ZLoader

ZLoader est un Trojan Banker très actif.
Les noms utilisés sont Terdot, DELoader
Les détections possibles : Trojan:Win32/Zloader (Microsoft), Trojan.ZLoader (Malwarebytes), TR/AD.ZLoader (Avira), RDN/ZLoader (McAfee), Trojan.Win32.ZLOADER (Trend-Micro).

Qu’est-ce que ZLoader ?

La famille ZLoader est décrite initialement comme un malware qui télécharge et installe Zeus OpenSSL.

ZLoader (également connu sous le nom de Terdot) a été découvert pour la première fois en 2016 et est un fork du tristement célèbre cheval de Troie bancaire Zeus. Il est toujours en cours de développement et très actif. Une multitude de versions différentes sont apparues depuis décembre 2019, avec une fréquence moyenne de 1 à 2 nouvelles versions publiées chaque semaine.

ZLoader est un Trojan Banker typique qui implémente l’injection Web pour voler les cookies, les mots de passe et toute information sensible. Il attaque les utilisateurs d’institutions financières du monde entier et a également été utilisé pour fournir des familles de ransomwares comme Egregor et Ryuk. Il fournit également des fonctionnalités de porte dérobée et agit comme un chargeur générique pour fournir d’autres formes de logiciels malveillants. Les versions plus récentes implémentent un module VNC qui permet aux utilisateurs d’ouvrir un canal caché qui donne aux opérateurs un accès à distance aux systèmes victimes.
ZLoader s’appuie principalement sur l’échange de données dynamique (DDE) et l’obscurcissement des macros pour fournir la charge utile finale via des documents spécialement conçus.

Une évolution récente de la chaîne d’infection comprenait la création dynamique d’agents, qui téléchargent la charge utile à partir d’un serveur distant. La nouvelle chaîne d’infection observée par SentinelLabs démontre un niveau de furtivité plus élevé en désactivant Windows Defender et en s’appuyant sur des binaires et des scripts vivants (LOLBAS) pour échapper à la détection. Au cours de notre enquête, nous avons également pu cartographier toute la nouvelle infrastructure ZLoader C2 liée au botnet « Tim » et identifier la portée de la campagne et ses objectifs, qui consistaient principalement à voler les identifiants bancaires des clients des banques européennes.

Enfin ZLoader peut charger des ransomwares tels que Conti, Ruyk ou Revil/Sodinokibi.

C’est une menace très active et toujours très importante.

Type de menaceTrojan / Cheval de troie
Sous type de la menaceTrojan.Banker
Fonctionnalité supposéeVoler les données bancaires / identifiants site de banque
DétectionsHEUR:Trojan-Banker.MSIL.ClipBanker (Kaspersky)
Win32:PWSX-gen [Trj] (Avast!, AVG)
Trojan:Win32/AgentTesla (Microsoft)
Trojan.Win64.Crypt / Trojan.Win32.Crypt
Trojan.ClipBanker (Malwarebytes)
RDN/PWS-Banker
InfoStealer (Norton)

Les malwares qui téléchargent et installe un Trojan.Banker se nomment Trojan:Win32/Banload.
Famille de malwareTrojan:Win32/Ymacco, Trickbot,  VarenykyGozNym, HawkEye, IcedID
Ursnif, Trojan.Qbot, Trojan Dridex ou Emotet
SymptômesAucun symptôme en particulier, le malware tente de se rendre discret
Mais il va voler des données, identifiants dont les mots de passe
Dommage sur le systèmeAucun en particulier
Peut télécharger et installer d’autres malwares
Fiche de Trojan Banker

Comment supprimer ZLoader

Supprimer ZLoader avec MBAM

  • Téléchargez puis installez Malwarebytes Anti-Malware
  • Laissez vous guider pour effectuer les premières configurations
  • Ensuite Lancez une analyse rapide en cliquant sur le bouton Analyser
  • A l’issu du scan, supprimez toutes les menaces détectées
  • Enfin redémarrez votre PC si MBAM le demande
Supprimer les virus avec Malwarebytes Anti-Malware

Malwarebytes Anti-Malware en vidéo :

https://youtu.be/7lp9iP9_yQA

Supprimer ZLoader avec RogueKiller

  • Téléchargez puis installez RogueKiller
  • Lancez une analyse antivirus du PC en cliquant sur le bouton Analyser
Supprimer les virus avec RogueKiller / Remove malware with RogueKiller
  • Laissez le scan s’effectuer, cela va prendre du temps
  • Enfin supprimer toutes les menaces détectées
Supprimer les virus avec RogueKiller / Remove malware with RogueKiller

Supprimer ZLoader avec NOD32

  • Téléchargez puis exécutez esetonelinescanner.exe
  • Puis laissez vous guider pour effectuer l’analyse en ligne puis activez la détection des PUA (Application potentiellement indésirable)
Faire un scan en ligne NOD32 pour supprimer les virus
  • Puis l’analyse de NOD32 s’effectue, là aussi, cela va prendre beaucoup de temps, patientez
  • Enfin placez tous les éléments détectés en quarantaine

Scan NOD32 en vidéo :

Besoin d’aide personnalisée ?

Rien ne fonctionne ?
Besoin d’une aide personnalisée ?
Rendez-vous sur le forum en créant votre propre sujet, nous vous aiderons !
=> Forum Malekal – Aide suppression des virus

forum_malekal_desinfection_adwares_virus

Comment protéger son PC des virus

Vous pouvez supprimer les programmes utilisées, si vous le désirez vous pouvez garder Malwarebytes Anti-Malware pour effectuer des analyses régulières.
Supprimer AdwCleaner et ZHPCleaner, il ne sert à rien de les garder pour des analyses régulières.

Il est fortement conseillé de changer tous vos mots de passe (Facebook, jeux en ligne, mails etc).

Voici quelques conseils afin de sécuriser votre ordinateur et éviter les logiciels malveillants.
Pour sécuriser votre ordinateur, surtout mettez bien à jour tous vos logiciels (Adobe Flash, Java etc) : Sécuriser votre ordinateur et protéger son PC des virus.