Bonjour,
Je viens ici pour avoir de l'aide concernant une ouverture de PJ d'un mail visiblement malveillant
Pour l'histoire :
Ouverture de PJ ZIP avec un Fichier RTF et VBS dedans :
UN VB de presque 550Mo, Je l'ai réduit de son contenu vide pour pouvoir l'exploiter
Après analyse du fichier VB j'arrive a décoder la première variable ce qui donne :
Le PC a été déconnecté de tout réseau pour éviter les risques , maintenant j'aimerais savoir ce qu'il sait passé sur la machine,et vérifier si elle est bien corrompue ou non, et de le désinfecter, mes compétences en VB reste limités, c'est pour cela que je demande de l'aide.
Les scans virus total :
https://www.virustotal.com/gui/file/434 ... /detection : Le fichier
https://www.virustotal.com/gui/url/fc85 ... /detection : Le lien ou a été téléchargé le Zip
Merci aux personnes qui voudront bien m'aider
Cordialement,
Mail Malveillant
Modérateurs : Mods Windows, Helper
- Messages : 117010
- Inscription : 10 sept. 2005 13:57
Re: Mail Malveillant
Bonjour,
Difficile à dire car hxxps://mt.perceivingreality.info/edge.bin est down.
Donc ça ne télécharge pas le malware pour le lancer.
Il a été uploadé sur VirusTotal mais je n'ai pas de compte pour le télécharger.
Mais sur la détection, on trouve du Trojan:Win32/Gootkit chez Microsoft.
Il vise bien les entreprises.
https://www.malekal.com/trojan-gootkit/
viewtopic.php?t=51266
Difficile à dire car hxxps://mt.perceivingreality.info/edge.bin est down.
Donc ça ne télécharge pas le malware pour le lancer.
Il a été uploadé sur VirusTotal mais je n'ai pas de compte pour le télécharger.
Mais sur la détection, on trouve du Trojan:Win32/Gootkit chez Microsoft.
Il vise bien les entreprises.
https://www.malekal.com/trojan-gootkit/
viewtopic.php?t=51266
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: Mail Malveillant
Merci pour ton retour,
Je vois plus une connexion refusée plutôt qu'un down du site
Pour vérifier qu'il ne s'est rien passé, si je comprend bien , je dois plus me pencher vers des services windows suspect et regarder mon registre ?
Cordialement,
Je vois plus une connexion refusée plutôt qu'un down du site
Pour vérifier qu'il ne s'est rien passé, si je comprend bien , je dois plus me pencher vers des services windows suspect et regarder mon registre ?
Cordialement,
- Messages : 117010
- Inscription : 10 sept. 2005 13:57
Re: Mail Malveillant
Je ne peux pas répondre puisque le malware n'est plus en ligne.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Re: Mail Malveillant
Bonjour,
La souche référencée sur Virus Total correspondant à l'url hxxps://mt.perceivingreality.info/edge.bin est bien une souche de Gootkit.
Pour savoir si votre PC est infecté, vous pouvez regarder si vous trouvez le loader ou dropper Gootkit sur votre PC. Sa méthode de persistance consiste à s'installer sous un nom pseudo-aléatoire dans le répertoire Temp de l'utilisateur courant, puis d'installer une "Pending GPO" qui le lancera via un fichier .inf. Il faut donc regarder les valeurs situées dans la clé de registre HKCU\Software\Microsoft\IEAK\GroupPolicy\PendingGPOs. Si vous trouvez une valeur qui référence un fichier .inf situé dans un répertoire de profil d'utilisateur (quelque chose comme \users\utilisateur\AppData\Local\Temp\xxxxxxx.inf) et que vous trouvez le .inf et le .exe correspondant alors c'est que vous êtes infecté. Dans ce cas vous devez avoir deux process du nom de l'exécutable qui tournent. Le premier correspond au loader et le second à la payload qu'il aura téléchargée puis injectée dans un second process de lui-même via process hollowing (le premier process doit occuper environ 300Ko en mémoire et le second un peu plus de 5Mo). La payload est sauvegardée chiffrée, compressée et saucissonnée dans le registre dans des noms de valeurs aléatoires mais suffixées d'un nombre sur deux digits. Les valeurs se trouvent sous la clé HKCU\Software\AppDataLow.
Si vous trouvez ces éléments, il faut supprimer le fichier .inf ainsi que le fichier .exe correspondant, et éventuellement supprimer la pending GPO ainsi que les valeurs contenues sous HKCU\Software\AppDataLow. Le principal étant de supprimer l'exécutable.
Si vous disposez toujours de la pièce jointe reçue contenant le fichier RTF et le fichier VBS, ainsi éventuellement que du mail, je suis intéressé par ces éléments.
Cordialement,
La souche référencée sur Virus Total correspondant à l'url hxxps://mt.perceivingreality.info/edge.bin est bien une souche de Gootkit.
Pour savoir si votre PC est infecté, vous pouvez regarder si vous trouvez le loader ou dropper Gootkit sur votre PC. Sa méthode de persistance consiste à s'installer sous un nom pseudo-aléatoire dans le répertoire Temp de l'utilisateur courant, puis d'installer une "Pending GPO" qui le lancera via un fichier .inf. Il faut donc regarder les valeurs situées dans la clé de registre HKCU\Software\Microsoft\IEAK\GroupPolicy\PendingGPOs. Si vous trouvez une valeur qui référence un fichier .inf situé dans un répertoire de profil d'utilisateur (quelque chose comme \users\utilisateur\AppData\Local\Temp\xxxxxxx.inf) et que vous trouvez le .inf et le .exe correspondant alors c'est que vous êtes infecté. Dans ce cas vous devez avoir deux process du nom de l'exécutable qui tournent. Le premier correspond au loader et le second à la payload qu'il aura téléchargée puis injectée dans un second process de lui-même via process hollowing (le premier process doit occuper environ 300Ko en mémoire et le second un peu plus de 5Mo). La payload est sauvegardée chiffrée, compressée et saucissonnée dans le registre dans des noms de valeurs aléatoires mais suffixées d'un nombre sur deux digits. Les valeurs se trouvent sous la clé HKCU\Software\AppDataLow.
Si vous trouvez ces éléments, il faut supprimer le fichier .inf ainsi que le fichier .exe correspondant, et éventuellement supprimer la pending GPO ainsi que les valeurs contenues sous HKCU\Software\AppDataLow. Le principal étant de supprimer l'exécutable.
Si vous disposez toujours de la pièce jointe reçue contenant le fichier RTF et le fichier VBS, ainsi éventuellement que du mail, je suis intéressé par ces éléments.
Cordialement,
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 9 Réponses
- 1176 Vues
-
Dernier message par Parisien_entraide
-
-
Programme malveillant BIT77B8.TMP [résolu]
par constant113 » » dans Windows : Résoudre les problèmes - 15 Réponses
- 422 Vues
-
Dernier message par Malekal_morte
-
-
- 7 Réponses
- 181 Vues
-
Dernier message par Malekal_morte
-
- 6 Réponses
- 143 Vues
-
Dernier message par Parisien_entraide
-
- 1 Réponses
- 53 Vues
-
Dernier message par Malekal_morte