NanoBot (Backdoor:MSIL/Noancooe chez Microsoft – voir aussi la page MSIL:NANOCORE) est une backdoor/trojan de type RAT (Remote Access Tool), c’est à dire que NanoBot permet de contrôler l’ordinateur de la victime et de faire à peu près tout ce que le pirate souhaite.
NanoBot loggue aussi les fenêtres ouvertes, possède des fonctionnalités de keylogger, peut faire des captures d’écran du bureau, ouvrir le lecteur CD-Rom ou encore une fenêtre de chat pour « discuter » avec la victime.
Les RAT (Remote Access Tool) sont des malwares utilisés par des pirates peu expérimentés et en général incapables de programmer leur propre malwares. Ces derniers achètent des kits tout fait et tentent d’infecter des internautes.
En général ces malwares sont propagés par :
- de faux crack/keygen via des forums ou vidéo.
- des vidéos faisant la promotion d’utilitaire (cheat, crack et autres).
- des liens trompeurs sur les forums, comme de fausses mises à jour de Flash ou des trainers sur des forums de jeux en lignes.
Dans le cas de NanoBot ce dernier s’installe de manière classiques avec des clefs RUN et tâches planifiées :
Task: {CCB563C6-FE80-4C22-941C-94D97069A76A} - System32\Tasks\Update\Driverm => C:\Users\robin\AppData\Local\Temp\Driverm.exe [2016-01-23] () <==== ATTENTION
HKU\S-1-5-21-3709466023-1338611908-758753688-1000\...\Run: [SMTP Service] => C:\Users\robin\AppData\Roaming\3E32180C-17C6-4CD5-B364-94ECFB4A1ECB\SMTP Service\smtpsv.exe [712704 2016-01-23] ()
HKU\S-1-5-21-3709466023-1338611908-758753688-1000\...\Policies\Explorer\Run: [Adobe Flash Player] => C:\Users\robin\AppData\Roaming\plugin-container.exe
2016-01-23 10:45 - 2015-08-30 12:53 - 00000000 ____D C:\Users\robin\AppData\Roaming\3E32180C-17C6-4CD5-B364-94ECFB4A1ECB
C:\Users\robin\AppData\Local\Temp\Driverm.exe
Ci-dessous une capture d’écran avec des fichiers .dat contenant certaines informations qui peuvent être récupérés par le pirate comme les fenêtres ouvertes etc.

Voici la détection antivirus de ce sample, ce dernier est relativement bien détecté.
La majorité des détections sont du type Backdoor.NanoBot ou Trojan.NanoBot, Microsoft lui détecte ce dernier en Backdoor:MSIL/Noancooe
SHA256: |
a7dc64e5541a772d5c2e7f14c97218c4d30d56ac57214814a37950411a6a1fd2 |
Nom du fichier : |
smtpsv.exe |
Ratio de détection : |
39 / 54 |
Date d’analyse : |
2016-01-23 11:11:52 UTC (il y a 22 heures, 49 minutes) |
ALYac |
Trojan.GenericKD.2689211 |
20160123 |
AVG |
Atros2.NDT |
20160123 |
Ad-Aware |
Trojan.GenericKD.2689211 |
20160123 |
AegisLab |
Backdoor.MSIL.NanoBot.ezs!c |
20160122 |
Agnitum |
Backdoor.NanoBot! |
20160123 |
AhnLab-V3 |
Malware/Win32.Generic |
20160122 |
Antiy-AVL |
Trojan[Backdoor]/MSIL.NanoBot |
20160123 |
Arcabit |
Trojan.Generic.D2908BB |
20160123 |
Avast |
Win32:Malware-gen |
20160123 |
Avira |
TR/Dropper.MSIL.192708 |
20160123 |
Baidu-International |
Backdoor.MSIL.NanoBot.ezs |
20160123 |
BitDefender |
Trojan.GenericKD.2689211 |
20160123 |
Cyren |
W32/Backdoor.SMSI-3277 |
20160123 |
DrWeb |
Trojan.PWS.Steam.5714 |
20160123 |
ESET-NOD32 |
a variant of MSIL/Kryptik.DLV |
20160123 |
Emsisoft |
Trojan.GenericKD.2689211 (B) |
20160123 |
F-Secure |
Trojan.GenericKD.2689211 |
20160123 |
Fortinet |
MSIL/Kryptik.DLV!tr |
20160123 |
GData |
Trojan.GenericKD.2689211 |
20160123 |
Ikarus |
Trojan.MSIL.Crypt |
20160123 |
Jiangmin |
Backdoor/MSIL.ghr |
20160123 |
K7AntiVirus |
Trojan ( 004ce3311 ) |
20160123 |
K7GW |
Trojan ( 004ce3311 ) |
20160123 |
Kaspersky |
Backdoor.MSIL.NanoBot.ezs |
20160123 |
McAfee |
RDN/Generic BackDoor |
20160123 |
McAfee-GW-Edition |
BehavesLike.Win32.Backdoor.jc |
20160123 |
MicroWorld-eScan |
Trojan.GenericKD.2689211 |
20160123 |
Microsoft |
Backdoor:MSIL/Noancooe.C |
20160123 |
NANO-Antivirus |
Trojan.Win32.NanoBot.dvwdsr |
20160123 |
Panda |
Trj/CI.A |
20160123 |
Qihoo-360 |
HEUR/QVM03.0.Malware.Gen |
20160123 |
Rising |
PE:Malware.Generic/QRS!1.9E2D [F] |
20160122 |
Sophos |
Mal/Generic-S |
20160123 |
Symantec |
Suspicious.Cloud.2 |
20160122 |
Tencent |
Msil.Backdoor.Nanobot.Eckv |
20160123 |
TrendMicro |
TROJ_GEN.R00JC0DI115 |
20160123 |
VIPRE |
Trojan.Win32.Generic!BT |
20160123 |
ViRobot |
Trojan.Win32.Z.Nanobot.712704[h] |
20160123 |
nProtect |
Trojan.GenericKD.2689211 |
20160122 |
Par exemple, ci-dessous une popup de SuperAntispyware (que nous vous conseillons de ne pas utiliser) qui détecte un Trojan/Agent/Gen.NanoCore

La détection Backdoor:MSIL/Noancooe chez Microsoft

La procédure suivante entièrement gratuite devrait permettre de désinfecter votre ordinateur et vous débarrasser de NanoBot.
Après avoir désinfecté votre ordinateur, il est très fortement conseillé de changer tous vos mots de passe, en effet, le pirate a probablement peut récupérer ces derniers.
Vos comptes en ligne sont donc en danger.
Continue reading “Nanobot” »