Trojan:Win32/Beaugrit

Trojan:Win32/Beaugrit est une détection de l’antivirus Microsoft qui désigne une famille de malware distribué généralement par des cracks et keygen.

Trojan_Beaugrit

Une fois actif sur Windows, Trojan:Win32/Beaugrit permet de :

  • Utiliser l’ordinateur comme Click Fraud, c’est à dire de charger des publicités en fond.
  • Télécharger et installer d’autres malwares.
  • Enregistre les frappes claviers et sites visités.
  • Envoyer des informations aux pirates comme le nom d’utilisateur, historique de navigation et autres informations.
  • Permet l’accès et le contrôle du PC à l’attaquant.

Vous l’aurez compris, ces détections sont très généralistes, il est difficile de savoir à quelle menace vous avez à faire.

Dès lors, il est conseillé de suivre une procédure standard de désinfection qui devrait permettre de nettoyer l’ordinateur dans son intégralité et supprimer les détections le cheval de troie/trojan Crypt.

Sachez aussi que beaucoup de sites de désinfection et proposent des procédures de désinfections qui ne sont en fait que des prétextes pour vous faire installer des antispywares payants.
Le but final est bien sûr de vous faire acheter ces antispywares payants.

La procédure suivante est complètement gratuite et se base sur des logiciels efficaces et non payants.
Cette procédure générale va supprimer toutes les menaces Trojan:Win32/Beaugrit de votre ordinateur et devrait permettre de retrouver la vitesse initiale de l’ordinateur.

Continue reading “Trojan:Win32/Beaugrit” »

Riskware.MisusedLegit

Riskware.MisusedLegit est une détection de Malwarebytes Anti-Malware qui peut correspondre à des infections de RAT (Remote Access Tools).
Les RATs sont des trojans qui permettent le contrôle à distance de l’ordinateur, cela peut aller à la possibilité d’effectuer des captures d’écran du bureau, ouvrir le lecteur CD-Rom mais aussi ouvrir une fenêtre de chat.
Les Rats ont aussi des fonctionnalités de keylogger qui permettent d’enregistrer les frappes claviers afin de voler des mots de passe.

Dans le cas observé, il s’agit du programme AutoIT.exe qui permet de charger le code source du Trojan pour le rendre actif sur le système.
Celui-ci va se rendre actif au démarrage et se connecter au serveur du pirate.

Riskware_MisusedLegit

Ces Trojans sont généralement distribué à travers de faux sites de cracks/keygen ou par des vidéos Youtube/Dailymotion avec divers prétexte (cheat pour jeu etc) avec des liens menants à des hébergeurs de fichiers.
Soyez vigilants quand vous téléchargez ce type de fichiers, bien souvent, cela mène à des malwares.

Nous vous proposons une procédure de désinfection gratuite qui devrait vous permettre de désinfection votre ordinateur.
A l’issue de cette procédure, une fois l’ordinateur désinfection et Riskware.MisusedLegit supprimé, il vous faudra changer tous vos mots de passe.

Continue reading “Riskware.MisusedLegit” »

Trojan:Win32/Varpes

Trojan:Win32/Varpes est une détection de Microsoft qui correspond à un malware dont les fonctionnalités sont assez classiques.
C’est un trojan qui permet en autre de contrôler l’ordinateur, récupérer des informations de connexions.

Voici les fonctionnalités de Trojan:Win32/Varpes

  • installer et télécharger d’autres malwares.
  • fonctionnalités de click fraud, simule des clics sur les publicités pour faire gagner de l’argent aux cybercriminels.
  • des fonctionnalités de keyloggers
  • envoie des informations aux cybercriminels comme l’historique de navigation WEB, les logins utilisateurs/mots de passe
  • permet le contrôle à distance de l’ordinateur.

C’est donc un malware sophistiqués qui se propage principalement par des exploits sur des sites WEB.

Trojan_win32_Varpes

Trojan:Win32/Varpes peut être relativement difficile à éradiquer. Le guide gratuit suivant vous explique, à partir de programmes gratuits, comment désinfecter votre ordinateur et sécuriser votre ordinateur, soit donc :

  • suivre la procédure de désinfection
  • changer vos mots de passe WEB (Facebook, Mail, jeux en ligne etc), ils ont probablement été volés
  • Sécuriser votre ordinateur, notamment contre les exploits WEB.

 

Continue reading “Trojan:Win32/Varpes” »

Stolen.Data et Malware.Trace

Stolen.Data et Malware.Trace sont des détections de l’antivirus Malwarebytes Anti-Malware.
Ces détections correspondant à des infections de type RATs (Remote Acess Tools), certains de ces RATs peuvent être détectées en Trojan.MSIL.

Les RATs sont donc des trojans qui sont permettent le contrôle de l’ordinateur à distance et le vols de mot de passe, ces derniers embarquants des fonctionnalités de keylogger.
Cette fonctionnalité de keylogger a tendance à provoquer des problèmes d’accents circonflexes comme le symptômes du double accent circonflexe – double ^

La détection Stolen.Data et Malware.Trace correspond aux informations volés par le malware et stockés sur l’ordinateur. Ce n’est donc pas la charge virale, mais le résultat de l’infection.
Ces détections sont souvent donc dans des répertoires du type Logs DcLogs et contiennent des fichiers textes.

Dossiers: 1
Stolen.Data, C:\Users\Fabien\AppData\Roaming\Imminent\Logs, , [4eefa241543605317aa401378380fd03],

Fichiers: 2
Stolen.Data, C:\Users\Fabien\AppData\Roaming\Imminent\Logs\18-07-2015, , [4eefa241543605317aa401378380fd03],
Stolen.Data, C:\Users\Fabien\AppData\Roaming\Imminent\Logs\19-07-2015, , [4eefa241543605317aa401378380fd03],

Malwarebytes_Stolen_Data

Si Malwarebyte Anti-Malware détecte seulement ces éléments, cela signifie que :

  • Ces détections correspondent à une infection ancienne dont les éléments volés sont restés sur l’ordinateur. Dans ce cas, une fois supprimé, ces détections ne doivent pas revenir.
  • Malwarebyte ne détecte pas le RAT / Trojan installés sur l’ordinateur. Dans ce cas après suppression, ces détections ne doivent pas revenir et aucun autre symptômes comme le double accent circonflexe doit se manifester.

Néanmoins, il est tout à fait possible d’effectuer des analyses supplémentaires afin de s’assurer que l’ordinateur n’est pas/plus infecté.
Il est aussi conseillé de suivre deux fois cette procédure avec un ou deux jours d’écarts en mettant vos définitions virales à jour. Une détection peut avoir été ajoutée afin de détecter ce dernier.

Dans le cas où ces analyse montrent la présence de trojans, il conviendra après désinfection de modifier tous ses mots de passe puisque ces derniers ont été probablement récupérés par les pirates.

Les analyses suivantes se basent sur des programmes gratuits contrairement à certains sites de désinfections qui ne proposent que des antispywares payants dans le but de vous les vendre.

Continue reading “Stolen.Data et Malware.Trace” »

Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat

Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat sont des détections de l’antivirus Microsoft qui correspond à des Trojans de type RATs.
Les RATs (Remote Access Tools) sont des malwares qui permettent le contrôle de l’ordinateur et embarque souvent des fonctionnalités de keylogger.
De ce fait, ces malwares sont capables de voler des idenfiants.
Vous trouverez un dossier concernant ces malwares sur la page : RAT, Bifrose, Cybergate, Spynet, Darkcomet : Botnet pour les nuls

Les RATs sont donc des malwares qui se propagent généralement via des cracks et keygen ou cheaters proposés sur des sites de téléchargements ou fausses vidéos tutorials.
Ces derniers peuvent aussi être envoyés via Skype par des personnes mal intentionnées.

Ces infections sont relativements faciles à éviter si on fait un peu attention aux fichiers que l’on télécharge et ouvre.

Voici les éléments ajoutés dans le système sur le pack de RATs Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat observés :

HKLM-x32\...\Winlogon: [Userinit] userinit.exe,C:\Windows\system32\clientsvr.exe [X]
HKLM\...\Policies\Explorer\Run: [Policies] => C:\Windows\system32\install\Svchost.exe
HKU\S-1-5-19\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-19\...\Winlogon: [Shell] C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] () <==== ATTENTION
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Policies\Explorer\Run: [Policies] => C:\Windows\system32\install\Svchost.exe
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Policies\Explorer: [NofolderOptions] 0
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Winlogon: [Shell] C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] () <==== ATTENTION
HKU\S-1-5-18\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-18\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-18\...\Policies\Explorer: [NofolderOptions] 0

2015-07-14 14:37 - 2015-07-14 14:37 - 00000000 __SHD C:\ProgramData\181994
2015-07-14 14:26 - 2015-07-14 14:37 - 00259584 _____ C:\Windows\SysWOW64\clientsvr.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00259584 _____ C:\Users\Nathan\AppData\Roaming\jo59n.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00259584 _____ C:\Users\Nathan\AppData\Roaming\itoo7.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00000006 __RSH C:\ProgramData\03404ce119fd6c36b876bfbb131bd3bbdbd9874d
2015-07-14 14:26 - 2015-07-14 14:26 - 00000000 __SHD C:\ProgramData\182094
2015-06-27 18:35 - 2015-06-27 18:35 - 00000036 _____ C:\Users\Nathan\AppData\Roaming\SuYZkvrV.tmp
2015-06-25 14:04 - 2015-06-25 14:04 - 00085011 _____ C:\Users\Nathan\AppData\Roaming\urbc3.exe
2015-06-25 14:03 - 2015-06-25 14:03 - 00085021 _____ C:\Users\Nathan\AppData\Roaming\ujgrs.exe
2015-06-24 13:46 - 2015-06-24 13:46 - 00226251 _____ C:\Users\Nathan\AppData\Roaming\5scmo.exe
2015-06-24 13:46 - 2015-06-24 13:46 - 0226251 _____ () C:\Users\Nathan\AppData\Roaming\5scmo.exe
2015-05-05 08:49 - 2015-05-05 08:49 - 0894976 _____ () C:\Users\Nathan\AppData\Roaming\cdlg4.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0259584 _____ () C:\Users\Nathan\AppData\Roaming\itoo7.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0259584 _____ () C:\Users\Nathan\AppData\Roaming\jo59n.exe
2005-04-29 08:16 - 2015-02-19 00:25 - 0004346 ____H () C:\Users\Nathan\AppData\Roaming\Nathanlog.dat
2015-06-27 18:35 - 2015-06-27 18:35 - 0000036 _____ () C:\Users\Nathan\AppData\Roaming\SuYZkvrV.tmp
2015-05-08 12:55 - 2015-05-08 12:55 - 0896000 _____ () C:\Users\Nathan\AppData\Roaming\t68wi.exe
2015-06-25 14:03 - 2015-06-25 14:03 - 0085021 _____ () C:\Users\Nathan\AppData\Roaming\ujgrs.exe
2015-05-09 14:44 - 2015-05-09 14:44 - 0896000 _____ () C:\Users\Nathan\AppData\Roaming\ujl3g.exe
2015-06-25 14:04 - 2015-06-25 14:04 - 0085011 _____ () C:\Users\Nathan\AppData\Roaming\urbc3.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0000006 __RSH () C:\ProgramData\03404ce119fd6c36b876bfbb131bd3bbdbd9874d

En outre, ces infections ajoutent des clefs Debbuger ciblant les antivirus dans le but d’empécher ces derniers de démarrer convenablement :

IFEO\AvastSvc.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\AvastUI.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avcenter.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avconfig.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgcsrvx.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgidsagent.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgnt.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgrsx.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avguard.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgwdsvc.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avp.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avscan.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\bdagent.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\blindman.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\ccuac.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\ComboFix.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\egui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\GameScannerService.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\hijackthis.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\instup.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\keyscrambler.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbam-chameleon.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbampt.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbamscheduler.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MpCmdRun.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MSASCui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MsMpEng.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\msseces.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\NIS.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\NortonNISDownloader.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\Norton_Removal_Tool.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\rstrui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDFiles.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDMain.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDWinSec.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\spybotsd.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\wireshark.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\zlclient.exe: [Debugger] C:\ProgramData\181994\sysmon.exe

Nous avons soumis la détection de ces fichiers malicieux antivirus  dont voici les résultats.

Trojan:Win32/Scrarev :

SHA256: 4c96572b2a874be17f327f26c1ed29d3d4b081321a43be63d3ef14f84ce7cb09
Nom du fichier : cdlg4.exe
Ratio de détection : 26 / 55
Date d’analyse : 2015-07-18 07:42:56 UTC (il y a 1 heure, 15 minutes)
Antivirus Résultat Mise à jour
AVG MultiDropper_c.AOTK 20150718
AVware Trojan.Win32.Generic!BT 20150718
Avast AutoIt:MalOb-HP [Trj] 20150718
Avira DR/Autoit.A.7213 20150717
Baidu-International Trojan.Win32.Injector.BLQ 20150717
CAT-QuickHeal Trojan.Scrarev.r5 20150717
Comodo UnclassifiedMalware 20150718
Cyren W32/AutoIt.DB.gen!Eldorado 20150718
DrWeb Trojan.DownLoader11.34675 20150718
ESET-NOD32 Win32/TrojanDropper.Autoit.JR 20150718
F-Prot W32/AutoIt.DB.gen!Eldorado 20150718
Fortinet W32/Autoit.BLW!tr 20150718
GData Win32.Trojan.Agent.4R1AGM 20150718
Ikarus Trojan.Win32.Injector 20150718
K7AntiVirus Trojan ( 700000111 ) 20150718
K7GW Trojan ( 700000111 ) 20150718
McAfee RDN/Generic.dx!dsk 20150718
McAfee-GW-Edition BehavesLike.Win32.Dropper.ch 20150717
Microsoft Trojan:Win32/Scrarev.C 20150718
Rising PE:Trojan.Win32.Generic.18A34749!413353801 20150713
Sophos Mal/Generic-S 20150718
Symantec WS.Reputation.1 20150718
Tencent Autoit.Trojan.Autoit.Hvsq 20150718
TrendMicro TROJ_GEN.R072C0DEL15 20150718
VIPRE Trojan.Win32.Generic!BT 20150718
nProtect Trojan-Downloader/W32.Genome.894976.C 20150717
TrojanSpy:MSIL/Omaneat :
SHA256: 210947540cb494814c05ae3043579e4984a122ef5f180acd3c4c9cfd52480c0e
Nom du fichier : itoo7.exe
Ratio de détection : 29 / 55
Date d’analyse : 2015-07-18 07:43:13 UTC (il y a 1 heure, 15 minutes)
Antivirus Résultat Mise à jour
AVware Trojan.Win32.Generic!BT 20150718
Ad-Aware Trojan.GenericKD.2567225 20150718
Agnitum Trojan.Agent!h0PKSgq7hGw 20150717
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20150718
Arcabit Trojan.Generic.D272C39 20150718
Avast MSIL:Injector-LY [Trj] 20150718
Avira TR/Agent.259584.54 20150717
Baidu-International Trojan.MSIL.Agent.ABP 20150717
BitDefender Trojan.GenericKD.2567225 20150718
DrWeb Trojan.DownLoader14.49477 20150718
ESET-NOD32 MSIL/Agent.ABP 20150718
F-Secure Trojan.GenericKD.2567225 20150718
Fortinet W32/Generic.ABP!tr 20150718
GData Trojan.GenericKD.2567225 20150718
Ikarus Trojan.MSIL.Agent 20150718
K7GW Trojan ( 004c848a1 ) 20150718
Kaspersky HEUR:Trojan.Win32.Generic 20150718
McAfee Artemis!70E943E97B97 20150718
McAfee-GW-Edition Artemis!Trojan 20150717
MicroWorld-eScan Trojan.GenericKD.2567225 20150718
Microsoft TrojanSpy:MSIL/Omaneat!rfn 20150718
Panda Trj/CI.A 20150718
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20150718
Sophos Mal/Generic-S 20150718
Symantec Trojan.Gen 20150718
Tencent Win32.Trojan.Generic.Ahyn 20150718
VIPRE Trojan.Win32.Generic!BT 20150718
Zillya Backdoor.PePatch.Win32.79714 20150718
nProtect Trojan.GenericKD.2567225 20150717

La désinfection de ce pack peut poser problèmes si l’antivirus ne détecte pas les fichiers malicieux ou s’il est impossible de lancer l’antivirus étant donné que ce pack, comme expliqué auparavant peut empécher leur exécution.

Attention aussi aux certains sites de désinfection qui sont créés dans le but de vous faire installer des antispywares payants dans le simple but de vous les vendre.

La procédure de désinfection suivante est complètement gratuit et vous propose d’utiliser des programmes de désinfection efficace et gratuit.

Cette procédure devrait vous permettre de vous débarrasser des trojans Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat. Une fois la désinfection terminée, pensez à changer tous vos mots de passe, ces derniers ont été probablement récupérés par les pirates.

Continue reading “Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat” »

MSIL.Spy.Keylogger

MSIL.Spy.Keylogger est un keylogger écrit en Microsoft .NET, MSIL voulant dire MicroSoft Intermediate Language.

Un keylogger est un malware qui enregistre les frappes clavier et transmets les informations aux pirates, le but étant de récupérer des identifants / mots de passe.
C’est donc un malware de catégorie spyware.

Les RATs qui permettent le contrôle à distance de l’ordinateur ont souvent des fonctionnalités de keylogger.
Souvent les symptômes sont des dysfonctionnements du clavier, comme par exemple, le doublement des accents.

Dans le cas observé, le keylogger tente de se faire passer pour des fichiers Adobe Flash, voici les fichiers installés dans le système :

(Adobe) C:\Users\Karl\AppData\Roaming\Adobe\AdobeUpdate.exe
(Adobe Systems Inc) C:\Users\Karl\AppData\Roaming\Adobe\FlashUpdateSvc.exe
C:\Users\Karl\AppData\Roaming\Adobe\srvchost.exe

Nous avons soumis le fichier à l’analyse antivirus dont voici la détection :

SHA256: 9199b61f30c93e9f1c1b184e24e80873b66499d32b72505049326c1e9889bc06
Nom du fichier : FlashUpdate.exe
Ratio de détection : 19 / 57
Date d’analyse : 2015-03-09 08:49:05 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
ALYac Gen:Variant.Kazy.500981 20150309
AVG PSW.MSIL.AGFK 20150309
AVware MSIL.Spy.Keylogger 20150309
Ad-Aware Gen:Variant.Kazy.500981 20150309
Baidu-International Trojan.MSIL.Keylogger.ASK 20150309
BitDefender Gen:Variant.Kazy.500981 20150309
Comodo UnclassifiedMalware 20150309
ESET-NOD32 a variant of MSIL/Spy.Keylogger.ASK 20150309
Emsisoft Gen:Variant.Kazy.500981 (B) 20150309
F-Secure Gen:Variant.Kazy.500981 20150308
Fortinet MSIL/Keylogger.ASK!tr.spy 20150309
GData Gen:Variant.Kazy.500981 20150309
K7AntiVirus Spyware ( 004b19081 ) 20150309
McAfee Artemis!244346FF7C80 20150309
McAfee-GW-Edition Artemis 20150309
MicroWorld-eScan Gen:Variant.Kazy.500981 20150309
Symantec WS.Reputation.1 20150309
TrendMicro-HouseCall TROJ_GEN.R08NH09C715 20150309
VIPRE MSIL.Spy.Keylogger 20150309

Vous l’aurez compris, si vous avez été infecté par un keylogger, vos comptes en ligne peuvent avoir été compris.
Après avoir désinfecté votre ordinateur, il faudra changer tous mots passe puisqu’ils peuvent avoir été récupérés par les pirates.

La procédure gratuite suivante vous guide dans la désinfection de votre ordinateur

Continue reading “MSIL.Spy.Keylogger” »

Trojan.PWS

Trojan.PWS est une catégorie de malware de type stealer, c’est à dire créé afin de voler des informations contenues sur le PC.
Le suffixe PWS est l’abréviation de password, cela signifie donc que le malware en question est capable de voler les mots de passe, souvent ce type de malwares ont des fonctionnalités de keylogger.
Malwarebytes Anti-Malware peut détecter ce dernier en Spyware.Password.

Dans le cas observé, le malware en question upload des fichiers texte vers un serveur FTP (ce qui est assez courant pour les malwares de type RATs).
Voici un exemple d’un site avec une liste de fichiers textes par victime.
On retrouve des frappes claviers enregistrées et des captures d’écran de l’ordinateur.

Trojan_PWS_Keylogger_exemple2  Trojan_PWS_Keylogger

Voici un exemple de contenu du fichier avec les frappes claviers enregistrés et les sites WEB visités ou les applications lancées.

Trojan_PWS_Keylogger_exemple

Les malwares de type Trojan.PWS sont aussi capables de récupérer les mots de passe enregistrés dans vos navigateurs WEB. Voici un exemple.

Trojan_PWS_Keylogger_exemple3

Nous avons soumis le fichier à l’analyse antivirus dont voici la détection.
Les Trojan.PWS peuvent donc aussi avoir le préfixe Trojan.Spy pour Spyware.

SHA256: 6c019eb6dc4105cdd003f6637be42da93137feef73f1a46a7199766b218747fe
Nom du fichier : jub.exe
Ratio de détection : 18 / 57
Date d’analyse : 2015-01-31 21:30:13 UTC (il y a 11 minutes)
Antivirus Résultat Mise à jour
ALYac Gen:Heur.MSIL.Krypt.5 20150131
AVG MSIL5.APBG 20150131
Ad-Aware Gen:Heur.MSIL.Krypt.5 20150131
Avast Win32:Malware-gen 20150131
Avira TR/Spy.Gen 20150131
BitDefender Gen:Heur.MSIL.Krypt.5 20150131
DrWeb Trojan.PWS.Stealer.13336 20150131
ESET-NOD32 a variant of MSIL/Autorun.Spy.Agent.AU 20150131
Emsisoft Gen:Heur.MSIL.Krypt.5 (B) 20150131
F-Secure Gen:Heur.MSIL.Krypt.5 20150131
GData Gen:Heur.MSIL.Krypt.5 20150131
Ikarus PUA.Pwdump 20150131
Kaspersky not-a-virus:HEUR:Monitor.MSIL.KeyLogger.heur 20150131
MicroWorld-eScan Gen:Heur.MSIL.Krypt.5 20150131
Microsoft TrojanSpy:MSIL/Golroted.B 20150131
NANO-Antivirus Trojan.Win32.Inject.didvzl 20150131
Norman Kryptik.STUB 20150131
Sophos Mal/MsilKlog-D 20150131

Si vous pensez être infecté par un Trojan.PWS – vous devez désinfecter votre ordinateur et surtout changer tous vos de passe par la suite.

Continue reading “Trojan.PWS” »

virus double accent circonflexe – double ^

Si vous rencontrez des problèmes de clavier avec l’accent circonflexe qui se saisie en double ou qui ne fonctionne pas bien, cela peut témoigner de la présence d’un malware qui a des fonctionnalités de keylogger.

Un keylogger est un malware qui enregistre les frappes claviers afin de les transmettre, le but étant de récupérer des identifiants et mot de passe.

Voici quelques exemples de topics sur le forum malekal où des personnes se plaignent de problèmes d’accents circonflexes :

Les internautes associent ce problème au Virus BugBear car c’est la première menace qui provoquait ce genre de dysfonctionnement, ce malware n’est bien sûr plus d’actualité.
En général, ces problèmes d’accents circonflexes sont provoqués par des malwares de type :

La procédure suivante vous guide dans la désinfection de votre ordinateur en proposant d’utiliser Malwarebytes Anti-Malware et d’effectuer un scan en ligne NOD32.
Tous ces programmes de désinfections sont gratuits.

Continue reading “virus double accent circonflexe – double ^” »