Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat sont des détections de l’antivirus Microsoft qui correspond à des Trojans de type RATs.
Les RATs (Remote Access Tools) sont des malwares qui permettent le contrôle de l’ordinateur et embarque souvent des fonctionnalités de keylogger.
De ce fait, ces malwares sont capables de voler des idenfiants.
Vous trouverez un dossier concernant ces malwares sur la page : RAT, Bifrose, Cybergate, Spynet, Darkcomet : Botnet pour les nuls
Les RATs sont donc des malwares qui se propagent généralement via des cracks et keygen ou cheaters proposés sur des sites de téléchargements ou fausses vidéos tutorials.
Ces derniers peuvent aussi être envoyés via Skype par des personnes mal intentionnées.
Ces infections sont relativements faciles à éviter si on fait un peu attention aux fichiers que l’on télécharge et ouvre.
Voici les éléments ajoutés dans le système sur le pack de RATs Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat observés :
HKLM-x32\...\Winlogon: [Userinit] userinit.exe,C:\Windows\system32\clientsvr.exe [X]
HKLM\...\Policies\Explorer\Run: [Policies] => C:\Windows\system32\install\Svchost.exe
HKU\S-1-5-19\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-19\...\Winlogon: [Shell] C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] () <==== ATTENTION
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Policies\Explorer\Run: [Policies] => C:\Windows\system32\install\Svchost.exe
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Policies\Explorer: [NofolderOptions] 0
HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Winlogon: [Shell] C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] () <==== ATTENTION
HKU\S-1-5-18\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
HKU\S-1-5-18\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-18\...\Policies\Explorer: [NofolderOptions] 0
2015-07-14 14:37 - 2015-07-14 14:37 - 00000000 __SHD C:\ProgramData\181994
2015-07-14 14:26 - 2015-07-14 14:37 - 00259584 _____ C:\Windows\SysWOW64\clientsvr.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00259584 _____ C:\Users\Nathan\AppData\Roaming\jo59n.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00259584 _____ C:\Users\Nathan\AppData\Roaming\itoo7.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 00000006 __RSH C:\ProgramData\03404ce119fd6c36b876bfbb131bd3bbdbd9874d
2015-07-14 14:26 - 2015-07-14 14:26 - 00000000 __SHD C:\ProgramData\182094
2015-06-27 18:35 - 2015-06-27 18:35 - 00000036 _____ C:\Users\Nathan\AppData\Roaming\SuYZkvrV.tmp
2015-06-25 14:04 - 2015-06-25 14:04 - 00085011 _____ C:\Users\Nathan\AppData\Roaming\urbc3.exe
2015-06-25 14:03 - 2015-06-25 14:03 - 00085021 _____ C:\Users\Nathan\AppData\Roaming\ujgrs.exe
2015-06-24 13:46 - 2015-06-24 13:46 - 00226251 _____ C:\Users\Nathan\AppData\Roaming\5scmo.exe
2015-06-24 13:46 - 2015-06-24 13:46 - 0226251 _____ () C:\Users\Nathan\AppData\Roaming\5scmo.exe
2015-05-05 08:49 - 2015-05-05 08:49 - 0894976 _____ () C:\Users\Nathan\AppData\Roaming\cdlg4.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0259584 _____ () C:\Users\Nathan\AppData\Roaming\itoo7.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0259584 _____ () C:\Users\Nathan\AppData\Roaming\jo59n.exe
2005-04-29 08:16 - 2015-02-19 00:25 - 0004346 ____H () C:\Users\Nathan\AppData\Roaming\Nathanlog.dat
2015-06-27 18:35 - 2015-06-27 18:35 - 0000036 _____ () C:\Users\Nathan\AppData\Roaming\SuYZkvrV.tmp
2015-05-08 12:55 - 2015-05-08 12:55 - 0896000 _____ () C:\Users\Nathan\AppData\Roaming\t68wi.exe
2015-06-25 14:03 - 2015-06-25 14:03 - 0085021 _____ () C:\Users\Nathan\AppData\Roaming\ujgrs.exe
2015-05-09 14:44 - 2015-05-09 14:44 - 0896000 _____ () C:\Users\Nathan\AppData\Roaming\ujl3g.exe
2015-06-25 14:04 - 2015-06-25 14:04 - 0085011 _____ () C:\Users\Nathan\AppData\Roaming\urbc3.exe
2015-07-14 14:26 - 2015-07-14 14:26 - 0000006 __RSH () C:\ProgramData\03404ce119fd6c36b876bfbb131bd3bbdbd9874d
En outre, ces infections ajoutent des clefs Debbuger ciblant les antivirus dans le but d’empécher ces derniers de démarrer convenablement :
IFEO\AvastSvc.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\AvastUI.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avcenter.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avconfig.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgcsrvx.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgidsagent.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgnt.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgrsx.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avguard.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avgwdsvc.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avp.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\avscan.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\bdagent.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\blindman.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\ccuac.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\ComboFix.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\egui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\GameScannerService.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\hijackthis.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\instup.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\keyscrambler.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbam-chameleon.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbampt.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\mbamscheduler.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MpCmdRun.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MSASCui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\MsMpEng.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\msseces.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\NIS.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\NortonNISDownloader.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\Norton_Removal_Tool.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\rstrui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDFiles.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDMain.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\SDWinSec.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\spybotsd.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\wireshark.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
IFEO\zlclient.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
Nous avons soumis la détection de ces fichiers malicieux antivirus dont voici les résultats.
Trojan:Win32/Scrarev :
SHA256: |
4c96572b2a874be17f327f26c1ed29d3d4b081321a43be63d3ef14f84ce7cb09 |
Nom du fichier : |
cdlg4.exe |
Ratio de détection : |
26 / 55 |
Date d’analyse : |
2015-07-18 07:42:56 UTC (il y a 1 heure, 15 minutes) |
AVG |
MultiDropper_c.AOTK |
20150718 |
AVware |
Trojan.Win32.Generic!BT |
20150718 |
Avast |
AutoIt:MalOb-HP [Trj] |
20150718 |
Avira |
DR/Autoit.A.7213 |
20150717 |
Baidu-International |
Trojan.Win32.Injector.BLQ |
20150717 |
CAT-QuickHeal |
Trojan.Scrarev.r5 |
20150717 |
Comodo |
UnclassifiedMalware |
20150718 |
Cyren |
W32/AutoIt.DB.gen!Eldorado |
20150718 |
DrWeb |
Trojan.DownLoader11.34675 |
20150718 |
ESET-NOD32 |
Win32/TrojanDropper.Autoit.JR |
20150718 |
F-Prot |
W32/AutoIt.DB.gen!Eldorado |
20150718 |
Fortinet |
W32/Autoit.BLW!tr |
20150718 |
GData |
Win32.Trojan.Agent.4R1AGM |
20150718 |
Ikarus |
Trojan.Win32.Injector |
20150718 |
K7AntiVirus |
Trojan ( 700000111 ) |
20150718 |
K7GW |
Trojan ( 700000111 ) |
20150718 |
McAfee |
RDN/Generic.dx!dsk |
20150718 |
McAfee-GW-Edition |
BehavesLike.Win32.Dropper.ch |
20150717 |
Microsoft |
Trojan:Win32/Scrarev.C |
20150718 |
Rising |
PE:Trojan.Win32.Generic.18A34749!413353801 |
20150713 |
Sophos |
Mal/Generic-S |
20150718 |
Symantec |
WS.Reputation.1 |
20150718 |
Tencent |
Autoit.Trojan.Autoit.Hvsq |
20150718 |
TrendMicro |
TROJ_GEN.R072C0DEL15 |
20150718 |
VIPRE |
Trojan.Win32.Generic!BT |
20150718 |
nProtect |
Trojan-Downloader/W32.Genome.894976.C |
20150717 |
TrojanSpy:MSIL/Omaneat :
SHA256: |
210947540cb494814c05ae3043579e4984a122ef5f180acd3c4c9cfd52480c0e |
Nom du fichier : |
itoo7.exe |
Ratio de détection : |
29 / 55 |
Date d’analyse : |
2015-07-18 07:43:13 UTC (il y a 1 heure, 15 minutes) |
AVware |
Trojan.Win32.Generic!BT |
20150718 |
Ad-Aware |
Trojan.GenericKD.2567225 |
20150718 |
Agnitum |
Trojan.Agent!h0PKSgq7hGw |
20150717 |
Antiy-AVL |
Trojan[:HEUR]/Win32.AGeneric |
20150718 |
Arcabit |
Trojan.Generic.D272C39 |
20150718 |
Avast |
MSIL:Injector-LY [Trj] |
20150718 |
Avira |
TR/Agent.259584.54 |
20150717 |
Baidu-International |
Trojan.MSIL.Agent.ABP |
20150717 |
BitDefender |
Trojan.GenericKD.2567225 |
20150718 |
DrWeb |
Trojan.DownLoader14.49477 |
20150718 |
ESET-NOD32 |
MSIL/Agent.ABP |
20150718 |
F-Secure |
Trojan.GenericKD.2567225 |
20150718 |
Fortinet |
W32/Generic.ABP!tr |
20150718 |
GData |
Trojan.GenericKD.2567225 |
20150718 |
Ikarus |
Trojan.MSIL.Agent |
20150718 |
K7GW |
Trojan ( 004c848a1 ) |
20150718 |
Kaspersky |
HEUR:Trojan.Win32.Generic |
20150718 |
McAfee |
Artemis!70E943E97B97 |
20150718 |
McAfee-GW-Edition |
Artemis!Trojan |
20150717 |
MicroWorld-eScan |
Trojan.GenericKD.2567225 |
20150718 |
Microsoft |
TrojanSpy:MSIL/Omaneat!rfn |
20150718 |
Panda |
Trj/CI.A |
20150718 |
Qihoo-360 |
HEUR/QVM03.0.Malware.Gen |
20150718 |
Sophos |
Mal/Generic-S |
20150718 |
Symantec |
Trojan.Gen |
20150718 |
Tencent |
Win32.Trojan.Generic.Ahyn |
20150718 |
VIPRE |
Trojan.Win32.Generic!BT |
20150718 |
Zillya |
Backdoor.PePatch.Win32.79714 |
20150718 |
nProtect |
Trojan.GenericKD.2567225 |
20150717 |
La désinfection de ce pack peut poser problèmes si l’antivirus ne détecte pas les fichiers malicieux ou s’il est impossible de lancer l’antivirus étant donné que ce pack, comme expliqué auparavant peut empécher leur exécution.
Attention aussi aux certains sites de désinfection qui sont créés dans le but de vous faire installer des antispywares payants dans le simple but de vous les vendre.
La procédure de désinfection suivante est complètement gratuit et vous propose d’utiliser des programmes de désinfection efficace et gratuit.
Cette procédure devrait vous permettre de vous débarrasser des trojans Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat. Une fois la désinfection terminée, pensez à changer tous vos mots de passe, ces derniers ont été probablement récupérés par les pirates.
Continue reading “Trojan:Win32/Scrarev et TrojanSpy:MSIL/Omaneat” »