Étiquette : backdoor

Backdoor.Floxif est une détection lié au programme CCleaner.
Courant Aout et Septembre, les serveurs de l’application populaire CCleaner ont été attaqués afin de glisser un malware dans l’application.

Ci-dessous un exemple de détection Backdoor:Win32/Floxif par Windows Defender.

La Backdoor est donc une porte d’entrée sur l’ordinateur qui permet de récupérer des informations et contrôlés ce dernier.
Plus de 2 millions d’utilisateurs auraient été infectés par cette attaque d’envergure.

L’attaque a permis ensuite de cibler des utilisateurs d’entreprises pour étendre et cibler de grosses multi-nationales.

Pour plus d’informations sur cette attaque CCleaner, suivez l’actualité : CCleaner : Un Code malveillant découvert (Trojan.floxif)

Si votre antivirus émet une alerte Trojan.Floxif, paniquez pas.
Si en cherchant des solutions pour supprimer Trojan.Floxif, vous êtes tombé sur des fiches de désinfection proposant d’installer SpyHunter, Trojan Remover ou autres, nous vous recommandons vivement de désinstaller ces derniers.

Suivez simplement les instructions de la page suivante.

Continue reading “Backdoor Floxif” »

Win32/Spatet est un trojan de type RAT (Remote Access Tool) qui permet donc de prendre le contrôle de l’ordinateur infecté.
La détection Win32/Spatet.A est donnée par l’antivirus NOD32.
Rien de vraiment extraordinaire avec ce Trojan puisque ce dernier se charge au démarrage avec une clef RunOnce pointant, dans le cas observé, vers un fichier plugin.exe se trouvant dans le dossier temporaire de la session Windows.

HKU\S-1-5-21-861567501-1532298954-1177238915-1004\...\RunOnce: [Adobe Reader] =>
C:\Documents and Settings\Tarlet\Local Settings\temp\plugin.exe

Ces malwares de type RAT sont distribués très souvent sous forme de :

• Crack / Keygen
• Programmes de Cheat pour les jeux
• Vidéo « douteuse » sur les réseaux sociaux.

Les fonctionnalités de Spatet sont assez classiques pour un RAT, on retrouve :

• Possède des fonctionnalités de keylogger
• peut effectuer des captures d’écran du bureau,
• Ouvrir le lecteur CD-Rom ou encore une fenêtre de chat pour « discuter » avec la victime.
• Faire télécharger et installer de nouveaux malwares.

Ce guide gratuit vous explique comment désinfecter votre ordinateur, supprimer les trojans Spatet.
Pensez une fois la désinfection terminée à changer tous vos mot de passe.

Continue reading “Win32/Spatet” »

Backdoor.Agent est une détection qui correspond à la présence d’une backdoor sur l’ordinateur qui permet le contrôle de l’ordinateur.
Le suffixe Agent indique qu’il s’agit d’une détection générale et non pas à une famille de malwares particulière.

Typiquement Backdoor.Agent se déclenche au démarrage de Windows et se connecte à un serveur permettant au pirate de contrôler l’ordinateur, il est donc fort possible que votre antivirus détecte aussi des adresses malicieuses.
Par exemple Avast! peut émettre des détections URL:Mal sans pour autant détecter la source de ces connexions malicieuses soit donc le Backdoor.Agent.

Voici un exemple de détection Backdoor.Agent par Malwarebytes Anti-Malware :

La procédure suivante vous explique comment supprimer Backdoor.Agent, cette procédure de désinfection se base sur des logiciels gratuits et ne met pas en avant de programme de désinfection payant.
En outre, un lien vers un forum d’entraide informatique vous ait donné dans le cas où vous rencontrez des difficultés ou si la procédure ne résout pas les problèmes de Backdoor rencontré.

Le point important est de bien changer ses mots de passe après avoir désinfecter l’ordinateur, ces derniers ayants été probablement récupérer par les pirates. Continue reading “Backdoor.Agent” »

Win32/Glupteba est un trojan qui permet l’accès et le contrôle de l’ordinateur infecté.
CE dernier est relativement courant et se propage essentiel par des exploits WEB dit « Windigo ».
Eset a pas mal suivi ces campagnes, pour plus d’informations se reporter à la page suivante : Operation Windigo : Linux/Ebury et Linux/Cdorked

Si votre ordinateur a été infecté par Glupteba, vous pouvez en déduire que ce dernier est vulnérable aux exploits WEB et que des logiciels installés ne sont pas à jour, notamment Java, produits Adobe (Reader ou Flash) ou Microsoft SilverLight.

ou par le passé se faisant passer pour Nvidia :

Win32/Glupteba se faisait passer au départ pour Nvidia :

O23 – Service: NVIDIA Update Server (NvUpdSrv) – Unknown owner – C:/Documents and Settings/Mak/Local Settings/Application Data/NVIDIA Corporation/Update\nvupd32.exe

Dans les derniers sample, c’est un simple fichier gupdate.exe :

HKLM\...\Run: [gupdate] => C:\Program Files\Company\gupdate\gupdate.exe [144384 2015-12-10] ()

La détection du sample observé :

On retrouve des références NVidia dans les strings de Win32/Glupteba

Comment supprimer Win32/Glupteba ?

La procédure entièrement gratuite suivante vous explique comment supprimer Win32/Glupteba.
Pensez à changer vos mots de passe comme indiqué à la fin de la procédure et sécuriser votre ordinateur notamment contre les Web Exploit.
Continue reading “Win32/Glupteba” »

MSIL/Immirat.A est une détection de l’antivirus NOD32 et qui vise un malware de type RAT. (Remote Access Tools), il s’agit donc ici d’un trojan qui permet le contrôle de l’ordinateur à distance.
Ce dernier possède aussi des fonctionnalités de Keylogger.

Ce dernier se chargé par un raccourci dans le dossier Démarrage qui pointe vers un fichier .exe

C:\Users\Antoine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updates.lnk => déplacé(es) avec succès
C:\ProgramData\Microsoft Corporation\Microsoft Corporation\1.1.1.1\[UNPACKER] rld-caofdubl3.iso.exe => déplacé(es) avec succès
C:\Users\Antoine\AppData\Roaming\Imminent => déplacé(es) avec succès

Côté détection, on obtient ceci :

Ce genre d’infection provient généralement à la suite d’un crack ou keygen, promu sur des forums, vidéo Youtube/Dailymotion.

Il convient de désinfecter l’ordinateur et surtout changer vos mots de passe, une fois l’infection éradiquée, en effet, le malware a probablement permis de récupérer vos mots de passe WEB.

Continue reading “MSIL/Immirat” »

Win32:MalOb est une détection générique de l’antivirus Avast!.
MalOb étant la contraction de malware obfuscator et vise les fichiers qui contiennent des éléments visants à cacher un contenu malicieux.

Cette détection Win32:MalOb étant générique, il n’est pas possible de savoir à quel type de menaces vous avez affaire Trojan, Backdoor ou simplement adware (logiciels publicitaires) et encore moins à quelle famille.
Bien qu’il est plus que fort probable que ce soit plutôt une menace de type Trojan ou Backdoor.

Si des alertes régulières Win32:MalOb provenant d’Avast! s’affichent, vous pouvez être certains qu’un malware est actif sur votre ordinateur.

Une désinfection générique est alors nécessaire afin de supprimer cette menace.

La procédure suivante devrait vous permettre justement de désinfection votre ordinateur.
Cette procédure est complètement gratuite puisqu’elle ne se base que sur des logiciels de désinfection gratuits et efficaces.
En outre, un lien vers un forum d’aide vous ait donné afin en cas de problème obtenir une aide personnalisée.
Continue reading “Win32:MalOb” »

Win32:Dropper-Gen est une détection de l’antivirus Avast! qui désigne un Trojan de type Dropper, c’est à dire un dropper qui va installer une infection dans le système.
Etant donné que la détection est générique, il est impossible de dire à quelle famille de Trojan appartient le malware.

Le malware au bout du compte peut être tout type de menaces malvaillantes. On trouve en général :

• Trojan.Spambot : qui va utiliser votre ordinateur pour envoyer des emails de spam
• Trojan.Hijacker : qui peut éventuellement modifier la configuration système pour réduire la sécurité et permettre l’infection.
• Trojan.Stealer ou Trojan.Banker : qui va tenter de voler des mots de passe et autres identifiant. Dans le cas de Trojan.Banker, ce dernier est spécialisé dans le vol de compte bancaire.

Vous l’aurez compris, ces détections sont très généralistes, il est difficile de savoir à quelle menace vous avez à faire.
Dès lors, il est conseillé de suivre une procédure standard de désinfection qui devrait permettre de nettoyer l’ordinateur dans son intégralité et supprimer les détections Win32:Dropper-Gen.

Sachez aussi que beaucoup de sites de désinfection et proposent des procédures de désinfections qui ne sont en fait que des prétextes pour vous faire installer des antispywares payants.
Le but final est bien sûr de vous faire acheter ces antispywares payants.

La procédure suivante est complètement gratuite et se base sur des logiciels efficaces et non payants.
Cette procédure générale va supprimer toutes les menaces Trojan Hijacker de votre ordinateur et devrait permettre de retrouver la vitesse initiale de l’ordinateur.

Continue reading “Win32:Dropper-Gen” »

Trojan.Win32.Inject est une détection générique qui désigne des malwares capables d’injecter d’autres processus, souvent le but est de prendre le contrôle de ce dernier afin d’effectuer certains opérations.
Dans la majorité des cas, le malware va tenter d’injecter un processus système comme explorer.exe, svchost.exe ou winlogon.exe afin d’effectuer une connexion vers le serveur de contrôle.

Si le pare-feu n’est pas capable de voir l’injection et selon la configuration du pare-feu, la connexion peut-être accepté.
C’est donc une manière de contourner un blocage du pare-feu.

L’injection peut aussi service à placer des crochets afin de rediriger des fonctionnalités du processus, comme par exemple, les appels clavier. Dans ce cas, l’injection peut servir de keylogger.

Par exemple ci-dessous, on voit le processus légitime Windows svchost.exe qui effectue des connexions SMTP, le PC infecté est donc transformé en Spambot :

La vidéo suivante vous montre le Trojan Bedep en action à travers l’injection de processus Windows :

Voici un exemple de détection Trojan.Win32.Inject :

Trojan/Win32.Proxy est le nom donné à des malwares qui agit sur l’ordinateur en tant que proxy.
Un proxy est un programme informatique, utilisé en général, dans les entreprises comme intermédiaire pour partager une connexion (sans rentrer dans les détails).
Le proxy permettant de manipuler les pages WEB, certains adwares forcent un proxy sur l’ordinateur afin de pouvoir injecter des publicités sur les pages WEB visitées.

Ici, dans le cas deTrojan/Win32.Proxy, le malware agit en tant que serveur proxy sur la machine infectée, cecu afin de revendre son utilisation à d’autres cybercriminels pour se dissimuler.
Ces derniers pourront utiliser le proxy pour se cacher, par exemple, pour envoyer des emails, se connecter à certains serveurs afin de ne pas pouvoir être retracé facilement.

Le Trojan/Win32.Proxy est donc un nom générique, le malware peut-être plus ou moins évolué.

voici un exemple de détection Trojan/Win32.Proxy :

Continue reading “Trojan/Win32.Proxy” »