Trojan Wacatac: est-ce un faux positif et si oui, que faire ? [résolu]

[vitalis02]

Bonjour,

J’ai depuis ce matin une alerte Trojan:Script/Wacatac.B!ml de Windows Defender quand j’essaie d’ouvrir un fichier de travail sur lequel je travaille déjà depuis plusieurs jours (et en lequel j’ai entière confiance). Le logiciel dans lequel j’ouvre normalement ce fichier (SDL Trados Studio) refuse de l’ouvrir. On voit bien le nom du logiciel sous « processus » dans le rapport de FRST, et l’alerte concerne des fichiers zip dans le dossier Temp de AppData.

J’ai procédé à l’instant à la mise à jour de Windows 10.
J’ai fait une analyse sur Virustotal, rien n’a été détecté.

Je viens de faire l’analyse FRST dont voici les rapports :

https://pjjoint.malekal.com/files.php?i ... 1n6q9p13w6
https://pjjoint.malekal.com/files.php?i ... 0y9s5f13s7
https://pjjoint.malekal.com/files.php?i ... x7s6r5w5i6

Il est très urgent que je puisse reprendre le travail sur ce fichier, je vous remercie par avance de m’aider à remettre tout en ordre... merci !

[Malekal_morte]

Bonjour,

Ouaip tu as des alertes Trojan:Script/Wacatac.B!ml dans des fichiers ZIP se trouvant dans le dossier TEMP.
Peut-être que SDL Trados Studio tente de se mettre à jour.

C'est bien une version officielle ? Pas de cracks ?

Code : Tout sélectionner

Date: 2021-02-18 10:47:35
Description: 
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Script/Wacatac.B!ml
ID : 2147735503
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\SylvainLeray\AppData\Local\Temp\unh3idyd.d0i.zip
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Utilisateur : AzureAD\SylvainLeray
Nom du processus : C:\Program Files (x86)\SDL\SDL Trados Studio\Studio15\SDLTradosStudio.exe
Version de la veille de sécurité : AV: 1.331.1281.0, AS: 1.331.1281.0, NIS: 1.331.1281.0
Version du moteur : AM: 1.1.17800.5, NIS: 1.1.17800.5

Date: 2021-02-18 10:29:05
Description: 
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Script/Wacatac.B!ml
ID : 2147735503
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\SylvainLeray\AppData\Local\Temp\4lwmf0gq.udc.zip
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Utilisateur : AzureAD\SylvainLeray
Nom du processus : C:\Program Files (x86)\SDL\SDL Trados Studio\Studio15\SDLTradosStudio.exe
Version de la veille de sécurité : AV: 1.331.1281.0, AS: 1.331.1281.0, NIS: 1.331.1281.0
Version du moteur : AM: 1.1.17800.5, NIS: 1.1.17800.5

Date: 2021-02-18 10:28:26
Description: 
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Pour plus d’informations, reportez-vous aux éléments suivants :
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Script/Wacatac.B!ml&threatid=2147735503&enterprise=0
Nom : Trojan:Script/Wacatac.B!ml
ID : 2147735503
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\SylvainLeray\AppData\Local\Temp\ksk4o25b.sgw.zip
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Utilisateur : AzureAD\SylvainLeray
Nom du processus : C:\Program Files (x86)\SDL\SDL Trados Studio\Studio15\SDLTradosStudio.exe
Version de la veille de sécurité : AV: 1.331.1281.0, AS: 1.331.1281.0, NIS: 1.331.1281.0
Version du moteur : AM: 1.1.17800.5, NIS: 1.1.17800.5

Date: 2021-02-18 10:24:02
Description: 
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Script/Wacatac.B!ml
ID : 2147735503
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\SylvainLeray\AppData\Local\Temp\dbt0vxiv.mcn.zip
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Utilisateur : AzureAD\SylvainLeray
Nom du processus : C:\Program Files (x86)\SDL\SDL Trados Studio\Studio15\SDLTradosStudio.exe
Version de la veille de sécurité : AV: 1.331.1281.0, AS: 1.331.1281.0, NIS: 1.331.1281.0
Version du moteur : AM: 1.1.17800.5, NIS: 1.1.17800.5

Date: 2021-02-18 10:20:06
Description: 
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
Nom : Trojan:Script/Wacatac.B!ml
ID : 2147735503
Gravité : Grave
Catégorie : Cheval de Troie
Chemin : file:_C:\Users\SylvainLeray\AppData\Local\Temp\hnkkok5n.4we.zip
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Utilisateur : AzureAD\SylvainLeray
Nom du processus : C:\Program Files (x86)\SDL\SDL Trados Studio\Studio15\SDLTradosStudio.exe
Version de la veille de sécurité : AV: 1.331.1281.0, AS: 1.331.1281.0, NIS: 1.331.1281.0
Version du moteur : AM: 1.1.17800.5, NIS: 1.1.17800.5

[vitalis02]

Merci pour la réponse rapide.
Pas de crack, version officielle.

Il y a une MàJ disponible pour le programme, je peux essayer de la faire et voir si le problème persiste ?
Est-ce que je peux ou dois restaurer les fichiers zip concernés pour les sortir de quarantaine ?

[Malekal_morte]

Vu que c'est OK sur Virustotal, désactive la protection Windows Defender et lance le soft.
Je pense que ça ne craint rien.

[vitalis02]

Merci encore !
Windows Defender désactivé, le fichier s’ouvre dans le soft concerné sans problème (je n’avais pas précisé, mais dans le même logiciel, d’autres fichiers s’ouvraient sans difficulté, visiblement il n’y avait que celui-là de concerné).

Donc maintenant, que faire pour pouvoir réactiver Defender et utiliser quand même mon programme ? Autoriser et restaurer les fichiers ?

[Malekal_morte]

Ajoute le soft en exception, voir : comment ajouter une exception sur Windows Defender.
Tu peux signaler le FP depuis ce lien : https://securitycenter.windows.com/

[vitalis02]

Super, merci beaucoup. J’ai créé une exclusion pour le processus du logiciel, tout fonctionne très bien maintenant.

[Malekal_morte]

De rien =)