Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Mail Malveillant

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Nappo
Messages : 2
Inscription : 28 juin 2019 10:15

Mail Malveillant

Message par Nappo »

Bonjour,

Je viens ici pour avoir de l'aide concernant une ouverture de PJ d'un mail visiblement malveillant
Pour l'histoire :

Ouverture de PJ ZIP avec un Fichier RTF et VBS dedans :
La pièce jointe « Capture_zip.PNG » n’est plus disponible
UN VB de presque 550Mo, Je l'ai réduit de son contenu vide pour pouvoir l'exploiter
Capture d'écran Zip recu
Capture d'écran Zip recu
Après analyse du fichier VB j'arrive a décoder la première variable ce qui donne :
Décode de la  1ere variable
Décode de la 1ere variable
Le PC a été déconnecté de tout réseau pour éviter les risques , maintenant j'aimerais savoir ce qu'il sait passé sur la machine,et vérifier si elle est bien corrompue ou non, et de le désinfecter, mes compétences en VB reste limités, c'est pour cela que je demande de l'aide.

Les scans virus total :
https://www.virustotal.com/gui/file/434 ... /detection : Le fichier
https://www.virustotal.com/gui/url/fc85 ... /detection : Le lien ou a été téléchargé le Zip

Merci aux personnes qui voudront bien m'aider

Cordialement,

Malekal_morte
Site Admin
Site Admin
Messages : 102811
Inscription : 10 sept. 2005 13:57
Contact :

Re: Mail Malveillant

Message par Malekal_morte »

Bonjour,

Difficile à dire car hxxps://mt.perceivingreality.info/edge.bin est down.
Donc ça ne télécharge pas le malware pour le lancer.
Il a été uploadé sur VirusTotal mais je n'ai pas de compte pour le télécharger.

Mais sur la détection, on trouve du Trojan:Win32/Gootkit chez Microsoft.
Il vise bien les entreprises.
https://www.malekal.com/trojan-gootkit/
viewtopic.php?t=51266
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Nappo
Messages : 2
Inscription : 28 juin 2019 10:15

Re: Mail Malveillant

Message par Nappo »

Merci pour ton retour,

Je vois plus une connexion refusée plutôt qu'un down du site

Pour vérifier qu'il ne s'est rien passé, si je comprend bien , je dois plus me pencher vers des services windows suspect et regarder mon registre ?

Cordialement,

Malekal_morte
Site Admin
Site Admin
Messages : 102811
Inscription : 10 sept. 2005 13:57
Contact :

Re: Mail Malveillant

Message par Malekal_morte »

Je ne peux pas répondre puisque le malware n'est plus en ligne.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

roubachof
Messages : 1
Inscription : 12 juil. 2019 17:41

Re: Mail Malveillant

Message par roubachof »

Bonjour,

La souche référencée sur Virus Total correspondant à l'url hxxps://mt.perceivingreality.info/edge.bin est bien une souche de Gootkit.

Pour savoir si votre PC est infecté, vous pouvez regarder si vous trouvez le loader ou dropper Gootkit sur votre PC. Sa méthode de persistance consiste à s'installer sous un nom pseudo-aléatoire dans le répertoire Temp de l'utilisateur courant, puis d'installer une "Pending GPO" qui le lancera via un fichier .inf. Il faut donc regarder les valeurs situées dans la clé de registre HKCU\Software\Microsoft\IEAK\GroupPolicy\PendingGPOs. Si vous trouvez une valeur qui référence un fichier .inf situé dans un répertoire de profil d'utilisateur (quelque chose comme \users\utilisateur\AppData\Local\Temp\xxxxxxx.inf) et que vous trouvez le .inf et le .exe correspondant alors c'est que vous êtes infecté. Dans ce cas vous devez avoir deux process du nom de l'exécutable qui tournent. Le premier correspond au loader et le second à la payload qu'il aura téléchargée puis injectée dans un second process de lui-même via process hollowing (le premier process doit occuper environ 300Ko en mémoire et le second un peu plus de 5Mo). La payload est sauvegardée chiffrée, compressée et saucissonnée dans le registre dans des noms de valeurs aléatoires mais suffixées d'un nombre sur deux digits. Les valeurs se trouvent sous la clé HKCU\Software\AppDataLow.

Si vous trouvez ces éléments, il faut supprimer le fichier .inf ainsi que le fichier .exe correspondant, et éventuellement supprimer la pending GPO ainsi que les valeurs contenues sous HKCU\Software\AppDataLow. Le principal étant de supprimer l'exécutable.

Si vous disposez toujours de la pièce jointe reçue contenant le fichier RTF et le fichier VBS, ainsi éventuellement que du mail, je suis intéressé par ces éléments.

Cordialement,

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »