Détection Trojan Wacatac.B!ml par Windows Defender [résolu]

[rick]

Bonjour,
En cliquant comme un bleu pour télécharger un fichier, je me suis retrouvé avec un utilitaire qui m'aurait permis en théorie de prendre le fichier en question. J'ai tout de suite supprimé l'installeur mais quelques minutes après, une alerte Windows Defender.
Le Trojan:Script.Wacatac.B!ml dans le fichier C:\WINDOWS\sysWOW64\.exe vient d'être mis en quarantaine par Windows Defender. Aussitôt je le supprime.
J'ai quand même peur qu'il ait réussi à affecter mon ordinateur, je n'ai pourtant rien exécuté et il semble avoir été rapidement vu par WindowsDefender. Je ne comprends pas comment un fichier a pu se retrouver là, mais bref.
Malware Byte ne trouve rien, j'ai fait une analyse profonde avec l'outil de ESET qui n'a rien trouvé non plus, et l'analyse complète de Windows Defender n'a pas trouvé grand chose.
Malgré tout il y a deux trois erreurs FRST. J'aimerai être sur de ne pas avoir été affecté. Qu'en pensez-vous?
Les fichiers:
https://pjjoint.malekal.com/files.php?i ... 3l7d6p15o7
https://pjjoint.malekal.com/files.php?i ... 14n14z5v13
mdp: virusoupas

Merci

[Parisien_entraide]

Bonsoir

Je ne comprends pas ce qui t'étonnes.


Tu ne comprends pas que

Code : Tout sélectionner

F:\Setups\AfterEffect CC 2017\Crack\amtemu.v0.9.2-painter.rar"   

ou
(parce que ce n'est pas le premier)

Code : Tout sélectionner

M:\Setups\masterkreatif.com-din6x4.rar; file:_M:\Setups\masterkreatif.com-din6x4.rar->ADOBE_CC_V2015-XFORCE\Crack\Windows\xf-adobecc2015.exe

sont infectés ?

Étonnamment si on fait une recherche sur le premier on trouve des versions crackés (et c'est clairement indiqué)
Quant au deuxième : Le mot "CRACKS" est explicite

Alors la naïveté... et le "comme un bleu", heu..


Les programmes Autodesk et Adobe sont des programmes achetés ? (m'enfin j'ai la réponse vu les "block" dans le firewall

- Soit tu ne sais pas qu'un crack, cache à 99% une infection (on n'est plus dans les années 2000)
- Soit tu ne sais pas qu un Antivirus, peut détecter une infection : Lors d'un téléchargement, lors de l'exécution d'un programme, soit lors d'un scan du disque dur/SSD
Dans le dernier cas de figure, il peut ne rien détecter, puis lors d'un autre scan détecter une infection, du fait qu'il y a eu une mise à jour de sa base de données

Mais bon, vu ce qu'il y a sur ton disk, à l'avenir tu procéderas de la même façon pour un autre programme qui sera dans ton collimateur, jusqu'au jour ou l'anti virus ne verra rien et que tu te retrouveras avec un programme voleur de login et mot de passer doublé d'un ransomware
Ce n'est pas une prédiction c'est factuel (on le voit sur tous les forums)

[rick]

Oui c'est des trucs qui datent et que je n'utilise plus sur cet ordi.
C'est des setups qui ont circulé de disques en disques et que je n'ai pas pris le soin de cleaner.
Cet ordi je l'utilise plus que pour du jeu ou pour montrer des trucs mais faudrait le refaire à neuf j'avoue.
Quand je dis "comme un bleu" je ne veux pas sous-entendre que je ne suis plus un bleu, je parlais de la manière dont tout à commencer. Le truc du fichier exe qui veut s'installer pour télécharger autre chose (une rom NES d'un jeu que je veux rejouer sur cet ordi pour tout dire...)

En tout cas aujourd'hui je suis bien plus hygiénique (mais pas parfait pour autant je ne dis pas ca) et j'ai même mes licences sur mon ordi de travail.
Voilà pour l'histoire de ma vie, désolé si j'ai eu l'air arrogant.

[rick]

En tout cas ça:

- Soit tu ne sais pas qu un Antivirus, peut détecter une infection : Lors d'un téléchargement, lors de l'exécution d'un programme, soit lors d'un scan du disque dur/SSD
Dans le dernier cas de figure, il peut ne rien détecter, puis lors d'un autre scan détecter une infection, du fait qu'il y a eu une mise à jour de sa base de données

je ne savais pas non, pourtant ça me semble évident maintenant.
Les deux actions seraient alors décorrélées? (le téléchargement du fichier exe et la détection)

Du coup en ayant tout viré vous pensez que l'ordi est maintenant clean? Oui jusqu'au prochain scan mis à jour si j'ai bien compris?...

[Parisien_entraide]

Malekal ou Angélique te diront ce qu'il en est (actuellement clean ou pas) , mais effectivement un prochain scan "peut" afficher de nouvelles infections sur des fichiers en place depuis quelques temps
Après c'est Windows Defender.. Il a tendance au faux positif et sa détection PUA est assez agressive

Perso, le moindre programme qui sort des sentiers battus que j'utilise se retrouve bloqué soit au téléchargement, soit à l'installation
On y trouve souvent les outils sysinternals, Nirsoft... et pourtant concernant sysinternals, les programmes sont sous la coupe de Microsoft via son auteur Mark Russinovich
https://docs.microsoft.com/en-us/sysint ... s/autoruns

Le téléchargement et l'exécution pour un AV "peut" être dé corrélée

Par ex l'analyse comportementale peut faire face à de nouvelles menaces que l'AV ne connait pas intrinsèquement
Il y a d'autres outils et c'est plus compliqué que cela, car les éditeurs d'AV ne donnent pas toutes les recettes de détection pour faciliter la vie des malfaisants)
Donc lorsque je dis "analyse comportementale c'est juste pour l 'exemple car c'est "'parlant" (ca date et y a mieux de nos jours)

Sinon, OUI, fais le ménage sur ce PC
Mélanger le PRO et le perso, surtout lorsqu'il y a des cracks ce n'est jamais bon

Un ex tout bête, une infection qui va voler en douce tes comptes de jeux Origin, Steam, login et mot de passes de sites, réseaux sociaux (c'est très à la mode en ce moment, et les ransomwares le pratiquent (comme cela meme si la personne ne veut ou ne peut pas payer la rançon, ils pourront se rabattre sur la vente des données de connexion volées
Et c'est très bien organisé.
En supposant qu'ils ne volent qu'un seul login et mot de passe, des "petites mains" vont le tester sur un tas de sites et réseaux sociaux, partant du principe que la majorité des gens ont le meme login et mot de passe ou alors avec de légères petites différences

[Malekal_morte]

Salut,

Comme évoqué les détections portent pour la plupart sur des cracks malveillants.
Mets les tous en quarantaine.

Code : Tout sélectionner

Date: 2022-06-22 22:22:32
Description: 
Antivirus Microsoft Defender a détecté un logiciel malveillant ou potentiellement indésirable.
[b]Nom : Backdoor:Win32/Bladabindi!ml[/b]
ID : 2147748148
Gravité : Grave
Catégorie : Porte dérobée
[b]Chemin : file:_M:\Chare\amtemu.v0.9.2-painter.rar[/b]
Origine de la détection : Ordinateur local
Type de détection : Chemin rapide
Source de détection : Protection en temps réel
Utilisateur : MAINFRAME\MainFrame
Nom du processus : C:\Users\MainFrame\AppData\Local\ESET\ESETOnlineScanner\ESETOnlineScanner.exe
Version de la veille de sécurité : AV: 1.369.71.0, AS: 1.369.71.0, NIS: 1.369.71.0
Version du moteur : AM: 1.1.19300.2, NIS: 1.1.19300.2

Par contre, au démarrage tu as ces deux fichiers :

Startup: C:\Users\MainFrame\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TODO.rar [2022-03-02] () [Fichier non signé] [Fichier en cours d'utilisation]
Startup: C:\Users\MainFrame\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TODO.txt [2022-06-21] () [Fichier non signé]

Si ce n'est pas toi qui les pas placés alors c'est potentiellement malveillant.

Touche Windows + R
Copie/colle : C:\Users\MainFrame\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Zip les deux fichiers et envoye les sur mediafire et donne le lien ici.

[rick]

Sinon, OUI, fais le ménage sur ce PC

Ok, merci pour les informations Parisien_entraide, je saisis les enjeux un peu mieux.
Des vrais saloperies ces trucs là mais en même temps comme tu dis, c'est souvent la faute des victimes au final.
Petite question: quand tu parles de voler les mdp, tu parles de ceux déjà enregistré sur la machine? ou juste ils te keyloggent ?
En autre terme, enregistrer les mdp sur sa machine c'est plutôt déconseillé, ou ça ne change rien?

Comme évoqué les détections portent pour la plupart sur des cracks malveillants.
Mets les tous en quarantaine.

Salut Malekal_morte , je les ais mis en quarantaine et supprimé.

Par contre, au démarrage tu as ces deux fichiers :

Oui c'est moi qui les ai mis là, c'est ma to-do list et ma to-do list compressée, mais ils n'ont plus grand chose à faire sur cet ordi. Je les vire ou peu importe?


Je me permet de vous poser une dernière question:
Est-ce que c'est possible qu'un virus/trojan/ransomware/saloperie s’attache à un ou plusieurs fichiers perso qui semblent lambda (du jpg, du texte, du fichier premiere...)?
Par exemple si je veux récupérer mes fichiers persos avant de tout formater, si je branche mes disques sur un adaptateur usb que je branche ensuite sur un autre ordinateur et que je transfère les fichiers légitimes et perso seulement (jpg, doc etc...) est-ce que je risque de l'affecter quand même?

Si oui quelle est selon vous le moyen le plus sur de récupérer ses données d'un ordi potentiellement vérolé à un autre?

Merci encore pour votre temps et de partager vos connaissances.

[Malekal_morte]

Oui c'est moi qui les ai mis là, c'est ma to-do list et ma to-do list compressée, mais ils n'ont plus grand chose à faire sur cet ordi. Je les vire ou peu importe ?

Ok non ben c'est toi qui vois.

Je me permet de vous poser une dernière question:
Est-ce que c'est possible qu'un virus/trojan/ransomware/saloperie s’attache à un ou plusieurs fichiers perso qui semblent lambda (du jpg, du texte, du fichier premiere...)?
Par exemple si je veux récupérer mes fichiers persos avant de tout formater, si je branche mes disques sur un adaptateur usb que je branche ensuite sur un autre ordinateur et que je transfère les fichiers légitimes et perso seulement (jpg, doc etc...) est-ce que je risque de l'affecter quand même?

Si oui quelle est selon vous le moyen le plus sur de récupérer ses données d'un ordi potentiellement vérolé à un autre?

Un Trojan ne touche pas les autres exemples (sauf cas du Trojan patcher qui peut modifier un fichier système pour se rendre actif au prochain démarrage lorsque l'OS charge le fichier).
Il n'y a que les virus au sens strict du terme qui modifie les exécutables (fichier EXE et DLL).
Les fichiers documents (image, texte, OpenOffice, Office, etc) ne sont pas des exécutables donc ils ne sont pas vecteurs de malwares.

Après il y a le cas des Trojan qui se propage par médias amovibles, voir : un virus par clé USB.

~~

Tu peux sauvegarder tes documents sans problème.
Au passage, n'attends pas d'avoir des problèmes faire des sauvegardes des données !
Suivre ce tutoriel : Sauvegarde ses données sur Windows 10

[rick]

Ok merci, c'est beaucoup plus clair.

Merci pour les différents liens, effectivement sauvegarder ses données avant les problèmes, du bon sens à garder en tête...

[Malekal_morte]

Pas de soucis !

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?