S/Danger.DoubleExtension

[yoz]

Bonjour,

Ce matin mon AV (Eset endpoint) a intercepté une PJ infectée dans thunderbird.

Je n'ai pas ouvert la PJ, j'ai juste fait "afficher le code source du message", pour vérifier de chez qui il provenait, car le titre était cohérent.

Voici le message d'ESET :

Filtre IMAP;courrier électronique;de : [email protected] objet Analyse technique et spécification du projet date Thu, 24 Sep 2020 06:55:15 +0000 ;une variante de JS/Danger.DoubleExtension cheval de troie;contenait des fichiers infectés;Un événement s'est produit lors de la réception d'un e-mail par l'application : C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe

Bref, depuis je cogite un peu, un script a-t-il pu avoir le temps de se lancer ? Avec la puissance des ransomwares actuelle, je deviens parano.

Voici mes logs FRST :

- FRST : https://pjjoint.malekal.com/files.php?i ... 14p10e7e13
- Addition : https://pjjoint.malekal.com/files.php?i ... 0u7w6p11z5
- Shortcut : https://pjjoint.malekal.com/files.php?i ... 5k11b12h14

*mdp : paleo

Merci d'avance pour votre aide.

Bonne journée.

[Malekal_morte]

Salut,

Bha normal, c'est le boulot de l'antivirus qui détecte et intercepte les PJ malveillantes.
Tant que tu n'ouvres pas la pièce jointe, aucun problème.

[yoz]

Salut,

Oui je sais bien, mais on devient tellement parano en ce moment....

C'est très rare que mon AV réagisse, c'est ce qui me surprend. C'est passé à travers les autres couches empilées avant (FAI, hébergeur mail pro, firewall fortigate, OSarmor)..... Et comme on a déjà gouté à une infection crypto par JS il y a 3 ou 4 ans (heureusement avortée), je dors sur une seule oreille

Du coup les logs frst, tu les regardes ou pas ? J'ai fait une analyse auto sur zhplite, mais je ne sais pas si c'est fiable ?

A+

[Malekal_morte]

C'est bon pour FRST, ne t'inquiètes pas.
ZHPLite, bof bof =)

[yoz]

Ok merci.

J'ai même flippé car j'ai aperçu dans process explorer un processus nommé "vmmem" qui bouffait de la mémoire. Et comme j'ai lu que les dernières versions de ransomwares commencent à être déployées dans des petites VM pour ne pas attirer l'attention, j'ai commencé à douter. Mais en fait le processus "vmmem" était lié à la sandbox de W10. Après une désinstallation et un reboot le proc avait disparu.

Une dernière question Mak, à quoi correspond cette entrée ? Car bizarrement ce fichier host.ics a été modifié ce matin à 10h22 ???

==================== Hosts contenu: =========================

2020-02-25 14:45 - 2020-09-24 10:22 - 000000527 _____ C:\WINDOWS\system32\drivers\etc\hosts.ics
172.19.170.45 a38a86d5-aa27-4ff7-8ab3-93cecde0301b.mshome.net # 2020 10 4 1 8 22 4 234
172.19.160.1 XXXX.mshome.net # 2025 9 2 23 8 22 4 234
687

[Malekal_morte]

aux serveurs Microsoft à priori.
C'est peut-être un soft anti-télémétrie qui l'a mis.