Archives de catégorie : Backdoor

Backdoor permette le contrôle de l’ordinateur infecté

SathurBot

SathurBot est un Trojan distribué par des Web Exploit notamment avec d’autres malwares comme Boaxxe ou Kovter (Rootkit.Fileless.MTGen).
Comme tous les trojans SathurBot donne le contrôle de l’ordinateur aux pirates et permet aussi de voler les mots de passe contenu dans l’ordinateur.

SathurBot

Les Web Exploit sont des attaques informatiques qui visent à infecter un ordinateur à la simple visite d’un site WEB en tirant partie des logiciels non à jour et possédant des vulnérabilités (Java, Adobe Flash etc).
Des sites piratés peuvent conduire à ces Web Exploit mais aussi des publicités malicieuses (malvertising).
Les sites de streaming illégaux sont particulièrement utilisés pour distribuer des campagnes de Web Exploit.
Dans le cas observé, ces attaques cherchent à installer SathurBot et d’autres virus sur l’ordinateur.

Voici un exemple de détection de Trojan.SathurBot avec d’autres malwares :

Trojan.SathurBot, C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll, Supprimer au redémarrage, [8c6ff3792476cc6a6afe63349a68c23e],
Trojan.Crypt, C:\ProgramData\Microsoft\Performance\Monitor\temp\tmp665F.exe, En quarantaine, [887338345248c1754aba09bfbb49b848],
Backdoor.Bot, C:\ProgramData\Microsoft\Performance\Monitor\temp\tmp6D94.exe, En quarantaine, [56a55616108a74c2d6b20ac209fb8e72],
Backdoor.Andromeda, C:\ProgramData\Microsoft\Performance\Monitor\temp\tmpB48F.exe, En quarantaine, [ad4e3a324b4f93a35cb65e6f52b27789],
Trojan.SathurBot, C:\ProgramData\Microsoft\Performance\Monitor\SecurityCache\zepplauncher.mif, En quarantaine, [11ea74f825758da95219982e4db54fb1],

Si vous pensez que votre ordinateur est infecté, il convient de désinfecter de fond en comble puis de changer vos mots de passe car il est fort possible que ces derniers aient été récupérés.
Enfin sécurisez votre ordinateur, car ce dernier possède des vulnérabilités qui permettent l’installation de trojan, virus et autres logiciels malveillants.

Notre procédure vous guide dans la désinfection de votre ordinateur à travers une procédure entièrement gratuite.

Comment supprimer Trojan.SathurBot ?

Supprimer Trojan.SathurBot avec  Malwarebytes Anti-Malware

malwarebytes-anti-malware_logo

  • Téléchargez et installez Malwarebyte’s anti-Malware : Tutorial Malwarebytes Anti-Malware
  • Mettre Malwarebyte’s anti-Malware à jour
  • Lancer un scan rapide, supprime tout et poste le rapport ici.

Malwarebytes Anti-Malware en vidéo :

Supprimer Trojan.SathurBot avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : https://www.malekal.com/2010/11/12/scanner-votre-ordinateur-avec-un-antivirus-en-ligne-2/#NOD32 NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Après la désinfection

Pensez à changer tous vos mots de passe WEB qui peuvent avoir été récupérés. Pour sécuriser votre ordinateur, suivez le guide suivante : Sécuriser son ordinateur.

Besoin d’aide ?

Prenez le temps de lire la partie « Se Protéger » pour éviter de réinstaller des adwares ou programmes parasites. Pour toute aide personnalisée, vous pouvez créer un sujet dans la partie Virus du forum malekal.com : http://forum.malekal.com/

Vawtrak

Vawtrak est le nom d’une famille de trojan banker ou stealer, spécialisé dans le vol de compte bancaire.
Il s’agit donc d’une menace informatique très sophistiquée qui permet le contrôle totale de l’ordinateur aux pirate.
Une fois infecté par Vawtrak, l’ordinateur fait donc parti d’un botnet et le pirate peut en autre, faire installer n’importe quel autre malware de son choix.

Voici un exemple de détection Windows Defender, Backdoor:Win32/Vawtrak.
Comme le montre la capture ci-dessous Vawtrak se lance au démarrage de la session Windows et injecte le processus système svchost.exe afin de s’en servir pour effectuer les connexions vers le serveur de contrôle.
Ceci permet de contourner certaines règles de pare-feu qui peuvent autoriser les connexions svchost.exe – plutôt classique en ce qui concerne les trojans évolués.
Trojan_VawtrakEn plus d’une clef Run pour se lancer au démarrage de Windows, le Trojan Vawtrak peut aussi s’activer à travers une tâche planifiée qui va lancer une DLL :

Task: C:\Windows\Tasks\txywqaj.job => C:\Windows\SysWOW64\rundll32.exeRC:\Users\Vincent\AppData\Roaming\Microsoft\Internet Explorer\dsxuvo.dll

Côté distribution, on retrouve les méthodes classiques comme :

  • des campagnes d’emails malicieuses contenant des Trojan JavaScript
  • des Web Exploit

Voici un exemple de mail malicieux, en français, avec une pièce jointe, contenant un script VBS qui permet de télécharger et installer le virus Vawtrak :

Vawtrak_mail_malicieux

Si votre ordinateur a été infecté par Vawtrak, vous devez désinfecter totalement votre ordinateur puis modifier vos mots de passe.
Si vous vous êtes connectés à votre compte bancaire ou effectuer un paiement avec l’ordinateur, contactez votre banque dans un délai court.

Voici une procédure gratuite avec des logiciels de désinfection simple qui permet de vérifier si votre ordinateur est encore infecté.
En cas de doute, nous vous fournissons aussi l’adresse d’un forum avec des spécialistes.

Comment supprimer Vawtrak ?

Supprimer Vawtrak avec  Malwarebytes Anti-Malware

malwarebytes-anti-malware_logo

  • Téléchargez et installez Malwarebyte’s anti-Malware : Tutorial Malwarebytes Anti-Malware
  • Mettre Malwarebyte’s anti-Malware à jour
  • Lancer un scan rapide, supprime tout et poste le rapport ici.

Malwarebytes Anti-Malware en vidéo :

Supprimer Vawtrak avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : https://www.malekal.com/2010/11/12/scanner-votre-ordinateur-avec-un-antivirus-en-ligne-2/#NOD32 NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Après la désinfection

Pensez à changer tous vos mots de passe WEB qui peuvent avoir été récupérés. Pour sécuriser votre ordinateur, suivez le guide suivante : Sécuriser son ordinateur.

Besoin d’aide ?

Prenez le temps de lire la partie « Se Protéger » pour éviter de réinstaller des adwares ou programmes parasites. Pour toute aide personnalisée, vous pouvez créer un sujet dans la partie Virus du forum malekal.com : http://forum.malekal.com/

keylogger

Les keylogger sont des fonctionnalités des malwares de type stealer, c’est à dire des malwares qui ont pour but de voler des accès à des comptes en ligne.
L’enregistrement de frappe clavier permet donc de voler des accès à vos comptes emails, réseaux sociaux ou pire compte bancaire, dans le cas des trojan banker.
Tous ces accès sont ensuite revendus ou utiliser pour mener d’autres attaques touchant d’autres internautes.

Ces fonctionnalités de keylogger sont souvent intégrées par divers type de malware comme :

En vidéo, un exemple d’un keylogger qui s’installe sur l’ordinateur – plus d’informations sur ce KeyLogger sur la page : iSpy Keylogger

et un exemple d’un email envoyé au pirate contenant des informations systèmes et les clefs des applications installées :

Stealer_iSpy_Keylogger_mail_malicieux_4

Les RATs et KeyLogger se chargent, en général, par une simple clef Run ou raccourcis dans le dossier Startup et sont assez facile à supprimer.
Les Trojan Banker sont, par contre, plus sophistiqués et développés par des groupes professionnels.

Dans le cas keylogger issus de RATs, un des symptômes les plus courants et le double accent circonflexe lorsque vous tapez ce dernier, deux accents s’inscrivent à l’écran.

Afin de désinfecter votre ordinateur et supprimer tout keylogger et autres trojans, nous vous proposons cette procédure gratuite et sans arnaque.
Un lien vers un forum d’aide spécialisé vous ait aussi donné si vous avez des questions ou si vous rencontrez des problèmes.

Pensez aussi à changer tous vos mots de passe, une fois l’ordinateur désinfecté, puisqu’ils ont été probablement récupérés par les cybercriminels.

Continue reading “keylogger” »

Trojan Nanobot / Nanocore / Naancooe

Nanobot est Trojan/Backdoor de type RAT (Remote Access Tool), c’est à dire un malware qui permet le contrôle total de l’ordinateur par le pirate et embarque souvent des fonctionnalités de keylogger.
Les dénominations diffèrent selon les antivirus, mais on trouve en général : MSIL/NanoCore (ESET), Backdoor:MSIL/Noancooe pour Microsoft, Backdoor.MSIL.NanoBot (Kaspersky).

Voici un exemple de détection Backdoor:MSIL/Noancooe par Windows Defender :

Backdoor_MSIL_Naancooe

On retrouve la mention MSIL et Trojan.MSIL puisque cette variante utilise ce langage de programmation.

Le malware Nanobot / Nanocore se lance en général par une clef Run et une entrée dans le dossier Startup :

Startup: C:\Users\Robin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-03] ()
Startup: C:\Users\Robin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-03] ()
2016-02-13 01:13 - 2016-02-13 01:53 - 01457692 _____ C:\Users\Public\HideDrop.exe
2016-02-13 01:13 - 2016-02-13 01:40 - 00000000 ____D C:\Users\Robin\AppData\Roaming\AD8CCADA-1488-4B87-BD90-7BDE48CBF58E
2016-02-13 01:13 - 2016-02-13 01:13 - 00937776 ___SH (AutoIt Team) C:\Users\Robin\AppData\Roaming\fbQJYbBUHWXaOGZGZd1.exe
2016-02-10 07:03 - 2016-02-10 07:03 - 00133136 ___SH C:\Users\Robin\AppData\Roaming\eJLPgUPSSXbdcISPN
2016-02-10 07:03 - 2016-02-10 07:03 - 00061322 ___SH C:\Users\Robin\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3

Nanocore / Nanobot étant écrit en MicroSoft Intermediate Language (d’où le préfixe MSIL), ce dernier nécessite le .NET FrameWork pour fonctioner et peut générer des alertes sur le processus RegAsm.exe

Nanocore_regasm

La procédure gratuite suivante vous explique comment supprimer le malware Nanocore / Nanobot pensez bien à changer tous vos mots de passe une fois la désinfection effectuée, car ce malware peut voler vos mots de passe.

Continue reading “Trojan Nanobot / Nanocore / Naancooe” »

snjsearch.com

Dans la longue liste des moteurs de recherche pirate, un nouveau venu snjsearch.com qui va donc s’installer en page d’accueil et moteur de recherche par défaut de tous vos navigateurs WEB après avoir probablement installé une extension parasite.

snjsearch.com

Ce moteur de recherche pirate snjsearch.com est donc un Browser Hijacker qui va tenter de rester dans votre ordinateur afin de vous obliger à effectuer des recherches dessus dans le but de gagner de l’argent avec les publicités qui vont s’ouvrir.

Soyez vigilant, lorsque vous installez des programmes, quelque soit le prétexte, car certains sont créés dans le but d’utiliser votre ordinateur à des fins pécuniaires.

Si vous ne parvenez pas à supprimer snjsearch.com de vos navigateurs WEB, vous pouvez suivre le guide de désinfection suivante.
Ce guide est totalement gratuit, contrairement aux multiples sites de désinfection créés dans le seul objectif de vous faire acheter des antispywares payants.

A l’issu de cette désinfection, vous devriez être débarrassé de snjsearch.com.

Comment supprimer snjsearch.com de son ordinateur ?


 

Supprimer snjsearch.com avec AdwCleaner

AdwCleaner est un programme qui permet de supprimer les programmes parasites et Adwares

  • Téléchargez AdwCleaner  Tutoriel AdwCleaner
  • Une fois qu’AdwCleaner est lancé, cliquez sur le bouton Scanner afin de lancer une analyse.
  • Lorsque l’analyse est terminée, AdwCleaner vous demande de décocher les programmes parasites que vous souhaitez garder : Ne décochez rien, cliquez sur Suppression pour supprimer les adwares et programmes parasites.

AdwCleaner_V3

  • Laissez vous guider, le nettoyage peut demander un redémarrage de l’ordinateur. Si c’est le cas acceptez.
  • Au redémarrage, un rapport s’ouvrira, fermez le.

Supprimer snjsearch.com avec ZHPCleaner

ZHPCleaner est un programme gratuit qui permet de supprimer les extensions parasites, réinitialiser certains paramètres du navigateurs WEB.

  • Téléchargez ZHPCleaner : Tutorial ZHPCleaner
  • Lisez et Acceptez les conditions d’utilisation.
  • Lancez l’analyse en cliquant sur le bouton Scanner
  • Faites Réparer.

Supprimer snjsearch.com avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : Tutorial Malwarebytes
  • A la fin de l’installation, décochez l’option qui propose de tester la version prenium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter les adwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.

Comme cela est expliqué, vous devez bien faire attention lors de l’installation de programmes et refuser tous logiciels additionnels.  A lire – Programmes parasites / PUPs et adwares.

Pour prévenir les sites malicieux, tu peux installer Blockulicious : Blockulicious

Et pour sécuriser votre ordinateur afin d’éviter les infections à l’avenir : Sécuriser votre ordinateur

Win32:Rootkit-Gen [Rtk]

Win32:Rootkit-Gen [Rtk] est une détection de l’antivirus Avast! qui désigné la catégorie rootkit.
Les rootkits sont des menaces informatiques très sophistiqués qui sont souvent assez difficile à éradiquer de l’ordinateur.

Notez que par expérience, il peut arriver qu’Avast! classe une menace en rootkit sans que ce soit réellement une menace.
Voici un exemple de détection Win32:Rootkit-Gen [Rtk], la détection nécessite généralement une analyse au redémarrage de l’ordinateur.

Win32_Rootkit_GenWin32:Rootkit-Gen [Rtk] dans la quarantaine d’Avast!

Win32_Rootkit_Gen_2Nous vous conseillons donc de suivre la procédure suivante de désinfection, cette procédure est complètement gratuite et ne met pas en avant d’antispyware payant.
Celle-ci devrait permettre de désinfecter l’ordinateur de manière profonde.

Une fois l’ordinateur désinfecté, il est fortement conseillé de changer tous ses mots de passe, ces derniers ayant été probablement récupérés par les cybercriminels.

Nous vous donnons aussi un lien vers un forum d’aide informatique, si vous avez des questions ou besoin d’une aide personnalisée.

Supprimer Win32:Rootkit-Gen [Rtk] avec AdwCleaner


 

Supprimer Win32:Rootkit-Gen [Rtk] avec Malwarebytes Anti-Malware

  • Téléchargez et installez Malwarebyte’s anti-Malware : Tutorial Malwarebytes
  • A la fin de l’installation, décochez l’option qui propose de tester la version prenium (voir lien précédent).
  • Mettez à jour les définitions virales de Malwarebyte’s anti-Malware à jour
  • Lancez une analyse rapide
  • A l’issu du scan, supprimez toutes les menaces détectées.


Malwarebytes Anti-Malware en vidéo :

Supprimer Win32:Rootkit-Gen [Rtk] avec NOD32

Effectuez un scan en ligne NOD32 et supprimer les éléments détectés.
Suivez ce tutorial pour vous y aider : Scan en ligne NOD32
NOD32_ScanEnLigne0
Scan NOD32 en vidéo :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Prévention : comment éviter les malwares ?

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes pour effectuer des analyses régulières.
Nous vous conseillons de changer tous vos mots de passe, ces derniers ont été probablement récupérés.

Pour prévenir les sites malicieux, tu peux installer Blockulicious : Blockulicious

Et pour sécuriser votre ordinateur afin d’éviter les infections à l’avenir : Sécuriser votre ordinateur

Supprimer les trojans

Ce site a pour but de vous sensibiliser sur les menaces informatiques : trojans, spywares.
Le site propose une procédure de désinfection et pour sécuriser son PC.

banniere_stopvirus

Pourquoi les menaces informatiques ?

Par le passé les virus étaient créés par défi et challenge.
Depuis les années 2000, les menaces informatiques sont devenus un véritables business.

Les ordinateurs contrôlés par les pirates sont utilisés pour gagner de l’argent.
il existe une multitude de manière de gagner de l’argent : envoyer des mails de spam, installer des adwares (agent publicitaires), faire surfer le PC infecté « en fond », voler des données qui seront revendues (adresses mails, mot de passe et accès etc), loués les PC pour des attaques etc.

Certaines menaces sophistiquées utilisent des systèmes d’affiliations, des pirates s’inscrivent au systèmes d’affiliation et gagnent de l’argent sur le nombre de machines infectées.

se reporter à la page : Business malwares : le Pourquoi des infections informatique

Comment se propagent les infections ?

Il existe une multitude de manière de propager des infections, voici les plus répandues :

Social Engeenering : Proposer des malwares via du social engeenering – soit donc en trompant les internautes.
Par exemple via de faux sites de cracks ou par exemple sur les messageries instannées en camouflant le malware à travers des liens proposant des images.
Le plus connus de ces attaques sont les mails qui se font passer par des services (banques etc), très souvent en langue anglaise, mais ce n’est pas toujours le cas. Exemple de campagne Zbot en Français.
Ce vecteur repose sur la méconnaissance informatique et la crédulité des internautes.

Les autoruns : Ces malwares se propagent par des média amovibles (clefs USB, disque dur externe, appareil photo etc).
Plus d’informations : Les infections amovibles

Exploits sur site WEB : Ces attaques permettent l’infection d’un PC par la simple visite d’un site WEB. Ces attaques reposent sur le fait que le sur le PC cible se retrouve des logiciels non à jour qui comportent des vulnérabilités, par exemple Java, Adobe Reader ou Flash.
Ces attaques ont pour vecteurs des sites hackés ou des publicités malicieuses (Malvertising) qui seront affichées par les sites légitimes.
Pour plus d’informations, se reporter à la page suivante : Les Exploits WEB

Voici une vidéo des Exploits sur site WEB en action :

Quelques catégories de menaces

Voici les catégories de menaces les plus répandues.
Notez qu’une fois que votre ordinateur est sous contrôle, le pirate peux installer d’autres malwares pour effectuer des tâches particulières.
Par exemple, installer un spambot pour monétiser son botnet en envoyant des mails de Spam.

La majorité des menaces permettent le contrôle de l’ordinateur infecté, par exemple, le malware Zeus/Zbot est de type Stealer mais permet de faire télécharger de nouvelles menaces.

Le nom génériques sont les Backdoors/Trojans et aussi : http://www.supprimer-trojan.com/trojan_cheval_troie/ et Index des menaces et programmes malveillants/Malwares