Nanobot

Nanobot
5 (100%) 2 votes

NanoBot (Backdoor:MSIL/Noancooe chez Microsoft – voir aussi la page MSIL:NANOCORE) est une backdoor/trojan de type RAT (Remote Access Tool), c’est à dire que NanoBot permet de contrôler l’ordinateur de la victime et de faire à peu près tout ce que le pirate souhaite.
NanoBot loggue aussi les fenêtres ouvertes, possède des fonctionnalités de keylogger, peut faire des captures d’écran du bureau, ouvrir le lecteur CD-Rom ou encore une fenêtre de chat pour « discuter » avec la victime.

Les RAT (Remote Access Tool) sont des malwares utilisés par des pirates peu expérimentés et en général incapables de programmer leur propre malwares. Ces derniers achètent des kits tout fait et tentent d’infecter des internautes.
En général ces malwares sont propagés par :

  • de faux crack/keygen via des forums ou vidéo.
  • des vidéos faisant la promotion d’utilitaire (cheat, crack et autres).
  • des liens trompeurs sur les forums, comme de fausses mises à jour de Flash ou des trainers sur des forums de jeux en lignes.

Dans le cas de NanoBot ce dernier s’installe de manière classiques avec des clefs RUN et tâches planifiées :

Task: {CCB563C6-FE80-4C22-941C-94D97069A76A} - System32\Tasks\Update\Driverm => C:\Users\robin\AppData\Local\Temp\Driverm.exe [2016-01-23] () <==== ATTENTION
HKU\S-1-5-21-3709466023-1338611908-758753688-1000\...\Run: [SMTP Service] => C:\Users\robin\AppData\Roaming\3E32180C-17C6-4CD5-B364-94ECFB4A1ECB\SMTP Service\smtpsv.exe [712704 2016-01-23] ()
HKU\S-1-5-21-3709466023-1338611908-758753688-1000\...\Policies\Explorer\Run: [Adobe Flash Player] => C:\Users\robin\AppData\Roaming\plugin-container.exe
2016-01-23 10:45 - 2015-08-30 12:53 - 00000000 ____D C:\Users\robin\AppData\Roaming\3E32180C-17C6-4CD5-B364-94ECFB4A1ECB
C:\Users\robin\AppData\Local\Temp\Driverm.exe

Ci-dessous une capture d’écran avec des fichiers .dat contenant certaines informations qui peuvent être récupérés par le pirate comme les fenêtres ouvertes etc.

Trojan_NanoBot

Voici la détection antivirus de ce sample, ce dernier est relativement bien détecté.
La majorité des détections sont du type Backdoor.NanoBot ou Trojan.NanoBot, Microsoft lui détecte ce dernier en Backdoor:MSIL/Noancooe

SHA256: a7dc64e5541a772d5c2e7f14c97218c4d30d56ac57214814a37950411a6a1fd2
Nom du fichier : smtpsv.exe
Ratio de détection : 39 / 54
Date d’analyse : 2016-01-23 11:11:52 UTC (il y a 22 heures, 49 minutes)
Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.2689211 20160123
AVG Atros2.NDT 20160123
Ad-Aware Trojan.GenericKD.2689211 20160123
AegisLab Backdoor.MSIL.NanoBot.ezs!c 20160122
Agnitum Backdoor.NanoBot! 20160123
AhnLab-V3 Malware/Win32.Generic 20160122
Antiy-AVL Trojan[Backdoor]/MSIL.NanoBot 20160123
Arcabit Trojan.Generic.D2908BB 20160123
Avast Win32:Malware-gen 20160123
Avira TR/Dropper.MSIL.192708 20160123
Baidu-International Backdoor.MSIL.NanoBot.ezs 20160123
BitDefender Trojan.GenericKD.2689211 20160123
Cyren W32/Backdoor.SMSI-3277 20160123
DrWeb Trojan.PWS.Steam.5714 20160123
ESET-NOD32 a variant of MSIL/Kryptik.DLV 20160123
Emsisoft Trojan.GenericKD.2689211 (B) 20160123
F-Secure Trojan.GenericKD.2689211 20160123
Fortinet MSIL/Kryptik.DLV!tr 20160123
GData Trojan.GenericKD.2689211 20160123
Ikarus Trojan.MSIL.Crypt 20160123
Jiangmin Backdoor/MSIL.ghr 20160123
K7AntiVirus Trojan ( 004ce3311 ) 20160123
K7GW Trojan ( 004ce3311 ) 20160123
Kaspersky Backdoor.MSIL.NanoBot.ezs 20160123
McAfee RDN/Generic BackDoor 20160123
McAfee-GW-Edition BehavesLike.Win32.Backdoor.jc 20160123
MicroWorld-eScan Trojan.GenericKD.2689211 20160123
Microsoft Backdoor:MSIL/Noancooe.C 20160123
NANO-Antivirus Trojan.Win32.NanoBot.dvwdsr 20160123
Panda Trj/CI.A 20160123
Qihoo-360 HEUR/QVM03.0.Malware.Gen 20160123
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160122
Sophos Mal/Generic-S 20160123
Symantec Suspicious.Cloud.2 20160122
Tencent Msil.Backdoor.Nanobot.Eckv 20160123
TrendMicro TROJ_GEN.R00JC0DI115 20160123
VIPRE Trojan.Win32.Generic!BT 20160123
ViRobot Trojan.Win32.Z.Nanobot.712704[h] 20160123
nProtect Trojan.GenericKD.2689211 20160122

Par exemple, ci-dessous une popup de SuperAntispyware (que nous vous conseillons de ne pas utiliser) qui détecte un Trojan/Agent/Gen.NanoCore

Trojan_NanoCore

La détection Backdoor:MSIL/Noancooe chez Microsoft

Backdoor_MSIL_Naancooe

La procédure suivante entièrement gratuite devrait permettre de désinfecter votre ordinateur et vous débarrasser de NanoBot.
Après avoir désinfecté votre ordinateur, il est très fortement conseillé de changer tous vos mots de passe, en effet, le pirate a probablement peut récupérer ces derniers.
Vos comptes en ligne sont donc en danger.

 

Comment supprimer Nanobot?

Supprimer NanoBot avec  Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : Tutoriel Malwarebytes Anti-Malware
  • Mettre Malwarebyte’s anti-Malware à jour
  • Lancer un scan rapide, supprime tous les éléments détectés.

Malwarebytes Anti-Malware en vidéo :

Supprimer NanoBot avec Scan en ligne NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés. Suivez ce tutorial pour vous y aider : http://www.malekal.com/2010/11/12/scanner-votre-ordinateur-avec-un-antivirus-en-ligne-2/#NOD32 NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Après la désinfection

Pensez à changer tous vos mots de passe WEB qui peuvent avoir été récupérés. Pour sécuriser votre ordinateur, suivez le guide suivante : Sécuriser son ordinateur.

Besoin d’aide ?

Prenez le temps de lire la partie « Se Protéger » pour éviter de réinstaller des adwares ou programmes parasites. Pour toute aide personnalisée, vous pouvez créer un sujet dans la partie Virus du forum malekal.com : http://forum.malekal.com/