[Help] Faux positif MBAM "Spyware:AgentTesla" dans maj de Molotov ?

[El_Mitch]

Bonjour !

Aujourd'hui gros gros stress, j'ai lancé un petit scan MalwareBytes (comme tous les jours), et ce dernier m'a détecté une menace "Spyware:AgentTesla", je tape le nom sur le Google, j'ai peur, je commence à flipper et je saute sur la prise RJ-45 pour la déconnecter du pc x)

(J'ai tellement flippé que j'ai installé Linux Mint sur mon pc portable afin de vous parler pour être sûr d'être sur une machine saine) xD

Je check le répertoire d'origine du fichier et je vois que c'est "C:\USERS\*mon username*\APPDATA\LOCAL\MOLOTOV\APP-4.3.0\UPDATE.EXE"..
Alors que ça n'a aucun sens et que je me rappelle avoir lancé Molotov hier et qu'il me disait justement qu'une maj était dispo...

De plus les nombreux scan Avast et MB n'ont rien trouvé d'autre, aucun processus, aucune clé de registre....

Donc je me retrouve avec potentiellement un Trojan du diable alors que je fais super attention, que je lance un scan MB super souvent, que j'utilise Ublock Origin sur des navigateurs à jour (Firefox et Opera) avec Avast qui tourne H24 (Oui je sais je devrais basculer sur Windows Defender, mais pour l'instant j'ai jamais eu de soucis avec Avast).

Du coup est-ce que je dois m'inquiéter ou est-ce que c'est juste un faux positif ?
J'aimerais bien tenter de restaurer le fichier de la quarantaine pour le poster sur VirusTotal mais j'ose pas, qu'en pensez-vous ?

Merci d'avance, je commence à paniquer xD

[Malekal_morte]

Salut,

Surement un Faux positif

Scanne le sur Virustotal et donne le résultat.

[El_Mitch]

Salut,

Surement un Faux positif

Scanne le sur Virustotal et donne le résultat.

C'est bon, je l'ai restauré (PC toujours déconnecté du réseau) je l'ai copié sur une clé USB et voici le résultat VirusTotal : https://www.virustotal.com/gui/file/19a ... /detection

D'ailleurs j'ai remarqué que le fichier faisait exactement la même taille qu'un ancien Update.exe de Molotov....

Il n'y a absolument rien sur le rapport VirusTotal x)
J'ai paniqué pour rien ou alors c'est possible qu'il y ait une infection planquée ?

[Parisien_entraide]

Bonsoir,

Relis : Faux positif

Ensuite si tu ne sais pas ce que c'est et ce que cela implique lis le lien que Malekal a indiqué

Par contre on devrait trouver sur le net des cas similaires... et là rien
Dans ses dernières mouture l'infection arrive par mail (phishing) avec lien à cliquer ou bouton d'action

Vu que ce truc est mal dissimulé il se voit avec l'usage d'uun RegSvcs.exe (en utilisant viewtopic.php?t=52418 par ex)

2020-07-21_190021.jpg

[El_Mitch]

Bonsoir,

Relis : Faux positif

Ensuite si tu ne sais pas ce que c'est et ce que cela implique lis le lien que Malekal a indiqué

Oui je sais ce que c'est, mais vu que j'ai tendance à paniquer pour pas grand chose, je préfère m'assurer d'avoir une machine vraiment ultra propre avant de la reconnecter au net x)

[El_Mitch]

Par contre on devrait trouver sur le net des cas similaires... et là rien
Dans ses dernières mouture l'infection arrive par mail (phishing) avec lien à cliquer ou bouton d'action

C'est ça qui m'inquiète, pourtant je fais gaffe, je vérifie pratiquement toujours l'expéditeur, et j'utilise Thunderbird qui a tendance à masquer les contenus par sécurité.

[Parisien_entraide]

J'ai édité mon message
Mais si MBAM cite explicitement l'update de MOLOTOV c'est à classer dans les faux positifs

Du phising pourri j''en reçois tous les jours sur une adresse dans thunderbird et celui ci bloque les images distantes et contenus distants (heureusement :-)

Par contre tu peux joindre MBAM et leur signaler

[El_Mitch]

J'ai édité mon message
Mais si MBAM cite explicitement l'update de MOLOTOV c'est à classer dans les faux positifs

Du phising pourri j''en reçois tous les jours sur une adresse dans thunderbird et celui ci bloque les images distantes et contenus distants (heureusement :-)

Par contre tu peux joindre MBAM et leur signaler

Voici le rapport MBAM : https://pjjoint.malekal.com/files.php?r ... i7s10p11z9

Donc du coup je pense que c'est inutile de formater et de me lancer dans une opération de reset de tous mes passwords ? x)

[Parisien_entraide]

Tu peux sortir le fichier de la quarantaine et le poster sur https://pjjoint.malekal.com/ ?

Après les passwords vu les vols de données en ce moment, si ils datent tu peux toujours les changer ou utiliser un Keepass etc
https://www.malekal.com/keepass-utilise ... e-gratuit/

Pour te rassurer (malekal ou Angélique y jetteront un oeil)

La procédure de Malekal
__________________
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut.
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[El_Mitch]

Le problème c'est que j'avais supprimé l'original après l'avoir scanné sur Virustotal. Pour tester, j'ai désinstallé puis j'ai téléchargé Molotov directement depuis le site officiel (donc la version correspondante 4.3.0), et j'ai rescanné le fichier Update.exe, apparemment ça serait le même mais cette fois-ci il n'a pas été détecté par MBAM (peut-être une version légèrement plus récente ?) : https://www.virustotal.com/gui/file/19a ... /detection
Je ne peux pas uploader de .exe sur Pjjoint

Si on est à 99% sûr que c'est un faux positif, je pense qu'on peut épargner le scan FRST ;-)

J'ai refait une analyse pré-démarrage Avast et un scan Roguekiller, rien à signaler

Merci beaucoup pour votre aide ;-)

[Malekal_morte]

Oui ce n'est pas un fichier malveillant, ne t'inquiètes pas.