Virus VBS (Virus raccourcis USB)

Virus VBS (Virus raccourcis USB) est un virus USB, ce dernier infecte vos clés USB.
Les fichiers sont transformés en raccourcis.
Lorsque vous cliquez sur le raccourci cela lance l’infection sur le système.

Les vrais données sont en général masquées mais peuvent malheureusement étre supprimées définitivement/
Les données sont donc remplacées par des raccourcis sur le média amovibles qui pointent vers le malware, le but étant, lorsque l’utilisateur tente d’ouvrir « ces données » de lancer le malware sur le nouvel ordinateur afin de s’installer.
Les médias amovibles utilisés sur l’ordinateur seront, à leur tour, infectés.
Ainsi l’infection saute de PC en PC afin de se propager.

Ces infections « virus raccourcis USB » sont en général écrit en script WSH (Windows Script Host) et utilise le processus wscript.exe – si vous voyiez ce dernier en cours d’exécution sur votre ordinateur, méfiez-vous.
D’où le fait que si votre antivirus détecte et supprime le script malicieux, sans la partie qui tente de la charger, vous pouvez rencontrer des erreurs « Windows Script Host – fichier introuvable ».
Pour plus d’informations sur les virus WSH, rendez-vous sur la page : Malware VBS/WSH/Windows Script Host

protect-against-USB-virus

Voici la procédure pour supprimer les virus raccourcis USB. Cette procédure est entièrement gratuite, et vous permet de nettoyer vos médias amovibles ainsi que l’ordinateur, ceci afin que l’infection « raccourcis USB » se réinstalle pas à nouveau sur l’ordinateur.

Continue reading “Virus VBS (Virus raccourcis USB)” »

Woordeezy

Woordeezy est une famille de Trojan qui se propage par médias amovibles écrit en VBS (Microsoft Visual Basic Scripting Edition).
Il s’agit aussi d’une détection de l’antivirus Avira Antivir.
Il s’agit donc d’une variante d’un VBS/Autorun.

Voici un exemple donc de détection VBS/Woobeezy dans un fichier Microsoft Word.WsF

Antivir_Trojan_Woordeezy

Dans le cas observé, ce Trojan Woordezy se charge au lancement de Windows à partir d’une clef RUN et se cache dans un fichier .WsF

HKU\S-1-5-21-4122244407-1677882124-2242651390-1001\...\Run: [Microsoft Word] =>
wscript.exe //B C:\Users\Xavier\AppData\Roaming\Microsoft Office\\Microsoft Word.WsF 
HKLM\...\Run: [Microsoft Word] => wscript.exe //B
C:\Users\Xavier\AppData\Roaming\Microsoft Office\\Microsoft Word.WsF

Une fois l’ordinateur infecté, ce trojan VBS va se copier dans le médias amovibles et remplacer les documents par des raccourcis qui vont pointer sur le fichier malicieux.
Lorsque vous allez utiliser la clef USB sur un nouvel ordinateur, en double-cliquant sur ces raccourcis malicieux, croyant ouvrir vos documents, vous installez Woordezy sur l’ordinateur.
Le malware Woordezy se propage ainsi d’ordinateurs à ordinateurs.
On peut donc assimiler aussi cette infection à un virus raccourcis USB.

Pour nettoyer votre ordinateur, vous pouvez suivre la procédure gratuite suivante.
Vous devez dans un premier temps désinfecter l’ordinateur puis nettoyez vos médias amovibles à l’aide des outils gratuits proposés dans cette fiche.

Continue reading “Woordeezy” »

VBS/AutoRun et Worm.VBS/Agent

Les VBS/AutoRun et VBS/Agent sont des détections qui désignent les infections par media amovibles codé en langage VBS.
La détection est générique puisque les mots Agent et Autorun sont présents et aucun nom de famille de malwares n’est présent.
Pour plus d’informations sur ce type de malwares, vous pouvez vous reporter au dossier : Malware par VBS / WSH

Avast_VBS_Autorun

Voici un exemple de ce type d’infection, en général, ils fonctionnent tous de la même famille.
Des raccourcis sont créés dans le dossier Démarrage (Menu Démarrer / Tous les Programmes / Démarrage) qui pointent vers l’un de ces scripts.
Comme par exemple-ci dessous :

Startup: C:\Users\USER03\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk

Les scripts sont ensuite copier à différents endroits.
Sur le disque dur dans le dossier C:\Security et sur les autres disques et où médias amovibles avec des noms qui tentent de se faire passer pour des images : img.jpg, photo0.jpg etc.
Les éléments des médias amovibles sont en général recopiés sous-formes de raccourcis qui pointent vers ces scripts malicieux et le vrais contenus est masqué.
Le but est qu’au final, lorsque vous utilisez vos médias amovibles, vous croyez ouvrir vos documents, mais c’est en fait, l’infection que vous lancez sur l’ordinateur.

C:\security\system.vbs VBS/AutoRun.HX worm
C:\Users\USER03\Desktop\Cl? 17062013\dossiers scan?s restants.lnk VBS/AutoRun.HX worm
C:\Users\USER03\Desktop\USB Temp\Perso\recordfile.lnk VBS/AutoRun.HX worm
D:\$RECYCLE.BIN.lnk VBS/AutoRun.HX worm
D:\img.jpg VBS/Agent.NHG worm
D:\NTDETE VBS/Agent.NHW trojan
D:\Photo0.jpg VBS/Agent.NHW trojan

Ainsi à chaque utilisation du média sur un nouvel ordinateur, celui-ci sera infecté et infectera tous les médias qui y seront utilisés.
L’infection se propage d’ordinateur en ordinateur de cette manière.

Pour désinfecter l’ordinateur, vous devez donc désinfecter l’ordinateur et l’ensembles de vos médias amovibles.
La procédure, complètement gratuite qui suit, vous explique comment y parvenir.
Cette procédure n’est pas très complexe et vous devriez être en mesure de désinfecter votre ordinateur.

Continue reading “VBS/AutoRun et Worm.VBS/Agent” »