Ursnif
Ursnif est un trojan Banker depuis 2007.
Les détections peuvent être Trojan:W32/Ursnif, Spyware.Ursnif ou TrojanSpy.Ursnif.
Ses autres noms sont CRM, Gozi, Rovnix, CRM, Papras, Snifula.
Qu’est-ce que Ursnif ?
C’est donc un Trojan assez ancien est très actif, qui au début était un concurrent du Trojan Banker Zeus.
En septembre 2010, le code source d’une version de DLL de GOZI CRM particulière a été fui, qui a conduit à Vawtrak / SapidQuest (en combinaison avec Pony) via Gozi Prinimalka (Gozi V1.0 légèrement modifié) et Gozi V2.0 (Aka ‘Gozi ISFB ‘AKA’ ISFB ‘AKA PANDEMYIA). Cette version est venue avec un module webinject.
Par la suite cela a donné aussi les malwares suivants : goznym, dreambot, isfb.
Après plus de dix ans, Gozi continue d’être l’un des malwares les plus sophistiqués et en constante évolution. Lors de la première étape, Gozi a utilisé des composants rootkit pour masquer ses processus.
Plus récemment, il a ajouté des techniques d’évasion côté client et côté serveur et a continué d’évoluer. Récemment, Gozi et Tinba ont été connectés grâce à leur utilisation de techniques d’injection Web partagées.
Bien que la portée ait augmenté pour de nombreux chevaux de chevaux bancaires, Gozi continue de cibler les institutions financières.
En mars 2019, Gozi a été connecté à Danabot pour cibler certaines des mêmes banques italiennes. Gozi ne montre aucun signe d’arrêt et est considéré comme l’un des morceaux de malware des chevaux de Troie bancaire les plus dangereux.
Il offre notamment les fonctionnalités suivantes :
- Voler des noms d’utilisateur, des mots de passe et des données personnelles à partir de formulaires Web
- Voler des certificats installés
- Téléchargement et lancement d’autres logiciels
- Exécution d’un serveur proxy SOCKS
- Interception de frappes
- Capturer des captures d’écran
- Effectuer des injections Web (lorsqu’un contenu malveillant est inséré dans les pages Web ouvertes par un utilisateur dans un navigateur Web)
La distribution principale se fait par mail par des pièces jointes VBS ou des documents Office piégés.
Ces derniers peuvent être détectés en Trojan:O97M/PowCript ou TrojanDownloader:O97M/Ursnif.
Comment supprimer Ursnif
Supprimer Ursnif avec MBAM
- Téléchargez puis installez Malwarebytes Anti-Malware
- Laissez vous guider pour effectuer les premières configurations
- Ensuite Lancez une analyse rapide en cliquant sur le bouton Analyser
- A l’issu du scan, supprimez toutes les menaces détectées
- Enfin redémarrez votre PC si MBAM le demande

Malwarebytes Anti-Malware en vidéo :
Supprimer Ursnif avec RogueKiller
- Téléchargez puis installez RogueKiller
- Lancez une analyse antivirus du PC en cliquant sur le bouton Analyser
- Laissez le scan s’effectuer, cela va prendre du temps
- Enfin supprimer toutes les menaces détectées
Supprimer Ursnif avec NOD32
- Téléchargez puis exécutez esetonelinescanner.exe
- Puis laissez vous guider pour effectuer l’analyse en ligne puis activez la détection des PUA (Application potentiellement indésirable)
- Puis l’analyse de NOD32 s’effectue, là aussi, cela va prendre beaucoup de temps, patientez
- Enfin placez tous les éléments détectés en quarantaine
Scan NOD32 en vidéo :
Besoin d’aide personnalisée ?
Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus
Comment protéger son PC des virus
Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes Anti-Malware pour effectuer des analyses régulières.
Supprimer AdwCleaner et ZHPCleaner, il ne sert à rien de les garder pour des analyses régulières.
Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).
Voici quelques conseils afin de sécuriser votre ordinateur et éviter les logiciels malveillants.
Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur et protéger son PC des virus.