Trojan.JS

Trojan.JS
5 (100%) 3 votes

Trojan.JS est un Trojan en langaga JavaScript.
JavaScript est un langage de script utilisé dans les pages WEB. Le but en général de ces Trojan.JS est de créer une redirection vers du contenu malicieux qui permet de charger des malwares sur l’ordinateur, c’est pour cela que les détections peuvent être Trojan:​JS/Redirector ou Trojan.JSRedir (ou encore Trojan.JS/iframe, la création d’une iframe permettant la redirection).

Ne confondez pas JavaScript et Java qui est un autre langage, cela n’a rien à voir.
Il ne sert donc à rien de désinstaller le programme Java.

Cette vidéo vous montre l’infection d’un ordinateur par la simple visite d’un site WEB contenant Trojan.JS qui permet de charger ensuite un WEB ExploitKit :

Trojan.JS peut aussi être utilisé en pièce jointe dans des campagnes d’emails malicieux, par exemple TROJANDROPPER:JS/ZLADER est un de ceux là.
Il existe alors différentes familles de ces trojan:JS utilisé par mail au format zip pour faire télécharger et installer d’autre cheval de troie.
Notamment Trojan:JS/Jorv et Trojan:JS/Tisifi

Voici un exemple de détection de Trojan:JS/Jorv par Windows Defender.

Mon Antivirus a détecté a détecté un Trojan.JS

Si votre antivirus a détecté un Trojan.JS, deux cas de figure se présente :

  • Vous étiez en train de surfer et la protection WEB/Fichiers a émis une alerte Trojan.JS –  potentiellement cela signifie que vous avez visité un site piraté ou contenant une publicitaire malicieuses qui a tenté de vous rediriger vers un contenu malicieux.
  • Vous avez fait un scan de votre ordinateur et votre antivirus a détecté ce dernier, en règle général, ce dernier se trouve dans le cache internet.
  • Vous avez tenté d’ouvrir une email malicieux.

En théorie dans le premier cas, votre antivirus vous a protégé et aucun malware n’est censé avoir été installé sur votre ordinateur.
Dans le second cas, ce sont des restes d’une ancienne visite d’une page contenant un Trojan.JS, ce dernier a été détecté dans votre cache internet.

Il est conseillé de suivre la procédure donnée plus bas pour vérifier que votre ordinateur n’est pas infecté.

AVG_virus_JS_Redir

Informations Techniques (pour les curieux)

Le but des JavaScript malicieux est soit de rediriger vers du contenu malicieux comme par exemple un web exploit kit à travers la génération d’une iframe, soit il peut être la composant d’un web exploit kit.
Il permet souvent de cacher du contenu via des offuscations.

Voici un exemple de détection d’un javascript malicieux :

SHA256: a116578e8893e3985116151457bcddc6b5ad71b39548e4f979590159ef98657a
Nom du fichier : script.js
Ratio de détection : 14 / 52
Date d’analyse : 2014-11-19 22:36:22 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
AVware Trojan.JS.Agent.h (v) 20141119
Ad-Aware Trojan.JS.QVC 20141119
Avira JS/Heady.A 20141119
BitDefender Trojan.JS.QVC 20141119
DrWeb JS.IFrame.505 20141119
Emsisoft Trojan.JS.QVC (B) 20141119
F-Secure Trojan.JS.QVC 20141119
Fortinet JS/Badarc.QVC!tr 20141119
GData Trojan.JS.QVC 20141119
Ikarus Trojan.Script 20141119
MicroWorld-eScan Trojan.JS.QVC 20141119
NANO-Antivirus Trojan.Script.IFrame.bbcbap 20141119
Sophos Troj/JSRedir-HZ 20141119
nProtect Trojan.JS.QVC 20141119

Ce dernier peut être visible dans le code source des pages WEB.
Par exemple, le Trojan.JS scanné plus haut est visible en bas à droite avec le code $_ et permet de générer une iframe qui va rediriger automatiquement vers une fausse page de mise à jour Flash naolabo.com pour proposer un installeur DomaIQ/Win32.SoftPulse

trojan_js_fake_flash

 

Pour vous débarrasser des détections Trojan.JS – il est conseillé de suivre la procédure gratuite suivante.

Liens connexes :

Vider le cache Internet

Vous pouvez vider le cacher Internet avec CCleaner : http://www.malekal.com/2010/11/12/tutorial-ccleaner/

CCleaner_cache_internet

Nettoyer sur Malwarebytes Anti-Malware

Scan en ligne NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : http://www.malekal.com/2010/11/12/scanner-votre-ordinateur-avec-un-antivirus-en-ligne-2/#NOD32

NOD32_ScanEnLigne0

 

Besoin d’aide ?

Si besoin, Vous trouverez une procédure plus complète sur la page suivante : http://forum.malekal.com/desinfection-pups-programmes-parasites-t44500.html

Prenez le temps de lire la partie « Se Protéger » pour éviter de réinstaller des adwares ou programmes parasites.

Pour toute aide personnalisée, vous pouvez créer un sujet dans la partie Virus du forum malekal.com : http://forum.malekal.com/