Mail Malveillant

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Nappo

Mail Malveillant

par Nappo »

Bonjour,

Je viens ici pour avoir de l'aide concernant une ouverture de PJ d'un mail visiblement malveillant
Pour l'histoire :

Ouverture de PJ ZIP avec un Fichier RTF et VBS dedans :
Capture_zip.PNG
UN VB de presque 550Mo, Je l'ai réduit de son contenu vide pour pouvoir l'exploiter
Nouveau document (3)purge.txt
Après analyse du fichier VB j'arrive a décoder la première variable ce qui donne :
capture decode chr.PNG
Le PC a été déconnecté de tout réseau pour éviter les risques , maintenant j'aimerais savoir ce qu'il sait passé sur la machine,et vérifier si elle est bien corrompue ou non, et de le désinfecter, mes compétences en VB reste limités, c'est pour cela que je demande de l'aide.

Les scans virus total :
https://www.virustotal.com/gui/file/434 ... /detection : Le fichier
https://www.virustotal.com/gui/url/fc85 ... /detection : Le lien ou a été téléchargé le Zip

Merci aux personnes qui voudront bien m'aider

Cordialement,
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Malekal_morte
Messages : 117074
Inscription : 10 sept. 2005 13:57

Re: Mail Malveillant

par Malekal_morte »

Bonjour,

Difficile à dire car hxxps://mt.perceivingreality.info/edge.bin est down.
Donc ça ne télécharge pas le malware pour le lancer.
Il a été uploadé sur VirusTotal mais je n'ai pas de compte pour le télécharger.

Mais sur la détection, on trouve du Trojan:Win32/Gootkit chez Microsoft.
Il vise bien les entreprises.
https://www.malekal.com/trojan-gootkit/
viewtopic.php?t=51266
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Nappo

Re: Mail Malveillant

par Nappo »

Merci pour ton retour,

Je vois plus une connexion refusée plutôt qu'un down du site

Pour vérifier qu'il ne s'est rien passé, si je comprend bien , je dois plus me pencher vers des services windows suspect et regarder mon registre ?

Cordialement,
Malekal_morte
Messages : 117074
Inscription : 10 sept. 2005 13:57

Re: Mail Malveillant

par Malekal_morte »

Je ne peux pas répondre puisque le malware n'est plus en ligne.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
roubachof

Re: Mail Malveillant

par roubachof »

Bonjour,

La souche référencée sur Virus Total correspondant à l'url hxxps://mt.perceivingreality.info/edge.bin est bien une souche de Gootkit.

Pour savoir si votre PC est infecté, vous pouvez regarder si vous trouvez le loader ou dropper Gootkit sur votre PC. Sa méthode de persistance consiste à s'installer sous un nom pseudo-aléatoire dans le répertoire Temp de l'utilisateur courant, puis d'installer une "Pending GPO" qui le lancera via un fichier .inf. Il faut donc regarder les valeurs situées dans la clé de registre HKCU\Software\Microsoft\IEAK\GroupPolicy\PendingGPOs. Si vous trouvez une valeur qui référence un fichier .inf situé dans un répertoire de profil d'utilisateur (quelque chose comme \users\utilisateur\AppData\Local\Temp\xxxxxxx.inf) et que vous trouvez le .inf et le .exe correspondant alors c'est que vous êtes infecté. Dans ce cas vous devez avoir deux process du nom de l'exécutable qui tournent. Le premier correspond au loader et le second à la payload qu'il aura téléchargée puis injectée dans un second process de lui-même via process hollowing (le premier process doit occuper environ 300Ko en mémoire et le second un peu plus de 5Mo). La payload est sauvegardée chiffrée, compressée et saucissonnée dans le registre dans des noms de valeurs aléatoires mais suffixées d'un nombre sur deux digits. Les valeurs se trouvent sous la clé HKCU\Software\AppDataLow.

Si vous trouvez ces éléments, il faut supprimer le fichier .inf ainsi que le fichier .exe correspondant, et éventuellement supprimer la pending GPO ainsi que les valeurs contenues sous HKCU\Software\AppDataLow. Le principal étant de supprimer l'exécutable.

Si vous disposez toujours de la pièce jointe reçue contenant le fichier RTF et le fichier VBS, ainsi éventuellement que du mail, je suis intéressé par ces éléments.

Cordialement,
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »