Trojan MSIL
Trojan MSIL désigne des malwares écrits en langage Microsoft intermediate language (MSIL) visant donc le système Windows. MSIL étant un langage très prisé pour développé des malwares.
Cette détection est donc généraliste puisqu’elle vise plutôt la conception de malware (le langage utilisée) que la finalité.
La dénomination Trojan (ou Cheval de troie) indique qu’il s’agit un programme malicieux permettant le contrôle de l’ordinateur.
Bien souvent, cela concerne des familles de malwares de type RAT (Remote Access tool) ou des familles de Trojan Stealer. Par exemple, la famille Nanocore est détecté en Backdoor:MSIL/Noancooe.
Tous ces Trojan MSIL ont en commune la possibilité de :
- permettre le contrôle de l’ordinateur à distance par le pirate. Ceci inclue la possibilité de faire télécharger et installer de nouveaux malwares.
- Le vol d’identifiant/mot de passe depuis les navigateurs WEB ou client FTP installés.
- éventuellement permettre d’effectuer des captures d’écran
Comme la plupart des Trojans, Trojan MSIL tente de se lancer au démarrage de Windows par une clef Autorun, souvent une clef Run ou Userinit, voici un exemple de ces clefs.
La localisation est souvent un sous-dossier Appdata\Roaming, Temp ou plus rarement ProgramData.
HKU\S-1-5-21-2568215945-4132293836-1244343729-1000\...\Run: [Start Menu] => C:\Users\VincentPC\AppData\Local\Temp\fcprimal.exe [382464 2016-03-31] (Tonec Inc.) HKU\S-1-5-21-2568215945-4132293836-1244343729-1000\...\CurrentVersion\Windows: [Load] C:\Users\VincentPC\AppData\Roaming\WinRAR\nvvswc.exe
Voici un exemple de détection d’un malware Trojan.MSIL :
| SHA256: | 3f019e4f01bfe7dda416e97e8c3a22b75f41c0298d6ec5ade056db75c168681e |
| Nom du fichier : | FCPrimal.exe |
| Ratio de détection : | 22 / 55 |
| Antivirus | Résultat | Mise à jour |
|---|---|---|
| ALYac | Gen:Variant.MSILPerseus.27164 | 20160401 |
| AVG | Downloader.MSIL.BCDX | 20160401 |
| AVware | Trojan.Win32.Generic.pak!cobra | 20160401 |
| Ad-Aware | Gen:Variant.MSILPerseus.27164 | 20160401 |
| AegisLab | Gen.Variant!c | 20160401 |
| Arcabit | Trojan.MSILPerseus.D6A1C | 20160401 |
| Avast | Win32:Malware-gen | 20160401 |
| Avira (no cloud) | TR/Downloader.kcmg | 20160401 |
| BitDefender | Gen:Variant.MSILPerseus.27164 | 20160401 |
| ESET-NOD32 | a variant of MSIL/TrojanDownloader.Small.AHF | 20160401 |
| Emsisoft | Gen:Variant.MSILPerseus.27164 (B) | 20160401 |
| Fortinet | MSIL/Small.AHF!tr.dldr | 20160401 |
| GData | Gen:Variant.MSILPerseus.27164 | 20160401 |
| Ikarus | Trojan-Banker.Win32.Banbra | 20160331 |
| eScan | Gen:Variant.MSILPerseus.27164 | 20160401 |
| Panda | Trj/GdSda.A | 20160331 |
| Qihoo-360 | Win32/Trojan.2ba | 20160401 |
| Rising | PE:Malware.Generic/QRS!1.9E2D [F] | 20160401 |
| Sophos | Mal/Generic-S | 20160401 |
| Symantec | Suspicious.Cloud.9 | 20160331 |
| Tencent | Win32.Trojan.Downloader.Amvy | 20160401 |
| VIPRE | Trojan.Win32.Generic.pak!cobra | 20160401 |
et une détection MSIL/Kryptik de NOD32 :
De ce fait, la méthode donnée dans cette vidéo avec Process Explorer devrait vous permettre d’identifier facilement si un Trojan MSIL est présent sur l’ordinateur.
Avast! peut aussi émettre des détection MSIL:GenMalicious
Les Trojan.MSIL peuvent charger un composant .NET RegAsm.exe qui peut se mettre à planter. Si vous avez des plantages réguliers de RegAsm.exe cela peut être un symptôme d’une infection Trojan.MSIL
La diffusion de se fait, bien souvent à travers des cracks et keygen.
Ces derniers peuvent être mis en ligne sur des sites et forums spécialisés mais aussi à travers des vidéo Youtube qui renvoie vers des sites d’hébergeur.
Voici ci-dessous une vidéo Youtube qui propose un Crack pour un jeu, renvoyant vers zippyshare.
Le crack sert donc de moyen pour faire télécharger et exécuter un malware sur l’ordinateur.
Vous l’aurez compris, vous devez bien faire attention à ce que vous téléchargez et exécutez sur l’ordinateur.
Notez que l’on peut aussi avoir des variantes en Backdoor.MSIL, par exemple, ci-dessous Microsoft détecte un Backdoor:MSIL/Bladabina
Comment supprimer Trojan MSIL
Supprimer Trojan MSIL avec MBAM
- Téléchargez puis installez Malwarebytes Anti-Malware
- Laissez vous guider pour effectuer les premières configurations
- Ensuite Lancez une analyse rapide en cliquant sur le bouton Analyser
- A l’issu du scan, supprimez toutes les menaces détectées
- Enfin redémarrez votre PC si MBAM le demande
Malwarebytes Anti-Malware en vidéo :
Supprimer Trojan MSIL avec RogueKiller
- Téléchargez puis installez RogueKiller
- Lancez une analyse antivirus du PC en cliquant sur le bouton Analyser
- Laissez le scan s’effectuer, cela va prendre du temps
- Enfin supprimer toutes les menaces détectées
Supprimer Trojan MSIL avec NOD32
- Téléchargez puis exécutez esetonelinescanner.exe
- Puis laissez vous guider pour effectuer l’analyse en ligne puis activez la détection des PUA (Application potentiellement indésirable)
- Puis l’analyse de NOD32 s’effectue, là aussi, cela va prendre beaucoup de temps, patientez
- Enfin placez tous les éléments détectés en quarantaine
Scan NOD32 en vidéo :
Besoin d’aide personnalisée ?
Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus
Comment protéger son PC des virus
Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes Anti-Malware pour effectuer des analyses régulières.
Supprimer AdwCleaner et ZHPCleaner, il ne sert à rien de les garder pour des analyses régulières.
Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).
Voici quelques conseils afin de sécuriser votre ordinateur et éviter les logiciels malveillants.
Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur et protéger son PC des virus.