Woordeezy

Woordeezy est une famille de Trojan qui se propage par médias amovibles écrit en VBS (Microsoft Visual Basic Scripting Edition).
Il s’agit aussi d’une détection de l’antivirus Avira Antivir.
Il s’agit donc d’une variante d’un VBS/Autorun.

Voici un exemple donc de détection VBS/Woobeezy dans un fichier Microsoft Word.WsF

Antivir_Trojan_Woordeezy

Dans le cas observé, ce Trojan Woordezy se charge au lancement de Windows à partir d’une clef RUN et se cache dans un fichier .WsF

HKU\S-1-5-21-4122244407-1677882124-2242651390-1001\...\Run: [Microsoft Word] =>
wscript.exe //B C:\Users\Xavier\AppData\Roaming\Microsoft Office\\Microsoft Word.WsF 
HKLM\...\Run: [Microsoft Word] => wscript.exe //B
C:\Users\Xavier\AppData\Roaming\Microsoft Office\\Microsoft Word.WsF

Une fois l’ordinateur infecté, ce trojan VBS va se copier dans le médias amovibles et remplacer les documents par des raccourcis qui vont pointer sur le fichier malicieux.
Lorsque vous allez utiliser la clef USB sur un nouvel ordinateur, en double-cliquant sur ces raccourcis malicieux, croyant ouvrir vos documents, vous installez Woordezy sur l’ordinateur.
Le malware Woordezy se propage ainsi d’ordinateurs à ordinateurs.
On peut donc assimiler aussi cette infection à un virus raccourcis USB.

Pour nettoyer votre ordinateur, vous pouvez suivre la procédure gratuite suivante.
Vous devez dans un premier temps désinfecter l’ordinateur puis nettoyez vos médias amovibles à l’aide des outils gratuits proposés dans cette fiche.

Continue reading “Woordeezy” »

Trojan.VBS.Agent

Trojan.VBS.Agent est le nom générique pour désigner des malwares de type VBS (Microsoft Visual Basic Scripting Edition).
Le suffixe Agent indique que la détection est générique, vous ne pouvez donc pas savoir exactement à quelle famille de malwares vous avez affaire, néanmoins, deux types de malware VBS se dégage en général :

  • Un Trojan Downloader, le VBS va télécharger un autre malware, il sert ici de tremplin pour installer une infection spécifique dans le système. Souvent ces derniers se propage par des campagnes d’emails malicieux.
  • Une infection par médias amovibles (clef USB, disque dur externe etc), celle-ci remplace les données des médias amovibles pour installer l’infection dans le système.

Si votre antivirus détecte donc un Trojan.VBS.Agent, soit vous avez utilisé un média amovibles infecté, soit télécharger un fichier malicieux (par email, depuis un site etc).

Voici un exemple de détection Trojan.VBS.Agent, ici l’infection est une infection par médias amovibles.

SHA256: 8a0dd4b7e0649cb82952bd4eb13c736cadc60c2b7c701771e4396ce459192bec
Nom du fichier : winlogon.vbs
Ratio de détection : 15 / 54
Date d’analyse : 2015-11-28 12:02:27 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
ALYac Trojan.VBS.Agent.OA 20151128
AVG Dropper.Generic_c.ANHY 20151128
Ad-Aware Trojan.VBS.Agent.OA 20151128
Arcabit Trojan.VBS.Agent.OA 20151128
BitDefender Trojan.VBS.Agent.OA 20151128
DrWeb Trojan.Hworm.1 20151128
ESET-NOD32 VBS/Agent.NHT 20151128
Emsisoft Trojan.VBS.Agent.OA (B) 20151128
F-Secure Trojan.VBS.Agent.OA 20151128
GData Trojan.VBS.Agent.OA 20151128
Kaspersky HEUR:Worm.Script.Generic 20151128
MicroWorld-eScan Trojan.VBS.Agent.OA 20151128
NANO-Antivirus Riskware.Script.Rhtool.gtyi 20151128
Qihoo-360 virus.vbs.patthoudini.h7 20151128
nProtect Trojan.VBS.Agent.OA 20151127

Si vous souhaitez désinfecter votre ordinateur contre les Trojan.VBS.Agent, nous vous proposons de suivre la procédure de désinfection suivante.
Cette procédure est complètement gratuite et ne met pas en avant de programmes payants.
Celle-ci et très généraliste, afin de supprimer tous les malwares installés dans l’ordinateur et s’assurer que plus aucun malware n’est actif.
En outre, nous vous fournissons un lien vers un forum d’entraide, si vous désirez obtenir une aide personnalisée.

Comment supprimer Trojan.VBS.Agent ?

Continue reading “Trojan.VBS.Agent” »

VBS.Dinihou

VBS.Dinihou est une infection qui se propage par des médias amovibles (clefs USB, disque dur externe etc).
Le préfixe VBS indique que vous avez affaire à un script VBS (Visual Basic Script), plus d’informations sur ce type de menaces sur la page : Malware Script VBS / WSH

Concrètement VBS.Dinihou va infecter vos médias amovibles, modifier le contenu et remplacer les données par des clefs USB.
Les données seront masquées (transformé en fichiers cachés).
Lorsque vous allez utiliser votre clef USB, disque dur externe sur un nouvel ordinateur, en croyant ouvrir vos documents, vous allez lancez un raccourci qui pointe sur VBS.Dinihou.
Celui-ci va s’installer sur l’ordinateur, tout nouveau media amovible utilisé dessus sera infecté à son tour.
Cela permet de sauter d’un ordinateur à l’autre afin de se propager.

Pour supprimer VBS.Dinihou vous devez donc :

  • Désinfecter l’ordinateur
  • Nettoyer tous vos médias amovibles

Ne vous inquiétez pas, il existe des logiciels complètement gratuits qui permettent cela.
Ces logiciels gratuit permettent de désinfecter ces infections amovibles et récupérer vos documents.

Le guide suivant vous explique justement comment utiliser ces programmes et retrouver vos données.
Ce guide devrait donc vous permettre de supprimer VBS.Dinihou de votre ordinateur.

Continue reading “VBS.Dinihou” »

VBS:Agent-AXN [Trj]

VBS:Agent-AXN [Trj] est une infection qui se propage par média amovibles (clefs USB, disque dur externe etc). Cette détection est donnée par l’antivirus Avast!

Lorsque vous ouvrez un des médias amovibles infectés sur votre ordinateur et double-cliquez sur les raccourcis crés par celle-ci, vous risquez d’installer l’infection sur votre ordinateur (si votre antivirus ne détecte rien).

protect-against-USB-virus

Ces infections remplacent les données contenus sur les médias amovibles par des raccourcis qui pointent sur l’infection, le but étant que l’utilisateur croit avoir ces données, tentent de les ouvrir et lancent l’infection sur l’ordinateur.

Une fois l’ordinateur infecté, tous les médias amovibles qui seront utilisés sur de nouveaux ordinateurs font infecter ces derniers à leurs tours pour propager l’infection à d’autres ordinateurs.

Notez que votre antivirus peut bloquer la tentative d’installation de l’infection et émettre une alerte VBS:Agent-AXN [Trj], votre ordinateur ne sera pas infecté mais il faudra récupérer les données qui se trouvent sur votre média amovible.

La procédure gratuite suivante vous explique comment désinfecter votre ordinateur et récupérer vos données sur vos médias amovibles.

Continue reading “VBS:Agent-AXN [Trj]” »

$RECYCLEBIN\Adobe.rar – $RECYCLEBIN\Vlc.rar

L’infection $RECYCLEBIN\Adobe.rar – $RECYCLEBIN\Vlc.rar est une infection qui se propage par media amovibles.
Contrairement à ce que peut faire penser l’extension des fichiers, ce ne sont pas des archives .rar mais des scripts WSH
Pour plus d’informations sur ce type de malwares, vous pouvez vous reporter au dossier : Malware par VBS / WSH

Cette infection se caractérise par deux raccourcis ajoutés dans le dossier démarrage qui vont lancer les deux scripts : adobe.rar et vlc.rar

ShortcutWithArgument: C:\Users\MONSOUR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\C-cleaner.lnk -> C:\Windows\System32\wscript.exe (Microsoft Corporation) -> /e:VBScript.Encode D:\$RECYCLEBIN\Adobe.rar 

ShortcutWithArgument: C:\Users\MONSOUR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VideoLAN.lnk -> C:\Windows\System32\wscript.exe (Microsoft Corporation) -> /e:VBScript.Encode D:\$RECYCLEBIN\Vlc.rar

Si les scripts malicieux sont supprimés, par exemple par un antivirus, sans que les raccourcis soient supprimés, vous pouvez obtenir un message au démarrage de l’ordinateur, du stype :

Echec du chargement du script « D:\$RECYCLEBIN\VIc.rar (le périphérique n’est pas prêt)

Si l’infection est active, tous les médias amovibles insérés seront infectés.
En général, le contenu du media amovible est masqué et le contenu est recopié sous forme de raccourci qui pointe vers le script malicieux, afin que lorsque vous utilisez vos médias amovibles, en double-cliquant vous lancez et installez l’infection sur l’ordinateur.
Ainsi l’infection passe d’un ordinateur à l’autre et se propage.

Il convient donc de désinfecter son ordinateur et de nettoyer l’ensemble de ses médias amovibles afin de ne pas réinfecter son ordinateur.

La procédure gratuite suivante vous explique comment parvenir à supprimer cette infection et comment sécuriser son ordinateur.

Continue reading “$RECYCLEBIN\Adobe.rar – $RECYCLEBIN\Vlc.rar” »

VBS/AutoRun et Worm.VBS/Agent

Les VBS/AutoRun et VBS/Agent sont des détections qui désignent les infections par media amovibles codé en langage VBS.
La détection est générique puisque les mots Agent et Autorun sont présents et aucun nom de famille de malwares n’est présent.
Pour plus d’informations sur ce type de malwares, vous pouvez vous reporter au dossier : Malware par VBS / WSH

Avast_VBS_Autorun

Voici un exemple de ce type d’infection, en général, ils fonctionnent tous de la même famille.
Des raccourcis sont créés dans le dossier Démarrage (Menu Démarrer / Tous les Programmes / Démarrage) qui pointent vers l’un de ces scripts.
Comme par exemple-ci dessous :

Startup: C:\Users\USER03\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk

Les scripts sont ensuite copier à différents endroits.
Sur le disque dur dans le dossier C:\Security et sur les autres disques et où médias amovibles avec des noms qui tentent de se faire passer pour des images : img.jpg, photo0.jpg etc.
Les éléments des médias amovibles sont en général recopiés sous-formes de raccourcis qui pointent vers ces scripts malicieux et le vrais contenus est masqué.
Le but est qu’au final, lorsque vous utilisez vos médias amovibles, vous croyez ouvrir vos documents, mais c’est en fait, l’infection que vous lancez sur l’ordinateur.

C:\security\system.vbs VBS/AutoRun.HX worm
C:\Users\USER03\Desktop\Cl? 17062013\dossiers scan?s restants.lnk VBS/AutoRun.HX worm
C:\Users\USER03\Desktop\USB Temp\Perso\recordfile.lnk VBS/AutoRun.HX worm
D:\$RECYCLE.BIN.lnk VBS/AutoRun.HX worm
D:\img.jpg VBS/Agent.NHG worm
D:\NTDETE VBS/Agent.NHW trojan
D:\Photo0.jpg VBS/Agent.NHW trojan

Ainsi à chaque utilisation du média sur un nouvel ordinateur, celui-ci sera infecté et infectera tous les médias qui y seront utilisés.
L’infection se propage d’ordinateur en ordinateur de cette manière.

Pour désinfecter l’ordinateur, vous devez donc désinfecter l’ordinateur et l’ensembles de vos médias amovibles.
La procédure, complètement gratuite qui suit, vous explique comment y parvenir.
Cette procédure n’est pas très complexe et vous devriez être en mesure de désinfecter votre ordinateur.

Continue reading “VBS/AutoRun et Worm.VBS/Agent” »

Worm Autoit : googleupdate.a3x

Les Worm Autoit googleupdate.a3x sont des vers par disques amovibles, une fois l’ordinateur infecté ce dernier va infecter tous les médias amovibles (disque dur externe, clef USB, cartes SD etc).

Comprendre les infections par disques amovibles : http://forum.malekal.com/infection-sur-disques-amovibles-t3350.html

Ce dernier peut afficher des erreurs : AutoIt Error Line 0 ( File »\Google\googleupdate.a3x »).

Line0_File_Googlegoogleupdate.a3x_error_It

 

Les fichiers créés par cette infection :

C:\Google\Autoit3.exe
C:\Google\Google.lnk
C:\Google\Windowsupdate.lnk
C:\Google\GoogleUpdate.lnk
C:\Google\GoogleUpdate.a3x
%User Startup%\GoogleUpdate.lnk
%User Startup%\GoogleUpdate.a3x
%User Startup%\WindowsUpdate.lnk
{removable drive letter}:\Hot.lnk
{removable "}:\Movies.lnk
{removable "}:\My Games.lnk
{removable "}:\My Pictuers.lnk
{removable "}:\My Videos.lnk

La procédure gratuite suivante et efficaces, vous explique comment supprimer Les Worm Autoit googleupdate.a3x et désinfecter tous vos médias amovibles.

Continue reading “Worm Autoit : googleupdate.a3x” »

Smss-DoOoMp / MerciJacquieMichel : infections USB

Smss-DoOoMp / MerciJacquieMichel est une infection qui se propage par média amovibles (clefs USB, disque dur externe etc).
Lorsque vous ouvrez un des médias amovibles infectés et double-cliquez sur les raccourcis, vous risquez d’installer l’infection sur votre ordinateur (si votre antivirus ne détecte rien).

protect-against-USB-virus

L’infection ajoute des raccourcis au démarrage de l’ordinateur, des logiciels de diagnostique (HijackThis, FRST etc) peuvent montrer les lignes suivantes.

Notamment les raccourcis smss-DoOoMs et MerciJacquieMichel sont représentatifs de cette infection.

04 - HKU\S-1-5-21-1102198312-330132600-1515774628-1000\..\Run : [MerciJacquieMichel] wscript.exe //B "C:\Users\Segolene\AppData\Local\Temp\MerciJacquieMichel.vbe"
04 - HKU\S-1-5-21-1102198312-330132600-1515774628-1000\..\Run : [dce339549d3e22c27f2aedb205089635] "C:\Users\Segolene\AppData\Local\Temp\plugmov.exe" ..
04 - HKU\S-1-5-21-1102198312-330132600-1515774628-1000\..\Run : [Facebook Update] "C:\Users\Segolene\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver
04 - HKU\S-1-5-21-1102198312-330132600-1515774628-1000\..\Run : [smss-DoOoMs] "C:\Users\Segolene\AppData\Local\Temp\Media Player\smss-DoOoMp.lnk"
04 - HKU\S-1-5-21-1102198312-330132600-1515774628-1000\..\Run : [smss-DoOoM] "C:\Users\Segolene\AppData\Local\Temp\Media Player\smss-DoOoM.lnk"
04GS - smss-DoOoM.lnk : C:\Users\Segolene\AppData\Local\Temp\System\smss-DoOoMs.vbs
04GS - smss-DoOoMs.lnk : C:\Users\Segolene\AppData\Local\Temp\smss-DoOoM-privacy\smss-DoOoM.vbe

L’infection utilise donc des scripts VBS, on trouve donc les fichiers smss-DoOoMs.vbs et smss-DoOoM.vbe

Tous les médias amovibles qui seront utilisés sur l’ordinateur seront infectés à leurs tours pour propager l’infection à d’autres ordinateurs.

La procédure gratuite suivante vous explique comment désinfecter votre ordinateur.

Continue reading “Smss-DoOoMp / MerciJacquieMichel : infections USB” »