Trojan Fake Police / Virus Gendarmerie

Nationale : violation de la loi franaise

Par

malekalmorte

11 dcembre 2011

-

Pour tout besoin daide, poster sur le forum et non en commentaire de ce billet, aucune

aide ne sera donne en commentaire, ce nest pas adequate :

http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.html

On continue avec ces malwares Trojan.Winlock / Trojan.Ransomware : Virus Police qui font

des ravages :

http://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/

http://www.malekal.com/2011/12/08/trojan-winlock-tropan-ransomware-virus-police-

suite/

Il semblerait que ces derniers comme je lavais indiqu dans le premier billet se propagent par

des Malvertising sur les sites de streaming (EDIT confirm).

Viser les sites de streaming nest pas une surprise contenu de la nature du malware et par le

fait que les sites de streaming attirent beaucoup de monde (maximation des profits)

Si vous avez t infect, cest que votre systme est vulnrable aux exploits sur site

WEB - Cela signifie que vous ne maintenez pas jour vos logiciels et contiennent des

vulnrabilits qui permettent linfection de votre systme la simple visite dun site. Dans notre cas, cest via des publicits pourries (malvertising) sur les sites de streaming.

La version franaise existe sous 3 formes et est diffrente selon la version de Windows la

procdure de dsinfection est diffrente selon la variante :

Windows XP : dans tous les cas, le fichier C:Windowsexplorer.exe a t remplac par

une version malicieuse. De ce fait, tout dmarrage (mode normal, sans chec) arrivera

sur le message du virus. Seule linvite de commandes est disponible et permet

quelques manipulations.

Windows Vista/Seven : deux formes.

o Le mode sans chec est disponibel : version facile il suffit daller en mode sans

chec avec prise en charge du rseau et de scanner avec Malwarebyte :

http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php ou

RogueKiller avec loption Suppression.

o Une autre forme qui modifie la clef Shell pour faire pointer sur un fichier

C:Windowsexpl?rer.exe (au lieu de C:Windowsexplorer.exe), laffichage par

lditeur du registre Windows (regedit) ne permet pas de distinguer quel est le

fichier qui est mentionn dans la clef Shell, dans tous les cas vous aurez

explorer.exe. Se reporter la page :

http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/http://www.malekal.com/author/malekalmorte/http://forum.malekal.com/virus-aide-malwares-vers-trojans-spywares-hijack.htmlhttp://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/http://www.malekal.com/2011/11/30/trojan-winlock-tropan-ransomware-virus-police/http://www.malekal.com/2011/12/08/trojan-winlock-tropan-ransomware-virus-police-suite/http://www.malekal.com/2011/12/08/trojan-winlock-tropan-ransomware-virus-police-suite/http://www.malekal.com/2011/12/12/virus-police-virus-bundespolizei-malvertising-de-clicksor-com-sur-streaming/http://forum.malekal.com/les-exploits-sur-les-sites-web-pieges-t3563.htmlhttp://forum.malekal.com/les-exploits-sur-les-sites-web-pieges-t3563.htmlhttp://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.htmlhttp://www.malekal.com/tutorial_MalwareBytes_AntiMalware.phphttp://forum.malekal.com/apres-roguekiller-t33099.html

http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicode-

powa/ pour la dsinfection de cette forme.

Voici le message :

This image has been resized. Click this bar to view the full image. The original image is

sized 1027x764px.

This image has been resized. Click this bar to view the full image. The original image is

sized 1023x767px.

http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicode-powa/http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicode-powa/

Comme vous pouvez le constater, cette version est plus soigne.

On a un logo Gendarmerie Nationale.

EDITION MIS JANVIER :

Une nouvelle variante, plus facile dsinfecter est maintenant en propagation. Le message est

diffrent.

Vous trouvez une procdure sur cette page : http://www.malekal.com/2012/01/10/virus-

gendarmerie-activite-illicite-demelee/

Si vous avez cette variante, suivre donc la procdure plus haut, notez que la procdure donne

plus bas, notamment la restauration du systme fonctionne aussi.

Il est important de mettre jour ses programmes, les programmes non jour contiennent des

vulnrabilits qui permettent linfection de votre systme.

This image has been resized. Click this bar to view the full image. The original image is

sized 1144x802px.

http://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/http://www.malekal.com/2012/01/10/virus-gendarmerie-activite-illicite-demelee/

Pour la version Virus Gema se reporter la page

: http://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/

This image has been resized. Click this bar to view the full image. The original image is

sized 1026x766px.

http://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/http://www.malekal.com/2012/02/02/virus-gema-lacces-a-votre-ordinateur-a-ete-ferme/

Pour la version ci-dessous, se reporter ce lien : http://www.malekal.com/2012/03/12/votre-

ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/

This image has been resized. Click this bar to view the full image. The original image is

sized 1024x647px.

http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/http://www.malekal.com/2012/03/12/votre-ordinateur-est-bloque-en-raison-du-delit-de-la-loi-france/

Pour le virus Sacem / Police Nationale, se rendre sur cette page :

http://www.malekal.com/2012/03/13/virus-sacem-police-nationale/

This image has been resized. Click this bar to view the full image. The original image is

sized 1028x766px.

http://www.malekal.com/2012/03/13/virus-sacem-police-nationale/

Pour la variante Police Nationale, se rendre sur cette page

: http://www.malekal.com/2012/03/31/police-nationale-votre-systeme-windows-a-ete-bloque/

This image has been resized. Click this bar to view the full image. The original image is

sized 800x600px.

http://www.malekal.com/2012/03/31/police-nationale-votre-systeme-windows-a-ete-bloque/

Dsinfection Virus Gendarmerie Nationale

Voici la procdure de dsinfection, linfection est diffrente si vous tes sur Windows XP par

rapport Windows Vista/Seven.

du fait que sur Windows XP le fichier systme explorer.exe est remplac, ce qui nest pas le

cas sur Windows Vista et Seven.

Dsinfection Windows Vista/Seven

Dans un premier temps, vrifiez si avez la main en mode sans chec avec prise en charge du

rseau : Au dmarrage de lordinateur, aprs le premier cran et avant le logo Windows, juste

au changement dcran, tapotez sur F8 pour obtenir les menu de dmarrage et choisissez

mode sans chec avec prise en charge du rseau.

Si cest le cas :

Tlchargez RogueKiller, lancez un scan puis cliquez droite sur Suppression.

Tlchargez et installer Malwarebyte Anti-Malware :

o Mettez les dfinitions virales jour

o Lancer un scan.

o Lorsque le scan est termin, slectionnez les dtections et faites Supprimer

slection pour mettre en quarantaine les lments malicieux dtects.

http://forum.malekal.com/roguekiller-t29444.htmlhttp://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/

Redmarrez lordinateur en mode normal et regardez ce que cela donne.

Si le PC est dsinfect, mettez jour tous vos programmes qui ne le sont pas et qui

contiennent des vulnrabilits permettant linfection de votre PC la simple visite dun site

WEB (voir paragraphe tout la fin de ce billet).

Si vous navez pas la main en mode sans chec, se reporter la page :

http://www.malekal.com/2012/02/09/virus-gendarmerie-sur-seven-unicode-powa/

Dsinfection Windows XP

Cette procdure est spciale pour Windows XP, a ne doit pas fonctionner pour Windows

Vista et Seven cause de lUAC (si lUAC est dsactiv cest mal - a doit marcher).

Cest un peu compliqu expliquer avec des mots alors jai fait une vido. Les tapes :

Pouvoir accder aux fichiers comme expliqu avec lastuce donne dans la vido ci-

dessous

Aller renommer explorer.exe en ce que vous voulez.

Chercher le fichier twexx32.dll, le renommer en explorer.exe

Redmarre lordinateur

Si aucun explorer.exe nest restaur, vous aurez votre fond dcran ce qui permet daller

tlcharger un explorer.exe (voir la fin de la procdure gnrale).

Le bmol : Si un explorer.exe trop vieux est remis, a peux gnrer des plantages.

Aprs avoir renomm le explorer.exe comme indiqu dans la vido suivante, il faut faire un

reset pour redmarrer lordinateur, comme on a accs rien, on peux pas dire Windows de

redmarrer.

Windows XP: Restaurer explorer en invites de commandes en mode sans

chec

Au dmarrage de lordinateur, aprs le premier cran et avant le logo Windows, juste au

changement dcran, tapotez sur F8 pour obtenir les menu de dmarrage et choisissez invite

de commandes en mode sans chec

Sur la fentre cmd.exe tapez la commande copy c