HEUR:Trojan.Script.Generic et not-a-virus:HEUR:Downloader.MSIL.DotSetup.gen

[seliox772]

Bonsoir, il y a a peu près 1h je me suis décidé d'installer noxplayer car je voulais jouer a des jeux mobiles sur mon pc, tout ce passe bien durant l'installation, je fais attention a ne pas installer autre chose, je lance nox me connecte a un compte google et commence a installer des jeu. Quand tout a coup kaspersky ( mon anti virus ) m'envoie 6 notification disant ( objet malveillant détecté - téléchargement interdit )

Voici deux screens qui montre les détections :

Detection-Kaspersky-HEUR-downloader-MSIL-DotSetup-gen.png

Detection-Kaspersky-HEUR-Trojan-Generic.png

( j'ai tres peur car j'ai vu un cas un peu similaire que moi sur le web, et au final le type a choppé un ransomware )

Donc voila j'aimerais de l'aide, savoir si j'ai besoin d'intervenir. ( j'ai lancer une analyse rapide kaspersky qui n'a rien trouvé, et l'analyse complete non plus )

Merci beaucoup pour votre aide, en vous souhaitant une bonne soirée

[Malekal_morte]

Salut,

Pour l'hébergement d'images sur le forum, merci de lire ce message : Règlement hébergement des images sur le forum.
SVP Privilégiez les images en pièces jointes au lieu d'hébergeur externe.
Suivre ces instructions pour mettre l'image sur le forum : Comment joindre une image/photo dans un message du forum


Comme le setup te propose des logiciels additifs (PUP : potentially unwanted Programs... Cela génère une détection générique de Kaspersky sur le setup.
Rien de vraiment grave.

Après le site de noxplayer - bignox.com a l'air aussi de générer des alertes.
Mais là pareil, il n'est pas vraiment malveillant.

Bref rien de vraiment inquiétant.

[Parisien_entraide]

Bonjour

En complément de ce que dit Malekal, voici ce que Nox veut installer
Ensuite attention comme il est dit, car la campagne des faux sites de téléchargement est toujours en cours (Nox fait partie des logiciels populaires et recherchés donc il est la cible des pirates)

Du reste que ce soit Nox ou un autre programme, il faut toujours aller sur le site auteur et se méfier de ce que raconte par ex les moteurs de recherche comme google

viewtopic.php?t=69787

[seliox772]

Bonsoir, merci beaucoup pour votre réponse je suis rassuré. Le seul point bizarre dans cette histoire c'est que pendant l'installation de nox, j'ai bien fais attention a ne pas installer leurs logiciels qui propose ( comme beaucoup de logiciel et je fais tjrs attention a bien décocher les cases) mais la en cliquant sur " installation personnalisé " pendant l'installation de nox, il n'y en avait pas, pourtant je viens de voir que normalement nox propose avast et avg. Je le précise au cas ou.

Encore merci pour votre aide c'est vraiment super gentil de faire ça !

[Parisien_entraide]

Comme ma dernière installation date de mai 2022 je vais voir ce que cela raconte vu que j'ai un kaspersy internet security sur un de me postes

Donc après leur grosse archive de 569 Mo :j'ai procédé à l'installation

Seuls AVAST et OPERA étaient proposés.
Kaspersky n'a pas bronché et j'ai quand même procédé ensuite à une analyse manuelle des dossiers et rien non plus

Par contre... En te relisant j'ai noté que ce n'était pas avec le programme qu'il y avait un soucis mais dans un lien du site ; Le Blog

hxxps://www.bignox.com/blog/

J'y suis allé avec mon Firefox sécurisé, et j'ai une extension qui a tout bloqué et ce bien avant kaspersy
https://addons.mozilla.org/fr/firefox/a ... t-toolbar/

NEtcraft.jpg

Ensuite dans une sandbox j'ai pris un profil de fireffox "'nu" configuré par défaut et sans extension et là Kaspersky est entré en scène et à tout bloqué (donc pas de risques non plus) mais l'anlyse des scripts indiquent qu'ils vont chercher quelque chose mais fatigué sans doute je n'avais pas vu que c'était faussé car kaspersky apparaissait dans le script en indiquant qu'il avait bloqué le téléchargement) zut zut

En fait il détecte la même chose, du "Trojan generic" ce qui ne veut pas dire grand chose (ca peut etre un simple iframe)

2023-01-21_002259.jpg

VirusTotal ne raconte pas grand chose

https://www.virustotal.com/gui/url/4539 ... b2058d88c1

Ni ce type d'analyse
https://www.hybrid-analysis.com/sample/ ... ab0bef0e1b

J'en ai testé d'autres comme (ou parfois il y a plus de détails
https://sitecheck.sucuri.net/results/ht ... .com/blog/

mals la plupart ne voient rien


Bon après Netcraft, derrière il y a du monde de compétent, Kaspersky aussi mais c'est de l"analyse heuristique (et comportementale), mais peut etre est ce bloqué "au cas où" car ce type d'analyse est connue pour du faux positif
Par ex il suffit d'utiliser un compilateur X sur un programme sain, , utilisé par ex pour empaqueter un programme malveillant connu, pour que Kaspersky se mette en alerte
Dans l'absolu c'est normal

En fait il faudrait effectuer une analyse plus poussée, sans antivirus et avec quelques programmes derrière mais bon..

[seliox772]

D'accord, j'ai cru comprendre en globalité malgré que je ne sois pas hyper calé dans le domaine, J'espère que je n'aurais pas de problème mais vous m'avez rassuré.

En tout cas merci beaucoup pour votre aide franchement c'est impressionnant vos connaissances, et en plus gratuitement je trouve ça fou !

Bonne soirée a vous !

[Parisien_entraide]

Ce qu'il faut retenir :

Avoir un navigateur sécurisé avec des extensions (Dans le cas présent Firefox et Netcraft) ET un anti virus qui tienne la route (j'ai testé un navigateur Chromium qui ne réagit pas, seul l'antivirus a réagit)

Si tu souhaites sécuriser Firefox via les extensions
viewtopic.php?t=71156

Sur le site il y a plein d'articles en liens (et pas que pour Firefox)
La base : https://www.malekal.com/securiser-le-na ... firefox-2/

[seliox772]

Petit update, mon essaie de 30 jours de kaspersky viens de ce finir, du coup j'ai installé le kaspersky free, vous pensez que ce sera suffisant ?

Par ailleurs comme par hasard un vieux compte battle net que j'avais crée depuis le gmail au quel je me suis connecté a nox viens d'être piraté, pour moi ce n'est pas un hasard.

[Parisien_entraide]

Bonjour

La version FREE "peut" dépanner et avait sa raison d'être avec les anciennes versions de Windows
De nos jours, si on ne récupére par des programmes crackés, louches etc sur des sites qui ne le sont pas moins, ou dans ton cas des .apk (une majorité sont vérolés), que l'on ne va pas sur certains sites de streaming, qu'on n'affaiblit pas les protections de Windows, (pas d'UAC, etc), que l'on sécurise son Windows (l'anti virus n'est qu'une brique dans le mur de la protection) les risques d'attraper quelque chose sont minimes

Dans mon entourage je n'ai AUCUN cas (je me suis occupé de leurs ordis)
Même ma grand mère qui fait tout et n'importe quoi (dont cliquer sur les pièces jointes de ce qu'envoient ses copines etc) n'a pas de soucis, donc.. :-)
Et elle utilise des programmes "sociaux" en synchro avec son smartphone, a un compte steam pour des petits jeux, a tendance à cliquer sur les titres "putaclics" des sites de news, et j'en passe

Bref, donc soit tu laisses en place Defender, soit tu prends un anti virus tiers payant (et même avec un payant cela n'empêche pas de blinder autour)
En terme d'efficacité cela reste relatif entre le produit Microsoft et les autres, si on ne se fie qu'aux sites de tests,
Par contre on sort un peu de l'éco système de Microsoft puisqu'un anti virus c'est aussi un cheval de troie, qui sait tout de nous, tout de ce que contient l'ordinateur etc

Il y a pas mal de petites choses pour "blinder" autour que ce soit pour Windows, et surtout les navigateurs, ..(Ublock Origin, No Scripts surtout sont la base)
Bon par contre utiliser Chrome est une mauvaise idée (ciblé par les pirates) il vaut mieux utiliser des navigateurs sous Chromium et Firefox


Par ex pour vraiment tirer parti de Windows Defender, et aller au delà de ce qu"il fait (comme bloquer les scripts tu as "Hard Configurator'

Dernier message de ce lien et dans lequel tu trouveras celui du site pour lequel Malekal avait fait un tuto
viewtopic.php?t=65877

Jusqu'à présent je n'ai pas eu d'effets indésirables suite à son usage
Idem avec Hardentools
Mais je n'utilise pas Office (seulement Libre Office mais les documents sont les mêmes) ni de programmes Adobe (y a des lecteurs gratuits plus sécurisés) ou Office pour lire des documents .pdf, .docx etc des scripts complexes inclus) https://www.malekal.com/hardentools-securiser-windows/
Pour les dernières nouveautés sur HardenTools et autres détails : viewtopic.php?t=60030

Ensuite Gmail est une des cibles principales, puisque son accès permet à ceux qui ne jurent QUE par Gmail, et s'en servent au quotidien comme adresse principale.. ERREUR
Une fois entré, cela permet d'avoir accès d'une part au carnet d'adresses, mais aussi aux messages qui peuvent comporter des indications de comptes divers et variés (comme toutes les messageries)
Ensuite il vaut mieux utiliser un programme dédié pour lire ses mails qui bloquera scripts, images distantes etc que d'utiliser un WebMail
Il faut donc s'intéresser à sécuriser son compte

https://www.malekal.com/proteger-son-co ... piratages/


Tu peux t'amuser à regarder si une adresse mail, un login, un mot de passe, un numéro de téléphone a été piraté, et circule sur le net à disposition des pirates
https://www.malekal.com/haveibeenpwned- ... -de-passe/



Plus globalement et sur Battle .net

Déjà il ne faut JAMAIS laisser un compte quel qu'il soit "dormir" d'autant plus qu'il y a quelques années (ce qui est relatif) nombre de personnes utilisaient des mots de passe "faibles" ou SURTOUT communs à d'autres applications/sites ou le même mot de passe sur le compte Battle.net et les jeux


Ensuite il est connu que battle.net est une cible permanente des pirates
L'attaque la plus connue est via DISCORD ou les pirates se font passer par Blizzard, un administrateur et demande via un lien par ex de confirmer le mot de passe, ou que quelqu'un (l' interlocuteur) vous a dénoncé comme tricheur (meme méthode sur Steam) et voulant s'excuser et régler le problème appelle un administrateur qui viendra régler le problème avec... un lien à cliquer (bidon évidemment)

L'autre est via phishing
En général cela mise sur la peur : On a volé votre compte, on a remarqué une activité suspecte sur votre compte et pour éviter sa suppression on demande de cliquer sur un lien pour prouver qu'on est bien le détenteur du compte, on a volé des pièces d'or sur Wow etc et donc on compte sur la panique du joueur

Ces méthodes sont efficaces puisqu'utilisée depuis des années

De plus nombre de personnes n'activent pas la double authentification via le "Battle.net Authenticator"

https://eu.battle.net/support/fr/article/14319

Si on pense que le compte est piraté
https://eu.battle.net/support/fr/article/9852



Dans mes archives, dans les raisons évoquée j'ai cela (copier coller)
C'est juste un exemple, car leur imagination est sans limite et s'adapte à l'actualité (sortie d'un nouveau jeu, une promo etc)

Code : Tout sélectionner

- Vous avez été sélectionné pour la beta de Diablo 4, Diablo Immortal, Diablo 2 Resurrected, Warcraft 4 ou de la 29ème extension de WoW et vous devez entrer diverses informations pour valider votre compte pour le beta test.
- On vous demande de vérifier vos coordonnées pour l'arrivée d'une nouvelle extension du jeu.
- Vous avez récemment essayé de vendre votre compte Battle.net.
- Votre compte a été suspendu pendant plusieurs jours suite à l'utilisation d'un logiciel tiers ou à l'achat d'or sur divers sites web.
- On vous propose de découvrir l'Armurerie officielle via un lien qui ressemble très fortement à l'URL officielle (avec une seule lettre qui change).
- Votre compte a fait l'objet de tentatives de hack répétées et il a été suspendu le temps de procéder aux investigations.
- Vous avez récemment modifié votre mot de passe et on vous demande d'écrire à nouveau celui-ci pour valider la modification.
- Votre mot de passe n'est pas suffisamment sécurisé et on vous demander d'en changer.
- Des accès à votre compte ont été effectués depuis plusieurs lieux différents.
- Vous devez confirmer que vous êtes bien le propriétaire du compte.
- Un concours a été lancé chez Blizzard avec plusieurs prix à la clé et vous pouvez y participer en vous connectant à votre compte. Notez que cela coïncident parfois avec un concours qui existe réellement mais le lien est évidemment une arnaque.

Récemment c'est Blizzard qui s'est fait pirater .. ses jeux, qui se sont retrouvé sur Discord
Ces jeux s'affranchissaient du launcher de Blizzard (Battle.net)
Dans les lots "mis à disposition gratuitement" sur Discord, se sont retrouvés bien évidemment des jeux comportant des malwares

_________
Tu trouveras divers sujets ici (copier coller du texte de Malekal)

A lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?