VirTool:Win32/CeeInject.gen

VirTool:Win32/CeeInject.gen est une détection générique de l’antivirus Microsoft Security Essentials ou Windows Defender.
La détection étant générique, elle ne désigne pas une famille de malware en particulier ou un type de malwares en particulier (adwares, trojans, etc).
Il est donc impossible de savoir exactement quelle infection est détectée à partir du nom.

Voici un exemple de détection VirTool:Win32/CeeInject.gen

VirToolWin32CeeInject.gen

VirTool_Win32_CeeInject_gen

Si Microsoft Security Essentials ou Windows Defender a été capable de bloquer le malware avant son installation dans le système, c’est gagné, aucun malware n’est actif. Si ce n’est pas le cas, il est possible que votre ordinateur soit infecté.

La détection VirTool:Win32/CeeInject.gen étant générale, vous devez suivre une procédure généraliste afin de désinfecter votre ordinateur et éventuellement supprimer des menaces détectées.
La procédure de désinfection est entièrement gratuite, nous vous fournissons aussi un lien vers un forum d’entraide informatique où des désinfections personnalisées sont possibles.

Continue reading “VirTool:Win32/CeeInject.gen” »

Trojan Clicker

Un Trojan Clicker est un trojan qui simule des clics sur des bannières de publicités.
Le but est donc d’utiliser l’ordinateur infecté pour simuler des clics sur des publicités afin de gagner de l’argent. Plus le nombre d’ordinateur sera infecté, plus le nombre de clics sera élevé et les auteurs du trojan clicker gagneront de l’argent.

Vous trouverez un exemple de fonctionnement d’un trojan sur la page : Exemple de fonctionnement d’un Trojan.Clicker

Quelques exemples de détections :

  • Trojan-Clicker.HTML.Agent ou Trojan.Clicker.HTML.IFrame : Trojan Clicker contenu dans une page HTML, dans ce cas là, le code a pour but d’ouvrir des publicités en boucle lors de la visite d’une page WEB.
  • TrojanClicker:JS/Faceliker.A : famille de clicker en JavaScript, même principe que précédemment.
  • Trojan-Clicker-Win32.Agent : Détection générant d’un Trojan Cliquer, la famille n’est pas spécifié.
  • Trojan-Clicker.BHO : Trojan Clicker qui se charge en BHO
  • Trojan.Clicker.VB : Trojan Clicker écrit en Visual Basic
  • Trojan Clicker.Win32.Autolt : Trojan Clicker écrit en Autoit

Par exemple, TrojanClicker:Win32/Clikug est une famille de Trojan Clicker ou encore Win32/Boaxxe est une autre famille de Trojan Clicker.
Dans le cas des Trojan-Clicker.HTML ce dernier se trouve probablement dans votre cache internet.
Il suffit alors de vider le cache pour que les détections s’arrêtent.
Pour les autres cas, vous pouvez suivre la procédure générique suivante devrait vous permettre de désinfecter votre ordinateur.

Continue reading “Trojan Clicker” »

Win32:Downloader

Win32:Downloader est une détection Avast! qui désigne un Trojan Downloader

Les Trojan Downloader sont des trojans qui sont capables de télécharger des malwares, en general sur des sites distants et les installer sur l’ordinateur infectés. Une détection Trojan Downloader signifie donc que vous avez potentiellement un trojan actif sur votre ordintateur qui tente d’en installer un autre.

Certains antivirus peuvent donner des informations sur la famille de malware utilisé dans le sufixe, comme par exemple TrojanDownloader:Win32/Adload (famille Adload) ou Trojan-Downloader:W32/Mevade.A sinon cela peut-être simplement un indicateur incrémentale des signatures Trojan.Win32.Downloader.AZ
Pour plus d’informations sur les nomenclatures utilisées par les antivirus, se reporter à la page Index des menaces et programmes malveillants/Malwares

Ce n’est pas forcément obligatoire, par exemple, ci-dessous, une détection Win32:Downloader-TOV [PUP] – La mention [PUP] nous informe donc que nous avons affaire à un programme parasite.
L’alerte s’est décléncher sur un installeur Solimba qui propose des programmes parasites, Avast! a émis une alerte au lancement du setup et aucun programme parasite n’a pu être installé.

Win32_Downloader Ci-dessous une détection TrojanDownloader:Win32/Adload

Trojan-Win32-Downloader-Adload

Si votre antivirus a émis une détection Trojan Downloader, ll est donc conseillé de vérifier que son ordinateur n’est pas infecté.
Vous pouvez alors suivre la procédure gratuite suivante qui permet de désinfecter son ordinateur.

Continue reading “Win32:Downloader” »

Logiciels malveillants

Voici un récapitulatif des menaces informatiques qui existent sous forme de glossaire.

Catégorie de virus

Virus : Un virus est un programme informatique capable d’infecter des fichiers, quand on dit infecter, c’est simplement qu’il ajoute son propre code dans le fichier sans altérer le programme en lui même. En exécutant le fichier, vous lancez aussi le virus qui se propager au fichier suivant.

Exemple : Ramnit.

 

Backdoor : Dans le sens littéral, Backdoor signifie porte dérobée, c’est un programme qui se veut discret et permet un accès à distance à l’ordinateur.

 

Trojan : « Cheval de Troie » est un programme en apparence inoffensif mais qui contient en réalité un logiciel malveillant. Le but est de faire exécuter le programme inoffensif afin de faire installer le programme malveillant sur l’ordinateur.

 

Ransomware : Les ransomwares sont un type de programme malveillant qui prenne en otage des données informatique et demande de payer une somme afin de récupérer leur accès.
Par exemple Cryptowall est un ransomware qui chiffre vos données et demande de payer une somme afin de récupérer leur accès (vous payez la clef de déblocage).
Plus d’informations sur les ransomwares à la page : http://forum.malekal.com/ransomware-rancongiciels-chiffreurs-fichiers-t49834.html#p386432

 

Vers / Worm : les vers / Worms sont des menaces informatiques capables de se propager par elle même.
Par exemple, les menaces autoruns qui se propagent par les médias amovibles sont considérées comme des vers/worm autoruns.
Plus connus Blaster qui étaient capables de se propager d’un ordinateur à l’autre par des vulnérabilités à distances.
Conficker est la synthèse de ces deux menaces puisque c’est un vers qui est capable de se propager par medias amovibles mais aussi par des vulnérabilités à distance.

 

Spywares : Les spywares sont des programmes informatiques qui permettent d’espionner ouvoler des informations contenus sur l’ordinateur.
Par exemple le malware Zbot/Zeus est un spyware car il est capable de voler les mots de passe.
Un keylogger est donc un spyware.

 

Les adwares : Les adwares sont des logiciels publicitaires, ce sont donc des logiciels qui permettent de gagner de l’argent. Le but est donc de laisser le logiciel le plus longtemps possible sur l’ordinateur afin d’optimiser au maximum l’ouverture de publicités.
Les adwares sont un des moyens utiliser pour monétiser des botnets. Un botmaster peux décider d’installer des adwares sur les ordinateurs zombies afin de gagner de l’argent via son botnet.

La page suivante vous explique comment ces infections très actives fonctionnent : Les Adwares.

 

PUP (Potentially Unwanted Programs) : Les PUPs désignent des programmes potentiellement indésirables, c’est à dire des programmes proposés lors de l’installation de programmes gratuits.
Ces programmes ne sont donc pas considérés comme étant complètement des menaces mais plutôt des programmes parasites.
La frontière étant de plus en plus minces car ces programmes parasites sont en général des adwares, donc plus vous en installez plus vous gagnez de l’argent, d’où souvent des méthodes très très discutables et proches de celles des « vrais » menaces informatiques.
Se reporter à la page Sur la ligne… : Légitime ou non légitime ? Malware or not malware ? pour mieux comprendre cette évolution.



Différence Virus / Trojans

Un petit mot maintenant concernant l’éthymologie, de nos jours, les mots virus et trojans ont été un peu détournés de leur jargon informatique pour viser toutes les menaces informatiques dans leurs ensembles.
Même les antivirus ont un peu tendance à utiliser de manière systématique la désignation Trojan.

Si le nom des menaces pouvaient avoir son importance dans le début des années 2000, maintenant il faut savoir que les menaces se rejoignent.
Par exemple si on prend les RATs (Remote Access Tools), ce dernier est à la fois une backdoor, un vers et un Trojan.

  • Un Trojan car il se propage notamment par des cracks/keygen, en lançant le crack/keygen, vous installez le RAT.
  • Une Backdoor, car il permet l’accès à distance de la machine (la rebooter, effectuer des captures d’écran etc
  • Un vers autoruns car la plus part des RATs sont capables de se propager par des médias amovibles

il en va de même pour la plus part des menaces de nos jours.

Vous trouvez une description des menaces informatiques plus complètes et la nomenclature utilisée par les antivirus sur la page : Index des menaces et programmes malveillants/Malwares

Liens Externes

Ramnit

Ramnit est un virus au sens littéral du terme.
C’est à dire qu’il va infecter les executables du système.

Vous trouverez des informations complémentaires sur le virus Ramnit à l’adresse : http://www.malekal.com/2011/10/12/ramnit-fait-son-retour-un-vrai-virus/

La règle d’or à comprendre : Tant que le virus est en mémoire, le virus Ramnit va infecter tout exécutable que vous allez lancer.

Cela signifie qu’il suffit qu’il reste un seul executable infecté en mémoire pour que l’infection se répande à nouveau.
Dans le cas d’un formatage, il faut impérativement ne garder aucun executable car vous pourriez réinstaller le virus à nouveau.

Le malware créé un fichier avec un nom aléatoire qui est visible avec HijackThis, exemple ci-dessus, cela permet de savoir si l’infection est encore active dans le système :

Virus Ramnit

Virus Ramnit

Voici quelques conseils qui peuvent aider à désinfecter un système infecté, selon l’étendue, la désinfection peut être difficile, voire vous pouvez avoir des séquelles : plantage, erreur système etc.

Continue reading “Ramnit” »

virus win32

Le virus win32 et notamment le préfixe win32 signifie que vous avez à faire à un virus qui vise Windows. Le préfixe peux aussi être PE ou PE32 indiquant que le fichierst un PE (portable Executable), le format d’executable pour Windows.

Pour savoir à quelle famille de malware, il faut regarder ce qui suit après le préfixe win32.
Voici quelques exemples :

Pour plus d’informations sur la nomenclature utilisée par les antivirus, vous pouvez vous reporter à la page suivante : Index des menaces et programmes malveillants/Malwares

Exemple de détection win32 d’Avast! :

Win32-malware-gen

La procédure gratuite suivante vous permet de supprimer le virus win32 afin de désinfecter votre ordinateur.

Continue reading “virus win32” »

les erreurs SSL : ssl_error_rx_malformed_alert

Si votre ordinateur est infecté par des adwares, il se peux que vous ailliez des difficultés pour vous connecter à des sites sécurisés (HTTPs).

Une de ces erreurs SSL retournés peux être : ssl_error_rx_malformed_alert

Voici une capture d’écran :

Malformed_certificateLa procédure gratuite suivante vous explique comment désinfecter votre ordinateur et permettre de se connecter à nouveau sur les sites sécurisés (HTTPs).

Continue reading “les erreurs SSL : ssl_error_rx_malformed_alert” »

VBS-Agent-XXX [Trj]

VBS-Agent-XXX [Trj] est une détection de l’antivirus Avast! qui correspond, en général, à des infections par media amovibles en langage VBS bien que cela peut aussi être un autre type de malware comme un Trojan.Miner : VBS/CoinMiner.
Pour plus d’informations sur les malwares VBS, reportez-vous au dossier : Malware par VBS / WSH

Cette infection va remplacer les données contenus sur les médias amovibles par des raccourcis, lorsque l’utilisateur utilise ce media amovible et double-clic sur ces raccourcis en croyant ouvrir ses données, cela va installer l’infection dans le système.

Une fois l’infection active dans le système, à chaque fois, qu’un média amovible sera inséré dans l’ordinateur, il sera infecté à son tour pour infecter d’autres ordinateurs.

protect-against-USB-virus

Le procédure gratuite suivante vous explique comment désinfecter les infections VBS-Agent-XXX [Trj] qui se propage par média amovible.

Continue reading “VBS-Agent-XXX [Trj]” »

Salus

Salus est un adware proposé via des packs de programmes parasites dont voici une proposition d’installation.
Lorsque vous installez des programmes sur votre ordinateur, des logiciels additifs peuvent être proposés, ces logiciels additifs sont en général des adwares (logiciels publicitaires), Salus en est un.
C’est une sorte de sponsors.

Si vous ne comprenez pas ce qui se passe ou ne lisez pas, vous risquez d’installer ces logiciels sans le savoir et voir votre ordinateur inondé de publicités intempestives durant le surf.

Salus

Salus va ralentir l’ordinateur et surtout provoquer des problèmes lors du surf sur les sites sécurisés. Notamment vous pouvez obtenir une erreur « SSL Error RX Malformed Alert » lorsque vous tentez de vous connecter à ces derniers dû au fait que Salus agit comme un proxy afin d’injecter les publicités sur les pages WEB visitées.

Salus va aussi ouvrir des publicités intempestives sur l’ordinateur, avec des liens soulignés verts, exemple de ces publicités « Ads by Salus » ou « édité par salus »

Ads_by_salus

 

salus

Salus_publicites

Certains antivirus peuvent détecter ce dernier en Win32.Adware.Sulas

Win32.Adware.Sulas

Voici un exemple de détection de l’Adware.Salus :

SHA256: bdb8531de061dade7364c57ac4064818928fb4eb1dcc7b41a49c2648850eb59f
Nom du fichier : b786bdb3c67d.exe
Ratio de détection : 20 / 53
Date d’analyse : 2014-11-14 10:19:33 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
Ad-Aware Adware.Agent.OZX 20141114
Avira Adware/Sulas.997952.1 20141114
Baidu-International PUA.Win32.Sulas.81 20141107
BitDefender Adware.Agent.OZX 20141114
Comodo ApplicUnwnt 20141114
ESET-NOD32 a variant of Win32/Adware.Salus.A 20141114
Emsisoft Adware.Agent.OZX (B) 20141114
F-Secure Adware.Agent.OZX 20141114
Fortinet Riskware/Salus 20141114
GData Adware.Agent.OZX 20141114
K7AntiVirus Adware ( 004b07aa1 ) 20141113
K7GW Adware ( 004b07aa1 ) 20141113
Kaspersky not-a-virus:AdWare.Win32.Sulas.q 20141114
McAfee Artemis!2232BE891B2D 20141114
McAfee-GW-Edition BehavesLike.Win32.BadFile.dh 20141114
MicroWorld-eScan Adware.Agent.OZX 20141114
Sophos Generic PUA MB 20141114
Symantec Trojan.Gen.2 20141114
Tencent Win32.Adware.Sulas.Hnuo 20141114
nProtect Adware.Agent.OZX 20141114

L’Adware s’installe dans le dossier Program Files avec un dossier avec une suite de lettres et de chiffres aléatoires et créé les clefs Run suivantes :

HKLM\...\Run: [Salus] => C:\Program Files\f552dd4c52e3\b786bdb3c67d.exe [997952 2014-11-05] ()
HKLM\...\Run: [Salus CrashMon] => "C:\Program Files\f552dd4c52e3\a7d12b5975b4.exe" "b786bdb3c67d.exe" "http://log.data-url.com/salus/crash"

Un composant Universal Updater est aussi installé qui permet de réinstaller l’Adware, la fiche suivante en parle : http://www.supprimer-virus.com/cdn-cloudwm-com/

Salus peut être difficile à éradiquer, la procédure gratuite suivante vous guide et explique comment s’en débarrasser.

Continue reading “Salus” »

l’erreur « SSL Error RX Malformed Alert »

L’erreur SSL Error RX Malformed Alert est une erreur qui apparaît lorsque vous tentez de vous connecter à des sites WEB Sécurisés (HTTPs).

La cause de cette erreur peux être la présence d’adwares sur votre ordinateur.
Exemple de sujets résolus :
http://www.commentcamarche.net/forum/affich-30852031-ssl-error-rx-malformed-alert

La désinfection devrait permet de pouvoir à nouveau visiter les sites sécurisés.

Voici la procédure à suivre.

Continue reading “l’erreur « SSL Error RX Malformed Alert »” »

URL:MAL (Avast!)

La détection URL:Mal de l’antivirus Avast! correspond à la détection d’une URL Malicieuse.
Il peux y avoir plusieurs raisons à une telle détection :

  • Vous avez visité un site connu pour être malicieuse. Dans ce cas process doit indiquer votre navigateur WEB : firefox.exe, chrome.exe où iexplore.exe
  • Un logiciel malveillant sur votre PC a tenté de se connecter à une adresse connue pour être malicieuse.

Ci-dessous deux capturse d’alerte Avast! URL:mal où l’on voit opera.exe et firefox.exe comme processus, c’est typiquement le navigateur WEB qui occasionne l’alerte.
Soit cela est suite à la vitesse d’un site WEB malicieux, soit une extension malicieuse sur le navigateur qui effectue ces connexions.
Dans le premier cas vous n’avez qu’une seule alerte, dans le second cas, les alertes sont fréquentes et reviennent régulièrement.

virus_url-mal2 virus_url-mal

Ci-dessous une autre alerte URL:Mal où le processus est un setup, c’est un installeur de programme parasite détecté par Avast!.

Avast_URL_MAL

Exemple d’Alerte plus récente issue de l’adware Boxore :

Avast_menace_bloquee_URL_MAL_Boxore

Le logiciel malveillant peux être un adware comme cela peux être un trojan.
C’est donc assez difficile de de donner une procédure efficace.
Néanmoins vous pouvez tenter la procédure suivante pour supprimer les détections URL:MAL

Continue reading “URL:MAL (Avast!)” »

Rocket Tab

Rocket Tab est un adware (logiciel publicitaire) qui va ouvrir des publicités intempestives lors du surf.
Rocket Tab s’installe avec des packs de programmes parasites proposés lors de l’installation de programmes gratuits. C’est à dire que lorsque vous installez des programmes, on vous propose des logiciels additionnels. Ces logiciels additionnels sont bien souvent des adwares, si vous ne lisez pas bien les fenêtres, vous risquez donc d’installer ces programmes sans le savoir et passer beaucoup de temps à tenter de les éradiquer.

Ces logiciels publicitaires sont donc une manière de gagner de l’argent à travers les multiples publicités qui vont s’ouvrir sur votre ordinateur et peuvent rendre le surf lent et désagréable.

Voici un exemple de publicité Rocket Tab :

RocketTab-Adwareou encore une publicité Rocket Tab lorsque vous effectuez une recherche Google :

RocketTabRocketTab

 

Lors du surf, des redirections click.rockettab.com apparaissent mais aussi des publicités Ads By RocketTab lors des recherches Google notamment

RocketTabLorsque le programme est en cours d’exécution, une icône en forme de fusée bleu s’affiche dans la barre des tâches à côté de l’horloge (systay), comme le montre cette capture.

RocketTab2Le programme se loge dans C:\Program Files\Search Extensions\Client.exe dont voici une bonne partie des antivirus détecte en Adware.MSIL.iBryte :

SHA256: a37c82e5913fa64ed6ecfa1042c6071ffebbe8dcd4345cf776fe2437cc0d47f4
Nom du fichier : Client.exe
Ratio de détection : 7 / 54
Date d’analyse : 2014-11-08 18:45:59 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
AVG Generic.1B1 20141108
AVware AdKnowledge (fs) 20141108
Baidu-International Adware.MSIL.iBryte.BI 20141107
ESET-NOD32 a variant of MSIL/Adware.iBryte.I 20141108
McAfee Artemis!CA32EF870E2E 20141108
McAfee-GW-Edition Artemis 20141108
VIPRE AdKnowledge (fs) 20141108

Voici la procédure pour supprimer Rocket Tab de votre ordinateur et stopper les publicités intempestives.

Continue reading “Rocket Tab” »

Trovi.com

Trovi est un Browser Hijacker qui s’impose en page de démarrage de vos navigateurs WEB.
Ceci permet de forcer l’utilisation de ce moteur de recherche et gagner de l’argent à travers les publicités qui vont s’ouvrir.

TroviTrovi.com est lié à l’adware Search Protect qui va forcer la page en démarrage des navigateurs WEB et la protéger. C’est à dire que vous allez avoir du mal à remettre une page de démarrage souhaitée.
Encore une fois, le but est de vous forcer à utiliser ce moteur de recherche à travers diverses stratagèmes.

Search_Protect_TroviTrovi peut rediriger vers le moteur de recherche Bing, c’est un moyen de gagner de l’argent à travers le volume du traffic envoyé à Bing.

Enfin le navigateur Speed Browser peut remplacer tous vos navigateurs WEB installés pour aussi forcer l’utilisation de Trovi.

SpeedBrowser_trovi

Comme tous les Browser Hijacker, Trovi s’installe à partir de pack de programmes indésirables proposés à l’installation de logiciels gratuits diffusés sur des sites de téléchargements créés dans ce but.
Faites bien attention à ce que vous installez, beaucoup de prétextes sont utilisés pour vous faire lancer des setup de programmes indésirables (mise à jour Flash/Java, Codec et lecteurs vidéos sur les sites de streaming etc).

Malwarebytes Anti-Malware peut détecter en PUP.Optional.Trovi

PUP_Optional_TroviVoici la procédure pour supprimer Trovi de votre ordinateur et de tous les navigateurs WEB.
Cette procédure est entièrement gratuite et devrait vous permettre de désinfection votre ordinateur.

Comment supprimer Trovi?

 

Continue reading “Trovi.com” »

1 2