Trojan Fake Police / Virus Gendarmerie Nationale ...· l’éditeur du registre Windows (regedit)

download Trojan Fake Police / Virus Gendarmerie Nationale ...· l’éditeur du registre Windows (regedit)

of 16

  • date post

    14-Sep-2018
  • Category

    Documents

  • view

    219
  • download

    0

Embed Size (px)

Transcript of Trojan Fake Police / Virus Gendarmerie Nationale ...· l’éditeur du registre Windows (regedit)

  • Trojan Fake Police / Virus Gendarmerie

    Nationale : violation de la loi franaise

    Par

    malekalmorte

    11 dcembre 2011

    -

    Pour tout besoin daide, poster sur le forum et non en commentaire de ce billet, aucune

    aide ne sera donne en commentaire, ce nest pas adequate :

    http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

    On continue avec ces malwares Trojan.Winlock / Trojan.Ransomware : Virus Police qui font

    des ravages :

    http://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/

    http://www.malekal.com/2011/12/08/trojan-winlock-tropan-ransomware-virus-police-

    suite/

    Il semblerait que ces derniers comme je lavais indiqu dans le premier billet se propagent par

    des Malvertising sur les sites de streaming (EDIT confirm).

    Viser les sites de streaming nest pas une surprise contenu de la nature du malware et par le

    fait que les sites de streaming attirent beaucoup de monde (maximation des profits)

    Si vous avez t infect, cest que votre systme est vulnrable aux exploits sur site

    WEB - Cela signifie que vous ne maintenez pas jour vos logiciels et contiennent des

    vulnrabilits qui permettent linfection de votre systme la simple visite dun site. Dans notre cas, cest via des publicits pourries (malvertising) sur les sites de streaming.

    La version franaise existe sous 3 formes et est diffrente selon la version de Windows la

    procdure de dsinfection est diffrente selon la variante :

    Windows XP : dans tous les cas, le fichier C:Windowsexplorer.exe a t remplac par

    une version malicieuse. De ce fait, tout dmarrage (mode normal, sans chec) arrivera

    sur le message du virus. Seule linvite de commandes est disponible et permet

    quelques manipulations.

    Windows Vista/Seven : deux formes.

    o Le mode sans chec est disponibel : version facile il suffit daller en mode sans

    chec avec prise en charge du rseau et de scanner avec Malwarebyte :

    http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php ou

    RogueKiller avec loption Suppression.

    o Une autre forme qui modifie la clef Shell pour faire pointer sur un fichier

    C:Windowsexpl?rer.exe (au lieu de C:Windowsexplorer.exe), laffichage par

    lditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

    fichier qui est mentionn dans la clef Shell, dans tous les cas vous aurez

    explorer.exe. Se reporter la page :

    http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/http://www.malekal.com/author/malekalmorte/http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.htmlhttp://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/http://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/http://www.malekal.com/2011/12/08/trojan-winlock-tropan-ransomware-virus-police-suite/http://www.malekal.com/2011/12/08/trojan-winlock-tropan-ransomware-virus-police-suite/http://www.malekal.com/2011/12/12/virus-police-virus-bundespolizei-malvertising-de-clicksor-com-sur-streaming/http://forum.malekal.com/les-exploits-sur-les-sites-web-pieges-t3563.htmlhttp://forum.malekal.com/les-exploits-sur-les-sites-web-pieges-t3563.htmlhttp://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.htmlhttp://www.malekal.com/tutorial_MalwareBytes_AntiMalware.phphttp://forum.malekal.com/apres-roguekiller-t33099.html

  • http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicode-

    powa/ pour la dsinfection de cette forme.

    Voici le message :

    This image has been resized. Click this bar to view the full image. The original image is

    sized 1027x764px.

    This image has been resized. Click this bar to view the full image. The original image is

    sized 1023x767px.

    http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicode-powa/http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicode-powa/

  • Comme vous pouvez le constater, cette version est plus soigne.

    On a un logo Gendarmerie Nationale.

    EDITION MIS JANVIER :

    Une nouvelle variante, plus facile dsinfecter est maintenant en propagation. Le message est

    diffrent.

    Vous trouvez une procdure sur cette page : http://www.malekal.com/2012/01/10/virus-

    gendarmerie-activite-illicite-demelee/

    Si vous avez cette variante, suivre donc la procdure plus haut, notez que la procdure donne

    plus bas, notamment la restauration du systme fonctionne aussi.

    Il est important de mettre jour ses programmes, les programmes non jour contiennent des

    vulnrabilits qui permettent linfection de votre systme.

    This image has been resized. Click this bar to view the full image. The original image is

    sized 1144x802px.

    http://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/http://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/

  • Pour la version Virus Gema se reporter la page

    : http://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/

    This image has been resized. Click this bar to view the full image. The original image is

    sized 1026x766px.

    http://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/http://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/

  • Pour la version ci-dessous, se reporter ce lien : http://www.malekal.com/2012/03/12/votre-

    ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/

    This image has been resized. Click this bar to view the full image. The original image is

    sized 1024x647px.

    http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/

  • Pour le virus Sacem / Police Nationale, se rendre sur cette page :

    http://www.malekal.com/2012/03/13/virus-sacem-police-nationale/

    This image has been resized. Click this bar to view the full image. The original image is

    sized 1028x766px.

    http://www.malekal.com/2012/03/13/virus-sacem-police-nationale/

  • Pour la variante Police Nationale, se rendre sur cette page

    : http://www.malekal.com/2012/03/31/police-nationale-votre-systeme-windows-a-ete-bloque/

    This image has been resized. Click this bar to view the full image. The original image is

    sized 800x600px.

    http://www.malekal.com/2012/03/31/police-nationale-votre-systeme-windows-a-ete-bloque/

  • Dsinfection Virus Gendarmerie Nationale

    Voici la procdure de dsinfection, linfection est diffrente si vous tes sur Windows XP par

    rapport Windows Vista/Seven.

    du fait que sur Windows XP le fichier systme explorer.exe est remplac, ce qui nest pas le

    cas sur Windows Vista et Seven.

    Dsinfection Windows Vista/Seven

    Dans un premier temps, vrifiez si avez la main en mode sans chec avec prise en charge du

    rseau : Au dmarrage de lordinateur, aprs le premier cran et avant le logo Windows, juste

    au changement dcran, tapotez sur F8 pour obtenir les menu de dmarrage et choisissez

    mode sans chec avec prise en charge du rseau.

    Si cest le cas :

    Tlchargez RogueKiller, lancez un scan puis cliquez droite sur Suppression.

    Tlchargez et installer Malwarebyte Anti-Malware :

    o Mettez les dfinitions virales jour

    o Lancer un scan.

    o Lorsque le scan est termin, slectionnez les dtections et faites Supprimer

    slection pour mettre en quarantaine les lments malicieux dtects.

    http://forum.malekal.com/roguekiller-t29444.htmlhttp://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

  • Redmarrez lordinateur en mode normal et regardez ce que cela donne.

    Si le PC est dsinfect, mettez jour tous vos programmes qui ne le sont pas et qui

    contiennent des vulnrabilits permettant linfection de votre PC la simple visite dun site

    WEB (voir paragraphe tout la fin de ce billet).

    Si vous navez pas la main en mode sans chec, se reporter la page :

    http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicode-powa/

    Dsinfection Windows XP

    Cette procdure est spciale pour Windows XP, a ne doit pas fonctionner pour Windows

    Vista et Seven cause de lUAC (si lUAC est dsactiv cest mal - a doit marcher).

    Cest un peu compliqu expliquer avec des mots alors jai fait une vido. Les tapes :

    Pouvoir accder aux fichiers comme expliqu avec lastuce donne dans la vido ci-

    dessous

    Aller renommer explorer.exe en ce que vous voulez.

    Chercher le fichier twexx32.dll, le renommer en explorer.exe

    Redmarre lordinateur

    Si aucun explorer.exe nest restaur, vous aurez votre fond dcran ce qui permet daller

    tlcharger un explorer.exe (voir la fin de la procdure gnrale).

    Le bmol : Si un explorer.exe trop vieux est remis, a peux gnrer des plantages.

    Aprs avoir renomm le explorer.exe comme indiqu dans la vido suivante, il faut faire un

    reset pour redmarrer lordinateur, comme on a accs rien, on peux pas dire Windows de

    redmarrer.

    Windows XP: Restaurer explorer en invites de commandes en mode sans

    chec

    Au dmarrage de lordinateur, aprs le premier cran et avant le logo Windows, juste au

    changement dcran, tapotez sur F8 pour obtenir les menu de dmarrage et choisissez invite

    de commandes en mode sans chec

    Sur la fentre cmd.exe tapez la commande copy c