Trojan.MSIL

Les Trojan.MSIL sont des malwares écrits en langage MicroSoft Intermediate Language (MSIL), la plupart du temps, cela désigne des RATs (Remote Access Tools).
Par exemple, la famille de RAT NanoCore peut être détecté en MSIL:NanoCore
Ces malwares sont capables, en général :

  • de permettre l’accès/contrôler à l’ordinateur
  • de faire télécharger et installer de nouveaux malwares

Ces malwares possèdent aussi des fonctionnalités de stealer afin de voler les mots de passe, comme :

Les traces des éléments volés sont détectées par Malwarebytes Anti-Malware en Stolen Data ou Malware.Trace.
D’utre part, on trouve souvent sur certaines variantes de RATs/Trojan.MSIL un processu RegAsm.exe qui se lance, si ce dernier plante/crash, on obtient donc une erreur RegAsm.exe significative de ces infections.

Trojan_RAT_RegAsm

Côté diffusion, ces malwares sont en général proposés en téléchargement sur des sites d’hébergement via par des cracks/keygen, cheat pour des jeux ou des  programmes de piratage Facebook, Skype etc.
Outre de faux sites de diffusion de crack/keygen (forum etc), des vidéos sur Youtube peuvent être utilisés avec un lien menant aux téléchargements de ces Trojan.MSIL.

Ici donc le but est de faire croire que vous allez télécharger ceci ou cela pour vous faire lancer un faux setup qui va installer Trojan.MSIL sur votre ordinateur.

Cela peut aussi aller plus loin, avec de fausses annonces sur Pôle Emploi, ou une fois contacté, la personne vous demande d’installer un logiciel, qui n’est en autre qu’un Trojan.MSIL.
Ceci dit, cela reste relativement rare.

Le fichier donné lance le setup du logiciel et installe le malware Trojan.MSIL sur l’ordinateur :

Ce dernier est détecté en Trojan.Kryptik.MSIL par Malwarebytes Anti-Malware :

Il existe des variantes en Backdoor.MSIL, par exemple, ci-dessous une détection Microsoft Backdoor:MSIL/Bladabina.
Microsoft peut aussi générer des détections VIRTOOL:MSIL/OBFUSCATOR

Backdoor_MSIL_BladabindiAvast! peut aussi émettre des détection MSIL:GenMalicious

Avast_MSIL_GenMalicious

et un TR/Dropper.MSIL détecté par Avira Antivir :

Trojan_Dropper_MSIL

Néanmoins, vous devez porté une attention particulière au fichier proposé sur les sites d’hébergement.

Côté désinfection, ces malwares n’étant pas très complexes, s’ils sont bien détectés par les antivirus, ces derniers ne devraient pas avoir de difficultés pour les supprimer de l’ordinateur.

La procédure suivante est basée sur des logiciels gratuits qui devrait vous permettre de supprimer tous les malwares sur votre ordinateur et notamment Trojan.MSIL.

Une fois la désinfection terminée, nous vous conseillons vivement de changer tous vos mots de passe puisque ces malwares peuvent les avoir volés.

Continue reading “Trojan.MSIL” »

Stolen.Data et Malware.Trace

Stolen.Data et Malware.Trace sont des détections de l’antivirus Malwarebytes Anti-Malware.
Ces détections correspondant à des infections de type RATs (Remote Acess Tools), certains de ces RATs peuvent être détectées en Trojan.MSIL.

Les RATs sont donc des trojans qui sont permettent le contrôle de l’ordinateur à distance et le vols de mot de passe, ces derniers embarquants des fonctionnalités de keylogger.
Cette fonctionnalité de keylogger a tendance à provoquer des problèmes d’accents circonflexes comme le symptômes du double accent circonflexe – double ^

La détection Stolen.Data et Malware.Trace correspond aux informations volés par le malware et stockés sur l’ordinateur. Ce n’est donc pas la charge virale, mais le résultat de l’infection.
Ces détections sont souvent donc dans des répertoires du type Logs DcLogs et contiennent des fichiers textes.

Dossiers: 1
Stolen.Data, C:\Users\Fabien\AppData\Roaming\Imminent\Logs, , [4eefa241543605317aa401378380fd03],

Fichiers: 2
Stolen.Data, C:\Users\Fabien\AppData\Roaming\Imminent\Logs\18-07-2015, , [4eefa241543605317aa401378380fd03],
Stolen.Data, C:\Users\Fabien\AppData\Roaming\Imminent\Logs\19-07-2015, , [4eefa241543605317aa401378380fd03],

Malwarebytes_Stolen_Data

Si Malwarebyte Anti-Malware détecte seulement ces éléments, cela signifie que :

  • Ces détections correspondent à une infection ancienne dont les éléments volés sont restés sur l’ordinateur. Dans ce cas, une fois supprimé, ces détections ne doivent pas revenir.
  • Malwarebyte ne détecte pas le RAT / Trojan installés sur l’ordinateur. Dans ce cas après suppression, ces détections ne doivent pas revenir et aucun autre symptômes comme le double accent circonflexe doit se manifester.

Néanmoins, il est tout à fait possible d’effectuer des analyses supplémentaires afin de s’assurer que l’ordinateur n’est pas/plus infecté.
Il est aussi conseillé de suivre deux fois cette procédure avec un ou deux jours d’écarts en mettant vos définitions virales à jour. Une détection peut avoir été ajoutée afin de détecter ce dernier.

Dans le cas où ces analyse montrent la présence de trojans, il conviendra après désinfection de modifier tous ses mots de passe puisque ces derniers ont été probablement récupérés par les pirates.

Les analyses suivantes se basent sur des programmes gratuits contrairement à certains sites de désinfections qui ne proposent que des antispywares payants dans le but de vous les vendre.

Continue reading “Stolen.Data et Malware.Trace” »

TR/Crypt.XPACK.Gen

TR/Crypt.XPACK.Gen est une détection de l’antivirus Avira Antivir.
Comme son nom l’indique, le préfixe TR correspond à Trojan.
Le suffixe Gen correspond à Generic.

C’est donc une détection générique (qui vise en réalité certains packers), de ce fait, il est impossible de savoir exactement à quelle famille de malware correspond la détection. Notez aussi que ces détections peuvent être des faux positif, c’est à dire des erreus de détection de l’antivirus sur des fichiers sains détectés comme malicieux.
Dans l’exemple de détection TR/Crypt.XPACK.Gen ci-dessous, ce sont des fichiers temporaires qui sont détectés.
TR_Crypt_XPACK_gen2Etant donné que la détection est générique, il faut suivre une procédure de désinfection généraliste afin de supprimer un maximum de malwares.

Vous pouvez alors suivre la procédure suivante de désinfection. Celle-ci est gratuite.

Continue reading “TR/Crypt.XPACK.Gen” »

Backdoor:Win32/Fynloski

Backdoor:Win32/Fynloski est le nom donné par certains éditeurs d’antivirus dont Microsoft et BitDefender pour désigner les infections RAT(Remote Access Tools). de type Darkkomet.

Les Malwares de type RAT sont des malwares utilisés la plupart du temps par des personnes qui n’ont aucune connaissance techniques et qui permettent de prendre le contrôle de l’ordinateur à distance, de voler des mots de passe, bref de casi tout faire.
Darkkomet est l’un de ces outils, ce dernier peut embarquer une fonction de keylogger, vous pouvez vous retrouver avec les symptômes du « virus double accent circonflexe – double ^ »

Ces malwares de type RAT sont distribués très souvent sous forme de :

  • Crack / Keygen
  • Programmes de Cheat pour les jeux
  • Vidéo « douteuse » sur les réseaux sociaux.

Bref, ne seront infectés que des personnes qui ont tendance à télécharger un peu tout et n’importe quoi.
Vous trouverez plus d’informations sur ce type de malware sur la page : RAT, Bifrose, Cybergate, Spynet, Darkcomet : Botnet pour les nuls

Voici un exemple d’une détection d’un malware Darkkomet, seuls BitDefend et Microsoft utilisent la dénomination Fynloski, les autres éditeurs utilisent eux Backdoor.DarkKome ou Trojan.DarkKomet

SHA256: dcd173edb311b68b0f563e621d63bf71860e756ed82f40292b70b07c347cee6c
Nom du fichier : 7ba94b7f018c304a14bf7b1ab1f51589a4ac48c8
Ratio de détection : 51 / 56
Date d’analyse : 2015-01-16 07:33:24 UTC (il y a 2 jours, 11 heures)
Antivirus Résultat Mise à jour
ALYac Backdoor.Fynloski.C 20150116
AVG BackDoor.Generic16.CNXD 20150116
AVware Trojan.Win32.Generic!SB.0 20150116
Ad-Aware Backdoor.Fynloski.C 20150116
Agnitum Trojan.Comet.Gen.LO 20150115
AhnLab-V3 Trojan/Win32.DelfInject 20150115
Antiy-AVL Trojan[Backdoor]/Win32.DarkKomet 20150116
Avast Win32:Agent-ASXK [Trj] 20150116
Avira BDS/DarkKomet.GR 20150116
Baidu-International Backdoor.Win32.DarkKomet.xyk 20150115
BitDefender Backdoor.Fynloski.C 20150116
Bkav W32.OnGamesLTKVPOK.Trojan 20150115
CAT-QuickHeal Backdoor.Fynloski.A9 20150115
ClamAV WIN.Trojan.DarkKomet 20150116
Comodo Backdoor.Win32.Agent.XAB 20150116
Cyren W32/Downloader.C.gen!Eldorado 20150116
DrWeb BackDoor.Comet.2020 20150116
ESET-NOD32 Win32/Fynloski.AA 20150116
Emsisoft Backdoor.Fynloski.C (B) 20150116
F-Prot W32/Downloader.C.gen!Eldorado 20150116
F-Secure Backdoor.Fynloski.C 20150116
Fortinet W32/DarkKomet.ID!tr.bdr 20150116
GData Backdoor.Fynloski.C 20150116
Ikarus Backdoor.Win32.Zegost 20150116
Jiangmin Trojan/Generic.afytr 20150115
K7AntiVirus Backdoor ( 0039fb811 ) 20150116
K7GW Backdoor ( 0039fb811 ) 20150114
Kaspersky Backdoor.Win32.DarkKomet.xyk 20150116
Kingsoft Win32.Hack.HuigeziT.cz 20150116
Malwarebytes Backdoor.Agent.DCRSAGen 20150116
McAfee Generic BackDoor.xa 20150116
McAfee-GW-Edition BehavesLike.Win32.Backdoor.jh 20150116
Microsoft Backdoor:Win32/Fynloski.A 20150116
NANO-Antivirus Trojan.Win32.DarkKomet.cssoim 20150116
Norman Downloader.HJVR 20150116
Panda Trj/Packed.B 20150115
Qihoo-360 Malware.QVM05.Gen 20150116
Rising PE:Trojan.Win32.Generic.12E5E9B4!317057460 20150114
SUPERAntiSpyware Trojan.Agent/Gen-Fynloski 20150115
Sophos Troj/Backdr-ID 20150116
Symantec Backdoor.Graybird 20150116
Tencent Backdoor.Win32.Darkkomet.a 20150116
TheHacker Backdoor/DarkKomet.dcb 20150115
TotalDefense Win32/Fynloski.A!generic 20150116
TrendMicro BKDR_FYNLOS.SMM 20150116
TrendMicro-HouseCall Suspicious_GEN.F47V0115 20150116
VBA32 Backdoor.DarkKomet 20150115
VIPRE Trojan.Win32.Generic!SB.0 20150116
ViRobot Backdoor.Win32.Agent.674304.A[h] 20150116
Zillya Trojan.Fynloski.Win32.3190 20150115
nProtect Trojan/W32.Agent.674304.BC 20150115

La procédure suivante vous guide dans la désinfection de votre ordinateur.
Une fois l’ordinateur désinfecté, pensez à bien changer tous vos mots de passe, car ils ont été probablement récupérer.

Continue reading “Backdoor:Win32/Fynloski” »

Logiciels malveillants

Voici un récapitulatif des menaces informatiques qui existent sous forme de glossaire.

Catégorie de virus

Virus : Un virus est un programme informatique capable d’infecter des fichiers, quand on dit infecter, c’est simplement qu’il ajoute son propre code dans le fichier sans altérer le programme en lui même. En exécutant le fichier, vous lancez aussi le virus qui se propager au fichier suivant.

Exemple : Ramnit.

 

Backdoor : Dans le sens littéral, Backdoor signifie porte dérobée, c’est un programme qui se veut discret et permet un accès à distance à l’ordinateur.

 

Trojan : « Cheval de Troie » est un programme en apparence inoffensif mais qui contient en réalité un logiciel malveillant. Le but est de faire exécuter le programme inoffensif afin de faire installer le programme malveillant sur l’ordinateur.

 

Ransomware : Les ransomwares sont un type de programme malveillant qui prenne en otage des données informatique et demande de payer une somme afin de récupérer leur accès.
Par exemple Cryptowall est un ransomware qui chiffre vos données et demande de payer une somme afin de récupérer leur accès (vous payez la clef de déblocage).
Plus d’informations sur les ransomwares à la page : http://forum.malekal.com/ransomware-rancongiciels-chiffreurs-fichiers-t49834.html#p386432

 

Vers / Worm : les vers / Worms sont des menaces informatiques capables de se propager par elle même.
Par exemple, les menaces autoruns qui se propagent par les médias amovibles sont considérées comme des vers/worm autoruns.
Plus connus Blaster qui étaient capables de se propager d’un ordinateur à l’autre par des vulnérabilités à distances.
Conficker est la synthèse de ces deux menaces puisque c’est un vers qui est capable de se propager par medias amovibles mais aussi par des vulnérabilités à distance.

 

Spywares : Les spywares sont des programmes informatiques qui permettent d’espionner ouvoler des informations contenus sur l’ordinateur.
Par exemple le malware Zbot/Zeus est un spyware car il est capable de voler les mots de passe.
Un keylogger est donc un spyware.

 

Les adwares : Les adwares sont des logiciels publicitaires, ce sont donc des logiciels qui permettent de gagner de l’argent. Le but est donc de laisser le logiciel le plus longtemps possible sur l’ordinateur afin d’optimiser au maximum l’ouverture de publicités.
Les adwares sont un des moyens utiliser pour monétiser des botnets. Un botmaster peux décider d’installer des adwares sur les ordinateurs zombies afin de gagner de l’argent via son botnet.

La page suivante vous explique comment ces infections très actives fonctionnent : Les Adwares.

 

PUP (Potentially Unwanted Programs) : Les PUPs désignent des programmes potentiellement indésirables, c’est à dire des programmes proposés lors de l’installation de programmes gratuits.
Ces programmes ne sont donc pas considérés comme étant complètement des menaces mais plutôt des programmes parasites.
La frontière étant de plus en plus minces car ces programmes parasites sont en général des adwares, donc plus vous en installez plus vous gagnez de l’argent, d’où souvent des méthodes très très discutables et proches de celles des « vrais » menaces informatiques.
Se reporter à la page Sur la ligne… : Légitime ou non légitime ? Malware or not malware ? pour mieux comprendre cette évolution.

Différence Virus / Trojans

Un petit mot maintenant concernant l’éthymologie, de nos jours, les mots virus et trojans ont été un peu détournés de leur jargon informatique pour viser toutes les menaces informatiques dans leurs ensembles.
Même les antivirus ont un peu tendance à utiliser de manière systématique la désignation Trojan.

Si le nom des menaces pouvaient avoir son importance dans le début des années 2000, maintenant il faut savoir que les menaces se rejoignent.
Par exemple si on prend les RATs (Remote Access Tools), ce dernier est à la fois une backdoor, un vers et un Trojan.

  • Un Trojan car il se propage notamment par des cracks/keygen, en lançant le crack/keygen, vous installez le RAT.
  • Une Backdoor, car il permet l’accès à distance de la machine (la rebooter, effectuer des captures d’écran etc
  • Un vers autoruns car la plus part des RATs sont capables de se propager par des médias amovibles

il en va de même pour la plus part des menaces de nos jours.

Vous trouvez une description des menaces informatiques plus complètes et la nomenclature utilisée par les antivirus sur la page : Index des menaces et programmes malveillants/Malwares

Liens Externes

Backdoor IRC

Une Backdoor IRC est un malware qui permet le contrôle de l’ordinateur.
Le Centre de contrôle (C&C) utilisé est un serveur IRC, qui d’habitude sert à converser, ce dernire va être utilisé par le botmaster pour envoyer les commandes aux PC infectés afin de les contrôler.
Par exempe une commande pour effectuer des scans d’autres serveurs/ordinateurs pour les infecter, ou effectuer des attaques DoS.

Voici deux captures d’écran où l’on voit des PC infectés joindre un serveur IRC, les noms permettent de classer les ordinateurs par pays.
Sur la capture de gauche, on voit des commandes passés (les lignes qui débutent par !msn ou !login pour s’identifier sur les PC infectés)
Backdoor_IRC_2 Backdoor_IRC

Voici la procédure à suivre afin de supprimer les éventuelles Backdoor IRC présentent sur votre ordinateur.
Pensez bien à changer vos mots de passe une fois le PC désinfecté, car ces derniers peuvent avoir été récupérés.

Continue reading “Backdoor IRC” »

Search Protect

Search Protect est un Browser Hijacker qui va modifier les pages de démarrages et de recherche de vos navigateurs afin d’imposer Bing ou trovi.com.
Les Browser Hijacker sont des logiciels qui cherchent à imposer un moteur de recherche en particulier sur les navigateurs WEB installés, il peut s’agir d’un programme externe au navigateur WEB ou simplement une extension parasite.
Dans le cas de Search Protect, il s’agit d’un programme externe qui ajoute une icône en bas à droite à côté de l’horloge (systray).
Notez que l’éditeur de Search Protect est lié à l’adware Conduit.

Le but recherché est de gagner de l’argent à travers les publicités qui s’ouvriront sur les moteurs de recherche et via le volume du traffic envoyé vers ce moteur de recherche.

Selon dans le temps Search Protect ne force pas le même moteur de recherche, probablement selon les revenus proposés par ces derniers.

Ci-dessous le programme Search Protect est paramétré pour forcer la page Conduit :

search-protect-bingici c’est plutôt Trovi.com :

Search_Protect_TroviPar exemple, le programme parasite WebPlayer propose l’installation de Conduit Search Protect, trovi va s’imposer en page de démarrage.
Tous ces monteurs sont liés à Conduit.WebPlayer_Conduit_Search_Protectou encore VideoPerformer qui le propose à son installation de Search Protect.

Video_performerou encore cette proposition d’installation de Search Protect, via un installeur DownloadAdmin, qui est distribué à travers des installations de logiciels gratuits.

Search_Protect_bundleMalwarebytes Anti-Malware détecte ce dernier en PUP.Optional.SearchProtect.AppFlsh

PUP_Optional_SearchProtect_AppFlsh

Voici la procédure pour supprimer Search Protect, cette procédure de désinfection est totalement gratuite et basée sur des logiciels gratuits. Aucun logiciel payant n’est mis en avant.
Continue reading “Search Protect” »

Search Conduit

search.conduit.com est un adware qui s’impose en page de démarrage de vos navigateurs WEB.
Le but est de faire augmenter l’audience du moteur de recherche en obligeant l’utilisateur de l’ordinateur à utiliser ce dernier.
L’éditeur de search.conduit.com va gagner de l’argent à travers les publicités qui s’ouvriront durant les recherches.

search_conduitPar exemple, le programme parasite WebPlayer propose l’installation de Conduit Search Protect, Trovi va s’imposer en page de démarrage.
Tous ces monteurs sont liés à Conduit.

WebPlayer_Conduit_Search_ProtectConduit a aussi créé le programme Search Protect qui va positionner un moteur de recherche en particulier et l’imposer, si vous tentez de changer la page de démarrage ou moteur de recherche le programme Search Protect réinstallera ce dernier.

Malwarebytes Anti-Malware peut détecter ce dernier en PUP.Optional.Conduit

PUP_Optional_Conduit

Voici la procédure pour supprimer search.conduit.com, cette procédure est totalement gratuite et sans arnaque.

Continue reading “Search Conduit” »

AlldaySaving

AlldaySaving sont des publicités coupons qui sont affichées par des adwares installés sur l’ordinateur/
Ces publicités vont s’afficher sur les sites de commerces pour vous proposer des réductions et autres, ils peuvent aussi ouvrir des popups de publicités plus générals.

Voici un exemple de publicités HQube

AlldaySaving

Voici la procédure pour supprimer les publicités AlldaySaving

Continue reading “AlldaySaving” »

Ads by OMG-Music+_05

OMG-Music+_05 sont des publicités coupons qui sont affichées par des adwares installés sur l’ordinateur/
Ces publicités vont s’afficher sur les sites de commerces pour vous proposer des réductions et autres, ils peuvent aussi ouvrir des popups de publicités plus générals.

Voici un exemple de publicités OMG-Music+_05

OMG_MusicL’adware va ajouter des publicités sous forme de liens cliquables sur les sites visités

Ads_OMG-Music

Voici la procédure pour supprimer les publicités OMG-Music+_05

Continue reading “Ads by OMG-Music+_05” »

Win32:Evo-Gen

Win32:Evo-Gen est une détection d’Avast! qui peut indiquer la présence d’une menace sur votre ordinateur.

Lorsqu’Avast! émet une alerte sur une adresse WEB avec une détection Win32:Evo-Gen cela signifique qu’un composant malicieux est en cours d’exécution sur votre ordinateur et tente de se connecter à une adresse distante afin de soit envoyer des informations, soit télécharger un autre composant malicieux.

Voici un exemple de détection Win32:Evo-Gen sur un fichier :

Win32:Evo-gen

ou encore sur une adresse distante dans le cas d’Universal Updater, un composant de l’Adware Salus qui tente de télécharger l’installeur de cet Adware pour le réinstaller dans le système.

La fiche suivante explique le fonctionnement de ce composant : http://www.supprimer-virus.com/cdn-cloudwm-com/

cdn_cloudwm

 

ou encore cet alerte Win32:Evo-Gen [Susp] lors de l’exécution d’un installeur de programmes parasites.

Win32_Evo-gen

et/ou par exemple l’agent Mail d’Avast! qui détecte des pièces jointes malicieuses en Win32:Evo-gen [Susp] lors de campagnes de mails malicieux :

Avast_win32_evo_gen

Vous l’aurez compris, l’alerte peut avoir lieu lors de l’execution d’un installeur de programmes parasites ou dans le cas d’une infection active sur l’ordinateur plutôt de type Adware.

Voici la procédure gratuite qui permet de vérifier si votre ordinateur est infecté et si c’est le cas de supprimer Win32:Evo-Gen.

Continue reading “Win32:Evo-Gen” »