Compufly - Un mail infecté

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
Malchance
newbie
newbie
Messages : 8
Inscription : 07 oct. 2015 13:58

Compufly - Un mail infecté

Message par Malchance » 22 avr. 2018 14:02

Bonjour à tous :)

Type du virus : compufly. Pas très sophistiqué, mais « personnalisé ».
Une PJ en mail et, si l'on clique dessus, et on se retrouve sur une interface avec login et psw, avec, pour fond d'écran le fameux message « Votre ordinateur est infecté... » et un numéro à appeler. Il ne se lance pas avec l'OS, contrairement à Compufly.

J'ai fait le test sous Linux. Créé un compte user sans privilège, et déployé Tor là-dedans, pour tester ce lien. Tor ne voulait pas y accéder - normal. Testé avec Firefox : c'est là que j'ai compris de quoi il retournait. Et j'ai viré ce compte user;)

Le lien (volontairement cassé par moi) :
http : // www. rpba4s5j. troubled-him.gq/necxc/gpthf19rbrjpcm/kyptr

J'ai même le header du mail, mais quel intérêt ?

Ce qui m'inquiète, c'est qu'il a l'air « personnalisé ». Le mail affiche une signature portant le nom de l'entreprise. Or, les expéditeurs (à leur insu) l'envoient aux mails personnels des gens travaillant dans cette boîte.

Selon moi : une boîte mail personnelle a été piratée. Le type a lu des échanges avec l'entreprise, et adapté la signature du mail infecté à une organisation bien précise. D'autres aussi, sans doute. Est-ce plausible ?

De toute façon, un jour ou l'autre, sur plusieurs postes de la boîte, des gens vont ouvrir leur messagerie personnelle… et infecter le parc.

Ma question : ai-je raison de suggérer une désinfection des bécanes persos des gens de ce service ? Pour celles de la boîte, on s'en occupera. Mais pour les ordis personnels, ça va tousser. Ai-je bien raison, de suggérer cette désinfection des ordis personnels ?

Merci ;)




Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90871
Inscription : 10 sept. 2005 13:57
Contact :

Re: Compufly - Un mail infecté

Message par Malekal_morte » 22 avr. 2018 17:38

Salut,

Peux-tu une capture d'écran.
Les informations sur les expéditeurs, ça peut se récupérer

Il y a combien de postes ?
Quel antivirus installés ?
C'est des BAL type exchange ou en ligne type gmail ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malchance
newbie
newbie
Messages : 8
Inscription : 07 oct. 2015 13:58

Re: Compufly - Un mail infecté

Message par Malchance » 22 avr. 2018 21:10

Bonsoir :)

J'ai une capture d'écran. Et le header du mail. Je cache les données personnelles, ou pas ? Nom, identifiants des bals, etc ?
Sur l'hébergement des rapports et capture de SecurityX, il y a moyen de mettre un mot de passe.
Je le fais ?

Sur site : une bonne trentaine de postes. Le département, alors là, il me faut consulter les référentiels. A trois postes par centre, pour 40 centres à peu près, plus ceux temporaires pour les inscriptions.

Antivirus de Microsoft. MS Security essential, Windows Defender. OS : Win 7 et Win 10. Il doit même rester une bécane en XP.

Les bals officelles sont sur Office365. Celles personnelles, de tout : gmail, Oranger, SFR... Pour simplifier, on a éliminé les courielleurs, à l'exception de Thunderbird. La pression : simplifiez...

Voilà : c'est fait.
Capture :
https://up.security-x.fr/file.php?h=Rd4 ... 98ecf8427e

Header :

https://up.security-x.fr/file.php?h=Rd4 ... 98ecf8427e
Mot de passe en MP.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90871
Inscription : 10 sept. 2005 13:57
Contact :

Re: Compufly - Un mail infecté

Message par Malekal_morte » 22 avr. 2018 22:42

Je n'arrive pas à lire les captures.
Tu ne peux pas bloquer l'URL ou le domaine de l'URL ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malchance
newbie
newbie
Messages : 8
Inscription : 07 oct. 2015 13:58

Re: Compufly - Un mail infecté

Message par Malchance » 23 avr. 2018 08:51

Flûte !
Moi non plus, je n'arrive pas à les lire :/
Où dois-je les mettre en ligne ?
ci-joint.com , pas très discret...


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90871
Inscription : 10 sept. 2005 13:57
Contact :

Re: Compufly - Un mail infecté

Message par Malekal_morte » 23 avr. 2018 10:19

https://pjjoint.malekal.com
tu peux mettre un mot de passe
sinon tu fais un zip avec un mot de passe que tu peux mettre en pièce jointe dans un nouveau message avec l'éditeur avancé.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malchance
newbie
newbie
Messages : 8
Inscription : 07 oct. 2015 13:58

Re: Compufly - Un mail infecté

Message par Malchance » 23 avr. 2018 12:19


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90871
Inscription : 10 sept. 2005 13:57
Contact :

Re: Compufly - Un mail infecté

Message par Malekal_morte » 23 avr. 2018 12:58

C'est envoyé d'une machine brésilienne : 208.84.243.40
via 90.91.105.185
X-me-spamlevel: not-spam
X-ME-Helo: if03-mail-sr03-mia.mta.terra.com
X-ME-IP: 208.84.243.40
X-ME-Entity: ofr
Received: from mail-out-cmgw05-mia.tpn.terra.com (unknown [10.235.200.120])
by mail-sr03-mia.tpn.terra.com (Postfix) with ESMTP id 9750C2002223
for <xxxx@orange.fr>; Thu, 19 Apr 2018 17:12:28 +0000 (UTC)
Received: from [12.172.120.2] ([190.91.105.185])
by cmsmtp with SMTP
id 9D6UfMFqCrzP49D6bfUbQp; Thu, 19 Apr 2018 17:12:28 +0000
X-Auth: fabiop.sul@terra.com.br
Pas grand chose à faire.
Classe le en spam, essaye de bloquer l'URL du site, si tu as ce qu'il faut pour.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Malchance
newbie
newbie
Messages : 8
Inscription : 07 oct. 2015 13:58

Re: Compufly - Un mail infecté

Message par Malchance » 23 avr. 2018 21:53

Bonsoir.

Merci pour les infos. Six machines sont en scan MBAM et Eset online. Je vais voir les résultats sous Team : j'avais rendez-vous, après.

La capture suivante a été prise ce soir, sous Linux (un compte user, bien sûr) :
Image

En root, j'ai scanné son profil, avec clamscan. Il ne dit absolument rien. Pas même lancé sur le dossier /home/aplha-1/.mozilla
Pour en sortir, je tue le processus du navigateur. Puis je le relance, et hop ! Firefox redémarre sur cette page. Même topo.

Clamav... pas très performant, apparemment ?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 90871
Inscription : 10 sept. 2005 13:57
Contact :

Re: Compufly - Un mail infecté

Message par Malekal_morte » 23 avr. 2018 22:25

Non clamav ne détectera pas ces pages.
Le problème est qu'il y a une rotation des URLs... eventuellement, le code des pages peut aussi changer.
Bref faut les suivre et faire en fonction.
Après ça n'a rien de nouveau, voir : d'arnaque de support téléphonique
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »