Backdoor.MSIL.Bladabindi

Backdoor.MSIL.Bladabindi est une détection Microsoft qui vise une famille de RAT s’attaquant au système Windows.
RAT est l’acronyme de Remote Access Tool, sous couvert de programme d’administration à distance, ce sont surtout des Trojans et Backdoor qui permettent de contrôler entièrement l’ordinateur de la victime.
Bladabindi est une famille de ces RATs.
Plus d’informations sur ce type de malware, sur la page : Les RAT (Remote Access Tool)

Ces malwares sont propagés souvent à travers de faux téléchargement, souvent sous forme de crack/keygen mis en ligne à travers des vidéos Youtube ou sur des forums de cracks spécialisés.
La victime va télécharger ce crack qui s’avère en réalité être le malware.
Une fois exécuté sur l’ordinateur, si l’antivirus ne détecte pas le Trojan, le PC est alors sous contrôle du pirate.

Voici un exemple de détection Backdoor.MSIL.Bladabindi

Backdoor_MSIL_Bladabindi

Les Backdoor comme Bladabindi permette :

  • de télécharger et exécuter de nouveaux malwares sur l’ordinateur.
  • d’enregistrer les frappes clavier (keylogger).
  • voler les mots de passe des navigateurs WEB et clients FTP.
  • d’effectuer des captures d’écran.
  • ouvrir une fenêtre de chat pour dialoguer avec la victime.

Ces backdoor ne sont pas très sophistiquées, en général, si l’antivirus détecte le fichier malicieux, ce dernier est capable de le supprimer.
En outre, le lancement au démarrage de Windows se fait, en générral, par une simple clef Run ou via le dossier Démarrage (Startup).

Nous vous recommandons de suivre la procédure suivante, qui ne met en avant aucun logiciel payant. Cette fiche de désinfection Bladabindi n’est pas un prétexte pour vous vendre des logiciels payants.
A l’issue de la désinfection de l’ordinateur, nous vous recommandons de changer vos mots de passe.

Continue reading “Backdoor.MSIL.Bladabindi” »

Nanobot

NanoBot (Backdoor:MSIL/Noancooe chez Microsoft – voir aussi la page MSIL:NANOCORE) est une backdoor/trojan de type RAT (Remote Access Tool), c’est à dire que NanoBot permet de contrôler l’ordinateur de la victime et de faire à peu près tout ce que le pirate souhaite.
NanoBot loggue aussi les fenêtres ouvertes, possède des fonctionnalités de keylogger, peut faire des captures d’écran du bureau, ouvrir le lecteur CD-Rom ou encore une fenêtre de chat pour « discuter » avec la victime.

Les RAT (Remote Access Tool) sont des malwares utilisés par des pirates peu expérimentés et en général incapables de programmer leur propre malwares. Ces derniers achètent des kits tout fait et tentent d’infecter des internautes.
En général ces malwares sont propagés par :

  • de faux crack/keygen via des forums ou vidéo.
  • des vidéos faisant la promotion d’utilitaire (cheat, crack et autres).
  • des liens trompeurs sur les forums, comme de fausses mises à jour de Flash ou des trainers sur des forums de jeux en lignes.

Dans le cas de NanoBot ce dernier s’installe de manière classiques avec des clefs RUN et tâches planifiées :

Task: {CCB563C6-FE80-4C22-941C-94D97069A76A} - System32\Tasks\Update\Driverm => C:\Users\robin\AppData\Local\Temp\Driverm.exe [2016-01-23] () <==== ATTENTION
HKU\S-1-5-21-3709466023-1338611908-758753688-1000\...\Run: [SMTP Service] => C:\Users\robin\AppData\Roaming\3E32180C-17C6-4CD5-B364-94ECFB4A1ECB\SMTP Service\smtpsv.exe [712704 2016-01-23] ()
HKU\S-1-5-21-3709466023-1338611908-758753688-1000\...\Policies\Explorer\Run: [Adobe Flash Player] => C:\Users\robin\AppData\Roaming\plugin-container.exe
2016-01-23 10:45 - 2015-08-30 12:53 - 00000000 ____D C:\Users\robin\AppData\Roaming\3E32180C-17C6-4CD5-B364-94ECFB4A1ECB
C:\Users\robin\AppData\Local\Temp\Driverm.exe

Ci-dessous une capture d’écran avec des fichiers .dat contenant certaines informations qui peuvent être récupérés par le pirate comme les fenêtres ouvertes etc.

Trojan_NanoBot

Voici la détection antivirus de ce sample, ce dernier est relativement bien détecté.
La majorité des détections sont du type Backdoor.NanoBot ou Trojan.NanoBot, Microsoft lui détecte ce dernier en Backdoor:MSIL/Noancooe

SHA256: a7dc64e5541a772d5c2e7f14c97218c4d30d56ac57214814a37950411a6a1fd2
Nom du fichier : smtpsv.exe
Ratio de détection : 39 / 54
Date d’analyse : 2016-01-23 11:11:52 UTC (il y a 22 heures, 49 minutes)
Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.2689211 20160123
AVG Atros2.NDT 20160123
Ad-Aware Trojan.GenericKD.2689211 20160123
AegisLab Backdoor.MSIL.NanoBot.ezs!c 20160122
Agnitum Backdoor.NanoBot! 20160123
AhnLab-V3 Malware/Win32.Generic 20160122
Antiy-AVL Trojan[Backdoor]/MSIL.NanoBot 20160123
Arcabit Trojan.Generic.D2908BB 20160123
Avast Win32:Malware-gen 20160123
Avira TR/Dropper.MSIL.192708 20160123
Baidu-International Backdoor.MSIL.NanoBot.ezs 20160123
BitDefender Trojan.GenericKD.2689211 20160123
Cyren W32/Backdoor.SMSI-3277 20160123
DrWeb Trojan.PWS.Steam.5714 20160123
ESET-NOD32 a variant of MSIL/Kryptik.DLV 20160123
Emsisoft Trojan.GenericKD.2689211 (B) 20160123
F-Secure Trojan.GenericKD.2689211 20160123
Fortinet MSIL/Kryptik.DLV!tr 20160123
GData Trojan.GenericKD.2689211 20160123
Ikarus Trojan.MSIL.Crypt 20160123
Jiangmin Backdoor/MSIL.ghr 20160123
K7AntiVirus Trojan ( 004ce3311 ) 20160123
K7GW Trojan ( 004ce3311 ) 20160123
Kaspersky Backdoor.MSIL.NanoBot.ezs 20160123
McAfee RDN/Generic BackDoor 20160123
McAfee-GW-Edition BehavesLike.Win32.Backdoor.jc 20160123
MicroWorld-eScan Trojan.GenericKD.2689211 20160123
Microsoft Backdoor:MSIL/Noancooe.C 20160123
NANO-Antivirus Trojan.Win32.NanoBot.dvwdsr 20160123
Panda Trj/CI.A 20160123
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160123
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160122
Sophos Mal/Generic-S 20160123
Symantec Suspicious.Cloud.2 20160122
Tencent Msil.Backdoor.Nanobot.Eckv 20160123
TrendMicro TROJ_GEN.R00JC0DI115 20160123
VIPRE Trojan.Win32.Generic!BT 20160123
ViRobot Trojan.Win32.Z.Nanobot.712704[h] 20160123
nProtect Trojan.GenericKD.2689211 20160122

Par exemple, ci-dessous une popup de SuperAntispyware (que nous vous conseillons de ne pas utiliser) qui détecte un Trojan/Agent/Gen.NanoCore

Trojan_NanoCore

La détection Backdoor:MSIL/Noancooe chez Microsoft

Backdoor_MSIL_Naancooe

La procédure suivante entièrement gratuite devrait permettre de désinfecter votre ordinateur et vous débarrasser de NanoBot.
Après avoir désinfecté votre ordinateur, il est très fortement conseillé de changer tous vos mots de passe, en effet, le pirate a probablement peut récupérer ces derniers.
Vos comptes en ligne sont donc en danger.

 

Continue reading “Nanobot” »

Trojan.Chickil

Trojan.Chickil est une détection Malwarebytes qui désigne des malwares de type RAT (Remote Access Tools) écrit en Autoit.
Ces malwares permettent la prise de contrôle de l’ordinateur infecté par les pirates.
Probablement aussi que Trojan.Chickil permet de voler les mots de passe enregistrés dans les navigateurs WEB.
Ce trojan est lancé au démarrage du système très souvent par un raccourci dans le dossier Démarrage ou une clef Run.

Exemple avec une clef Run qui lance un raccourci.

HKU\S-1-5-21-776270689-1541426705-108914957-1001\...\RunOnce: [Microsoft Corporation] => C:\ProgramData\b3lRLO.lnk [687 2015-12-05] ()
2015-12-05 11:49 - 2015-12-05 11:49 - 00000687 _____ C:\ProgramData\b3lRLO.lnk
2015-12-05 11:49 - 2015-12-05 11:49 - 00000000 ____D C:\Users\Marjorie\AppData\Roaming\40EF5F1A-EAA6-426A-A5DA-F124488F445F
2015-12-05 11:49 - 2015-12-05 11:49 - 00000000 _____ C:\ProgramData\cRAIhZXB
2015-12-05 11:48 - 2015-12-05 11:48 - 00000053 _____ C:\ProgramData\b3lRLO.folder
2015-12-05 11:48 - 2015-12-05 11:48 - 00000035 _____ C:\ProgramData\b3lRLO.path

Trojan.Chickil_2Malwarebytes Anti-Malware détecte bien ces derniers en Trojan.Chickil

Trojan.ChickilBien souvent, ces malwares viennent de téléchargement trompeur, par exemple, un faux lecteur vidéo, un cheat pour jeu, crack ou keygen promu par des vidéos sur Youtube ou des forums.

Soyez vigilants dans le contenu des téléchargements qui sont faits, car une fois l’ordinateur infecté, vos mots de passe sont volés et vous pouvez perdre l’accès à des comptes en ligne.

Continue reading “Trojan.Chickil” »

Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat

Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat sont des détections de l’antivirus Microsoft qui correspond à des Trojans de type RATs.
Les RATs (Remote Access Tools) sont des malwares qui permettent le contrôle de l’ordinateur et embarque souvent des fonctionnalités de keylogger.
De ce fait, ces malwares sont capables de voler des idenfiants.
Vous trouverez un dossier concernant ces malwares sur la page : RAT, Bifrose, Cybergate, Spynet, Darkcomet : Botnet pour les nuls

Les RATs sont donc des malwares qui se propagent généralement via des cracks et keygen ou cheaters proposés sur des sites de téléchargements ou fausses vidéos tutorials.
Ces derniers peuvent aussi être envoyés via Skype par des personnes mal intentionnées.

Ces infections sont relativements faciles à éviter si on fait un peu attention aux fichiers que l’on télécharge et ouvre.

Voici les éléments ajoutés dans le système sur le pack de RATs Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat observés :

HKLM-x32\...\Winlogon: [Userinit] userinit.exe,C:\Windows\system32\clientsvr.exe [X]
HKLM\...\Policies\Explorer\Run: [Policies] => C:\Windows\system32\install\Svchost.exe
HKU\S-1-5-19\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-19\...\Winlogon: [Shell] C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] () <==== ATTENTION
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Policies\Explorer\Run: [Policies] => C:\Windows\system32\install\Svchost.exe
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Policies\Explorer: [NofolderOptions] 0
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Winlogon: [Shell] C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] () <==== ATTENTION
HKU\S-1-5-18\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-18\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-18\...\Policies\Explorer: [NofolderOptions] 0

2015-07-14 14:37 - 2015-07-14 14:37 - 00000000 __SHD C:\ProgramData\181994
2015-07-14 14:26 - 2015-07-14 14:37 - 00259584 _____ C:\Windows\SysWOW64\clientsvr.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00259584 _____ C:\Users\Nathan\AppData\Roaming\jo59n.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00259584 _____ C:\Users\Nathan\AppData\Roaming\itoo7.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00000006 __RSH C:\ProgramData\03404ce119fd6c36b876bfbb131bd3bbdbd9874d
2015-07-14 14:26 - 2015-07-14 14:26 - 00000000 __SHD C:\ProgramData\182094
2015-06-27 18:35 - 2015-06-27 18:35 - 00000036 _____ C:\Users\Nathan\AppData\Roaming\SuYZkvrV.tmp
2015-06-25 14:04 - 2015-06-25 14:04 - 00085011 _____ C:\Users\Nathan\AppData\Roaming\urbc3.exe
2015-06-25 14:03 - 2015-06-25 14:03 - 00085021 _____ C:\Users\Nathan\AppData\Roaming\ujgrs.exe
2015-06-24 13:46 - 2015-06-24 13:46 - 00226251 _____ C:\Users\Nathan\AppData\Roaming\5scmo.exe
2015-06-24 13:46 - 2015-06-24 13:46 - 0226251 _____ () C:\Users\Nathan\AppData\Roaming\5scmo.exe
2015-05-05 08:49 - 2015-05-05 08:49 - 0894976 _____ () C:\Users\Nathan\AppData\Roaming\cdlg4.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0259584 _____ () C:\Users\Nathan\AppData\Roaming\itoo7.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0259584 _____ () C:\Users\Nathan\AppData\Roaming\jo59n.exe
2005-04-29 08:16 - 2015-02-19 00:25 - 0004346 ____H () C:\Users\Nathan\AppData\Roaming\Nathanlog.dat
2015-06-27 18:35 - 2015-06-27 18:35 - 0000036 _____ () C:\Users\Nathan\AppData\Roaming\SuYZkvrV.tmp
2015-05-08 12:55 - 2015-05-08 12:55 - 0896000 _____ () C:\Users\Nathan\AppData\Roaming\t68wi.exe
2015-06-25 14:03 - 2015-06-25 14:03 - 0085021 _____ () C:\Users\Nathan\AppData\Roaming\ujgrs.exe
2015-05-09 14:44 - 2015-05-09 14:44 - 0896000 _____ () C:\Users\Nathan\AppData\Roaming\ujl3g.exe
2015-06-25 14:04 - 2015-06-25 14:04 - 0085011 _____ () C:\Users\Nathan\AppData\Roaming\urbc3.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0000006 __RSH () C:\ProgramData\03404ce119fd6c36b876bfbb131bd3bbdbd9874d

En outre, ces infections ajoutent des clefs Debbuger ciblant les antivirus dans le but d’empécher ces derniers de démarrer convenablement :

IFEO\AvastSvc.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\AvastUI.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avcenter.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avconfig.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgcsrvx.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgidsagent.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgnt.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgrsx.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avguard.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgwdsvc.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avp.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avscan.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\bdagent.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\blindman.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\ccuac.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\ComboFix.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\egui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\GameScannerService.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\hijackthis.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\instup.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\keyscrambler.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbam-chameleon.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbampt.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbamscheduler.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MpCmdRun.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MSASCui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MsMpEng.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\msseces.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\NIS.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\NortonNISDownloader.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\Norton_Removal_Tool.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\rstrui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDFiles.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDMain.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDWinSec.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\spybotsd.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\wireshark.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\zlclient.exe: [Debugger] C:\ProgramData\181994\sysmon.exe

Nous avons soumis la détection de ces fichiers malicieux antivirus  dont voici les résultats.

Trojan:Win32/Scrarev :

SHA256: 4c96572b2a874be17f327f26c1ed29d3d4b081321a43be63d3ef14f84ce7cb09
Nom du fichier : cdlg4.exe
Ratio de détection : 26 / 55
Date d’analyse : 2015-07-18 07:42:56 UTC (il y a 1 heure, 15 minutes)
Antivirus Résultat Mise à jour
AVG MultiDropper_c.AOTK 20150718
AVware Trojan.Win32.Generic!BT 20150718
Avast AutoIt:MalOb-HP [Trj] 20150718
Avira DR/Autoit.A.7213 20150717
Baidu-International Trojan.Win32.Injector.BLQ 20150717
CAT-QuickHeal Trojan.Scrarev.r5 20150717
Comodo UnclassifiedMalware 20150718
Cyren W32/AutoIt.DB.gen!Eldorado 20150718
DrWeb Trojan.DownLoader11.34675 20150718
ESET-NOD32 Win32/TrojanDropper.Autoit.JR 20150718
F-Prot W32/AutoIt.DB.gen!Eldorado 20150718
Fortinet W32/Autoit.BLW!tr 20150718
GData Win32.Trojan.Agent.4R1AGM 20150718
Ikarus Trojan.Win32.Injector 20150718
K7AntiVirus Trojan ( 700000111 ) 20150718
K7GW Trojan ( 700000111 ) 20150718
McAfee RDN/Generic.dx!dsk 20150718
McAfee-GW-Edition BehavesLike.Win32.Dropper.ch 20150717
Microsoft Trojan:Win32/Scrarev.C 20150718
Rising PE:Trojan.Win32.Generic.18A34749!413353801 20150713
Sophos Mal/Generic-S 20150718
Symantec WS.Reputation.1 20150718
Tencent Autoit.Trojan.Autoit.Hvsq 20150718
TrendMicro TROJ_GEN.R072C0DEL15 20150718
VIPRE Trojan.Win32.Generic!BT 20150718
nProtect Trojan-Downloader/W32.Genome.894976.C 20150717
TrojanSpy:MSIL/Omaneat :
SHA256: 210947540cb494814c05ae3043579e4984a122ef5f180acd3c4c9cfd52480c0e
Nom du fichier : itoo7.exe
Ratio de détection : 29 / 55
Date d’analyse : 2015-07-18 07:43:13 UTC (il y a 1 heure, 15 minutes)
Antivirus Résultat Mise à jour
AVware Trojan.Win32.Generic!BT 20150718
Ad-Aware Trojan.GenericKD.2567225 20150718
Agnitum Trojan.Agent!h0PKSgq7hGw 20150717
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20150718
Arcabit Trojan.Generic.D272C39 20150718
Avast MSIL:Injector-LY [Trj] 20150718
Avira TR/Agent.259584.54 20150717
Baidu-International Trojan.MSIL.Agent.ABP 20150717
BitDefender Trojan.GenericKD.2567225 20150718
DrWeb Trojan.DownLoader14.49477 20150718
ESET-NOD32 MSIL/Agent.ABP 20150718
F-Secure Trojan.GenericKD.2567225 20150718
Fortinet W32/Generic.ABP!tr 20150718
GData Trojan.GenericKD.2567225 20150718
Ikarus Trojan.MSIL.Agent 20150718
K7GW Trojan ( 004c848a1 ) 20150718
Kaspersky HEUR:Trojan.Win32.Generic 20150718
McAfee Artemis!70E943E97B97 20150718
McAfee-GW-Edition Artemis!Trojan 20150717
MicroWorld-eScan Trojan.GenericKD.2567225 20150718
Microsoft TrojanSpy:MSIL/Omaneat!rfn 20150718
Panda Trj/CI.A 20150718
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20150718
Sophos Mal/Generic-S 20150718
Symantec Trojan.Gen 20150718
Tencent Win32.Trojan.Generic.Ahyn 20150718
VIPRE Trojan.Win32.Generic!BT 20150718
Zillya Backdoor.PePatch.Win32.79714 20150718
nProtect Trojan.GenericKD.2567225 20150717

La désinfection de ce pack peut poser problèmes si l’antivirus ne détecte pas les fichiers malicieux ou s’il est impossible de lancer l’antivirus étant donné que ce pack, comme expliqué auparavant peut empécher leur exécution.

Attention aussi aux certains sites de désinfection qui sont créés dans le but de vous faire installer des antispywares payants dans le simple but de vous les vendre.

La procédure de désinfection suivante est complètement gratuit et vous propose d’utiliser des programmes de désinfection efficace et gratuit.

Cette procédure devrait vous permettre de vous débarrasser des trojans Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat. Une fois la désinfection terminée, pensez à changer tous vos mots de passe, ces derniers ont été probablement récupérés par les pirates.

Continue reading “Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat” »

MSIL:Agent [Trj]

MSIL:Agent est une détection générique de l’antivirus Avast!, cette détection désigne les malwares écrits en MSIL utilisant le .NET Framework de Microsoft que l’on peut par extension appelée Trojan MSIL.
En général, ces détections désigent un malware de type RAT (Remote Access Tool) qui permettent notamment le contrôle de l’ordinateur à distance, prendre des captures d’écran, activer la webcam et voler des mots de passe.
Plus d’informations sur ce type de malware à la page : RAT, Bifrose, Cybergate, Spynet, Darkcomet : Botnet pour les nuls.

Avast_MSIL_Agent

Ces derniers se propagent essentiellement :

  • par de fausses pages Flash donné sur les forums/réseaux sociaux (cela demande de télécharger et exécuter un soit disant Flash Player pour regarder une vidéo qui s’avère être le malware).
  • des cracks/keygen sur des forums, sites etc.
  • des cracks/cheaters/keygen donné en vidéo sur Youtube, Dailymotion etc.

Bref ceux qui téléchargent un peu tout et n’importe quoi ont des chances de se faire infecter par ces malwares MSIL:Agent.

Dans le cas observé, ce dernier se charge avec une clef Run et se trouve dans le dossier %APPDATA%.
En général, c’est le fonctionnement classique des malwares de type MSIL:Agent.

HKU\S-1-5-21-1773588507-3336762748-2478836343-1002\...\Run: [] => C:\Users\Clement\AppData\Roaming\msiexec.exe [648704 2012-10-24] (REALiX)

Nous avons soumis le fichier à l’analyse antivirus dont voici la détection. On retrouve la détection MSIL:Agent-XO [Trj].

SHA256: 044b74b643d32be5aab4e8d5c3fe2de690c244c1a00861eedf9a5828d0344e1a
Nom du fichier : HWiNFO32
Ratio de détection : 35 / 57
Date d’analyse : 2015-05-23 18:16:29 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
ALYac Gen:Variant.Barys.8410 20150523
AVG Dropper.Generic6.COHG 20150523
AVware Trojan.Win32.Generic!BT 20150523
Ad-Aware Gen:Variant.Barys.8410 20150523
Agnitum Trojan.Blocker!RArsCEw54/M 20150523
AhnLab-V3 Trojan/Win32.Windef 20150523
Avast MSIL:Agent-XO [Trj] 20150523
Avira TR/Dropper.MSIL.Gen 20150523
BitDefender Gen:Variant.Barys.8410 20150523
ClamAV WIN.Ransom.Blocker-672 20150523
Comodo UnclassifiedMalware 20150523
Cyren W32/Trojan.IVRY-5818 20150523
DrWeb BackDoor.Tordev.9 20150523
ESET-NOD32 a variant of MSIL/Injector.ATL 20150523
Emsisoft Gen:Variant.Barys.8410 (B) 20150523
F-Secure Gen:Variant.Barys.8410 20150523
Fortinet MSIL/Injector.ATL 20150523
GData Gen:Variant.Barys.8410 20150523
Ikarus Trojan.SuspectCRC 20150523
Jiangmin Trojan/Windef.il 20150522
K7AntiVirus Backdoor ( 04c4ec7a1 ) 20150523
K7GW Backdoor ( 04c4ec7a1 ) 20150523
Kaspersky Trojan-Ransom.Win32.Blocker.pod 20150523
McAfee Artemis!A3D4029F725C 20150523
McAfee-GW-Edition Artemis!Trojan 20150523
MicroWorld-eScan Gen:Variant.Barys.8410 20150523
NANO-Antivirus Trojan.Win32.DarkKomet.dhxrcp 20150523
Norman Troj_Generic.HVCPR 20150523
Panda Trj/CI.A 20150523
Qihoo-360 HEUR/Malware.QVM03.Gen 20150523
Sophos Mal/Generic-S 20150523
Tencent Trojan.Win32.YY.Gen.18 20150523
TrendMicro TROJ_SPNR.30CF13 20150523
TrendMicro-HouseCall TROJ_SPNR.30CF13 20150523
VIPRE Trojan.Win32.Generic!BT 20150523

Ces malwares MSIL:Agent, en règle général, ils ne sont pas très difficile à éradiquer de l’ordinateur.
La procédure suivante vous explique comment désinfecter votre ordinateur et supprimer MSIL:Agent. Cette procédure de désinfection et totalement gratuite.
Pensez surtout, à changer tous vos mots de passe une fois la désinfection effectuée puisque MSIL:Agent a la capacité de voler les mots de passe.

Continue reading “MSIL:Agent [Trj]” »

MSIL:NanoCore

MSIL:NanoCore est une catégorie de RATs écrit en langage MicroSoft Intermediate Language (MSIL).

Les Rats (Remote Access Tools) sont des malwares qui permettent de prendre la main à distance sur l’ordinateur, voler des mots de passe (certains ont des fonctionnalités de keylogger).
Les Rats sont généralement utilisés par des personnes peut expérimentés, vous trouvrez plus d’informations sur ces malwares sur la page : RAT, Bifrose : Botnet pour les nuls

Par exemple dans le capture, ci-dessous, ce sample MSIL:NanoCore tente de se connecter à une connexion ADSL SFR, le pirate héberge le serveur sur sa connexion personnelle.

ntech_rat

Les Rats comme MSIL:NanoCore sont généralements proposés par :

  • des cracks/keygens sur des forums par exemple
  • des cheats, cracks/keygens, mods Minecraft etc ou autres programmes par des vidéos Youtube (souvent un lien donné dans le description).

Nous avons soumis un sample MSIL:NanoCore aux antivirus dont voici la détection :

SHA256: 37b28171f60f54e976a82b2265e7dff9a8b62e638b04b9030a7f2545d47f9e42
Nom du fichier : Server.exe
Ratio de détection : 36 / 57
Date d’analyse : 2015-01-29 06:52:32 UTC (il y a 18 minutes)

mal

Antivirus Résultat Mise à jour
ALYac Gen:Variant.Kazy.378739 20150129
AVG Downloader.Generic14.FPS 20150129
AVware Trojan.MSIL.NanoCore.B (fs) 20150129
Ad-Aware Gen:Variant.Kazy.378739 20150129
AhnLab-V3 Trojan/Win32.Barys 20150129
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20150129
Avast MSIL:NanoCore-B [Trj] 20150129
Avira TR/Nanocore.120320.20 20150129
Baidu-International Backdoor.Win32.Generic.AD 20150128
BitDefender Gen:Variant.Kazy.378739 20150129
Comodo UnclassifiedMalware 20150129
DrWeb Trojan.KeyLogger.26163 20150129
ESET-NOD32 MSIL/NanoCore.B 20150129
Emsisoft Gen:Variant.Kazy.378739 (B) 20150129
F-Secure Gen:Variant.Kazy.378739 20150129
Fortinet MSIL/NanoCore.B!tr 20150129
GData Gen:Variant.Kazy.378739 20150129
Ikarus Trojan.MSIL.NanoCore 20150129
Jiangmin Backdoor.Generic.acaz 20150128
K7GW Trojan ( 700001171 ) 20150129
Kaspersky HEUR:Backdoor.Win32.Generic 20150129
Malwarebytes Backdoor.NanoCore 20150129
McAfee RDN/Generic BackDoor!bb3 20150129
McAfee-GW-Edition BehavesLike.Win32.Backdoor.ch 20150129
MicroWorld-eScan Gen:Variant.Kazy.378739 20150129
Microsoft Trojan:Win32/Dynamer!ac 20150129
NANO-Antivirus Trojan.Win32.KeyLogger.djppkt 20150129
Norman NanoCore.A 20150128
Qihoo-360 Win32/Trojan.156 20150129
Sophos Mal/Generic-S 20150129
TotalDefense Win32/Tnega.PAPJeD 20150128
TrendMicro TROJ_GEN.R047C0DAS15 20150129
TrendMicro-HouseCall TROJ_GEN.R047C0DAS15 20150129
VBA32 Trojan.Agent.alqcr 20150128
VIPRE Trojan.MSIL.NanoCore.B (fs) 20150129
nProtect Backdoor/W32.Agent.120320.AG 20150128

Microsoft peut détecter ce dernier en Backdoor:MSIL/Noancooe

Backdoor_MSIL_Naancooe

La procédure gratuite suivante vous explique comment supprimer MSIL:NanoCore, pensez bien à changer tous vos mots de passe une fois la désinfection effectuée, car ce malware peut voler vos mots de passe.

Continue reading “MSIL:NanoCore” »

Backdoor:Win32/Xtrat

Backdoor:Win32/Xtrat est une catégorie de RAT (Remote Access Tools). Les RAT sont des logiciels malicieux qui permettent de prendre le contrôle de l’ordinateur à distance, voler des mots de passe.
Certains RAT ont des fonctionnalités de keylogger quit peut provoquer le symptôme de « virus double accent circonflexe – double ^ »

Ces malwares de type RAT sont distribués très souvent sous forme de :

  • Crack / Keygen
  • Programmes de Cheat pour les jeux
  • Vidéo « douteuse » sur les réseaux sociaux.

Bref, ne seront infectés que des personnes qui ont tendance à télécharger un peu tout et n’importe quoi.
Vous trouverez plus d’informations sur ce type de malware sur la page : RAT, Bifrose, Cybergate, Spynet, Darkcomet : Botnet pour les nuls

Voici un exemple de détection Backdoor:Win32/Xtrat soumis au service VirusTotal

SHA256: 745798959c09baeb4db84577687d9144dcc60dd4ed41a157accccb28e8c6565c
Nom du fichier : fd9e1676931845f13420b09ec9ecfd61.exe
Ratio de détection : 16 / 54
Date d’analyse : 2015-01-18 20:46:48 UTC (il y a 11 heures, 34 minutes)
Antivirus Résultat Mise à jour
Ad-Aware Gen:Variant.Zusy.81590 20150118
AhnLab-V3 Trojan/Win32.agent 20150118
Avast MSIL:GenMalicious-R [Trj] 20150118
Avira TR/Dropper.Gen 20150118
BitDefender Gen:Variant.Zusy.81590 20150118
ESET-NOD32 a variant of MSIL/Injector.BFQ 20150118
Emsisoft Gen:Variant.Zusy.81590 (B) 20150118
F-Secure Gen:Variant.Zusy.81590 20150118
Fortinet MSIL/Injector.BFO!tr 20150118
GData Gen:Variant.Zusy.81590 20150118
Ikarus Trojan.Inject 20150118
K7GW Trojan ( 700001171 ) 20150117
Malwarebytes Trojan.MicroFox 20150118
MicroWorld-eScan Gen:Variant.Zusy.81590 20150118
Microsoft Backdoor:Win32/Xtrat.A 20150118
Rising PE:Trojan.Win32.Generic.17F6F901!402061569 20150118

La procédure gratuite suivante vous guide dans la désinfection de votre ordinateur.
Une fois l’ordinateur désinfecté, pensez à changer vos mots de passe car ils peuvent avoir été volés.

Continue reading “Backdoor:Win32/Xtrat” »

BackDoor.Bladabindi

BackDoor.Bladabindi est la détection pour désigner une catégorie de RAT (Remote Access Tools).
Les RAT sont des malwares qui permettent de prendre la main à distance sur l’ordinateur, voler des mots de passe et pour certains possèdent des fonctionnalités de keylogger.
La fonction de keylogger peut provoquer le symptôme de « virus double accent circonflexe – double ^ »

Ces malwares de type RAT sont distribués très souvent sous forme de :

  • Crack / Keygen
  • Programmes de Cheat pour les jeux
  • Vidéo « douteuse » sur les réseaux sociaux.

Bref, ne seront infectés que des personnes qui ont tendance à télécharger un peu tout et n’importe quoi.
Vous trouverez plus d’informations sur ce type de malware sur la page : RAT, Bifrose, Cybergate, Spynet, Darkcomet : Botnet pour les nuls

 

SHA256: 5fc6c8344cbf6455f2efab9b928f7ea0629a2a2d926e0ae2ee0fd223332d9c69
Nom du fichier : 7ae9cd72eba1868d04345473b102b80524064.exe
Ratio de détection : 44 / 57
Date d’analyse : 2015-01-18 21:59:37 UTC (il y a 1 minute)
Antivirus Résultat Mise à jour
ALYac Gen:Variant.Barys.10219 20150118
AVG PSW.ILUSpy 20150118
AVware Backdoor.MSIL.Bladabindi.a (v) 20150118
Ad-Aware Gen:Variant.Barys.10219 20150118
Agnitum Trojan.Agent!4TgWdeGZbKA 20150118
AhnLab-V3 Backdoor/Win32.Bladabindi 20150118
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20150118
Avast MSIL:GenMalicious-AV [Trj] 20150118
Avira BDS/Bladabindi.dcrj 20150118
BitDefender Gen:Variant.Barys.10219 20150118
Bkav W32.AdonisC.Trojan 20150117
CAT-QuickHeal Backdoor.Bladabindi.AL3 20150117
ClamAV Win.Backdoor.Bladabindi-1 20150118
Comodo Backdoor.MSIL.Bladabindi.A 20150118
DrWeb BackDoor.Bladabindi.1056 20150118
ESET-NOD32 MSIL/Bladabindi.BC 20150118
Emsisoft Gen:Variant.Barys.10219 (B) 20150118
F-Prot W32/MSIL_Bladabindi.G.gen!Eldorado 20150118
F-Secure Gen:Variant.Barys.10219 20150118
Fortinet MSIL/Bladabindi.SMC!tr 20150118
GData Gen:Variant.Barys.10219 20150118
Ikarus Backdoor.MSIL.Agent 20150118
K7AntiVirus Trojan ( 700000121 ) 20150118
K7GW Trojan ( 700000121 ) 20150117
Kaspersky HEUR:Trojan.Win32.Generic 20150118
Kingsoft Win32.Troj.Undef.(kcloud) 20150118
Malwarebytes Backdoor.Bladabindi.Gen 20150118
McAfee BackDoor-NJRat!28E9E1CF9690 20150118
McAfee-GW-Edition BehavesLike.Win32.BackdoorNJRat.mm 20150118
MicroWorld-eScan Gen:Variant.Barys.10219 20150118
Microsoft Backdoor:MSIL/Bladabindi.AJ 20150118
NANO-Antivirus Trojan.Win32.DownLoader11.cxfbrl 20150118
Norman Bladabindi.JQ 20150118
Qihoo-360 Malware.QVM03.Gen 20150118
SUPERAntiSpyware Trojan.Agent/Gen-Bladabindi 20150118
Sophos Troj/DotNet-P 20150118
Symantec Backdoor.Ratenjay 20150118
TotalDefense Win32/DotNetDl.A!generic 20150118
TrendMicro BKDR_BLBINDI.SMN 20150118
TrendMicro-HouseCall BKDR_BLBINDI.SMN 20150118
VBA32 Backdoor.MSIL.Agent 20150116
VIPRE Backdoor.MSIL.Bladabindi.a (v) 20150118
Zillya Trojan.Disfa.Win32.10564 20150117
nProtect Trojan/W32.Agent.24064.TU 20150116

La procédure gratuite suivante vous guide dans la désinfection de votre ordinateur.
Une fois l’ordinateur désinfecté, pensez à changer vos mots de passe car ils peuvent avoir été volés.

 

Continue reading “BackDoor.Bladabindi” »

Backdoor:Win32/Fynloski

Backdoor:Win32/Fynloski est le nom donné par certains éditeurs d’antivirus dont Microsoft et BitDefender pour désigner les infections RAT(Remote Access Tools). de type Darkkomet.

Les Malwares de type RAT sont des malwares utilisés la plupart du temps par des personnes qui n’ont aucune connaissance techniques et qui permettent de prendre le contrôle de l’ordinateur à distance, de voler des mots de passe, bref de casi tout faire.
Darkkomet est l’un de ces outils, ce dernier peut embarquer une fonction de keylogger, vous pouvez vous retrouver avec les symptômes du « virus double accent circonflexe – double ^ »

Ces malwares de type RAT sont distribués très souvent sous forme de :

  • Crack / Keygen
  • Programmes de Cheat pour les jeux
  • Vidéo « douteuse » sur les réseaux sociaux.

Bref, ne seront infectés que des personnes qui ont tendance à télécharger un peu tout et n’importe quoi.
Vous trouverez plus d’informations sur ce type de malware sur la page : RAT, Bifrose, Cybergate, Spynet, Darkcomet : Botnet pour les nuls

Voici un exemple d’une détection d’un malware Darkkomet, seuls BitDefend et Microsoft utilisent la dénomination Fynloski, les autres éditeurs utilisent eux Backdoor.DarkKome ou Trojan.DarkKomet

SHA256: dcd173edb311b68b0f563e621d63bf71860e756ed82f40292b70b07c347cee6c
Nom du fichier : 7ba94b7f018c304a14bf7b1ab1f51589a4ac48c8
Ratio de détection : 51 / 56
Date d’analyse : 2015-01-16 07:33:24 UTC (il y a 2 jours, 11 heures)
Antivirus Résultat Mise à jour
ALYac Backdoor.Fynloski.C 20150116
AVG BackDoor.Generic16.CNXD 20150116
AVware Trojan.Win32.Generic!SB.0 20150116
Ad-Aware Backdoor.Fynloski.C 20150116
Agnitum Trojan.Comet.Gen.LO 20150115
AhnLab-V3 Trojan/Win32.DelfInject 20150115
Antiy-AVL Trojan[Backdoor]/Win32.DarkKomet 20150116
Avast Win32:Agent-ASXK [Trj] 20150116
Avira BDS/DarkKomet.GR 20150116
Baidu-International Backdoor.Win32.DarkKomet.xyk 20150115
BitDefender Backdoor.Fynloski.C 20150116
Bkav W32.OnGamesLTKVPOK.Trojan 20150115
CAT-QuickHeal Backdoor.Fynloski.A9 20150115
ClamAV WIN.Trojan.DarkKomet 20150116
Comodo Backdoor.Win32.Agent.XAB 20150116
Cyren W32/Downloader.C.gen!Eldorado 20150116
DrWeb BackDoor.Comet.2020 20150116
ESET-NOD32 Win32/Fynloski.AA 20150116
Emsisoft Backdoor.Fynloski.C (B) 20150116
F-Prot W32/Downloader.C.gen!Eldorado 20150116
F-Secure Backdoor.Fynloski.C 20150116
Fortinet W32/DarkKomet.ID!tr.bdr 20150116
GData Backdoor.Fynloski.C 20150116
Ikarus Backdoor.Win32.Zegost 20150116
Jiangmin Trojan/Generic.afytr 20150115
K7AntiVirus Backdoor ( 0039fb811 ) 20150116
K7GW Backdoor ( 0039fb811 ) 20150114
Kaspersky Backdoor.Win32.DarkKomet.xyk 20150116
Kingsoft Win32.Hack.HuigeziT.cz 20150116
Malwarebytes Backdoor.Agent.DCRSAGen 20150116
McAfee Generic BackDoor.xa 20150116
McAfee-GW-Edition BehavesLike.Win32.Backdoor.jh 20150116
Microsoft Backdoor:Win32/Fynloski.A 20150116
NANO-Antivirus Trojan.Win32.DarkKomet.cssoim 20150116
Norman Downloader.HJVR 20150116
Panda Trj/Packed.B 20150115
Qihoo-360 Malware.QVM05.Gen 20150116
Rising PE:Trojan.Win32.Generic.12E5E9B4!317057460 20150114
SUPERAntiSpyware Trojan.Agent/Gen-Fynloski 20150115
Sophos Troj/Backdr-ID 20150116
Symantec Backdoor.Graybird 20150116
Tencent Backdoor.Win32.Darkkomet.a 20150116
TheHacker Backdoor/DarkKomet.dcb 20150115
TotalDefense Win32/Fynloski.A!generic 20150116
TrendMicro BKDR_FYNLOS.SMM 20150116
TrendMicro-HouseCall Suspicious_GEN.F47V0115 20150116
VBA32 Backdoor.DarkKomet 20150115
VIPRE Trojan.Win32.Generic!SB.0 20150116
ViRobot Backdoor.Win32.Agent.674304.A[h] 20150116
Zillya Trojan.Fynloski.Win32.3190 20150115
nProtect Trojan/W32.Agent.674304.BC 20150115

La procédure suivante vous guide dans la désinfection de votre ordinateur.
Une fois l’ordinateur désinfecté, pensez à bien changer tous vos mots de passe, car ils ont été probablement récupérer.

Continue reading “Backdoor:Win32/Fynloski” »