Stealer | Supprimer les virus gratuitement et sans arnaque

Fareit

8 février 2016 malekalmorte

Fareit détecté en PWS:Win32/Fareit par Microsoft est une famille de trojan de stype Stealer, c’est à dire spécialisé dans le vol de compte et notamment FTP.
Fareit est aussi capable de mettre d’effecteur des attaques DDoS.
Des éditeurs d’antivirus peuvent nommer cette famille en Trojan.Pony

Fareit vise la plupart des clients FTP pour voler des identifiants et modifier le contenu des sites WEB, soit pour rediriger les internautes vers du contenu malicieux, des publicités ou des sites pharmaceutiques.

Voici une liste des clients FTP visés :

32bit FTP
3D-FTP
AceFTP
ALFTP
Becky!
BitKinex
BlazeFTP
Bromium (Yandex Chrome)
BulletProof FTP
ChromePlus
Chromium
ClassicFTP
CoffeeCup FTP
CoffeeCup Sitemapper (CoffeeCup FTP)
CoffeeCup Visual Site Designer
Comodo Dragon
CoolNovo
CoreFTP
CuteFTP
Cyberduck
DeluxeFTP
DirectFTP (FreeFTP)
Directory Opus
Dreamweaver
Easy FTP
Epic
ExpanDrive
FAR Manager
FastStone Browser
FastTrackFTP
FFFTP
FileZilla
Firefox
FireFTP
FlashFXP
Fling
Flock
FreeFTP
FreshFTP
Frigate3 FTP
FTP Commander
FTP Control
FTP Explorer
FTP Now
FTP Surfer
FTP Voyager
FTPGetter
FTPInfo
FTPRush
FTPShell
Global Downloader
GoFTP
Google Chrome
IncrediMail
Internet Explorer
K-Meleon
LeapFTP
LeechFTP
LinasFTP
Mozilla Suite Browser
MyFTP
NetDrive
NETFile
NexusFile
Nichrome
Notepad++ (NppFTP)
NovaFTP
Odin Secure FTP Expert
Opera
Outlook
Pocomail
Putty
Robo-FTP
RockMelt
SeaMonkey
SecureFX
sherrod FTP
SmartFTP
SoftX
SRWare Iron (Chromium)
Staff-FTP
The Bat!
Thunderbird
Total Commander
TurboFTP
UltraFXP
WebDrive
WebSitePublisher
Windows Live Mail
Windows Mail
WinFTP
WinSCP
WinZip
WiseFTP
WS_FTP
Xftp
Yandex.Internet

Ci-dessous une détection PWS:Win32/Fareit par Windows Defender :

La désinfection proposée sur cette fiche Fareit consiste donc à supprimer le malware de l’ordinateur puis changer tous ses mots de passe WEB (Facebook, mail, jeux en ligne, etc) puisqu’ils peuvent avoir été volés.

La procédure de désinfection de supprimer-virus.com se base sur des logiciels gratuits et reconnus, notez qu’il existe beaucoup de sites WEB qui proposent des procédures de désinfection qui n’ont pour seul but que de vous faire installer des antispywares payants afin par la suite de vous les faire acheter.

Ce n’est pas le cas avec la procédure suivante qui est complètement gratuite.

Continue reading “Fareit” »

Trojan

Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat

18 juillet 2015 malekalmorte

Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat sont des détections de l’antivirus Microsoft qui correspond à des Trojans de type RATs.
Les RATs (Remote Access Tools) sont des malwares qui permettent le contrôle de l’ordinateur et embarque souvent des fonctionnalités de keylogger.
De ce fait, ces malwares sont capables de voler des idenfiants.
Vous trouverez un dossier concernant ces malwares sur la page : RAT, Bifrose, Cybergate, Spynet, Darkcomet : Botnet pour les nuls

Les RATs sont donc des malwares qui se propagent généralement via des cracks et keygen ou cheaters proposés sur des sites de téléchargements ou fausses vidéos tutorials.
Ces derniers peuvent aussi être envoyés via Skype par des personnes mal intentionnées.

Ces infections sont relativements faciles à éviter si on fait un peu attention aux fichiers que l’on télécharge et ouvre.

Voici les éléments ajoutés dans le système sur le pack de RATs Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat observés :

HKLM-x32\...\Winlogon: [Userinit] userinit.exe,C:\Windows\system32\clientsvr.exe [X]
HKLM\...\Policies\Explorer\Run: [Policies] => C:\Windows\system32\install\Svchost.exe
HKU\S-1-5-19\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-19\...\Winlogon: [Shell] C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] () <==== ATTENTION
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Policies\Explorer\Run: [Policies] => C:\Windows\system32\install\Svchost.exe
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Policies\Explorer: [NofolderOptions] 0
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Winlogon: [Shell] C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] () <==== ATTENTION
HKU\S-1-5-18\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-18\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-18\...\Policies\Explorer: [NofolderOptions] 0

2015-07-14 14:37 - 2015-07-14 14:37 - 00000000 __SHD C:\ProgramData\181994
2015-07-14 14:26 - 2015-07-14 14:37 - 00259584 _____ C:\Windows\SysWOW64\clientsvr.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00259584 _____ C:\Users\Nathan\AppData\Roaming\jo59n.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00259584 _____ C:\Users\Nathan\AppData\Roaming\itoo7.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00000006 __RSH C:\ProgramData\03404ce119fd6c36b876bfbb131bd3bbdbd9874d
2015-07-14 14:26 - 2015-07-14 14:26 - 00000000 __SHD C:\ProgramData\182094
2015-06-27 18:35 - 2015-06-27 18:35 - 00000036 _____ C:\Users\Nathan\AppData\Roaming\SuYZkvrV.tmp
2015-06-25 14:04 - 2015-06-25 14:04 - 00085011 _____ C:\Users\Nathan\AppData\Roaming\urbc3.exe
2015-06-25 14:03 - 2015-06-25 14:03 - 00085021 _____ C:\Users\Nathan\AppData\Roaming\ujgrs.exe
2015-06-24 13:46 - 2015-06-24 13:46 - 00226251 _____ C:\Users\Nathan\AppData\Roaming\5scmo.exe
2015-06-24 13:46 - 2015-06-24 13:46 - 0226251 _____ () C:\Users\Nathan\AppData\Roaming\5scmo.exe
2015-05-05 08:49 - 2015-05-05 08:49 - 0894976 _____ () C:\Users\Nathan\AppData\Roaming\cdlg4.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0259584 _____ () C:\Users\Nathan\AppData\Roaming\itoo7.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0259584 _____ () C:\Users\Nathan\AppData\Roaming\jo59n.exe
2005-04-29 08:16 - 2015-02-19 00:25 - 0004346 ____H () C:\Users\Nathan\AppData\Roaming\Nathanlog.dat
2015-06-27 18:35 - 2015-06-27 18:35 - 0000036 _____ () C:\Users\Nathan\AppData\Roaming\SuYZkvrV.tmp
2015-05-08 12:55 - 2015-05-08 12:55 - 0896000 _____ () C:\Users\Nathan\AppData\Roaming\t68wi.exe
2015-06-25 14:03 - 2015-06-25 14:03 - 0085021 _____ () C:\Users\Nathan\AppData\Roaming\ujgrs.exe
2015-05-09 14:44 - 2015-05-09 14:44 - 0896000 _____ () C:\Users\Nathan\AppData\Roaming\ujl3g.exe
2015-06-25 14:04 - 2015-06-25 14:04 - 0085011 _____ () C:\Users\Nathan\AppData\Roaming\urbc3.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0000006 __RSH () C:\ProgramData\03404ce119fd6c36b876bfbb131bd3bbdbd9874d

En outre, ces infections ajoutent des clefs Debbuger ciblant les antivirus dans le but d’empécher ces derniers de démarrer convenablement :

IFEO\AvastSvc.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\AvastUI.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avcenter.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avconfig.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgcsrvx.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgidsagent.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgnt.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgrsx.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avguard.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgwdsvc.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avp.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avscan.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\bdagent.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\blindman.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\ccuac.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\ComboFix.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\egui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\GameScannerService.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\hijackthis.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\instup.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\keyscrambler.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbam-chameleon.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbampt.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbamscheduler.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MpCmdRun.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MSASCui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MsMpEng.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\msseces.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\NIS.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\NortonNISDownloader.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\Norton_Removal_Tool.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\rstrui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDFiles.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDMain.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDWinSec.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\spybotsd.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\wireshark.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\zlclient.exe: [Debugger] C:\ProgramData\181994\sysmon.exe

Nous avons soumis la détection de ces fichiers malicieux antivirus dont voici les résultats.

Trojan:Win32/Scrarev :

SHA256:	4c96572b2a874be17f327f26c1ed29d3d4b081321a43be63d3ef14f84ce7cb09
Nom du fichier :	cdlg4.exe
Ratio de détection :	26 / 55
Date d’analyse :	2015-07-18 07:42:56 UTC (il y a 1 heure, 15 minutes)

Antivirus	Résultat	Mise à jour
AVG	MultiDropper_c.AOTK	20150718
AVware	Trojan.Win32.Generic!BT	20150718
Avast	AutoIt:MalOb-HP [Trj]	20150718
Avira	DR/Autoit.A.7213	20150717
Baidu-International	Trojan.Win32.Injector.BLQ	20150717
CAT-QuickHeal	Trojan.Scrarev.r5	20150717
Comodo	UnclassifiedMalware	20150718
Cyren	W32/AutoIt.DB.gen!Eldorado	20150718
DrWeb	Trojan.DownLoader11.34675	20150718
ESET-NOD32	Win32/TrojanDropper.Autoit.JR	20150718
F-Prot	W32/AutoIt.DB.gen!Eldorado	20150718
Fortinet	W32/Autoit.BLW!tr	20150718
GData	Win32.Trojan.Agent.4R1AGM	20150718
Ikarus	Trojan.Win32.Injector	20150718
K7AntiVirus	Trojan ( 700000111 )	20150718
K7GW	Trojan ( 700000111 )	20150718
McAfee	RDN/Generic.dx!dsk	20150718
McAfee-GW-Edition	BehavesLike.Win32.Dropper.ch	20150717
Microsoft	Trojan:Win32/Scrarev.C	20150718
Rising	PE:Trojan.Win32.Generic.18A34749!413353801	20150713
Sophos	Mal/Generic-S	20150718
Symantec	WS.Reputation.1	20150718
Tencent	Autoit.Trojan.Autoit.Hvsq	20150718
TrendMicro	TROJ_GEN.R072C0DEL15	20150718
VIPRE	Trojan.Win32.Generic!BT	20150718
nProtect	Trojan-Downloader/W32.Genome.894976.C	20150717

TrojanSpy:MSIL/Omaneat :

SHA256:	210947540cb494814c05ae3043579e4984a122ef5f180acd3c4c9cfd52480c0e
Nom du fichier :	itoo7.exe
Ratio de détection :	29 / 55
Date d’analyse :	2015-07-18 07:43:13 UTC (il y a 1 heure, 15 minutes)

Antivirus	Résultat	Mise à jour
AVware	Trojan.Win32.Generic!BT	20150718
Ad-Aware	Trojan.GenericKD.2567225	20150718
Agnitum	Trojan.Agent!h0PKSgq7hGw	20150717
Antiy-AVL	Trojan[:HEUR]/Win32.AGeneric	20150718
Arcabit	Trojan.Generic.D272C39	20150718
Avast	MSIL:Injector-LY [Trj]	20150718
Avira	TR/Agent.259584.54	20150717
Baidu-International	Trojan.MSIL.Agent.ABP	20150717
BitDefender	Trojan.GenericKD.2567225	20150718
DrWeb	Trojan.DownLoader14.49477	20150718
ESET-NOD32	MSIL/Agent.ABP	20150718
F-Secure	Trojan.GenericKD.2567225	20150718
Fortinet	W32/Generic.ABP!tr	20150718
GData	Trojan.GenericKD.2567225	20150718
Ikarus	Trojan.MSIL.Agent	20150718
K7GW	Trojan ( 004c848a1 )	20150718
Kaspersky	HEUR:Trojan.Win32.Generic	20150718
McAfee	Artemis!70E943E97B97	20150718
McAfee-GW-Edition	Artemis!Trojan	20150717
MicroWorld-eScan	Trojan.GenericKD.2567225	20150718
Microsoft	TrojanSpy:MSIL/Omaneat!rfn	20150718
Panda	Trj/CI.A	20150718
Qihoo-360	HEUR/QVM03.0.Malware.Gen	20150718
Sophos	Mal/Generic-S	20150718
Symantec	Trojan.Gen	20150718
Tencent	Win32.Trojan.Generic.Ahyn	20150718
VIPRE	Trojan.Win32.Generic!BT	20150718
Zillya	Backdoor.PePatch.Win32.79714	20150718
nProtect	Trojan.GenericKD.2567225	20150717

La désinfection de ce pack peut poser problèmes si l’antivirus ne détecte pas les fichiers malicieux ou s’il est impossible de lancer l’antivirus étant donné que ce pack, comme expliqué auparavant peut empécher leur exécution.

Attention aussi aux certains sites de désinfection qui sont créés dans le but de vous faire installer des antispywares payants dans le simple but de vous les vendre.

La procédure de désinfection suivante est complètement gratuit et vous propose d’utiliser des programmes de désinfection efficace et gratuit.

Cette procédure devrait vous permettre de vous débarrasser des trojans Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat. Une fois la désinfection terminée, pensez à changer tous vos mots de passe, ces derniers ont été probablement récupérés par les pirates.

Continue reading “Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat” »

InfoStealer

1 juin 2015 malekalmorte

InfoStealer est le nom générique donné par Symantec, l’éditeur de l’antivirus Norton pour les malwares de type Stealer.
Stealer signifie vol et désigne donc en général les malwares qui ont la capacité de voler des identifiants/mot de passe ou éventuellement les malwares de type banker qui tentent de dérober des comptes d’accès aux banques.
Le but étant de revendre ces informations.

InfoStealer peut donc viser des malwares de type Zbot et autres dérivés comme Dyre.
D’ailleurs dans le cas de Dyre, Symantec a créé le nom InfoStealer.Dyre ou plus généralement InfoStealer.Banco.
Il existe aussi des malwares visants les comptes de jeux en ligne (souvent MMOPRG), dans ce cas, le nom sera Infostealer.Gampass.
Enfin pour les malwares de types RAT, vous pouvez avoir la dénomination MSIL:InfoStealer où MSIL indique que ce dernier est écrit en MicroSoft Intermediate Language.
Comme vous pouvez le constater, il existe beaucoup de déclinaison du nom générique selon le type de stealer rencontré, mais le but final est toujours le même voler des identifiants.

Du point de vue système, ces malwares ont tendance à se copier dans des sous-répertoires d’%APPDATA% – exemple :

C:\Documents and Settings\All Users\Application Data\googleupdaterr.exe
C:\Documents and Settings\All Users\Application Data\userdata.dat

La désinfection consiste donc à supprimer le malware de l’ordinateur puis changer tous ses mots de passe WEB (Facebook, mail, jeux en ligne, etc) puisqu’ils peuvent avoir été volés.

Ce n’est pas le cas avec la procédure suivante qui est complètement gratuite.

Continue reading “InfoStealer” »

Trojan.Dyre Trojan.Staser

12 avril 2015 malekalmorte

Trojan.Dyre (aka Trojan.Staser) est un Trojan de type Stealer qui vise notamment vos comptes bancaires, le but de ce malware est donc de voler vos identifiants de comptes bancaires.
Ce dernier est apparu en Juin 2014 – voir l’actualité : Dyreza : nouveau Trojan.Banker

Ce malware se propage essentiellement de deux manières :

par des emails malicieux
par des exploits sur des sites WEB.

Il existe beaucoup de campagnes d’emails qui installent ce malware poussé par du Upatre.

Malwarebyte Anti-Malware détecte ce dernier en Spyware.Dyre :

D’un point de vue technique le malware se charge par un service et un fichier avec un nom aléatoire dans un sous-dossier du dossier Windows.

S2 googleupdate; C:\Windows\OJyEoVCuPQbQPSW.exe [585728 2015-03-06] () [File not signed]

Voici un exemple de détection d’un sample relativement bien détecté.

SHA256:	882756ba285e195901ed7b05dc87f7f3df51993487ba30269a4d13a50dd9ca6b
Nom du fichier :	OJyEoVCuPQbQPSW.exe
Ratio de détection :	44 / 57
Date d’analyse :	2015-04-12 09:02:22 UTC (il y a 0 minute)

Antivirus	Résultat	Mise à jour
ALYac	Gen:Variant.Dyreza.5	20150412
AVG	Ransomer.FCN	20150412
AVware	Trojan.Win32.Generic!BT	20150412
Ad-Aware	Gen:Variant.Dyreza.5	20150412
Agnitum	Trojan.Staser!	20150409
AhnLab-V3	Trojan/Win32.Upatre	20150411
Antiy-AVL	Trojan/Win32.Staser	20150412
Avast	Win32:Malware-gen	20150412
Avira	TR/Dyreza.A.7	20150411
Baidu-International	Trojan.Win32.Staser.bhnh	20150412
BitDefender	Gen:Variant.Dyreza.5	20150412
CAT-QuickHeal	Trojan.Staser.r3	20150411
Comodo	UnclassifiedMalware	20150412
Cyren	W32/Trojan.RCWV-0515	20150412
DrWeb	Trojan.Dyre.43	20150412
ESET-NOD32	Win32/Battdil.I	20150412
Emsisoft	Trojan.Win32.Dyre (A)	20150412
F-Secure	Gen:Variant.Dyreza.5	20150412
Fortinet	W32/Staser.BHNH!tr	20150412
GData	Gen:Variant.Dyreza.5	20150412
Ikarus	Trojan.VB.Inject	20150412
K7AntiVirus	Trojan ( 004b00db1 )	20150412
K7GW	Trojan ( 004b00db1 )	20150412
Kaspersky	Trojan.Win32.Staser.bhnh	20150412
Malwarebytes	Trojan.Dyre	20150412
McAfee	Downloader-FSH!D99B3406A733	20150412
McAfee-GW-Edition	Downloader-FSH!D99B3406A733	20150411
MicroWorld-eScan	Gen:Variant.Dyreza.5	20150412
Microsoft	PWS:Win32/Dyzap.M	20150412
NANO-Antivirus	Trojan.Win32.Staser.doxtih	20150412
Norman	Upatre.AG	20150412
Panda	Trj/Genetic.gen	20150410
Qihoo-360	HEUR/QVM02.0.Malware.Gen	20150412
Rising	PE:Malware.XPACK-HIE/Heur!1.9C48	20150411
Sophos	Troj/Dyreza-DG	20150412
Symantec	Trojan.Gen	20150412
Tencent	Trojan.Win32.Qudamah.Gen.7	20150412
TotalDefense	Win32/Tnega.fMFWLK	20150411
TrendMicro	TROJ_GEN.R021C0DCC15	20150412
TrendMicro-HouseCall	TROJ_GEN.R021C0DCC15	20150412
VIPRE	Trojan.Win32.Generic!BT	20150412
ViRobot	Trojan.Win32.S.Agent.585728.DS[h]	20150412
Zillya	Trojan.Staser.Win32.3554	20150411
nProtect	Trojan/W32.Staser.585728	20150410

La procédure suivante explique comment désinfecter votre ordinateur et supprimer Trojan.Dyre / Trojan.Staser
Cette procédure est complètement gratuite et sans arnaque.

Continue reading “Trojan.Dyre Trojan.Staser” »

Trojan.PWS

31 janvier 2015 malekalmorte

Trojan.PWS est une catégorie de malware de type stealer, c’est à dire créé afin de voler des informations contenues sur le PC.
Le suffixe PWS est l’abréviation de password, cela signifie donc que le malware en question est capable de voler les mots de passe, souvent ce type de malwares ont des fonctionnalités de keylogger.
Malwarebytes Anti-Malware peut détecter ce dernier en Spyware.Password.

Dans le cas observé, le malware en question upload des fichiers texte vers un serveur FTP (ce qui est assez courant pour les malwares de type RATs).
Voici un exemple d’un site avec une liste de fichiers textes par victime.
On retrouve des frappes claviers enregistrées et des captures d’écran de l’ordinateur.

Voici un exemple de contenu du fichier avec les frappes claviers enregistrés et les sites WEB visités ou les applications lancées.

Trojan_PWS_Keylogger_exemple

Les malwares de type Trojan.PWS sont aussi capables de récupérer les mots de passe enregistrés dans vos navigateurs WEB. Voici un exemple.

Nous avons soumis le fichier à l’analyse antivirus dont voici la détection.
Les Trojan.PWS peuvent donc aussi avoir le préfixe Trojan.Spy pour Spyware.

SHA256:	6c019eb6dc4105cdd003f6637be42da93137feef73f1a46a7199766b218747fe
Nom du fichier :	jub.exe
Ratio de détection :	18 / 57
Date d’analyse :	2015-01-31 21:30:13 UTC (il y a 11 minutes)

Antivirus	Résultat	Mise à jour
ALYac	Gen:Heur.MSIL.Krypt.5	20150131
AVG	MSIL5.APBG	20150131
Ad-Aware	Gen:Heur.MSIL.Krypt.5	20150131
Avast	Win32:Malware-gen	20150131
Avira	TR/Spy.Gen	20150131
BitDefender	Gen:Heur.MSIL.Krypt.5	20150131
DrWeb	Trojan.PWS.Stealer.13336	20150131
ESET-NOD32	a variant of MSIL/Autorun.Spy.Agent.AU	20150131
Emsisoft	Gen:Heur.MSIL.Krypt.5 (B)	20150131
F-Secure	Gen:Heur.MSIL.Krypt.5	20150131
GData	Gen:Heur.MSIL.Krypt.5	20150131
Ikarus	PUA.Pwdump	20150131
Kaspersky	not-a-virus:HEUR:Monitor.MSIL.KeyLogger.heur	20150131
MicroWorld-eScan	Gen:Heur.MSIL.Krypt.5	20150131
Microsoft	TrojanSpy:MSIL/Golroted.B	20150131
NANO-Antivirus	Trojan.Win32.Inject.didvzl	20150131
Norman	Kryptik.STUB	20150131
Sophos	Mal/MsilKlog-D	20150131

Si vous pensez être infecté par un Trojan.PWS – vous devez désinfecter votre ordinateur et surtout changer tous vos de passe par la suite.

Continue reading “Trojan.PWS” »