojan.Banker, ce dernier est spécialisé dans le vol de compte bancaire.

Vous l’aurez compris, ces détections sont très généralistes, il est difficile de savoir à quelle menace vous avez à faire.
Dès lors, il est conseillé de suivre une procédure standard de désinfection qui devrait permettre de nettoyer l’ordinateur dans son intégralité et supprimer les détections Dropper.Generic9.

Sachez aussi que beaucoup de sites de désinfection et proposent des procédures de désinfections qui ne sont en fait que des prétextes pour vous faire installer des antispywares payants.
Le but final est bien sûr de vous faire acheter ces antispywares payants.

La procédure suivante est complètement gratuite et se base sur des logiciels efficaces et non payants.
Cette procédure générale va supprimer toutes les menaces Trojan Hijacker de votre ordinateur et devrait permettre de retrouver la vitesse initiale de l’ordinateur.

Continue reading “Dropper.Generic9” »

Nanobot

NanoBot (Backdoor:MSIL/Noancooe chez Microsoft – voir aussi la page MSIL:NANOCORE) est une backdoor/trojan de type RAT (Remote Access Tool), c’est à dire que NanoBot permet de contrôler l’ordinateur de la victime et de faire à peu près tout ce que le pirate souhaite.
NanoBot loggue aussi les fenêtres ouvertes, possède des fonctionnalités de keylogger, peut faire des captures d’écran du bureau, ouvrir le lecteur CD-Rom ou encore une fenêtre de chat pour « discuter » avec la victime.

Les RAT (Remote Access Tool) sont des malwares utilisés par des pirates peu expérimentés et en général incapables de programmer leur propre malwares. Ces derniers achètent des kits tout fait et tentent d’infecter des internautes.
En général ces malwares sont propagés par :

  • de faux crack/keygen via des forums ou vidéo.
  • des vidéos faisant la promotion d’utilitaire (cheat, crack et autres).
  • des liens trompeurs sur les forums, comme de fausses mises à jour de Flash ou des trainers sur des forums de jeux en lignes.

Dans le cas de NanoBot ce dernier s’installe de manière classiques avec des clefs RUN et tâches planifiées :

Task: {CCB563C6-FE80-4C22-941C-94D97069A76A} - System32\Tasks\Update\Driverm => C:\Users\robin\AppData\Local\Temp\Driverm.exe [2016-01-23] () <==== ATTENTION
HKU\S-1-5-21-3709466023-1338611908-758753688-1000\...\Run: [SMTP Service] => C:\Users\robin\AppData\Roaming\3E32180C-17C6-4CD5-B364-94ECFB4A1ECB\SMTP Service\smtpsv.exe [712704 2016-01-23] ()
HKU\S-1-5-21-3709466023-1338611908-758753688-1000\...\Policies\Explorer\Run: [Adobe Flash Player] => C:\Users\robin\AppData\Roaming\plugin-container.exe
2016-01-23 10:45 - 2015-08-30 12:53 - 00000000 ____D C:\Users\robin\AppData\Roaming\3E32180C-17C6-4CD5-B364-94ECFB4A1ECB
C:\Users\robin\AppData\Local\Temp\Driverm.exe

Ci-dessous une capture d’écran avec des fichiers .dat contenant certaines informations qui peuvent être récupérés par le pirate comme les fenêtres ouvertes etc.

Trojan_NanoBot

Voici la détection antivirus de ce sample, ce dernier est relativement bien détecté.
La majorité des détections sont du type Backdoor.NanoBot ou Trojan.NanoBot, Microsoft lui détecte ce dernier en Backdoor:MSIL/Noancooe

SHA256: a7dc64e5541a772d5c2e7f14c97218c4d30d56ac57214814a37950411a6a1fd2
Nom du fichier : smtpsv.exe
Ratio de détection : 39 / 54
Date d’analyse : 2016-01-23 11:11:52 UTC (il y a 22 heures, 49 minutes)
Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.2689211 20160123
AVG Atros2.NDT 20160123
Ad-Aware Trojan.GenericKD.2689211 20160123
AegisLab Backdoor.MSIL.NanoBot.ezs!c 20160122
Agnitum Backdoor.NanoBot! 20160123
AhnLab-V3 Malware/Win32.Generic 20160122
Antiy-AVL Trojan[Backdoor]/MSIL.NanoBot 20160123
Arcabit Trojan.Generic.D2908BB 20160123
Avast Win32:Malware-gen 20160123
Avira TR/Dropper.MSIL.192708 20160123
Baidu-International Backdoor.MSIL.NanoBot.ezs 20160123
BitDefender Trojan.GenericKD.2689211 20160123
Cyren W32/Backdoor.SMSI-3277 20160123
DrWeb Trojan.PWS.Steam.5714 20160123
ESET-NOD32 a variant of MSIL/Kryptik.DLV 20160123
Emsisoft Trojan.GenericKD.2689211 (B) 20160123
F-Secure Trojan.GenericKD.2689211 20160123
Fortinet MSIL/Kryptik.DLV!tr 20160123
GData Trojan.GenericKD.2689211 20160123
Ikarus Trojan.MSIL.Crypt 20160123
Jiangmin Backdoor/MSIL.ghr 20160123
K7AntiVirus Trojan ( 004ce3311 ) 20160123
K7GW Trojan ( 004ce3311 ) 20160123
Kaspersky Backdoor.MSIL.NanoBot.ezs 20160123
McAfee RDN/Generic BackDoor 20160123
McAfee-GW-Edition BehavesLike.Win32.Backdoor.jc 20160123
MicroWorld-eScan Trojan.GenericKD.2689211 20160123
Microsoft Backdoor:MSIL/Noancooe.C 20160123
NANO-Antivirus Trojan.Win32.NanoBot.dvwdsr 20160123
Panda Trj/CI.A 20160123
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160123
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160122
Sophos Mal/Generic-S 20160123
Symantec Suspicious.Cloud.2 20160122
Tencent Msil.Backdoor.Nanobot.Eckv 20160123
TrendMicro TROJ_GEN.R00JC0DI115 20160123
VIPRE Trojan.Win32.Generic!BT 20160123
ViRobot Trojan.Win32.Z.Nanobot.712704[h] 20160123
nProtect Trojan.GenericKD.2689211 20160122

Par exemple, ci-dessous une popup de SuperAntispyware (que nous vous conseillons de ne pas utiliser) qui détecte un Trojan/Agent/Gen.NanoCore

Trojan_NanoCore

La détection Backdoor:MSIL/Noancooe chez Microsoft

Backdoor_MSIL_Naancooe

La procédure suivante entièrement gratuite devrait permettre de désinfecter votre ordinateur et vous débarrasser de NanoBot.
Après avoir désinfecté votre ordinateur, il est très fortement conseillé de changer tous vos mots de passe, en effet, le pirate a probablement peut récupérer ces derniers.
Vos comptes en ligne sont donc en danger.

 

Continue reading “Nanobot” »

Other:Malware-Gen [Trj]

Other:Malware-Gen [Trj] est une détection de l’antivirus Avast! qui peut désigner tout type de menaces.
Malware étant le mot en jargon informatique qui désigne toute menace informatique (Trojan, Backdoor, Adwares etc).
Dans le cas ci-dessous, il s’agit d’un RAT (Remote Access Tools) écrit en langage AutoIT.
Les RAT sont des trojans facilement accessibles utilisés par des débutants pour infecter les ordinateurs de leurs victimes, ces menaces sont des couteaux suisses qui permettent de faire à peu près tout sur l’ordinateur comme si le cybercriminels était devant.
Le pirate est alors capable d’effectuer des captures d’écran de l’ordinateur, allumer la webcam, fermer/télécharger des programmes, ouvrir le lecteur CD-Rom et enregistrer les frappes claviers à l’aide d’une fonctionnalité de keylogger.

Other_Malware_gen_Trj

Les malwares de type Other:Malware-Gen [Trj] et plus précisément les RATS sont diffusés à travers de faux cracks/keygen ou des cheats de jeux via des vidéos ou des liens mis sur les forums de discussions.
Pour les infections plus sophistiqués on peut trouver des diffusions du type :

Avast_Other_trj

La procédure suivante, entièrement gratuite, est une procédure de désinfection standard qui devrait permettre de nettoyer votre ordinateur.
En cas de question ou problème, nous vous fournissions aussi le lien vers un forum d’aide.
Il est fortement recommandé de changer vos mots de passe, une fois l’ordinateur désinfection, en effet, ces derniers ont été probablement volés.

Continue reading “Other:Malware-Gen [Trj]” »

Trojan:Win32/Varpes

Trojan:Win32/Varpes est une détection de Microsoft qui correspond à un malware dont les fonctionnalités sont assez classiques.
C’est un trojan qui permet en autre de contrôler l’ordinateur, récupérer des informations de connexions.

Voici les fonctionnalités de Trojan:Win32/Varpes

  • installer et télécharger d’autres malwares.
  • fonctionnalités de click fraud, simule des clics sur les publicités pour faire gagner de l’argent aux cybercriminels.
  • des fonctionnalités de keyloggers
  • envoie des informations aux cybercriminels comme l’historique de navigation WEB, les logins utilisateurs/mots de passe
  • permet le contrôle à distance de l’ordinateur.

C’est donc un malware sophistiqués qui se propage principalement par des exploits sur des sites WEB.

Trojan_win32_Varpes

Trojan:Win32/Varpes peut être relativement difficile à éradiquer. Le guide gratuit suivant vous explique, à partir de programmes gratuits, comment désinfecter votre ordinateur et sécuriser votre ordinateur, soit donc :

  • suivre la procédure de désinfection
  • changer vos mots de passe WEB (Facebook, Mail, jeux en ligne etc), ils ont probablement été volés
  • Sécuriser votre ordinateur, notamment contre les exploits WEB.

 

Continue reading “Trojan:Win32/Varpes” »

Win32/Glupteba

Win32/Glupteba est un trojan qui permet l’accès et le contrôle de l’ordinateur infecté.
CE dernier est relativement courant et se propage essentiel par des exploits WEB dit « Windigo ».
Eset a pas mal suivi ces campagnes, pour plus d’informations se reporter à la page suivante : Operation Windigo : Linux/Ebury et Linux/Cdorked

Si votre ordinateur a été infecté par Glupteba, vous pouvez en déduire que ce dernier est vulnérable aux exploits WEB et que des logiciels installés ne sont pas à jour, notamment Java, produits Adobe (Reader ou Flash) ou Microsoft SilverLight.

ou par le passé se faisant passer pour Nvidia :

Win32/Glupteba se faisait passer au départ pour Nvidia :

O23 – Service: NVIDIA Update Server (NvUpdSrv) – Unknown owner – C:/Documents and Settings/Mak/Local Settings/Application Data/NVIDIA Corporation/Update\nvupd32.exe

Dans les derniers sample, c’est un simple fichier gupdate.exe :

HKLM\...\Run: [gupdate] => C:\Program Files\Company\gupdate\gupdate.exe [144384 2015-12-10] ()

La détection du sample observé :

SHA256: 7018f1f09e34b8fc58b5bfa82b5b5b2bc008e4cb190239b35316278776e1a601
Nom du fichier : gupdate.exe
Ratio de détection : 6 / 55
Date d’analyse : 2015-12-10 13:38:05 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
Cyren W32/Agent.XL.gen!Eldorado 20151210
ESET-NOD32 Win32/Glupteba.AF 20151210
F-Prot W32/Agent.XL.gen!Eldorado 20151210
Kaspersky UDS:DangerousObject.Multi.Generic 20151210
McAfee-GW-Edition BehavesLike.Win32.Wenper.cm 20151210
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20151210

On retrouve des références NVidia dans les strings de Win32/Glupteba

Win32_Glupteba

Comment supprimer Win32/Glupteba ?

La procédure entièrement gratuite suivante vous explique comment supprimer Win32/Glupteba.
Pensez à changer vos mots de passe comme indiqué à la fin de la procédure et sécuriser votre ordinateur notamment contre les Web Exploit.
Continue reading “Win32/Glupteba” »

Trojan.Chickil

Trojan.Chickil est une détection Malwarebytes qui désigne des malwares de type RAT (Remote Access Tools) écrit en Autoit.
Ces malwares permettent la prise de contrôle de l’ordinateur infecté par les pirates.
Probablement aussi que Trojan.Chickil permet de voler les mots de passe enregistrés dans les navigateurs WEB.
Ce trojan est lancé au démarrage du système très souvent par un raccourci dans le dossier Démarrage ou une clef Run.

Exemple avec une clef Run qui lance un raccourci.

HKU\S-1-5-21-776270689-1541426705-108914957-1001\...\RunOnce: [Microsoft Corporation] => C:\ProgramData\b3lRLO.lnk [687 2015-12-05] ()
2015-12-05 11:49 - 2015-12-05 11:49 - 00000687 _____ C:\ProgramData\b3lRLO.lnk
2015-12-05 11:49 - 2015-12-05 11:49 - 00000000 ____D C:\Users\Marjorie\AppData\Roaming\40EF5F1A-EAA6-426A-A5DA-F124488F445F
2015-12-05 11:49 - 2015-12-05 11:49 - 00000000 _____ C:\ProgramData\cRAIhZXB
2015-12-05 11:48 - 2015-12-05 11:48 - 00000053 _____ C:\ProgramData\b3lRLO.folder
2015-12-05 11:48 - 2015-12-05 11:48 - 00000035 _____ C:\ProgramData\b3lRLO.path

Trojan.Chickil_2Malwarebytes Anti-Malware détecte bien ces derniers en Trojan.Chickil

Trojan.ChickilBien souvent, ces malwares viennent de téléchargement trompeur, par exemple, un faux lecteur vidéo, un cheat pour jeu, crack ou keygen promu par des vidéos sur Youtube ou des forums.

Soyez vigilants dans le contenu des téléchargements qui sont faits, car une fois l’ordinateur infecté, vos mots de passe sont volés et vous pouvez perdre l’accès à des comptes en ligne.

Continue reading “Trojan.Chickil” »

MSIL/Immirat

MSIL/Immirat.A est une détection de l’antivirus NOD32 et qui vise un malware de type RAT. (Remote Access Tools), il s’agit donc ici d’un trojan qui permet le contrôle de l’ordinateur à distance.
Ce dernier possède aussi des fonctionnalités de Keylogger.

Ce dernier se chargé par un raccourci dans le dossier Démarrage qui pointe vers un fichier .exe

C:\Users\Antoine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updates.lnk => déplacé(es) avec succès
C:\ProgramData\Microsoft Corporation\Microsoft Corporation\1.1.1.1\[UNPACKER] rld-caofdubl3.iso.exe => déplacé(es) avec succès
C:\Users\Antoine\AppData\Roaming\Imminent => déplacé(es) avec succès

Côté détection, on obtient ceci :

SHA256: d8e0e2a5a51b26b75f7debade73a83bdb86cb10ec6dcba9eb125c3bab0e3963b
Nom du fichier : [UNPACKER] rld-caofdubl3.iso.exe.xBAD
Ratio de détection : 19 / 55
Date d’analyse : 2015-12-05 22:26:28 UTC (il y a 19 heures, 4 minutes)
Antivirus Résultat Mise à jour
ALYac Gen:Variant.Barys.340 20151204
AVG Atros2.BHMR 20151205
Ad-Aware Gen:Variant.Barys.340 20151205
Agnitum Trojan.Agent!FtjTYs82xdE 20151205
Antiy-AVL Trojan[Dropper]/Win32.Injector 20151205
Arcabit Trojan.Barys.340 20151205
Avast Win32:Trojan-gen 20151205
Avira TR/Barys.8588108 20151205
BitDefender Gen:Variant.Barys.340 20151205
DrWeb Trojan.Inject2.9197 20151205
ESET-NOD32 MSIL/Immirat.A 20151205
Emsisoft Gen:Variant.Barys.340 (B) 20151205
F-Secure Gen:Variant.Barys.340 20151205
GData Gen:Variant.Barys.340 20151205
K7AntiVirus Trojan ( 004d4f551 ) 20151202
K7GW Trojan ( 004d4f551 ) 20151202
Kaspersky HEUR:Trojan.Win32.Generic 20151205
MicroWorld-eScan Gen:Variant.Barys.340 20151205
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20151205

Ce genre d’infection provient généralement à la suite d’un crack ou keygen, promu sur des forums, vidéo Youtube/Dailymotion.

Il convient de désinfecter l’ordinateur et surtout changer vos mots de passe, une fois l’infection éradiquée, en effet, le malware a probablement permis de récupérer vos mots de passe WEB.

Continue reading “MSIL/Immirat” »

Win32:MalOb

Win32:MalOb est une détection générique de l’antivirus Avast!.
MalOb étant la contraction de malware obfuscator et vise les fichiers qui contiennent des éléments visants à cacher un contenu malicieux.

Win32-MalObCette détection Win32:MalOb étant générique, il n’est pas possible de savoir à quel type de menaces vous avez affaire Trojan, Backdoor ou simplement adware (logiciels publicitaires) et encore moins à quelle famille.
Bien qu’il est plus que fort probable que ce soit plutôt une menace de type Trojan ou Backdoor.

Si des alertes régulières Win32:MalOb provenant d’Avast! s’affichent, vous pouvez être certains qu’un malware est actif sur votre ordinateur.

Une désinfection générique est alors nécessaire afin de supprimer cette menace.

La procédure suivante devrait vous permettre justement de désinfection votre ordinateur.
Cette procédure est complètement gratuite puisqu’elle ne se base que sur des logiciels de désinfection gratuits et efficaces.
En outre, un lien vers un forum d’aide vous ait donné afin en cas de problème obtenir une aide personnalisée.
Continue reading “Win32:MalOb” »

Win32:Dropper-Gen

Win32:Dropper-Gen est une détection de l’antivirus Avast! qui désigne un Trojan de type Dropper, c’est à dire un dropper qui va installer une infection dans le système.
Etant donné que la détection est générique, il est impossible de dire à quelle famille de Trojan appartient le malware.

Win32_Dropper_Gen

Avast_Win32_Dropper_Gen

Le malware au bout du compte peut être tout type de menaces malvaillantes. On trouve en général :

  • Trojan.Spambot : qui va utiliser votre ordinateur pour envoyer des emails de spam
  • Trojan.Hijacker : qui peut éventuellement modifier la configuration système pour réduire la sécurité et permettre l’infection.
  • Trojan.Stealer ou Trojan.Banker : qui va tenter de voler des mots de passe et autres identifiant. Dans le cas de Trojan.Banker, ce dernier est spécialisé dans le vol de compte bancaire.

Vous l’aurez compris, ces détections sont très généralistes, il est difficile de savoir à quelle menace vous avez à faire.
Dès lors, il est conseillé de suivre une procédure standard de désinfection qui devrait permettre de nettoyer l’ordinateur dans son intégralité et supprimer les détections Win32:Dropper-Gen.

Sachez aussi que beaucoup de sites de désinfection et proposent des procédures de désinfections qui ne sont en fait que des prétextes pour vous faire installer des antispywares payants.
Le but final est bien sûr de vous faire acheter ces antispywares payants.

La procédure suivante est complètement gratuite et se base sur des logiciels efficaces et non payants.
Cette procédure générale va supprimer toutes les menaces Trojan Hijacker de votre ordinateur et devrait permettre de retrouver la vitesse initiale de l’ordinateur.

Continue reading “Win32:Dropper-Gen” »

Trojan.Win32.Inject

Trojan.Win32.Inject est une détection générique qui désigne des malwares capables d’injecter d’autres processus, souvent le but est de prendre le contrôle de ce dernier afin d’effectuer certains opérations.
Dans la majorité des cas, le malware va tenter d’injecter un processus système comme explorer.exe, svchost.exe ou winlogon.exe afin d’effectuer une connexion vers le serveur de contrôle.

Si le pare-feu n’est pas capable de voir l’injection et selon la configuration du pare-feu, la connexion peut-être accepté.
C’est donc une manière de contourner un blocage du pare-feu.

L’injection peut aussi service à placer des crochets afin de rediriger des fonctionnalités du processus, comme par exemple, les appels clavier. Dans ce cas, l’injection peut servir de keylogger.

Par exemple ci-dessous, on voit le processus légitime Windows svchost.exe qui effectue des connexions SMTP, le PC infecté est donc transformé en Spambot :

La vidéo suivante vous montre le Trojan Bedep en action à travers l’injection de processus Windows :

Voici un exemple de détection Trojan.Win32.Inject :

SHA256: d0b477b2a179d190bd123a94c63ab37704130d30ab732194aafcd5b85f06b310
Ratio de détection : 13 / 56
Date d’analyse : 2015-10-03 17:58:36 UTC (il y a 1 heure, 32 minutes)
Antivirus Résultat Mise à jour
AVG Zbot.AHOH 20151003
AVware Trojan.Win32.Generic!BT 20151003
Antiy-AVL Trojan/Win32.Inject 20151003
Avast Win32:Malware-gen 20151003
ESET-NOD32 a variant of Win32/Kryptik.DYRB 20151003
GData Win32.Trojan.Agent.1420CW 20151003
Kaspersky Trojan.Win32.Inject.vieg 20151003
McAfee Trojan-FHEI!236485DE8654 20151003
McAfee-GW-Edition BehavesLike.Win32.Swrort.ch 20151002
Microsoft Trojan:Win32/Sopinar.C 20151003
Sophos Mal/Tinba-O 20151003
TrendMicro TROJ_GEN.R0E9C0DIU15 20151003
VIPRE Trojan.Win32.Generic!BT 20151003

Voici un exemple de blocage Malwarebytes Anti-Malware payant sur Trojan.Injector

Trojan_injector

Même détection chez Antivir avec TR/Injector

Trojan_Injector_Antivir

Autre exemple de détection de cheval de troie Inject par AVG :

Cheval_troie_inject_AVG

Enfin chez Microsoft, la détection peut être VirTool:Win32/Injector

VirTool_Win32_Injector

Si votre antivirus détecte un Trojan.Win32.Inject, il est fort probable que votre ordinateur soit infecté.

La désinfection nécessite aussi de changer ses mots de passe, si le PC est vraiment infecté, dans le cas où ces derniers ont pu être récupérés.

La procédure suivante est donc une procédure standard de désinfection qui devrait vous permettre de désinfecter et nettoyer votre ordinateur.

Continue reading “Trojan.Win32.Inject” »

Trojan/Win32.Proxy

Trojan/Win32.Proxy est le nom donné à des malwares qui agit sur l’ordinateur en tant que proxy.
Un proxy est un programme informatique, utilisé en général, dans les entreprises comme intermédiaire pour partager une connexion (sans rentrer dans les détails).
Le proxy permettant de manipuler les pages WEB, certains adwares forcent un proxy sur l’ordinateur afin de pouvoir injecter des publicités sur les pages WEB visitées.

Ici, dans le cas deTrojan/Win32.Proxy, le malware agit en tant que serveur proxy sur la machine infectée, cecu afin de revendre son utilisation à d’autres cybercriminels pour se dissimuler.
Ces derniers pourront utiliser le proxy pour se cacher, par exemple, pour envoyer des emails, se connecter à certains serveurs afin de ne pas pouvoir être retracé facilement.

Le Trojan/Win32.Proxy est donc un nom générique, le malware peut-être plus ou moins évolué.

voici un exemple de détection Trojan/Win32.Proxy :

SHA256: 797347ec89323a2585b1eaeab76ebd4c8c89b2b76fffed518d9470676f6f2433
Nom du fichier : dcfbbbc440891b36a93aba30f92295c1f04d29a5
Ratio de détection : 15 / 56
Date d’analyse : 2015-09-27 21:01:24 UTC (il y a 10 heures, 27 minutes)
Antivirus Résultat Mise à jour
AVG Proxy.BIAZ 20150927
AVware Trojan.Win32.Generic!BT 20150927
AhnLab-V3 Trojan/Win32.Proxy 20150927
Avira TR/Proxy.Agent.15360 20150927
ESET-NOD32 a variant of Win32/TrojanProxy.Agent.NZL 20150927
Fortinet W32/Agent.NZL!tr 20150927
Malwarebytes Trojan.Crypt 20150927
McAfee Artemis!5305E3BFAF5B 20150927
McAfee-GW-Edition Artemis!Trojan 20150927
Microsoft Trojan:Win32/Dynamer!ac 20150927
Panda Trj/Genetic.gen 20150927
Qihoo-360 HEUR/QVM40.1.Malware.Gen 20150927
Sophos Mal/Generic-S 20150927
Symantec PUA.Yontoo.C 20150927
VIPRE Trojan.Win32.Generic!BT 20150927

Si une analyse antivirus détecte Trojan.Proxy, il se peut que votre ordinateur soit donc infecté.
En cherchant des solutions sur la toile, vous pouvez tomber sur des sites de désinfections qui ne sont que des prétextes pour vous faire installer des antispywares payants.
Ces derniers vont analyser l’ordinateur et détecter des menaces, il faudra alors payer pour supprimer les menaces détectées sans être certains que l’intégralité des malwares seront supprimés de l’ordinateur.

Sachez qu’il existe des logiciels de désinfections gratuits, c’est ce que vous propose d’utiliser cette fiche de supprimer-virus.com
Cette procédure générique de désinfection devrait vous permettre de nettoyer votre ordinateur et supprimer Trojan.Proxy

Continue reading “Trojan/Win32.Proxy” »

Rootkit.Agent.A

Rootkit.Agent.A est une détection générique de l’antivirus Malwarebytes Anti-Malware qui désigne donc la présence d’un rootkit.

Les rootkits sont les menaces les plus avancées, qui sont en général, les plus difficiles à éradiquer.
Voici un exemple de détection Rootkit.Agent.A de Malwarebytes Anti-Malware sur un fichier cherimoya.sys, dans ce cas ci-dessous, cela concerne l‘infection Shopperz / Abengine.

Un rootkit, nous parlerons ici des rootkit kernel-mode est composé en général :

  • d’un fichier xxxxxx.sys qui se trouve souvent dans le dossier C:\Windows\system32\drivers
  • d’un Service qui se charge depuis les clefs du registre Windows : HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\XXX

Les rootkits ont la particularité de re-router les appels systèmes vers eux mêmes afin de pouvoir falsifier les réponses, par exemple, pour rendre la suppression du driver plus difficile, ce dernier est capable de rerouter les appels de suppression de fichiers, d’où la difficulté pour les supprimer.

Quelques liens de désinfections liés aux rootkits :

Ces deux rootkits sont des bookits, c’est à dire qu’au lieu d’installer un service et un pilotes (fichiers .sys), ces derniers vont se loger dans le MBR (Masterboot Record), c’est à dire à l’emplacement de chargement du système d’exploitation.
Cela leur permet de se charger avant le système d’exploitation et surtout les antivirus.
Ce sont donc des Rootkits MBR.

La page suivante vous donne une procédure standard afin de supprimer les Rootkit.Agent.A
Cette procédure est gratuite et devrait vous permettre de désinfecter votre ordinateur.

Bien entendu, si cela ne fonctionne pas, vous pouvez demander une désinfection personnalisée et toujours gratuite sur le forum d’entraide malekal.com dans la section Virus : VIRUS : Supprimer/Desinfecter (Trojans, Adwares, Backdoor, Spywares, Hijack)

Continue reading “Rootkit.Agent.A” »

Trojan.MSIL

Les Trojan.MSIL sont des malwares écrits en langage MicroSoft Intermediate Language (MSIL), la plupart du temps, cela désigne des RATs (Remote Access Tools).
Par exemple, la famille de RAT NanoCore peut être détecté en MSIL:NanoCore
Ces malwares sont capables, en général :

  • de permettre l’accès/contrôler à l’ordinateur
  • de faire télécharger et installer de nouveaux malwares

Ces malwares possèdent aussi des fonctionnalités de stealer afin de voler les mots de passe, comme :

Les traces des éléments volés sont détectées par Malwarebytes Anti-Malware en Stolen Data ou Malware.Trace.
D’utre part, on trouve souvent sur certaines variantes de RATs/Trojan.MSIL un processu RegAsm.exe qui se lance, si ce dernier plante/crash, on obtient donc une erreur RegAsm.exe significative de ces infections.

Trojan_RAT_RegAsm

Côté diffusion, ces malwares sont en général proposés en téléchargement sur des sites d’hébergement via par des cracks/keygen, cheat pour des jeux ou des  programmes de piratage Facebook, Skype etc.
Outre de faux sites de diffusion de crack/keygen (forum etc), des vidéos sur Youtube peuvent être utilisés avec un lien menant aux téléchargements de ces Trojan.MSIL.

Ici donc le but est de faire croire que vous allez télécharger ceci ou cela pour vous faire lancer un faux setup qui va installer Trojan.MSIL sur votre ordinateur.

Cela peut aussi aller plus loin, avec de fausses annonces sur Pôle Emploi, ou une fois contacté, la personne vous demande d’installer un logiciel, qui n’est en autre qu’un Trojan.MSIL.
Ceci dit, cela reste relativement rare.

Le fichier donné lance le setup du logiciel et installe le malware Trojan.MSIL sur l’ordinateur :

Ce dernier est détecté en Trojan.Kryptik.MSIL par Malwarebytes Anti-Malware :

Il existe des variantes en Backdoor.MSIL, par exemple, ci-dessous une détection Microsoft Backdoor:MSIL/Bladabina.
Microsoft peut aussi générer des détections VIRTOOL:MSIL/OBFUSCATOR

Backdoor_MSIL_BladabindiAvast! peut aussi émettre des détection MSIL:GenMalicious

Avast_MSIL_GenMalicious

et un TR/Dropper.MSIL détecté par Avira Antivir :

Trojan_Dropper_MSIL

Néanmoins, vous devez porté une attention particulière au fichier proposé sur les sites d’hébergement.

Côté désinfection, ces malwares n’étant pas très complexes, s’ils sont bien détectés par les antivirus, ces derniers ne devraient pas avoir de difficultés pour les supprimer de l’ordinateur.

La procédure suivante est basée sur des logiciels gratuits qui devrait vous permettre de supprimer tous les malwares sur votre ordinateur et notamment Trojan.MSIL.

Une fois la désinfection terminée, nous vous conseillons vivement de changer tous vos mots de passe puisque ces malwares peuvent les avoir volés.

Continue reading “Trojan.MSIL” »

1 2 3 4