Crackonosh : winrmsrv.exe, winscomrssrv.dll et winlogui.exe

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Messages : 107565
Inscription : 10 sept. 2005 13:57

Crackonosh : winrmsrv.exe, winscomrssrv.dll et winlogui.exe

par Malekal_morte »

Dans un entrée de leur blog, Avast! présente un malware nommé Crackonosh.
On y apprend que ce dernier est un crypto-miner
Il créé en autre les fichiers suivants : winrmsrv.exe, winscomrssrv.dll et winlogui.exe


Les étapes de l'infection :
  • Tout d'abord, la victime exécute le programme d'installation du logiciel piraté.
  • Le programme d'installation exécute maintenance.vbs
  • Maintenance.vbs démarre ensuite l'installation à l'aide de serviceinstaller.msi
  • Serviceinstaller.msi enregistre et exécute serviceinstaller.exe, le principal exécutable du malware.
  • Serviceintaller.exe supprime StartupCheckLibrary.DLL.
  • StartupCheckLibrary.DLL télécharge et exécute wksprtcli.dll.
  • Wksprtcli.dll extrait le plus récent winlogui.exe et supprime winscomrssrv.dll et winrmsrv.exe qu'il contient, décrypte et place dans le dossier.
Il empêche l'exécution de certains outils comme FRST, Process Explorer, etc.
Enfin, il supprime il installe son propre MSASCuiL.exe qui place l'icône de Windows Security dans la barre d'état système.
Cela provoque des dysfonctionnements de l'affichage des sécurités de Windows.
Le but étant de désactiver Windows Defender.

D'après, l'éditeur de l'antivirus le nombre de visites depuis décembre 2020. Au total, plus de 222 000 appareils uniques.
Crackonosh-malware.png
Selon Avast, les systèmes les plus infectés par Crackonosh se trouvent aux Philippines (18448 systèmes touchés), au Brésil (16584), en Inde (13779), en Pologne (12727), France (7205 ) et aux États-Unis (11856).

Avast a détecté la présence de Crackonosh dans des versions piratées et cracks de :
• NBA 2K19
• Grand Theft Auto V
• Far Cry 5
• Les Sims 4 : Saisons
• Euro Truck Simulator 2
• Les Sims 4
• Jurassic World Evolution
• Fallout 4 GOTY
• Call of Cthulhu
• Pro Evolution Soccer 2018
• We Happy Few

Ce malware n'a rien de nouveau car il sévissait déjà sur les forums français en 2019 et Avast! indique ses premières appariations en 2018.
Il était effectivement assez actifs.
Exemple ici : W10 : Problème lors du démarrage : RunDLL error : Missing Startupchecklibrary.dll
En effet, il l'est toujours actif avec ce sujet plus récent : startupchecklibrary.dll - problème de démarrage [résolu]
Ajouté en Janvier 2020 sur supprimer-trojan : http://www.supprimer-trojan.com/startup ... brary-dll/

Source : https://decoded.avast.io/danielbenes/cr ... -software/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »