Spyware.Pony

Spyware.Pony est une détection de Malwarebytes Anti-Malware qui correspond à une famille de Trojan Stealer, c’est à dire de malware spécialisé dans le vol de mot de passe et identifiant mais qui permet aussi le contrôle de l’ordinateur infecté visant les systèmes Windows.
Certains éditeurs nomme et détecte cette famille en Trojan.Fareit

Ainsi le pirate pourra :

  • faire télécharger et installer de nouveaux malwares
  • Voler les identifiants et mots de passe pré-enregistrés dans le navigateur WEB.
  • Voler des identifiants FTP stockés dans le client FTP.

Voici un exemple de détection de Spyware.Pony lors d’une analyse par Malwarebytes Anti-Malware.

Spyware_Pony

D’un point de vue technique, le Trojan Pony n’a rien d’extraordinaire, la persistance se fait à partir d’une Clef Run ou Userinit, dans le cas observé :

HKU\S-1-5-21-2568215945-4132293836-1244343729-1000\...\CurrentVersion\Windows: [Load] C:\Users\VincentPC\AppData\Roaming\WinRAR\nvvswc.exe

La distribution est beaucoup à travers des Cracks et Keygen, ce malware étant rarement utilisé de nos jours par des groupes professionnels.
Par exemple, la vidéo Youtube suivante, faisant la promotion d’un crack pour Far Cry, conduit vers un hébergeur et sert de prétexte pour diffuser le Trojan.
Si l’utilisateur lance le crack et que l’antivirus ne détecte rien, Pony est installé et les mots de passe des navigateurs WEB sont subtilisés.
Notez que l’auteur de la vidéo met le lien à jour chaque jour pour éviter que le crack ne soit détecté par les antivirus.

Trojan_Pony_Youtube_Crack

La détection VirusTotal de cette variante Trojan Pony, On trouve beaucoup de détection générique en Trojan/MSIL ou Win32/MSIL.
Notez aussi la détection Tool.PassView qui montre bien que ce trojan est spécialé dans le vol de mot de passe.

SHA256: 17919b3cf34ad115de141225f4fafd11b8377f01f5127b282937564844685bb8
Nom du fichier : tellmeevery.exe
Ratio de détection : 16 / 56
Date d’analyse : 2016-03-31 21:25:31 UTC (il y a 10 heures, 45 minutes)
Antivirus Résultat Mise à jour
AVG MSIL9.CMXL 20160331
AegisLab Msil.Troj.Injector!c 20160331
AhnLab-V3 Trojan/Win32.MSIL 20160330
Cyren W32/MSIL_Injector.CN.gen!Eldorado 20160331
DrWeb Tool.PassView.849 20160331
ESET-NOD32 a variant of MSIL/Injector.ORU 20160331
F-Prot W32/MSIL_Injector.CN.gen!Eldorado 20160331
Fortinet MSIL/Injector.OQR!tr 20160330
GData MSIL.Trojan.Injector.GQ 20160331
Jiangmin Backdoor.MSIL.cxm 20160331
Kaspersky UDS:DangerousObject.Multi.Generic 20160331
Malwarebytes Spyware.Pony 20160331
Panda Trj/GdSda.A 20160331
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160331
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160331
Symantec SAPE.Heur.9C3F7 20160331

 

Continue reading “Spyware.Pony” »

Spyware.Password

Spyware.Password est une détection de l’antimalware Malwarebytes, l’équivalent pour Symantec Norton est InfoStealer.
Comme le nom l’indique Spyware.Password est un malware qui va espionner l’activité de votre ordinateur, afin de voler notamment des accès WEB (identifiant/mot de passe) ou éventuellement des informations de comptes bancaires.
On est donc plutôt dans la catégorie des malwares de type Stealer ou Trojan-PWS.

Dans le cas observé, le malware est relativement simple et se charge au démarrage de Windows par une clef RUN :

HKLM-x32\...\Run: [ExecSystem] => C:\Program Files\Microsoft\ExecSystem.exe [6392832 2014-07-21] ()

Une fois démarré, il va pouvoir espionner l’activité de l’ordinateur et envoyer les informations à un serveur contrôlé par les cybercriminels.

Voici la détection du fichier en question :

SHA256: c372a825dd149ddf680eb04162060ace89150c7c92e77ac78b93424cace5e635
Nom du fichier : ExecSystem.exe.xBAD
Ratio de détection : 16 / 56
Date d’analyse : 2015-09-21 12:01:27 UTC (il y a 10 minutes)
Antivirus Résultat Mise à jour
AVware MSIL.BadJoke.Pornware.C potentially unsafe 20150921
Agnitum Riskware.Pornware! 20150920
Baidu-International Hacktool.MSIL.Pornware.C 20150921
Cyren W32/Trojan.PIBX-9087 20150921
DrWeb Trojan.Siggen6.44623 20150921
ESET-NOD32 MSIL/BadJoke.Pornware.C potentially unsafe 20150921
K7AntiVirus Unwanted-Program ( 004ccbc01 ) 20150921
K7GW Unwanted-Program ( 004ccbc01 ) 20150921
Malwarebytes Spyware.Password 20150921
McAfee Artemis!1342205F8FCC 20150921
McAfee-GW-Edition Artemis!PUP 20150921
NANO-Antivirus Trojan.Win32.Siggen6.dupteg 20150921
Symantec Trojan.Gen 20150920
VIPRE MSIL.BadJoke.Pornware.C potentially unsafe (not malicious) 20150921
ViRobot Trojan.Win32.S.Agent.6392832.A[h] 20150921
Zillya Tool.Pornware.Win32.1 20150920

Ces infections se propagent :

  • pour les plus évolués par des Web ExploitKit
  • par de faux cracks/keygen
  • autres moyens, tromperies pour faire télécharger et ouvrir le malware, comme de fausses mises à jour Flash dans les plus classiques.

Afin de pouvoir supprimer Spyware.Password, vous pouvez suivre la procédure proposée sur cette fiche.
Cette procédure vous proposer d’utiliser des programmes de désinfections gratuits contrairement à beaucoup de sites de désinfection qui ne sont en fait que des vitrines pour vous faire installer et acheter des antispywares payants.
Cette procédure est assez générique mais devrait vous permettre de supprimer les infections présentes sur votre ordinateur.

Continue reading “Spyware.Password” »

MBR-BackBoot [Rtk]

MBR-BackBoot [Rtk] est une détection de l’antivirus Avast!, c’est la concaténation des mots Backdoor et Bootkit qui indique donc que l’on affaire à une backdoor sous la forme d’un bootkit.
Les bootkits sont des rootkits qui se loge dans le MBR (Master Boot Record), c’est à dire à l’emplacement de lancement du disque dur, ce qui leur permet de gérer le code viral très tôt avant le chargement de l’OS (et donc de l’antivirus) afin de contrôler très tôt le système et pouvoir ainsi tromper les logiciels de protection.
Kaspersky peut détecté ce dernier en Rootkit.Boot.Backboot.

Voici un exemple de cette détection MBR-BackBoot [Rtk] par Avast! :

MBR_BackBoot

La détection est générique est n’indique pas à quelle famille de malware vous avez affaire.
Néanmoins, ce bootkit donne la possibilité au pirate de contrôler l’ordinateur afin d’effectuer les tâches voulues et monétiser :

  • Effectuer des attaques DoS
  • Effectuer des scans pour attaquer d’autres machines
  • Utiliser l’ordinateur comme relai pour effectuer des attaques, se cacher etc.
  • Charger un Spambot
  • Charger des adwares (logiciels publicitaires)
  • Voler des données comme les adresses emails pour le revendre
  • Voler des mots de passe afin d’obtenir des accès à d’autres machines,
  • Voler des informations bancaires

La procédure suivante vous explique comment supprimer MBR-BackBoot [Rtk] de votre ordinateur, cette procédure de désinfection vous propose de n’utiliser que des logiciels gratuits qui devrait vous permettre de supprimer cette infection de votre ordinateur.
Toutesl es étapes de la procédure sont détaillées avec des captures d’écran et vidéos.

A l’issue de cette procédure de désinfection, vous devriez être en mesure d’être débarrassé de MBR-BackBoot [Rtk], il conviendra alors de changer tous vos mots de passe qui peuvent avoir été récupérés par les cybercriminels.

Continue reading “MBR-BackBoot [Rtk]” »

Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat

Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat sont des détections de l’antivirus Microsoft qui correspond à des Trojans de type RATs.
Les RATs (Remote Access Tools) sont des malwares qui permettent le contrôle de l’ordinateur et embarque souvent des fonctionnalités de keylogger.
De ce fait, ces malwares sont capables de voler des idenfiants.
Vous trouverez un dossier concernant ces malwares sur la page : RAT, Bifrose, Cybergate, Spynet, Darkcomet : Botnet pour les nuls

Les RATs sont donc des malwares qui se propagent généralement via des cracks et keygen ou cheaters proposés sur des sites de téléchargements ou fausses vidéos tutorials.
Ces derniers peuvent aussi être envoyés via Skype par des personnes mal intentionnées.

Ces infections sont relativements faciles à éviter si on fait un peu attention aux fichiers que l’on télécharge et ouvre.

Voici les éléments ajoutés dans le système sur le pack de RATs Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat observés :

HKLM-x32\...\Winlogon: [Userinit] userinit.exe,C:\Windows\system32\clientsvr.exe [X]
HKLM\...\Policies\Explorer\Run: [Policies] => C:\Windows\system32\install\Svchost.exe
HKU\S-1-5-19\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-19\...\Winlogon: [Shell] C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] () <==== ATTENTION
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Policies\Explorer\Run: [Policies] => C:\Windows\system32\install\Svchost.exe
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Policies\Explorer: [NofolderOptions] 0
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Winlogon: [Shell] C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] () <==== ATTENTION
HKU\S-1-5-18\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-18\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-18\...\Policies\Explorer: [NofolderOptions] 0

2015-07-14 14:37 - 2015-07-14 14:37 - 00000000 __SHD C:\ProgramData\181994
2015-07-14 14:26 - 2015-07-14 14:37 - 00259584 _____ C:\Windows\SysWOW64\clientsvr.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00259584 _____ C:\Users\Nathan\AppData\Roaming\jo59n.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00259584 _____ C:\Users\Nathan\AppData\Roaming\itoo7.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00000006 __RSH C:\ProgramData\03404ce119fd6c36b876bfbb131bd3bbdbd9874d
2015-07-14 14:26 - 2015-07-14 14:26 - 00000000 __SHD C:\ProgramData\182094
2015-06-27 18:35 - 2015-06-27 18:35 - 00000036 _____ C:\Users\Nathan\AppData\Roaming\SuYZkvrV.tmp
2015-06-25 14:04 - 2015-06-25 14:04 - 00085011 _____ C:\Users\Nathan\AppData\Roaming\urbc3.exe
2015-06-25 14:03 - 2015-06-25 14:03 - 00085021 _____ C:\Users\Nathan\AppData\Roaming\ujgrs.exe
2015-06-24 13:46 - 2015-06-24 13:46 - 00226251 _____ C:\Users\Nathan\AppData\Roaming\5scmo.exe
2015-06-24 13:46 - 2015-06-24 13:46 - 0226251 _____ () C:\Users\Nathan\AppData\Roaming\5scmo.exe
2015-05-05 08:49 - 2015-05-05 08:49 - 0894976 _____ () C:\Users\Nathan\AppData\Roaming\cdlg4.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0259584 _____ () C:\Users\Nathan\AppData\Roaming\itoo7.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0259584 _____ () C:\Users\Nathan\AppData\Roaming\jo59n.exe
2005-04-29 08:16 - 2015-02-19 00:25 - 0004346 ____H () C:\Users\Nathan\AppData\Roaming\Nathanlog.dat
2015-06-27 18:35 - 2015-06-27 18:35 - 0000036 _____ () C:\Users\Nathan\AppData\Roaming\SuYZkvrV.tmp
2015-05-08 12:55 - 2015-05-08 12:55 - 0896000 _____ () C:\Users\Nathan\AppData\Roaming\t68wi.exe
2015-06-25 14:03 - 2015-06-25 14:03 - 0085021 _____ () C:\Users\Nathan\AppData\Roaming\ujgrs.exe
2015-05-09 14:44 - 2015-05-09 14:44 - 0896000 _____ () C:\Users\Nathan\AppData\Roaming\ujl3g.exe
2015-06-25 14:04 - 2015-06-25 14:04 - 0085011 _____ () C:\Users\Nathan\AppData\Roaming\urbc3.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0000006 __RSH () C:\ProgramData\03404ce119fd6c36b876bfbb131bd3bbdbd9874d

En outre, ces infections ajoutent des clefs Debbuger ciblant les antivirus dans le but d’empécher ces derniers de démarrer convenablement :

IFEO\AvastSvc.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\AvastUI.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avcenter.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avconfig.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgcsrvx.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgidsagent.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgnt.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgrsx.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avguard.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgwdsvc.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avp.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avscan.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\bdagent.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\blindman.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\ccuac.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\ComboFix.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\egui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\GameScannerService.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\hijackthis.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\instup.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\keyscrambler.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbam-chameleon.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbampt.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbamscheduler.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MpCmdRun.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MSASCui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MsMpEng.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\msseces.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\NIS.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\NortonNISDownloader.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\Norton_Removal_Tool.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\rstrui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDFiles.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDMain.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDWinSec.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\spybotsd.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\wireshark.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\zlclient.exe: [Debugger] C:\ProgramData\181994\sysmon.exe

Nous avons soumis la détection de ces fichiers malicieux antivirus  dont voici les résultats.

Trojan:Win32/Scrarev :

SHA256: 4c96572b2a874be17f327f26c1ed29d3d4b081321a43be63d3ef14f84ce7cb09
Nom du fichier : cdlg4.exe
Ratio de détection : 26 / 55
Date d’analyse : 2015-07-18 07:42:56 UTC (il y a 1 heure, 15 minutes)
Antivirus Résultat Mise à jour
AVG MultiDropper_c.AOTK 20150718
AVware Trojan.Win32.Generic!BT 20150718
Avast AutoIt:MalOb-HP [Trj] 20150718
Avira DR/Autoit.A.7213 20150717
Baidu-International Trojan.Win32.Injector.BLQ 20150717
CAT-QuickHeal Trojan.Scrarev.r5 20150717
Comodo UnclassifiedMalware 20150718
Cyren W32/AutoIt.DB.gen!Eldorado 20150718
DrWeb Trojan.DownLoader11.34675 20150718
ESET-NOD32 Win32/TrojanDropper.Autoit.JR 20150718
F-Prot W32/AutoIt.DB.gen!Eldorado 20150718
Fortinet W32/Autoit.BLW!tr 20150718
GData Win32.Trojan.Agent.4R1AGM 20150718
Ikarus Trojan.Win32.Injector 20150718
K7AntiVirus Trojan ( 700000111 ) 20150718
K7GW Trojan ( 700000111 ) 20150718
McAfee RDN/Generic.dx!dsk 20150718
McAfee-GW-Edition BehavesLike.Win32.Dropper.ch 20150717
Microsoft Trojan:Win32/Scrarev.C 20150718
Rising PE:Trojan.Win32.Generic.18A34749!413353801 20150713
Sophos Mal/Generic-S 20150718
Symantec WS.Reputation.1 20150718
Tencent Autoit.Trojan.Autoit.Hvsq 20150718
TrendMicro TROJ_GEN.R072C0DEL15 20150718
VIPRE Trojan.Win32.Generic!BT 20150718
nProtect Trojan-Downloader/W32.Genome.894976.C 20150717
TrojanSpy:MSIL/Omaneat :
SHA256: 210947540cb494814c05ae3043579e4984a122ef5f180acd3c4c9cfd52480c0e
Nom du fichier : itoo7.exe
Ratio de détection : 29 / 55
Date d’analyse : 2015-07-18 07:43:13 UTC (il y a 1 heure, 15 minutes)
Antivirus Résultat Mise à jour
AVware Trojan.Win32.Generic!BT 20150718
Ad-Aware Trojan.GenericKD.2567225 20150718
Agnitum Trojan.Agent!h0PKSgq7hGw 20150717
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20150718
Arcabit Trojan.Generic.D272C39 20150718
Avast MSIL:Injector-LY [Trj] 20150718
Avira TR/Agent.259584.54 20150717
Baidu-International Trojan.MSIL.Agent.ABP 20150717
BitDefender Trojan.GenericKD.2567225 20150718
DrWeb Trojan.DownLoader14.49477 20150718
ESET-NOD32 MSIL/Agent.ABP 20150718
F-Secure Trojan.GenericKD.2567225 20150718
Fortinet W32/Generic.ABP!tr 20150718
GData Trojan.GenericKD.2567225 20150718
Ikarus Trojan.MSIL.Agent 20150718
K7GW Trojan ( 004c848a1 ) 20150718
Kaspersky HEUR:Trojan.Win32.Generic 20150718
McAfee Artemis!70E943E97B97 20150718
McAfee-GW-Edition Artemis!Trojan 20150717
MicroWorld-eScan Trojan.GenericKD.2567225 20150718
Microsoft TrojanSpy:MSIL/Omaneat!rfn 20150718
Panda Trj/CI.A 20150718
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20150718
Sophos Mal/Generic-S 20150718
Symantec Trojan.Gen 20150718
Tencent Win32.Trojan.Generic.Ahyn 20150718
VIPRE Trojan.Win32.Generic!BT 20150718
Zillya Backdoor.PePatch.Win32.79714 20150718
nProtect Trojan.GenericKD.2567225 20150717

La désinfection de ce pack peut poser problèmes si l’antivirus ne détecte pas les fichiers malicieux ou s’il est impossible de lancer l’antivirus étant donné que ce pack, comme expliqué auparavant peut empécher leur exécution.

Attention aussi aux certains sites de désinfection qui sont créés dans le but de vous faire installer des antispywares payants dans le simple but de vous les vendre.

La procédure de désinfection suivante est complètement gratuit et vous propose d’utiliser des programmes de désinfection efficace et gratuit.

Cette procédure devrait vous permettre de vous débarrasser des trojans Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat. Une fois la désinfection terminée, pensez à changer tous vos mots de passe, ces derniers ont été probablement récupérés par les pirates.

Continue reading “Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat” »

Trojan Hijacker

Trojan.Hijacker est une détection générique qui correspond à des malwares modifiant la configuration système de l’ordinateur.
La modification de la configuration système peut, par exemple, avoir pour but d’affaiblir la sécurité de l’ordinateur comme la désactivation du pare-feu incorporé de Windows.
Il existe diverses type de détection générique Hijacker, comme par exemple:

  • Browser Hijacker désigne des malwares qui ont tendance à modifier la configuration du navigateur WEB comme la page de démarrage ou le moteur de recherche. Le but étant de vous imposer un moteur de recherche en particulier pour gagner de l’argent avec les publicités. La catégorie de ces menaces est plutôt adwares.
  • Hijacker.Agent : c’est une détection générique qui correspond à aucune famille de malware en particulier.
  • TR/Hijacker.Gen : même chose que Hijacker Agent, TR signifiant Trojan. Cette détection est spécifique à l’antivirus Avira.

Il existe bien entendu diverses autres dénominations. Par exemple, Trojan.ServiceHijacker est une détection de Malwarebyte Anti-Malware qui correspond à un service Windows

Trojan_Service_Hijacker

Voici un exemple de détection Trojan Hijacker :

SHA256: 671c03d51656c44cb0b94ce9d7f84a867fd82841512707662cf157fd1208d880
Ratio de détection : 33 / 56
Date d’analyse : 2015-07-13 17:50:48 UTC (il y a 2 jours, 14 heures)
Antivirus Résultat Mise à jour
ALYac Gen:Variant.Zusy.135554 20150713
AVG Generic36.BHJU.dropper 20150713
AVware Trojan.Win32.Generic!BT 20150713
Ad-Aware Gen:Variant.Zusy.135554 20150713
Agnitum Trojan.Hijacker!1TY4xqzntAg 20150713
AhnLab-V3 Trojan/Win32.Hijacker 20150713
Antiy-AVL Trojan/Win32.Hijacker 20150713
Arcabit Trojan.Zusy.D21182 20150713
Avast Win32:Malware-gen 20150713
Avira TR/Agent.135254 20150713
BitDefender Gen:Variant.Zusy.135554 20150713
ClamAV Win.Trojan.Agent-877229 20150713
Comodo TrojWare.Win32.Hijacker.MA 20150713
Cyren W32/S-f882124f!Eldorado 20150713
DrWeb Trojan.Siggen6.27485 20150713
Emsisoft Gen:Variant.Zusy.135554 (B) 20150713
F-Prot W32/S-f882124f!Eldorado 20150713
F-Secure Gen:Variant.Zusy.135554 20150713
Fortinet W32/Hijacker.C!tr 20150713
GData Gen:Variant.Zusy.135554 20150713
Ikarus Trojan.Win32.Hijacker 20150713
Kaspersky HEUR:Trojan.Win32.Generic 20150713
McAfee RDN/Generic.dx!d2s 20150713
McAfee-GW-Edition RDN/Generic.dx!d2s 20150713
MicroWorld-eScan Gen:Variant.Zusy.135554 20150713
NANO-Antivirus Trojan.Win32.Hijacker.dlkxsj 20150713
Panda Trj/Genetic.gen 20150713
Rising PE:Malware.Graftor!6.1DA9 20150713
Sophos Mal/Generic-S 20150713
Tencent Win32.Trojan.Generic.Pbzh 20150713
TrendMicro TROJ_GEN.R021C0VAH15 20150713
VBA32 Trojan.Hijacker 20150713
VIPRE Trojan.Win32.Generic!BT 20150713

Vous l’aurez compris, ces détections sont très généralistes, il est difficile de savoir à quelle menace vous avez à faire.
Dès lors, il est conseillé de suivre une procédure standard de désinfection qui devrait permettre de nettoyer l’ordinateur dans son intégralité.

Sachez aussi que beaucoup de sites de désinfection et proposent des procédures de désinfections qui ne sont en fait que des prétextes pour vous faire installer des antispywares payants.
Le but final est bien sûr de vous faire acheter ces antispywares payants.

La procédure suivante est complètement gratuite et se base sur des logiciels efficaces et non payants.
Cette procédure générale va supprimer toutes les menaces Trojan Hijacker de votre ordinateur et devrait permettre de retrouver la vitesse initiale de l’ordinateur.

Continue reading “Trojan Hijacker” »

VirTool:Win32/AutInject

VirTool:Win32/AutInject est une détection des antivirus Microsoft qui correspond à une détection de malware écrit en langage AutoIt.
Voici un exemple de détection de VirTool:Win32/AutInject par Windows Defender.
VirTool_Win32_AutInject

 

Dans la majorité des cas, cette détection correspond à des malwares de type RAT (Remote Access Tools), ces malwares permettent le contrôle de l’ordinateur à distance et le vol de mot de passe.
Ces malwares sont principalement propagé par des cracks, keygen et cheater ou éventuellement envoyé par des pirates sur Skyke par mail.

Ces malwares sont très faciles à éviter si vous ne téléchargez pas tout et n’importe quoi.

En général, ce sont des pirates pas très aguéries qui utilisent ces programmes tout fait pour infecter des ordinateurs.

Voici un exemple de cette détection VirTool:Win32/AutInject, depuis un RAT soumis à l’analyse.

SHA256: b720630bb5dac9c34c0353d7bf22c7cec55a9bc9af17d4612c0e286bdafb104e
Nom du fichier : Microsoft Visual.exe
Ratio de détection : 9 / 55
Date d’analyse : 2015-07-15 11:18:45 UTC (il y a 18 heures, 24 minutes) Voir les derniers
Antivirus Résultat Mise à jour
AVG Autoit 20150715
Avast AutoIt:MalOb-HW [Trj] 20150715
DrWeb Trojan.Packed.32008 20150715
ESET-NOD32 a variant of Win32/Injector.Autoit.BOZ 20150715
K7AntiVirus Trojan ( 700000111 ) 20150715
K7GW Trojan ( 700000111 ) 20150715
Microsoft VirTool:Win32/AutInject.BQ 20150715
Rising PE:Backdoor.Win32.Gbod.b!1075358427 20150713
Sophos Troj/AutoIt-BBC 20150715

Ces Rats peuvent être relativement difficiles à éradiquer de l’ordinateur surtout si votre antivirus est incapable de le détecter.

La procédure gratuite suivante se base sur des logiciels de désinfection gratuit et devrait vous permettre de supprimer tous les malwares qui tournent sur votre ordinateur.

Après avoir désinfecter votre ordinateur, il conviendra de changer tous vots mots de passe car ces derniers peuvent avoir été récupérés.

Continue reading “VirTool:Win32/AutInject” »

InfoStealer

InfoStealer est le nom générique donné par Symantec, l’éditeur de l’antivirus Norton pour les malwares de type Stealer.
Stealer signifie vol et désigne donc en général les malwares qui ont la capacité de voler des identifiants/mot de passe ou éventuellement les malwares de type banker qui tentent de dérober des comptes d’accès aux banques.
Le but étant de revendre ces informations.

InfoStealer peut donc viser des malwares de type Zbot et autres dérivés comme Dyre.
D’ailleurs dans le cas de Dyre, Symantec a créé le nom InfoStealer.Dyre ou plus généralement InfoStealer.Banco.
Il existe aussi des malwares visants les comptes de jeux en ligne (souvent MMOPRG), dans ce cas, le nom sera Infostealer.Gampass.
Enfin pour les malwares de types RAT, vous pouvez avoir la dénomination MSIL:InfoStealer où MSIL indique que ce dernier est écrit en MicroSoft Intermediate Language.
Comme vous pouvez le constater, il existe beaucoup de déclinaison du nom générique selon le type de stealer rencontré, mais le but final est toujours le même voler des identifiants.

Du point de vue système, ces malwares ont tendance à se copier dans des sous-répertoires d’%APPDATA% – exemple :

  • C:\Documents and Settings\All Users\Application Data\googleupdaterr.exe
  • C:\Documents and Settings\All Users\Application Data\userdata.dat

La désinfection consiste donc à supprimer le malware de l’ordinateur puis changer tous ses mots de passe WEB (Facebook, mail, jeux en ligne, etc) puisqu’ils peuvent avoir été volés.

La procédure de désinfection de supprimer-virus.com se base sur des logiciels gratuits et reconnus, notez qu’il existe beaucoup de sites WEB qui proposent des procédures de désinfection qui n’ont pour seul but que de vous faire installer des antispywares payants afin par la suite de vous les faire acheter.

Ce n’est pas le cas avec la procédure suivante qui est complètement gratuite.

Continue reading “InfoStealer” »

Trojan.Sathurbot et Win32/TrojanDownloader.Spyrov.A

Trojan.Sathurbot et Win32/TrojanDownloader.Spyrov.A sont deux malwares très distincts.

  • Trojan.Sathurbot  : est une backdoor qui permet le contrôle de l’ordinateur à distance, à noter que ce dernier est souvent accompagne de Win32/Boaxxe ou Trojan-PWS.Fareit. Ce dernier est composée d’une DLL souvent dans le dossier C:\ProgramData\Microsoft\Security\Client\SecurityProvider.dll.
  • Win32/TrojanDownloader.Spyrov : est comme son nom l’indique un Trojan.Downloader, il peut aussi être assimilé à Trojan.Zbot/Trojan.Zeus, ce dernier est un stealer qui peut voler des mots de passe et les transmettre à un serveur distant. Ce dernier se charge par des clefs Run avec des fichiers dans des sous-dossiers de %APPDATA%.

Win32/TrojanDownloader.Spyrov  avec ses clefs Run pour se lancer au démarrage de Windows :

HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [raba] => C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe [301568 2015-04-09] (Hex-RAYS SA)
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [kix] => C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe [302592 2015-04-11] (Hex-RAYS SA)

La détection Trojan.Sathurbot par Malwarebytes Anti-Malware, les autres malwares sont détectés en Trojan.FakeMS :

Processus: 2
Trojan.FakeMS, C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe, 1004, Supprimé-au-redémarrage, [7e330d5eef9bc571f044cd8dae527d83]
Trojan.FakeMS, C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe, 1164, Supprimé-au-redémarrage, [4869284385055cda959f302ab7499c64]

Modules: 1
Trojan.Sathurbot, C:\ProgramData\Microsoft\Security\Client\SecurityProvider.dll, Supprimé-au-redémarrage, [f8b9aebda6e43ef87d9d6e04857b926e], 

Clés du Registre: 3
Trojan.Sathurbot, HKLM\SOFTWARE\CLASSES\CLSID\{F76FA5C2-3B6A-451E-8CA5-34C8D0AE0637}, Mis en quarantaine, [f8b9aebda6e43ef87d9d6e04857b926e], 
PUP.Optional.InstallCore.A, HKU\S-1-5-21-3363902407-660404453-229795418-1001\SOFTWARE\INSTALLCORE\1I1T1Q1S, Mis en quarantaine, [832e7dee53370b2b629c8b8327dd857b], 
PUP.Optional.InstallCore.A, HKU\S-1-5-21-3363902407-660404453-229795418-1001\SOFTWARE\INSTALLCORE, Mis en quarantaine, [3879f972d1b994a27b55a38163a2ec14], 

Valeurs du Registre: 13
Trojan.FakeMS, HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|raba, C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe, Mis en quarantaine, [7e330d5eef9bc571f044cd8dae527d83]
Trojan.FakeMS, HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|kix, C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe, Mis en quarantaine, [4869284385055cda959f302ab7499c64]

Fichiers: 7
Trojan.Sathurbot, C:\ProgramData\Microsoft\Security\Client\SecurityProvider.dll, Supprimé-au-redémarrage, [f8b9aebda6e43ef87d9d6e04857b926e], 
Trojan.FakeMS, C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe, Supprimé-au-redémarrage, [7e330d5eef9bc571f044cd8dae527d83], 
Trojan.FakeMS, C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe, Supprimé-au-redémarrage, [4869284385055cda959f302ab7499c64],

La détection NOD32, on retrouve des noms génériques comme Win32/Injector ou Win32/Kryptik :

C:\Users\All Users\Microsoft\Security\Client\temp\tmp30F0.exe	a variant of Win32/Injector.BYAH trojan	
C:\FRST\Quarantine\C\Users\Alina\AppData\Roaming\ludaw\naqab.exe	a variant of Win32/Kryptik.DEQZ trojan	cleaned by deleting - quarantined
C:\FRST\Quarantine\C\Users\Alina\AppData\Roaming\wavi\vemeruz.exe	Win32/TrojanDownloader.Spyrov.A trojan	cleaned by deleting - quarantined
C:\ProgramData\Microsoft\Security\Client\temp\tmp30F0.exe	a variant of Win32/Injector.BYAH trojan	cleaned by deleting - quarantined
C:\Users\Alina\AppData\Local\Temp\5a31184192fc2694f805857ae8980925.exe	a variant of C:\Users\Alina\AppData\Local\Temp\UpdateFlashPlayer_641d94a0.exe	a variant of Win32/Injector.BYCX trojan	cleaned by deleting - quarantined
C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe	a variant of Win32/Kryptik.DEQZ trojan	cleaned by deleting - quarantined
C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe	Win32/TrojanDownloader.Spyrov.A trojan	cleaned by deleting - quarantined
Operating memory	a variant of Win32/TrojanDownloader.Spyrov.A trojan

Sathurbot en vidéo :

On retrouve ces détections génériques dans l’analyse antivirus de Win32/TrojanDownloader.Spyrov  que nous avons soumis. Voici les résultats :

SHA256: 2dedc28a18669f24dbf65577a3d781a6ab2023f258a49631c6caa487d74a26c3
Nom du fichier : virussign.com_3d0ff0c02e9f06f7eea25c4ffbe427f0.vir
Ratio de détection : 40 / 57
Date d’analyse : 2015-04-11 18:23:51 UTC (il y a 1 jour, 12 heures)
Antivirus Résultat Mise à jour
ALYac Trojan.Generic.12996054 20150411
AVG Downloader.Generic14.PBW 20150411
AVware Trojan.Win32.Generic!BT 20150411
Ad-Aware Trojan.Generic.12996054 20150411
Agnitum TrojanSpy.Zbot!ohT8L+ep6KU 20150409
Antiy-AVL Trojan[Spy]/Win32.Zbot 20150411
Avast Win32:Malware-gen 20150411
Avira TR/Crypt.XPACK.Gen 20150411
Baidu-International Trojan.Win32.Zbot.vfou 20150411
BitDefender Trojan.Generic.12996054 20150411
Bkav HW32.Packed.EEE0 20150410
CAT-QuickHeal TrojanSpy.Zbot.r6 20150411
Comodo UnclassifiedMalware 20150411
Cyren W32/Trojan.JRLN-7731 20150411
DrWeb Trojan.DownLoader12.53651 20150411
ESET-NOD32 Win32/TrojanDownloader.Spyrov.A 20150411
Emsisoft Trojan.Generic.12996054 (B) 20150411
F-Secure Trojan.Generic.12996054 20150411
Fortinet W32/Kryptik.CUBY!tr 20150411
GData Trojan.Generic.12996054 20150411
Ikarus Trojan-Downloader.Win32.Spyrov 20150411
K7AntiVirus Trojan-Downloader ( 004b8dd31 ) 20150411
K7GW Trojan-Downloader ( 004b8dd31 ) 20150411
Kaspersky Trojan-Spy.Win32.Zbot.vfou 20150411
Malwarebytes Trojan.FakeMS 20150411
McAfee RDN/Downloader.a!vd 20150411
McAfee-GW-Edition BehavesLike.Win32.PWSZbot.dh 20150411
MicroWorld-eScan Trojan.Generic.12996054 20150411
NANO-Antivirus Trojan.Win32.Zbot.dpqtgw 20150411
Norman Troj_Generic.ZRGDE 20150411
Qihoo-360 HEUR/QVM19.1.Malware.Gen 20150411
Rising PE:Trojan.Win32.Generic.185D7B65!408779621 20150411
Sophos Mal/Generic-S 20150411
Symantec Trojan.Gen 20150411
Tencent Trojan.Win32.Qudamah.Gen.5 20150411
TrendMicro TROJ_FORUCON.BMC 20150411
TrendMicro-HouseCall TROJ_FORUCON.BMC 20150411
VIPRE Trojan.Win32.Generic!BT 20150411
ViRobot Trojan.Win32.A.Zbot.294912.HC[h] 20150411
nProtect Trojan.Generic.12996054 20150410

Ces malwares permettent de voler des mots de passe et le contrôle de l’ordinateur à distance.
D’autres peuvent donc être installés par la suite notamment pour monétiser (spambot etc).

Vous devez donc désinfecter votre ordinateur puis changer tous vos mots de passe, il conviendra aussi de sécuriser votre ordinateur, ces infections utilisant des méthode de propagations classiques comme les pièges jointes malicieuses par email ou les exploits kits sur les sites WEB.
Sathurbot peut aussi aller par des sites piratés qui distribuent des torrent vérolés.

La procédure gratuite suivante devrait vous permettre de désinfecter votre ordinateur et supprimer Trojan.Sathurbot et Win32/TrojanDownloader.Spyrov.A de votre ordinateur.

Continue reading “Trojan.Sathurbot et Win32/TrojanDownloader.Spyrov.A” »

MSIL.Spy.Keylogger

MSIL.Spy.Keylogger est un keylogger écrit en Microsoft .NET, MSIL voulant dire MicroSoft Intermediate Language.

Un keylogger est un malware qui enregistre les frappes clavier et transmets les informations aux pirates, le but étant de récupérer des identifants / mots de passe.
C’est donc un malware de catégorie spyware.

Les RATs qui permettent le contrôle à distance de l’ordinateur ont souvent des fonctionnalités de keylogger.
Souvent les symptômes sont des dysfonctionnements du clavier, comme par exemple, le doublement des accents.

Dans le cas observé, le keylogger tente de se faire passer pour des fichiers Adobe Flash, voici les fichiers installés dans le système :

(Adobe) C:\Users\Karl\AppData\Roaming\Adobe\AdobeUpdate.exe
(Adobe Systems Inc) C:\Users\Karl\AppData\Roaming\Adobe\FlashUpdateSvc.exe
C:\Users\Karl\AppData\Roaming\Adobe\srvchost.exe

Nous avons soumis le fichier à l’analyse antivirus dont voici la détection :

SHA256: 9199b61f30c93e9f1c1b184e24e80873b66499d32b72505049326c1e9889bc06
Nom du fichier : FlashUpdate.exe
Ratio de détection : 19 / 57
Date d’analyse : 2015-03-09 08:49:05 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
ALYac Gen:Variant.Kazy.500981 20150309
AVG PSW.MSIL.AGFK 20150309
AVware MSIL.Spy.Keylogger 20150309
Ad-Aware Gen:Variant.Kazy.500981 20150309
Baidu-International Trojan.MSIL.Keylogger.ASK 20150309
BitDefender Gen:Variant.Kazy.500981 20150309
Comodo UnclassifiedMalware 20150309
ESET-NOD32 a variant of MSIL/Spy.Keylogger.ASK 20150309
Emsisoft Gen:Variant.Kazy.500981 (B) 20150309
F-Secure Gen:Variant.Kazy.500981 20150308
Fortinet MSIL/Keylogger.ASK!tr.spy 20150309
GData Gen:Variant.Kazy.500981 20150309
K7AntiVirus Spyware ( 004b19081 ) 20150309
McAfee Artemis!244346FF7C80 20150309
McAfee-GW-Edition Artemis 20150309
MicroWorld-eScan Gen:Variant.Kazy.500981 20150309
Symantec WS.Reputation.1 20150309
TrendMicro-HouseCall TROJ_GEN.R08NH09C715 20150309
VIPRE MSIL.Spy.Keylogger 20150309

Vous l’aurez compris, si vous avez été infecté par un keylogger, vos comptes en ligne peuvent avoir été compris.
Après avoir désinfecté votre ordinateur, il faudra changer tous mots passe puisqu’ils peuvent avoir été récupérés par les pirates.

La procédure gratuite suivante vous guide dans la désinfection de votre ordinateur

Continue reading “MSIL.Spy.Keylogger” »

Trojan.Gootkit et Troj/Wonton : mshta virus

Troj/Wonton (voir fiche Sophos) aka Trojan.Gootkit ou Win32/Xswkit est un trojan qui vise les serveurs Windows.
Trojan.Gootkit est un Trojan de type FileLess, c’est à dire qu’il ne créé aucun fichier sur le disque dur.
Ce dernier contacte une URL distante afin de récupérer les ordres et contrôler le PC infecté.

Troj/Wonton s’appuye sur le processus légitime mshta.exe afin de se charger.
Une clef Run est créée dont voici un exemple :

HKU\S-1-5-19\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters). 
HKU\S-1-5-20\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters). 
HKU\S-1-5-21-1343024091-1677128483-725345543-500\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters). 
HKU\S-1-5-21-1343024091-1677128483-725345543-6772\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters). 
HKU\S-1-5-18\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).

La clef charge une clef avec un nom aléatoire dans Software.
Voici un exemple de contenu de cette clef : http://pjjoint.malekal.com/files.php?read=20150214_z10m15s13c7w10

On trouve la fonction suivante qui charge des DLL dans le dossier %TEMP%

function SetupDWX()
{
	if (!FileExists(DefaultDir+\"mshta.exe\")) UnpackResource(\"mshta.exe\", DefaultDir +\"mshta.exe\");
	if (!FileExists(DefaultDir+\"dynwrapx.dll\")) UnpackResource(\"dynwrapx.dll\", DefaultDir +\"dynwrapx.dll\");
	if (!FileExists(DefaultDir+\"dynwrapx.sxs.manifest\")) UnpackResource(\"dynwrapx.sxs.manifest\", DefaultDir +\"dynwrapx.sxs.manifest\");
	if (!FileExists(DefaultDir+\"mshta.exe.manifest\")) UnpackResource(\"mshta.exe.manifest\", DefaultDir +\"mshta.exe.manifest\");

	WshShell.Run('\"'+DefaultDir+\"mshta.exe\\\" \\\"\"+HTARunCommand+'\"',0,0);
	Exit();
}

La DLL dynwrapx.dll est fixe et n’est pas aléatoire et apparaît à chaque infection.
RogueKiller fait apparaître les lignes suivantes durant une analyse :

¤¤¤ Processus : 2 ¤¤¤
[Tr.Gootkit] svchost.exe(3264) -- C:\Windows\SysWOW64\svchost.exe[x] -> [NoKill]
[Proc.Svchost] svchost.exe(3264) -- C:\Windows\SysWOW64\svchost.exe[7] -> Tué(e) [TermProc]

¤¤¤ Registre : 44 ¤¤¤
[Tr.Gootkit] HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run | rundll32 : mshta “about:” [x][x] -> Supprimé(e)
[Tr.Gootkit] HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Run | rundll32 : mshta “about:” [x][x] -> Supprimé(e)
[Tr.Gootkit] HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Run | rundll32 : mshta “about:” [x][x] -> Supprimé(e)
[Tr.Gootkit] HKEY_USERS\S-1-5-21-823518204-842925246-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run | rundll32 : mshta “about:” [x][x] -> Supprimé(e)
[Tr.Gootkit] HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run | rundll32 : mshta “about:” -> ERROR [2]
[Tr.Gootkit] (X64) HKEY_USERS\.DEFAULT\Software\ xsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-19\Software\ xsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-20\Software\ xsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-21-1343024091-1677128483-725345543-500\Software\ xsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-21-1343024091-1677128483-725345543-6772\Software\ xsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-18\Software\ xsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-21-1343024091-1677128483-725345543-500\Software\cxsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-21-1343024091-1677128483-725345543-6772\Software\cxsw -> Trouvé(e)

Voici deux exemples de sujets dont des serveurs sont touchés par Troj/Wonton / Trojan.Gootkit:
http://forum.malekal.com/infections-svchost-explorer-iexplore-t50097.html
http://www.commentcamarche.net/forum/affich-31559014-infection-gootkit-etrange

EDIT – Avril 2015 : Mutation et fichiers SDB.

Une campagne de mail qui installe Gootkit et utilise des fichiers .sdb : http://forum.malekal.com/gootkit-campagne-mail-justice-t51266.html

Sur ce sujet de Commentcamarche.net, le malware semble avoir changé.
Des programmes sous le nom de fichiers .exe qui pointent en fait sur des fichiers .sdb

mozilla.exe (HKLM\...\{5c50e42a-21fa-4964-b457-bb0dfb3caa57}.sdb) (Version: - )
msimn.exe (HKLM\...\{da7a9291-e161-48da-bfd5-3b23e5eef9f3}.sdb) (Version: - )
msmsgs.exe (HKLM\...\{4c0a5cd2-abb4-4e2c-b9d3-2a1de0739dbf}.sdb) (Version: - )
myie.exe (HKLM\...\{dfc8c995-2fee-434d-9050-9d35d2662b7d}.sdb) (Version: - )
navigator.exe (HKLM\...\{6473a1d3-c6a0-4c21-bdd3-8ed2c8517670}.sdb) (Version: - )
opera.exe (HKLM\...\{6acaad88-e146-4f62-a158-4d6bb3c14b05}.sdb) (Version: - )

et une clef RunOnce suspicieuse qui pointe un fichiers .cmd sous %TEMP%

HKLM-x32\...\RunOnce: [{07FB1BD4-0A40-45FD-95A6-002D11A393CE}] => cmd.exe /C start /D C:\Users\ADMINI~1.DOM\AppData\Local\Temp\2 /B {07FB1BD4-0A40-45FD-95A6-002D11A393CE}.cmd <===== ATTENTION

Gootkit_fichiers_sdb

La procédure gratuite suivante devrait vous aider à vous débarrasser de Troj/Wonton / Trojan.Gootkit

Continue reading “Trojan.Gootkit et Troj/Wonton : mshta virus” »

Trojan Kryptik

La détection Trojan Kryptik est une détection générique de l’antivirus NOD32.
Il est donc impossible de savoir avec certitude à quelle famille de malware ce dernier correspond.

Par exemple, la détection suivante sur VirusTotal a variant of Win32/Kryptik correspond au malware Reveton qui est une famille de Ransomware Fake Police.

VirusTotal_Kryptik

Ou encore la détection suivante JS/Kryptik (JS voulant dire JavaScript) correspond à une page d’un adware qui charge des publicités.

NOD32_Kryptik

Vous l’aurez donc compris, la détection Kryptik correspond à n’importe quelle menace.
Il est donc fortement conseillé, si vous avez une détection de ce type d’effectuer une désinfection généraliste, la procédure gratuite suivante vous guide dans ce but.

Continue reading “Trojan Kryptik” »

Trojan.PWS

Trojan.PWS est une catégorie de malware de type stealer, c’est à dire créé afin de voler des informations contenues sur le PC.
Le suffixe PWS est l’abréviation de password, cela signifie donc que le malware en question est capable de voler les mots de passe, souvent ce type de malwares ont des fonctionnalités de keylogger.
Malwarebytes Anti-Malware peut détecter ce dernier en Spyware.Password.

Dans le cas observé, le malware en question upload des fichiers texte vers un serveur FTP (ce qui est assez courant pour les malwares de type RATs).
Voici un exemple d’un site avec une liste de fichiers textes par victime.
On retrouve des frappes claviers enregistrées et des captures d’écran de l’ordinateur.

Trojan_PWS_Keylogger_exemple2  Trojan_PWS_Keylogger

Voici un exemple de contenu du fichier avec les frappes claviers enregistrés et les sites WEB visités ou les applications lancées.

Trojan_PWS_Keylogger_exemple

Les malwares de type Trojan.PWS sont aussi capables de récupérer les mots de passe enregistrés dans vos navigateurs WEB. Voici un exemple.

Trojan_PWS_Keylogger_exemple3

Nous avons soumis le fichier à l’analyse antivirus dont voici la détection.
Les Trojan.PWS peuvent donc aussi avoir le préfixe Trojan.Spy pour Spyware.

SHA256: 6c019eb6dc4105cdd003f6637be42da93137feef73f1a46a7199766b218747fe
Nom du fichier : jub.exe
Ratio de détection : 18 / 57
Date d’analyse : 2015-01-31 21:30:13 UTC (il y a 11 minutes)
Antivirus Résultat Mise à jour
ALYac Gen:Heur.MSIL.Krypt.5 20150131
AVG MSIL5.APBG 20150131
Ad-Aware Gen:Heur.MSIL.Krypt.5 20150131
Avast Win32:Malware-gen 20150131
Avira TR/Spy.Gen 20150131
BitDefender Gen:Heur.MSIL.Krypt.5 20150131
DrWeb Trojan.PWS.Stealer.13336 20150131
ESET-NOD32 a variant of MSIL/Autorun.Spy.Agent.AU 20150131
Emsisoft Gen:Heur.MSIL.Krypt.5 (B) 20150131
F-Secure Gen:Heur.MSIL.Krypt.5 20150131
GData Gen:Heur.MSIL.Krypt.5 20150131
Ikarus PUA.Pwdump 20150131
Kaspersky not-a-virus:HEUR:Monitor.MSIL.KeyLogger.heur 20150131
MicroWorld-eScan Gen:Heur.MSIL.Krypt.5 20150131
Microsoft TrojanSpy:MSIL/Golroted.B 20150131
NANO-Antivirus Trojan.Win32.Inject.didvzl 20150131
Norman Kryptik.STUB 20150131
Sophos Mal/MsilKlog-D 20150131

Si vous pensez être infecté par un Trojan.PWS – vous devez désinfecter votre ordinateur et surtout changer tous vos de passe par la suite.

Continue reading “Trojan.PWS” »

MSIL:NanoCore

MSIL:NanoCore est une catégorie de RATs écrit en langage MicroSoft Intermediate Language (MSIL).

Les Rats (Remote Access Tools) sont des malwares qui permettent de prendre la main à distance sur l’ordinateur, voler des mots de passe (certains ont des fonctionnalités de keylogger).
Les Rats sont généralement utilisés par des personnes peut expérimentés, vous trouvrez plus d’informations sur ces malwares sur la page : RAT, Bifrose : Botnet pour les nuls

Par exemple dans le capture, ci-dessous, ce sample MSIL:NanoCore tente de se connecter à une connexion ADSL SFR, le pirate héberge le serveur sur sa connexion personnelle.

ntech_rat

Les Rats comme MSIL:NanoCore sont généralements proposés par :

  • des cracks/keygens sur des forums par exemple
  • des cheats, cracks/keygens, mods Minecraft etc ou autres programmes par des vidéos Youtube (souvent un lien donné dans le description).

Nous avons soumis un sample MSIL:NanoCore aux antivirus dont voici la détection :

SHA256: 37b28171f60f54e976a82b2265e7dff9a8b62e638b04b9030a7f2545d47f9e42
Nom du fichier : Server.exe
Ratio de détection : 36 / 57
Date d’analyse : 2015-01-29 06:52:32 UTC (il y a 18 minutes)

mal

Antivirus Résultat Mise à jour
ALYac Gen:Variant.Kazy.378739 20150129
AVG Downloader.Generic14.FPS 20150129
AVware Trojan.MSIL.NanoCore.B (fs) 20150129
Ad-Aware Gen:Variant.Kazy.378739 20150129
AhnLab-V3 Trojan/Win32.Barys 20150129
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20150129
Avast MSIL:NanoCore-B [Trj] 20150129
Avira TR/Nanocore.120320.20 20150129
Baidu-International Backdoor.Win32.Generic.AD 20150128
BitDefender Gen:Variant.Kazy.378739 20150129
Comodo UnclassifiedMalware 20150129
DrWeb Trojan.KeyLogger.26163 20150129
ESET-NOD32 MSIL/NanoCore.B 20150129
Emsisoft Gen:Variant.Kazy.378739 (B) 20150129
F-Secure Gen:Variant.Kazy.378739 20150129
Fortinet MSIL/NanoCore.B!tr 20150129
GData Gen:Variant.Kazy.378739 20150129
Ikarus Trojan.MSIL.NanoCore 20150129
Jiangmin Backdoor.Generic.acaz 20150128
K7GW Trojan ( 700001171 ) 20150129
Kaspersky HEUR:Backdoor.Win32.Generic 20150129
Malwarebytes Backdoor.NanoCore 20150129
McAfee RDN/Generic BackDoor!bb3 20150129
McAfee-GW-Edition BehavesLike.Win32.Backdoor.ch 20150129
MicroWorld-eScan Gen:Variant.Kazy.378739 20150129
Microsoft Trojan:Win32/Dynamer!ac 20150129
NANO-Antivirus Trojan.Win32.KeyLogger.djppkt 20150129
Norman NanoCore.A 20150128
Qihoo-360 Win32/Trojan.156 20150129
Sophos Mal/Generic-S 20150129
TotalDefense Win32/Tnega.PAPJeD 20150128
TrendMicro TROJ_GEN.R047C0DAS15 20150129
TrendMicro-HouseCall TROJ_GEN.R047C0DAS15 20150129
VBA32 Trojan.Agent.alqcr 20150128
VIPRE Trojan.MSIL.NanoCore.B (fs) 20150129
nProtect Backdoor/W32.Agent.120320.AG 20150128

Microsoft peut détecter ce dernier en Backdoor:MSIL/Noancooe

Backdoor_MSIL_Naancooe

La procédure gratuite suivante vous explique comment supprimer MSIL:NanoCore, pensez bien à changer tous vos mots de passe une fois la désinfection effectuée, car ce malware peut voler vos mots de passe.

Continue reading “MSIL:NanoCore” »

Backdoor:Win32/Xtrat

Backdoor:Win32/Xtrat est une catégorie de RAT (Remote Access Tools). Les RAT sont des logiciels malicieux qui permettent de prendre le contrôle de l’ordinateur à distance, voler des mots de passe.
Certains RAT ont des fonctionnalités de keylogger quit peut provoquer le symptôme de « virus double accent circonflexe – double ^ »

Ces malwares de type RAT sont distribués très souvent sous forme de :

  • Crack / Keygen
  • Programmes de Cheat pour les jeux
  • Vidéo « douteuse » sur les réseaux sociaux.

Bref, ne seront infectés que des personnes qui ont tendance à télécharger un peu tout et n’importe quoi.
Vous trouverez plus d’informations sur ce type de malware sur la page : RAT, Bifrose, Cybergate, Spynet, Darkcomet : Botnet pour les nuls

Voici un exemple de détection Backdoor:Win32/Xtrat soumis au service VirusTotal

SHA256: 745798959c09baeb4db84577687d9144dcc60dd4ed41a157accccb28e8c6565c
Nom du fichier : fd9e1676931845f13420b09ec9ecfd61.exe
Ratio de détection : 16 / 54
Date d’analyse : 2015-01-18 20:46:48 UTC (il y a 11 heures, 34 minutes)
Antivirus Résultat Mise à jour
Ad-Aware Gen:Variant.Zusy.81590 20150118
AhnLab-V3 Trojan/Win32.agent 20150118
Avast MSIL:GenMalicious-R [Trj] 20150118
Avira TR/Dropper.Gen 20150118
BitDefender Gen:Variant.Zusy.81590 20150118
ESET-NOD32 a variant of MSIL/Injector.BFQ 20150118
Emsisoft Gen:Variant.Zusy.81590 (B) 20150118
F-Secure Gen:Variant.Zusy.81590 20150118
Fortinet MSIL/Injector.BFO!tr 20150118
GData Gen:Variant.Zusy.81590 20150118
Ikarus Trojan.Inject 20150118
K7GW Trojan ( 700001171 ) 20150117
Malwarebytes Trojan.MicroFox 20150118
MicroWorld-eScan Gen:Variant.Zusy.81590 20150118
Microsoft Backdoor:Win32/Xtrat.A 20150118
Rising PE:Trojan.Win32.Generic.17F6F901!402061569 20150118

La procédure gratuite suivante vous guide dans la désinfection de votre ordinateur.
Une fois l’ordinateur désinfecté, pensez à changer vos mots de passe car ils peuvent avoir été volés.

Continue reading “Backdoor:Win32/Xtrat” »

BackDoor.Bladabindi

BackDoor.Bladabindi est la détection pour désigner une catégorie de RAT (Remote Access Tools).
Les RAT sont des malwares qui permettent de prendre la main à distance sur l’ordinateur, voler des mots de passe et pour certains possèdent des fonctionnalités de keylogger.
La fonction de keylogger peut provoquer le symptôme de « virus double accent circonflexe – double ^ »

Ces malwares de type RAT sont distribués très souvent sous forme de :

  • Crack / Keygen
  • Programmes de Cheat pour les jeux
  • Vidéo « douteuse » sur les réseaux sociaux.

Bref, ne seront infectés que des personnes qui ont tendance à télécharger un peu tout et n’importe quoi.
Vous trouverez plus d’informations sur ce type de malware sur la page : RAT, Bifrose, Cybergate, Spynet, Darkcomet : Botnet pour les nuls

 

SHA256: 5fc6c8344cbf6455f2efab9b928f7ea0629a2a2d926e0ae2ee0fd223332d9c69
Nom du fichier : 7ae9cd72eba1868d04345473b102b80524064.exe
Ratio de détection : 44 / 57
Date d’analyse : 2015-01-18 21:59:37 UTC (il y a 1 minute)
Antivirus Résultat Mise à jour
ALYac Gen:Variant.Barys.10219 20150118
AVG PSW.ILUSpy 20150118
AVware Backdoor.MSIL.Bladabindi.a (v) 20150118
Ad-Aware Gen:Variant.Barys.10219 20150118
Agnitum Trojan.Agent!4TgWdeGZbKA 20150118
AhnLab-V3 Backdoor/Win32.Bladabindi 20150118
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20150118
Avast MSIL:GenMalicious-AV [Trj] 20150118
Avira BDS/Bladabindi.dcrj 20150118
BitDefender Gen:Variant.Barys.10219 20150118
Bkav W32.AdonisC.Trojan 20150117
CAT-QuickHeal Backdoor.Bladabindi.AL3 20150117
ClamAV Win.Backdoor.Bladabindi-1 20150118
Comodo Backdoor.MSIL.Bladabindi.A 20150118
DrWeb BackDoor.Bladabindi.1056 20150118
ESET-NOD32 MSIL/Bladabindi.BC 20150118
Emsisoft Gen:Variant.Barys.10219 (B) 20150118
F-Prot W32/MSIL_Bladabindi.G.gen!Eldorado 20150118
F-Secure Gen:Variant.Barys.10219 20150118
Fortinet MSIL/Bladabindi.SMC!tr 20150118
GData Gen:Variant.Barys.10219 20150118
Ikarus Backdoor.MSIL.Agent 20150118
K7AntiVirus Trojan ( 700000121 ) 20150118
K7GW Trojan ( 700000121 ) 20150117
Kaspersky HEUR:Trojan.Win32.Generic 20150118
Kingsoft Win32.Troj.Undef.(kcloud) 20150118
Malwarebytes Backdoor.Bladabindi.Gen 20150118
McAfee BackDoor-NJRat!28E9E1CF9690 20150118
McAfee-GW-Edition BehavesLike.Win32.BackdoorNJRat.mm 20150118
MicroWorld-eScan Gen:Variant.Barys.10219 20150118
Microsoft Backdoor:MSIL/Bladabindi.AJ 20150118
NANO-Antivirus Trojan.Win32.DownLoader11.cxfbrl 20150118
Norman Bladabindi.JQ 20150118
Qihoo-360 Malware.QVM03.Gen 20150118
SUPERAntiSpyware Trojan.Agent/Gen-Bladabindi 20150118
Sophos Troj/DotNet-P 20150118
Symantec Backdoor.Ratenjay 20150118
TotalDefense Win32/DotNetDl.A!generic 20150118
TrendMicro BKDR_BLBINDI.SMN 20150118
TrendMicro-HouseCall BKDR_BLBINDI.SMN 20150118
VBA32 Backdoor.MSIL.Agent 20150116
VIPRE Backdoor.MSIL.Bladabindi.a (v) 20150118
Zillya Trojan.Disfa.Win32.10564 20150117
nProtect Trojan/W32.Agent.24064.TU 20150116

La procédure gratuite suivante vous guide dans la désinfection de votre ordinateur.
Une fois l’ordinateur désinfecté, pensez à changer vos mots de passe car ils peuvent avoir été volés.

 

Continue reading “BackDoor.Bladabindi” »

1 2