Fareit

Fareit détecté en PWS:Win32/Fareit par Microsoft est une famille de trojan de stype Stealer, c’est à dire spécialisé dans le vol de compte et notamment FTP.
Fareit est aussi capable de mettre d’effecteur des attaques DDoS.
Des éditeurs d’antivirus peuvent nommer cette famille en Trojan.Pony

Fareit vise la plupart des clients FTP pour voler des identifiants et modifier le contenu des sites WEB, soit pour rediriger les internautes vers du contenu malicieux, des publicités ou des sites pharmaceutiques.

Voici une liste des clients FTP visés :

32bit FTP
3D-FTP
AceFTP
ALFTP
Becky!
BitKinex
BlazeFTP
Bromium (Yandex Chrome)
BulletProof FTP
ChromePlus
Chromium
ClassicFTP
CoffeeCup FTP
CoffeeCup Sitemapper (CoffeeCup FTP)
CoffeeCup Visual Site Designer
Comodo Dragon
CoolNovo
CoreFTP
CuteFTP
Cyberduck
DeluxeFTP
DirectFTP (FreeFTP)
Directory Opus
Dreamweaver
Easy FTP
Epic
ExpanDrive
FAR Manager
FastStone Browser
FastTrackFTP
FFFTP
FileZilla
Firefox
FireFTP
FlashFXP
Fling
Flock
FreeFTP
FreshFTP
Frigate3 FTP
FTP Commander
FTP Control
FTP Explorer
FTP Now
FTP Surfer
FTP Voyager
FTPGetter
FTPInfo
FTPRush
FTPShell
Global Downloader
GoFTP
Google Chrome
IncrediMail
Internet Explorer
K-Meleon
LeapFTP
LeechFTP
LinasFTP
Mozilla Suite Browser
MyFTP
NetDrive
NETFile
NexusFile
Nichrome
Notepad++ (NppFTP)
NovaFTP
Odin Secure FTP Expert
Opera
Outlook
Pocomail
Putty
Robo-FTP
RockMelt
SeaMonkey
SecureFX
sherrod FTP
SmartFTP
SoftX
SRWare Iron (Chromium)
Staff-FTP
The Bat!
Thunderbird
Total Commander
TurboFTP
UltraFXP
WebDrive
WebSitePublisher
Windows Live Mail
Windows Mail
WinFTP
WinSCP
WinZip
WiseFTP
WS_FTP
Xftp
Yandex.Internet

Ci-dessous une détection PWS:Win32/Fareit par Windows Defender :

PWS_Win32_Fareit

La désinfection proposée sur cette fiche Fareit consiste donc à supprimer le malware de l’ordinateur puis changer tous ses mots de passe WEB (Facebook, mail, jeux en ligne, etc) puisqu’ils peuvent avoir été volés.

La procédure de désinfection de supprimer-virus.com se base sur des logiciels gratuits et reconnus, notez qu’il existe beaucoup de sites WEB qui proposent des procédures de désinfection qui n’ont pour seul but que de vous faire installer des antispywares payants afin par la suite de vous les faire acheter.

Ce n’est pas le cas avec la procédure suivante qui est complètement gratuite.

Continue reading “Fareit” »

Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat

Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat sont des détections de l’antivirus Microsoft qui correspond à des Trojans de type RATs.
Les RATs (Remote Access Tools) sont des malwares qui permettent le contrôle de l’ordinateur et embarque souvent des fonctionnalités de keylogger.
De ce fait, ces malwares sont capables de voler des idenfiants.
Vous trouverez un dossier concernant ces malwares sur la page : RAT, Bifrose, Cybergate, Spynet, Darkcomet : Botnet pour les nuls

Les RATs sont donc des malwares qui se propagent généralement via des cracks et keygen ou cheaters proposés sur des sites de téléchargements ou fausses vidéos tutorials.
Ces derniers peuvent aussi être envoyés via Skype par des personnes mal intentionnées.

Ces infections sont relativements faciles à éviter si on fait un peu attention aux fichiers que l’on télécharge et ouvre.

Voici les éléments ajoutés dans le système sur le pack de RATs Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat observés :

HKLM-x32\...\Winlogon: [Userinit] userinit.exe,C:\Windows\system32\clientsvr.exe [X]
HKLM\...\Policies\Explorer\Run: [Policies] => C:\Windows\system32\install\Svchost.exe
HKU\S-1-5-19\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-19\...\Winlogon: [Shell] C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] () <==== ATTENTION
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Policies\Explorer\Run: [Policies] => C:\Windows\system32\install\Svchost.exe
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Policies\Explorer: [NofolderOptions] 0
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Winlogon: [Shell] C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] () <==== ATTENTION
HKU\S-1-5-18\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-18\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-18\...\Policies\Explorer: [NofolderOptions] 0

2015-07-14 14:37 - 2015-07-14 14:37 - 00000000 __SHD C:\ProgramData\181994
2015-07-14 14:26 - 2015-07-14 14:37 - 00259584 _____ C:\Windows\SysWOW64\clientsvr.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00259584 _____ C:\Users\Nathan\AppData\Roaming\jo59n.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00259584 _____ C:\Users\Nathan\AppData\Roaming\itoo7.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00000006 __RSH C:\ProgramData\03404ce119fd6c36b876bfbb131bd3bbdbd9874d
2015-07-14 14:26 - 2015-07-14 14:26 - 00000000 __SHD C:\ProgramData\182094
2015-06-27 18:35 - 2015-06-27 18:35 - 00000036 _____ C:\Users\Nathan\AppData\Roaming\SuYZkvrV.tmp
2015-06-25 14:04 - 2015-06-25 14:04 - 00085011 _____ C:\Users\Nathan\AppData\Roaming\urbc3.exe
2015-06-25 14:03 - 2015-06-25 14:03 - 00085021 _____ C:\Users\Nathan\AppData\Roaming\ujgrs.exe
2015-06-24 13:46 - 2015-06-24 13:46 - 00226251 _____ C:\Users\Nathan\AppData\Roaming\5scmo.exe
2015-06-24 13:46 - 2015-06-24 13:46 - 0226251 _____ () C:\Users\Nathan\AppData\Roaming\5scmo.exe
2015-05-05 08:49 - 2015-05-05 08:49 - 0894976 _____ () C:\Users\Nathan\AppData\Roaming\cdlg4.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0259584 _____ () C:\Users\Nathan\AppData\Roaming\itoo7.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0259584 _____ () C:\Users\Nathan\AppData\Roaming\jo59n.exe
2005-04-29 08:16 - 2015-02-19 00:25 - 0004346 ____H () C:\Users\Nathan\AppData\Roaming\Nathanlog.dat
2015-06-27 18:35 - 2015-06-27 18:35 - 0000036 _____ () C:\Users\Nathan\AppData\Roaming\SuYZkvrV.tmp
2015-05-08 12:55 - 2015-05-08 12:55 - 0896000 _____ () C:\Users\Nathan\AppData\Roaming\t68wi.exe
2015-06-25 14:03 - 2015-06-25 14:03 - 0085021 _____ () C:\Users\Nathan\AppData\Roaming\ujgrs.exe
2015-05-09 14:44 - 2015-05-09 14:44 - 0896000 _____ () C:\Users\Nathan\AppData\Roaming\ujl3g.exe
2015-06-25 14:04 - 2015-06-25 14:04 - 0085011 _____ () C:\Users\Nathan\AppData\Roaming\urbc3.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0000006 __RSH () C:\ProgramData\03404ce119fd6c36b876bfbb131bd3bbdbd9874d

En outre, ces infections ajoutent des clefs Debbuger ciblant les antivirus dans le but d’empécher ces derniers de démarrer convenablement :

IFEO\AvastSvc.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\AvastUI.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avcenter.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avconfig.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgcsrvx.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgidsagent.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgnt.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgrsx.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avguard.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgwdsvc.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avp.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avscan.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\bdagent.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\blindman.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\ccuac.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\ComboFix.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\egui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\GameScannerService.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\hijackthis.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\instup.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\keyscrambler.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbam-chameleon.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbampt.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbamscheduler.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MpCmdRun.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MSASCui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MsMpEng.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\msseces.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\NIS.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\NortonNISDownloader.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\Norton_Removal_Tool.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\rstrui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDFiles.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDMain.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDWinSec.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\spybotsd.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\wireshark.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\zlclient.exe: [Debugger] C:\ProgramData\181994\sysmon.exe

Nous avons soumis la détection de ces fichiers malicieux antivirus  dont voici les résultats.

Trojan:Win32/Scrarev :

SHA256: 4c96572b2a874be17f327f26c1ed29d3d4b081321a43be63d3ef14f84ce7cb09
Nom du fichier : cdlg4.exe
Ratio de détection : 26 / 55
Date d’analyse : 2015-07-18 07:42:56 UTC (il y a 1 heure, 15 minutes)
Antivirus Résultat Mise à jour
AVG MultiDropper_c.AOTK 20150718
AVware Trojan.Win32.Generic!BT 20150718
Avast AutoIt:MalOb-HP [Trj] 20150718
Avira DR/Autoit.A.7213 20150717
Baidu-International Trojan.Win32.Injector.BLQ 20150717
CAT-QuickHeal Trojan.Scrarev.r5 20150717
Comodo UnclassifiedMalware 20150718
Cyren W32/AutoIt.DB.gen!Eldorado 20150718
DrWeb Trojan.DownLoader11.34675 20150718
ESET-NOD32 Win32/TrojanDropper.Autoit.JR 20150718
F-Prot W32/AutoIt.DB.gen!Eldorado 20150718
Fortinet W32/Autoit.BLW!tr 20150718
GData Win32.Trojan.Agent.4R1AGM 20150718
Ikarus Trojan.Win32.Injector 20150718
K7AntiVirus Trojan ( 700000111 ) 20150718
K7GW Trojan ( 700000111 ) 20150718
McAfee RDN/Generic.dx!dsk 20150718
McAfee-GW-Edition BehavesLike.Win32.Dropper.ch 20150717
Microsoft Trojan:Win32/Scrarev.C 20150718
Rising PE:Trojan.Win32.Generic.18A34749!413353801 20150713
Sophos Mal/Generic-S 20150718
Symantec WS.Reputation.1 20150718
Tencent Autoit.Trojan.Autoit.Hvsq 20150718
TrendMicro TROJ_GEN.R072C0DEL15 20150718
VIPRE Trojan.Win32.Generic!BT 20150718
nProtect Trojan-Downloader/W32.Genome.894976.C 20150717
TrojanSpy:MSIL/Omaneat :
SHA256: 210947540cb494814c05ae3043579e4984a122ef5f180acd3c4c9cfd52480c0e
Nom du fichier : itoo7.exe
Ratio de détection : 29 / 55
Date d’analyse : 2015-07-18 07:43:13 UTC (il y a 1 heure, 15 minutes)
Antivirus Résultat Mise à jour
AVware Trojan.Win32.Generic!BT 20150718
Ad-Aware Trojan.GenericKD.2567225 20150718
Agnitum Trojan.Agent!h0PKSgq7hGw 20150717
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20150718
Arcabit Trojan.Generic.D272C39 20150718
Avast MSIL:Injector-LY [Trj] 20150718
Avira TR/Agent.259584.54 20150717
Baidu-International Trojan.MSIL.Agent.ABP 20150717
BitDefender Trojan.GenericKD.2567225 20150718
DrWeb Trojan.DownLoader14.49477 20150718
ESET-NOD32 MSIL/Agent.ABP 20150718
F-Secure Trojan.GenericKD.2567225 20150718
Fortinet W32/Generic.ABP!tr 20150718
GData Trojan.GenericKD.2567225 20150718
Ikarus Trojan.MSIL.Agent 20150718
K7GW Trojan ( 004c848a1 ) 20150718
Kaspersky HEUR:Trojan.Win32.Generic 20150718
McAfee Artemis!70E943E97B97 20150718
McAfee-GW-Edition Artemis!Trojan 20150717
MicroWorld-eScan Trojan.GenericKD.2567225 20150718
Microsoft TrojanSpy:MSIL/Omaneat!rfn 20150718
Panda Trj/CI.A 20150718
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20150718
Sophos Mal/Generic-S 20150718
Symantec Trojan.Gen 20150718
Tencent Win32.Trojan.Generic.Ahyn 20150718
VIPRE Trojan.Win32.Generic!BT 20150718
Zillya Backdoor.PePatch.Win32.79714 20150718
nProtect Trojan.GenericKD.2567225 20150717

La désinfection de ce pack peut poser problèmes si l’antivirus ne détecte pas les fichiers malicieux ou s’il est impossible de lancer l’antivirus étant donné que ce pack, comme expliqué auparavant peut empécher leur exécution.

Attention aussi aux certains sites de désinfection qui sont créés dans le but de vous faire installer des antispywares payants dans le simple but de vous les vendre.

La procédure de désinfection suivante est complètement gratuit et vous propose d’utiliser des programmes de désinfection efficace et gratuit.

Cette procédure devrait vous permettre de vous débarrasser des trojans Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat. Une fois la désinfection terminée, pensez à changer tous vos mots de passe, ces derniers ont été probablement récupérés par les pirates.

Continue reading “Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat” »

InfoStealer

InfoStealer est le nom générique donné par Symantec, l’éditeur de l’antivirus Norton pour les malwares de type Stealer.
Stealer signifie vol et désigne donc en général les malwares qui ont la capacité de voler des identifiants/mot de passe ou éventuellement les malwares de type banker qui tentent de dérober des comptes d’accès aux banques.
Le but étant de revendre ces informations.

InfoStealer peut donc viser des malwares de type Zbot et autres dérivés comme Dyre.
D’ailleurs dans le cas de Dyre, Symantec a créé le nom InfoStealer.Dyre ou plus généralement InfoStealer.Banco.
Il existe aussi des malwares visants les comptes de jeux en ligne (souvent MMOPRG), dans ce cas, le nom sera Infostealer.Gampass.
Enfin pour les malwares de types RAT, vous pouvez avoir la dénomination MSIL:InfoStealer où MSIL indique que ce dernier est écrit en MicroSoft Intermediate Language.
Comme vous pouvez le constater, il existe beaucoup de déclinaison du nom générique selon le type de stealer rencontré, mais le but final est toujours le même voler des identifiants.

Du point de vue système, ces malwares ont tendance à se copier dans des sous-répertoires d’%APPDATA% – exemple :

  • C:\Documents and Settings\All Users\Application Data\googleupdaterr.exe
  • C:\Documents and Settings\All Users\Application Data\userdata.dat

La désinfection consiste donc à supprimer le malware de l’ordinateur puis changer tous ses mots de passe WEB (Facebook, mail, jeux en ligne, etc) puisqu’ils peuvent avoir été volés.

La procédure de désinfection de supprimer-virus.com se base sur des logiciels gratuits et reconnus, notez qu’il existe beaucoup de sites WEB qui proposent des procédures de désinfection qui n’ont pour seul but que de vous faire installer des antispywares payants afin par la suite de vous les faire acheter.

Ce n’est pas le cas avec la procédure suivante qui est complètement gratuite.

Continue reading “InfoStealer” »

Trojan.Dyre Trojan.Staser

Trojan.Dyre (aka Trojan.Staser) est un Trojan de type Stealer qui vise notamment vos comptes bancaires, le but de ce malware est donc de voler vos identifiants de comptes bancaires.
Ce dernier est apparu en Juin 2014 – voir l’actualité : Dyreza : nouveau Trojan.Banker

Ce malware se propage essentiellement de deux manières :

Il existe beaucoup de campagnes d’emails qui installent ce malware poussé par du Upatre.

Malwarebyte Anti-Malware détecte ce dernier en Spyware.Dyre :

Spyware_Dyre

D’un point de vue technique le malware se charge par un service et un fichier avec un nom aléatoire dans un sous-dossier du dossier Windows.

S2 googleupdate; C:\Windows\OJyEoVCuPQbQPSW.exe [585728 2015-03-06] () [File not signed]

Voici un exemple de détection d’un sample relativement bien détecté.

SHA256: 882756ba285e195901ed7b05dc87f7f3df51993487ba30269a4d13a50dd9ca6b
Nom du fichier : OJyEoVCuPQbQPSW.exe
Ratio de détection : 44 / 57
Date d’analyse : 2015-04-12 09:02:22 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
ALYac Gen:Variant.Dyreza.5 20150412
AVG Ransomer.FCN 20150412
AVware Trojan.Win32.Generic!BT 20150412
Ad-Aware Gen:Variant.Dyreza.5 20150412
Agnitum Trojan.Staser! 20150409
AhnLab-V3 Trojan/Win32.Upatre 20150411
Antiy-AVL Trojan/Win32.Staser 20150412
Avast Win32:Malware-gen 20150412
Avira TR/Dyreza.A.7 20150411
Baidu-International Trojan.Win32.Staser.bhnh 20150412
BitDefender Gen:Variant.Dyreza.5 20150412
CAT-QuickHeal Trojan.Staser.r3 20150411
Comodo UnclassifiedMalware 20150412
Cyren W32/Trojan.RCWV-0515 20150412
DrWeb Trojan.Dyre.43 20150412
ESET-NOD32 Win32/Battdil.I 20150412
Emsisoft Trojan.Win32.Dyre (A) 20150412
F-Secure Gen:Variant.Dyreza.5 20150412
Fortinet W32/Staser.BHNH!tr 20150412
GData Gen:Variant.Dyreza.5 20150412
Ikarus Trojan.VB.Inject 20150412
K7AntiVirus Trojan ( 004b00db1 ) 20150412
K7GW Trojan ( 004b00db1 ) 20150412
Kaspersky Trojan.Win32.Staser.bhnh 20150412
Malwarebytes Trojan.Dyre 20150412
McAfee Downloader-FSH!D99B3406A733 20150412
McAfee-GW-Edition Downloader-FSH!D99B3406A733 20150411
MicroWorld-eScan Gen:Variant.Dyreza.5 20150412
Microsoft PWS:Win32/Dyzap.M 20150412
NANO-Antivirus Trojan.Win32.Staser.doxtih 20150412
Norman Upatre.AG 20150412
Panda Trj/Genetic.gen 20150410
Qihoo-360 HEUR/QVM02.0.Malware.Gen 20150412
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 20150411
Sophos Troj/Dyreza-DG 20150412
Symantec Trojan.Gen 20150412
Tencent Trojan.Win32.Qudamah.Gen.7 20150412
TotalDefense Win32/Tnega.fMFWLK 20150411
TrendMicro TROJ_GEN.R021C0DCC15 20150412
TrendMicro-HouseCall TROJ_GEN.R021C0DCC15 20150412
VIPRE Trojan.Win32.Generic!BT 20150412
ViRobot Trojan.Win32.S.Agent.585728.DS[h] 20150412
Zillya Trojan.Staser.Win32.3554 20150411
nProtect Trojan/W32.Staser.585728 20150410

La procédure suivante explique comment désinfecter votre ordinateur et supprimer Trojan.Dyre / Trojan.Staser
Cette procédure est complètement gratuite et sans arnaque.

Continue reading “Trojan.Dyre Trojan.Staser” »

Trojan.PWS

Trojan.PWS est une catégorie de malware de type stealer, c’est à dire créé afin de voler des informations contenues sur le PC.
Le suffixe PWS est l’abréviation de password, cela signifie donc que le malware en question est capable de voler les mots de passe, souvent ce type de malwares ont des fonctionnalités de keylogger.
Malwarebytes Anti-Malware peut détecter ce dernier en Spyware.Password.

Dans le cas observé, le malware en question upload des fichiers texte vers un serveur FTP (ce qui est assez courant pour les malwares de type RATs).
Voici un exemple d’un site avec une liste de fichiers textes par victime.
On retrouve des frappes claviers enregistrées et des captures d’écran de l’ordinateur.

Trojan_PWS_Keylogger_exemple2  Trojan_PWS_Keylogger

Voici un exemple de contenu du fichier avec les frappes claviers enregistrés et les sites WEB visités ou les applications lancées.

Trojan_PWS_Keylogger_exemple

Les malwares de type Trojan.PWS sont aussi capables de récupérer les mots de passe enregistrés dans vos navigateurs WEB. Voici un exemple.

Trojan_PWS_Keylogger_exemple3

Nous avons soumis le fichier à l’analyse antivirus dont voici la détection.
Les Trojan.PWS peuvent donc aussi avoir le préfixe Trojan.Spy pour Spyware.

SHA256: 6c019eb6dc4105cdd003f6637be42da93137feef73f1a46a7199766b218747fe
Nom du fichier : jub.exe
Ratio de détection : 18 / 57
Date d’analyse : 2015-01-31 21:30:13 UTC (il y a 11 minutes)
Antivirus Résultat Mise à jour
ALYac Gen:Heur.MSIL.Krypt.5 20150131
AVG MSIL5.APBG 20150131
Ad-Aware Gen:Heur.MSIL.Krypt.5 20150131
Avast Win32:Malware-gen 20150131
Avira TR/Spy.Gen 20150131
BitDefender Gen:Heur.MSIL.Krypt.5 20150131
DrWeb Trojan.PWS.Stealer.13336 20150131
ESET-NOD32 a variant of MSIL/Autorun.Spy.Agent.AU 20150131
Emsisoft Gen:Heur.MSIL.Krypt.5 (B) 20150131
F-Secure Gen:Heur.MSIL.Krypt.5 20150131
GData Gen:Heur.MSIL.Krypt.5 20150131
Ikarus PUA.Pwdump 20150131
Kaspersky not-a-virus:HEUR:Monitor.MSIL.KeyLogger.heur 20150131
MicroWorld-eScan Gen:Heur.MSIL.Krypt.5 20150131
Microsoft TrojanSpy:MSIL/Golroted.B 20150131
NANO-Antivirus Trojan.Win32.Inject.didvzl 20150131
Norman Kryptik.STUB 20150131
Sophos Mal/MsilKlog-D 20150131

Si vous pensez être infecté par un Trojan.PWS – vous devez désinfecter votre ordinateur et surtout changer tous vos de passe par la suite.

Continue reading “Trojan.PWS” »