FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Les Jeux olympiques 2020 cibles d’adwares et de faux sites de streaming

26 août 2021 à 13:14
Par : UnderNews

Le suivi des événements sportifs sur les plates-formes de streaming en ligne a augmenté depuis les Jeux olympiques de Rio 2016. Les Jeux olympiques sont un événement très populaire qui attire des milliards de téléspectateurs à travers le monde.

The post Les Jeux olympiques 2020 cibles d’adwares et de faux sites de streaming first appeared on UnderNews.

Comment supprimer un trojan de son PC gratuitement

22 novembre 2021 à 10:13

Les Trojans pour cheval de troie en français sont des menaces dangereuses visant les internautes.
Avec un Trojan, un pirate peut contrôler votre PC à distance, voler des données comme les mots de passe ou des fichiers.
Lorsque vous soupçonnez la présence d'un Trojan sur votre PC, il convient de suivre un protocole et procédure pour enlever tous les malwares.

Dans ce tutoriel, je vous propose une procédure simple et rapide qui devrait vous aider à supprimer la plupart des trojans.

Comment supprimer un trojan de son PC gratuitement

Les conseils pour supprimer les trojan de son PC

Un trojan ou cheval de troie est une menace importante qui permet le contrôle de votre appareil.
Ainsi, votre PC rejoint un botnet contrôlé par un pirate pour opérer des comportements malveillants (attaques DoS, envoie de mail malveillant ou de SPAM, etc).
On trouve beaucoup de familles de trojan comme Wacatac, Tnega, Tiggre, etc.

Voici quelques conseils à suivre afin de réussir à enlever un trojan sans aucun risque.

  • Si vous ne faites pas de sauvegarde, c'est le moment : Comment sauvegarder ses données sur Windows 10
  • N'installez pas trop de logiciels de désinfection sous peine de ralentir votre PC
  • Ne tombez pas dans la paranoïa. Lorsque l'on a peur, on a tendance à croire que son PC est infecté et passer tous les logiciels antivirus qui nous tombent sur la main
  • Attention aux arnaques (TotalAv, Restoro, ....). Il existe de nombreux logiciels peu fiables mais très présents sur Google. Evitez de les installer
  • Laissez tomber les logiciels tels que Spybot, Malware Hunter, désuet et inefficace
  • AdwCleaner et ZHPCleaner ne visent pas ce type de menaces, il ne sert donc à rien de les utiliser

Comment supprimer un trojan de son PC gratuitement

Désinfecter son PC avec Malwarebytes Anti-Malware

Malwarebytes Anti-Malware (MBAM) est considéré comme un des logiciels de désinfection les plus performant.
Une version gratuite existe pour analyser, neutraliser et supprimer tous les chevaux de troie de votre PC.
Pour y parvenir, suivez ce tutoriel complet.

  • Téléchargez MBAM depuis ce lien :
  • Lancez une analyse de votre PC
La recherche de virus sur MBAM
  • Enfin supprimer toutes les menaces détectées
Historique des détections MBAM
  • Redémarrez le PC pour prendre en compte les modifications, si nécessaire

Supprimer les trojan avec Kaspersky

L'éditeur de sécurité russe propose aussi un outil Kaspersky Virus Removal Tool pour éradiquer la plupart des trojan de votre PC.
Vous pouvez donc l'utiliser pour analyser votre PC et supprimer tous les malwares.

Un tutoriel existe aussi sur le site :

  • Téléchargez Kaspersky Virus Removal Tool depuis ce lien :
  • Puis lancez l'analyse complète de votre PC
Analyse avec Kaspersky Virus Removal Tool
  • Enfin supprimez tous les logiciels malveillants détectés par l'outil
Mettre en quarantaine sur Kaspersky Virus Removal Tool

Détecter et supprimer les trojan avec FRST

Le site propose un forum d'entraide gratuit où l'on peut aussi opérer une désinfection de votre PC.
Pour y parvenir, on utilise le logiciel FRST qui permet de générer un rapport d'analyse du PC pour déceler un cheval de troie.

  • Téléchargez FRST
  • Puis lancez l'analyse FRST de votre PC
  • Attendez la fin du scan, un message indique que l'analyse est terminée.
  • Deux rapports FRST seront générés :
    • FRST.txt
    • Additionnal.txt
  • Envoyez ces rapports sur le site pjjoint et notez les liens obtenus
  • Enfin créez un utilisateur et un sujet avec un maximum d'explications claires sur les symptômes, donnez les liens des rapports FRST. Pour vous aidez suivez ce guide : comment demander de l'aide sur le forum
  • Attendez une aide avec les instructions pour supprimer le cheval de troie de votre PC

Après désinfection du PC : Changer ses mots de passe et sécuriser son PC

Vous ave réussi à supprimer les trojans et malwares de votre PC grâce à ce guide.
Il est alors conseillé de changer tous les mots de passe de votre PC et notamment ceux de vos comptes internet.
En effet, un trojan peut voler les mots de passe stockés sur votre PC.
Ainsi vos comptes internet sont menacés.

  1. Changez les mots de passe
  2. Gardez MBAM quelques jours et faites des analyses pour s'assurer qu'aucune autre menace n'est active
  3. Sécuriser votre PC en suivant ce tutoriel : Comment sécuriser son PC contre les virus et pirates

L’article Comment supprimer un trojan de son PC gratuitement est apparu en premier sur malekal.com.

Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT

23 novembre 2021 à 14:09

A l'approche du Black Friday et des fêtes de fin d'année, les mails de phishing et autres arnaques menant à des contenus malveillants vont augmenter.
Ici il s'agit d'un mail de phishing Chronopost menant à un malware.
Cela n'a rien de nouveau puisque j'avais déjà publié un article concernant ce type d'attaque : Virus Chronopost : les faux mails

Voici une description d'un mail reçu hier menant à un Trojan:Win32/Wacatac.B!ml pour télécharger la charge utile un Trojan RAT en PowerShell.

Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT

Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT

Tout d'abord le mail de phishing Chronopost indiquant que votre colis est en cours de livraison avec un lien cliquable.
Rien de vraiment nouveau pour tromper les internautes.
On notera cette fois-ci l'effort de tenter d'envoyer un mail avec une adresse Chronopost valide, ici [email protected].
Par contre, il y a un problème de chargement des images car les liens sont en HTTP et non en HTTPS, ce qui pose problème sur les webmail.
En effet, cela charge du contenu mixte, c'est à dire non sécurisé sur un site sécurisé.

Phishing malveillant Chronopost

Le lien mène https://bit.ly/3HHFyOy ce qui normalement doit déjà mettre à la puce à l'oreille des internautes concernant la véracité du mail.

Phishing malveillant Chronopost

Le lien bitly mène à un service d'hébergement filetransfert.io :

https://filetransfer.io/data-package/NzW3Zzyf/download
Lien malveillant bitly dans un faux mail Chronopost

Cela mène à un fichier Colis_____FR2882902991J01.js détecté en Trojan:Win32/Wacatac.B!ml
Les détections données sur VirusTotal sont relativement bonnes permettant de bloquer la chaîne malveillant dès son origine :

https://www.virustotal.com/gui/file/e35e763776db94920d9bbe44934692e656adf18a5f20f3911688ff95c2cd40b3
Détection : 18 / 57
e35e763776db94920d9bbe44934692e656adf18a5f20f3911688ff95c2cd40b3
Colis_____FR2882902991J01.js 13.53 KB

Exploit.HTML-PowerShell.Gen ALYac
Heur.BZC.UGZ.Boxter.1.13AE875D
Arcabit Exploit.HTML-PowerShell.Gen
Avast Script:SNH-gen [Trj]
AVG Script:SNH-gen [Trj]
BitDefender Exploit.HTML-PowerShell.Gen
Emsisoft Exploit.HTML-PowerShell.Gen (B)
eScan Exploit.HTML-PowerShell.Gen
ESET-NOD32 JS/Agent.QLX
FireEye Exploit.HTML-PowerShell.Gen
GData Heur.BZC.UGZ.Boxter.1.13AE875D
Kaspersky HEUR:Trojan-Downloader.Script.Generic
Lionic Trojan.Script.Generic.a!c MAX
Malware (ai Score=84) 
Microsoft Trojan:Script/Sabsik.FL.B!ml N
ANO-Antivirus Trojan.Script.Heuristic-js.iacgm
Symantec Trojan.Gen.NPE Tencent
Win32.Exploit.Html.Llrc
Trojan:Win32/Wacatac.B!ml détecté par Windows Defender sur Colis_____FR2882902991J01.js

Ce dernier est un Script VBS qui télécharge et exécute un autre malware via une commande PowerShell d'où la détection Trojan.Script ou Exploit.HTML-PowerShell.
Le malware téléchargé se trouve sur un site WordPress hacké :

https://cursosinf.webs.upv.es/wp-includes/css/dist/nux/windows11.txt
Trojan.Script ou Exploit.HTML-PowerShell pour télécharger et installer un Trojan RAT

Le fichier PowerShell mène vers la charge utile, un Trojan RAT lui aussi écrit en PowerShell.
Ce dernier s'installe dans C:\Users\Public\windows11.PS1 :

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" "-Command" "if((Get-ExecutionPolicy ) -ne 'AllSigned') { Set-ExecutionPolicy -Scope Process Bypass }; & 'C:\Users\Public\windows11.PS1'"

Le centre de contrôle se trouve sur l'IP 185.81.157.136 qui se trouve en France :

AS      | IP               | BGP Prefix          | CC | Registry | Allocated  | AS Name
198375  | 185.81.157.136   | 185.81.156.0/22     | FR | ripencc  | 2014-12-17 | INU-AS, FR
Trojan RAT en Powershell

Notamment il effectue des POST sur l'URL http://185.81.157.136:1188/Vre
Il s'agit d'un VPS chez un hébergeur Français Inulogic, tout comme dans ce lien : Faux mail Chronopost et virus

La connexion du Trojan RAT vers le serveur de contrôle

Les détections sont très mauvaises puisque seulement 5 antivirus le détectent :

https://www.virustotal.com/gui/file/aca6c2ad07c13183bd708115f215a27993e95532d920ca259646e11a74820d9a

aca6c2ad07c13183bd708115f215a27993e95532d920ca259646e11a74820d9a
windows11.ps1
4.84 KB Size
2021-11-22 17:43:03 UTC 16 hours ago
calls-wmi checks-network-adapters detect-debug-environment direct-cpu-clock-access powershell runtime-modules url-

Avast SNH:Script [Dropper]
AVG SNH:Script [Dropper]
DrWeb Trojan.DownLoader41.16791
ESET-NOD32 PowerShell/Agent.WH
Détection du Trojan RAT en PowerShell

Enfin pour se rendre actif au démarrage, le malware créé un fichier Shell:Startup\Windows10December.vbs.
Ce dernier a simplement pour objectif d'exécuter le Trojan RAT au démarrage de Windows.

Set OBB = CreateObject("WScript.Shell")
OBB.Run "PowerShell -ExecutionPolicy RemoteSigned -File "+"C:\Users\Public\windows11.PS1",0
Le Trojan PowerShell s'installe au démarrage de Windows

On voit donc Windows10December.vbs dans la liste des programmes au démarrage de Windows.

Le Trojan PowerShell s'installe au démarrage de Windows

La détection de ce dernier est vierge sur VirusTotal, aucun antivirus ne le détecte.
Après il ne s'agit que de deux lignes de code pour exécuter un autre script =)

Aucune détection antivirus sur le fichier VBS

Si vous avez été touché par ce malware, le plus simple est de venir se faire désinfecter sur le forum du site (c'est gratuit).
Eventuellement suivre ce tutoriel :

Enfin lorsque vous recevez un mail suivez les recommandations de mon article : Le phishing ou hameçonnage par mail

L’article Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT est apparu en premier sur malekal.com.

Faux mail Chronopost et virus

14 septembre 2016 à 15:15

Les mails de phishing se faisant passer pour Chronopost commence à arriver.
Ils sont plus ou moins bien conçus menant parfois à du phishing classique pour récupérer des mots de passe.
Dans cet exemple, il s'agit d'un mail menant à un trojan RAT.

Faux mail Chronopost et virus

Faux mail Chronopost et virus

Vu passer un mail malicieux Chronopost, qui est d'ailleurs de plus en plus utilisé comme source de SPAM malveillant ou non.
Du pur classique qui pointe vers un VPS Français.

Phishing Chronopost menant à un Trojan RAT

Le lien malveillant conduit à une adresse entre gov.php qui n'a rien à voir avec les services Chronopost :

Phishing Chronopost menant à un Trojan RAT

et qui sans surprise mène à un exécutable malveillant : http://bwc.dole.gov.ph/abx/Chronopost-Colis.exe

Mail Chronopost menant à un malware Chronopost-colis.exe
bwc.dole.gov.ph has address 112.199.100.77

inetnum: 112.199.0.0 - 112.199.127.255
netname: ETPI
descr: Eastern Telecom Philippines Inc.
country: PH
admin-c: RC536-AP

La détection VirusTotal de l'exécutable :

SHA256:ea3049624ea76ac35126a973df1a941ce67f1262af775a161a8be2f67dc7f9a5
Nom du fichier :Chronopost-Colis.exe
Ratio de détection :7 / 57
Date d'analyse :2016-09-14 12:36:37 UTC (il y a 1 minute)
AntivirusRésultatMise à jour
CrowdStrike Falcon (ML)malicious_confidence_96% (D)20160725
Invinceavirus.win32.sality.at20160912
KasperskyHEUR:Packed.NSIS.MyxaH.gen20160914
McAfee-GW-EditionBehavesLike.Win32.Ransom.dc20160914
Qihoo-360HEUR/QVM42.0.0000.Malware.Gen20160914
RisingMalware.Heuristic!ET (rdm+)20160914
SUPERAntiSpywareTrojan.Agent/Gen-Kovter20160914

Le mail est envoyé depuis une adresse [email protected] à partir d'une machine 185.81.157.168 (VPS - Inulogic Virtual Private Servers) :

mail_malicieux_chronopost_3

Un malware qui va aller farfouiller dans les profils des navigateurs WEB pour voler des mots de passe WEB.

Trojan Malware Stealer

Le malware référence l'adresse resultip.ddns.net - encore un VPS chez Inulogic.

Trojan Malware Stealer

Quelques jours après.... :

Toujours d'actualité,  avec toujours un VPS Inulogic : 185.81.157.217
L'attaquant utilise toujours TeamViewer.

Trojan RAT par mail chronopost

Virus Chronopost par mail : Trojan:Win32/Wacatac.B!ml et Trojan RAT

Un autre mail similaire dont le malware se connecte aussi à un VPS Inulogic laissant passer qu'il s'agit du même acteur.

Comment éviter les virus par mail Chronopost

Enfin lorsque vous recevez un mail suivez les recommandations de mon article :

L’article Faux mail Chronopost et virus est apparu en premier sur malekal.com.

❌