Archives par étiquette : rat

Trojan Nanobot / Nanocore / Naancooe

Nanobot est Trojan/Backdoor de type RAT (Remote Access Tool), c’est à dire un malware qui permet le contrôle total de l’ordinateur par le pirate et embarque souvent des fonctionnalités de keylogger.
Les dénominations diffèrent selon les antivirus, mais on trouve en général : MSIL/NanoCore (ESET), Backdoor:MSIL/Noancooe pour Microsoft, Backdoor.MSIL.NanoBot (Kaspersky).

Voici un exemple de détection Backdoor:MSIL/Noancooe par Windows Defender :

Backdoor_MSIL_Naancooe

On retrouve la mention MSIL et Trojan.MSIL puisque cette variante utilise ce langage de programmation.

Le malware Nanobot / Nanocore se lance en général par une clef Run et une entrée dans le dossier Startup :

Startup: C:\Users\Robin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-03] ()
Startup: C:\Users\Robin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-03] ()
2016-02-13 01:13 - 2016-02-13 01:53 - 01457692 _____ C:\Users\Public\HideDrop.exe
2016-02-13 01:13 - 2016-02-13 01:40 - 00000000 ____D C:\Users\Robin\AppData\Roaming\AD8CCADA-1488-4B87-BD90-7BDE48CBF58E
2016-02-13 01:13 - 2016-02-13 01:13 - 00937776 ___SH (AutoIt Team) C:\Users\Robin\AppData\Roaming\fbQJYbBUHWXaOGZGZd1.exe
2016-02-10 07:03 - 2016-02-10 07:03 - 00133136 ___SH C:\Users\Robin\AppData\Roaming\eJLPgUPSSXbdcISPN
2016-02-10 07:03 - 2016-02-10 07:03 - 00061322 ___SH C:\Users\Robin\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3

Nanocore / Nanobot étant écrit en MicroSoft Intermediate Language (d’où le préfixe MSIL), ce dernier nécessite le .NET FrameWork pour fonctioner et peut générer des alertes sur le processus RegAsm.exe

Nanocore_regasm

La procédure gratuite suivante vous explique comment supprimer le malware Nanocore / Nanobot pensez bien à changer tous vos mots de passe une fois la désinfection effectuée, car ce malware peut voler vos mots de passe.

Continue reading “Trojan Nanobot / Nanocore / Naancooe” »