Win64/Riskware.VirtualBox.C détecté par ESET [résolu]

[yoz]

Bonjour,

Je n'ai pas allumé un PC depuis 1 mois (jusqu'ici pas de souci).

Juste après le démarrage, Eset vient de me signaler une alerte avec mise en quarantaine :

Le fichier malveillant Win64/Riskware.VirtualBox.C a été détecté sur l'ordinateur xxxx
Protection en temps réel du système de fichiers;fichier;C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys

Derrière, j'ai rescanné le PC avec Malwarebytes Anti-Malware (MBAM) et Eset, RAS.

Voici mes logs FRST pour avis :

FRST : https://pjjoint.malekal.com/files.php?i ... 12e12f9d12
Addition : https://pjjoint.malekal.com/files.php?i ... x8m10e8v13
Shortcut : https://pjjoint.malekal.com/files.php?i ... 13b5t11g12

Merci d'avance.

Yoz

[Parisien_entraide]

Bonjour

Tu n'es pas le premier ces derniers temps à avoir cette alerte mais le point commun était des cracks

Je note que tu as un .. comment dire.. Un soucis :-) avec une clé de licence de produit Adobe
C'est le cas ?

Tu n'as jamais eu de malware eradiqué par l'anti virus ?
Sachant qu'il y avait une ancienne mouture de ce fichier qui était injecté avec un voleur de données (du reste si tu n'utilises pas l'outil d'Oracle tu peux le virer car en plus il n'est pas/plus compatible avec Windwos 11 (tu es sous un windows 10 en 21H1 donc déjà il faudrait faire la mise à jour en 21H2)

Ceci dit c'est peut etre un faux positif (Norton le détectait aussi mais on ne sait pas ce qu'il y a derrière)

Si tu le soumets à https://www.virustotal.com/gui/home/upload cela raconte quoi ? (En se rappelant que virus total c'est juste indicatif)

Pour le reste, comme une infection en place Malekal ou Angélique te diront ce qu'il en est

[yoz]

Bonjour,

Merci ton retour rapide.

Le fichier est dans la quarantaine Eset, donc je ne peux pas le soumettre à Virustotal.

Voilà ce que j'ai trouvé en cherchant sur internet : https://www.virustotal.com/gui/file/cf3 ... 86/details

Mais je ne sais pas si le fichier que j'avais était le même que celui testé sur VT. Il faudrait que je le sorte de la quarantaine avec l'AV désactivé, mais j'aime pas trop jouer à ça.

L'outil Oracle VirtualBox n'est pas installé. Il y a une trace d'installation dans Program Files mais qui date de 2015.

Pour Adobe non, c'est une clé de Licence que Adobe avait "offert" à l'époque considérant que la version 7.0 d'adobe pro était obsolète. Jamais passé de crack sur cette machine (enfin pas à ma connaissance).

[Parisien_entraide]

La dernière soumission du fichier est du 13 02, avec une autre recherche ce jour, mais faut il encore que ce soit le meme fichier

Je note qu'il est surtout en RiskWare, c'est à dire qu'il peut servir à des fins malveillantes mais ne l'est pas par nature (c'était le cas avec l'ancienne version utilisée par un ransomware)
(il a un flag anti vm ce qui est l'astuce des malwares pour éviter les analyses en VM)
La plupart des AV ne s'embêtent pas et mettent en quarantaine par défaut pour éviter les problèmes car "dans le doute" (j'ai le cas avec nombre d'outils d'analyses où je suis toujours en train de placer des exclusions)

Tu peux avoir trace de fichiers Oracle VM, mais vu que la majorité des progs se désinstallent mal (il faut toujours utiliser un prog de type Revo Uninstaller par ex) il peut rester des fichiers en place, des clés de registre (du reste tu as un tas de clés qui tournent dans le vide du fait de désinstallions partielles)
De toutes les façons si le fichier a été mis en quarantaine c'est qu'il restait des traces

Attend le verdict de Malekal

[yoz]

Ok merci, j'attends le retour de Malekal.

A priori une ancienne version du driver VBoxDrv.sys était vulnérable à des hacks de ce genre : https://github.com/hfiref0x/DSEFix

Donc Eset a peut-être juste détecté un driver vulnérable (car obsolète) et l'a mis en quarantaine. Mais pourquoi seulement aujourd'hui ?

Bref, j'attends l'avis de Malekal

[Malekal_morte]

C'est parce que ce driver a été utilisé par le malware ZeroCleare - d'où les détections Trojan.Win64.ZEROCLEARE.C

ZeroCleare is a destructive malware. It has been developed in order to wipe the master boot record section in order to damage a disk's partitioning. Attackers use the EldoS RawDisk driver to perform the malicious action, which is not a signed driver and would therefore not runnable by default. The attackers managed to install it by using a vulnerable version of VBoxDrv driver, which the DSE accepts and runs. Used to attack middle-east energy and industrial sectors.

Donc rien de méchant.

[yoz]

Merci pour ton retour Malekal !

Donc je ne me retourne pas le cerveau à chercher si il y a d'autres signes d'infection sur cette machine ?

La seule chose qui m'étonne quand même, sachant que la vulnérabilité date d'avant 2019, c'est pourquoi Eset ne le détecte qu'aujourd'hui ???

[Malekal_morte]

Aucune idée =)

Le VMWare semble avoir été installé par BigNox qui doit s'appuyer dessus.
Il y a d'autres pilotes qui semblent être résiduels.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
R1 VBoxUSBMon; C:\WINDOWS\System32\DRIVERS\VBoxUSBMon.sys [127432 2015-09-16] (Duodian Online Technology Co. Ltd. -> BigNox Corporation)
R1 YSDrv; C:\Program Files (x86)\Bignox\BigNoxVM\RT\YSDrv.sys [310536 2018-04-11] (Beijing Duodian Online Science and Technology Co.,Ltd -> BigNox Corporation)
C:\WINDOWS\System32\DRIVERS\VBoxUSBMon.sys
C:\Program Files (x86)\Bignox
EmptyTemp:
RemoveProxy:
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[yoz]

Voici le fichier fixlog :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 20-02-2023
Exécuté par xxxxx (21-02-2023 17:59:20) Run:1
Exécuté depuis C:\Users\xxxxx\Downloads
Profils chargés: xxxxx
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
̩Start:
CloseProcesses:
CreateRestorePoint:
R1 VBoxUSBMon; C:\WINDOWS\System32\DRIVERS\VBoxUSBMon.sys [127432 2015-09-16] (Duodian Online Technology Co. Ltd. -> BigNox Corporation)
R1 YSDrv; C:\Program Files (x86)\Bignox\BigNoxVM\RT\YSDrv.sys [310536 2018-04-11] (Beijing Duodian Online Science and Technology Co.,Ltd -> BigNox Corporation)
C:\WINDOWS\System32\DRIVERS\VBoxUSBMon.sys
C:\Program Files (x86)\Bignox
EmptyTemp:
RemoveProxy:
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
VBoxUSBMon => Service arrêté avec succès.
HKLM\System\CurrentControlSet\Services\VBoxUSBMon => supprimé(es) avec succès
VBoxUSBMon => service supprimé(es) avec succès
YSDrv => Service arrêté avec succès.
HKLM\System\CurrentControlSet\Services\YSDrv => supprimé(es) avec succès
YSDrv => service supprimé(es) avec succès
C:\WINDOWS\System32\DRIVERS\VBoxUSBMon.sys => déplacé(es) avec succès
C:\Program Files (x86)\Bignox => déplacé(es) avec succès

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2352943005-1466514916-3033745841-1241\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2352943005-1466514916-3033745841-1241\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

FlushDNS => terminé(e)
BITS transfer queue => 1310720 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 172686362 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 0 B
Windows/system/drivers => 335413988 B
Edge => 844895 B
Chrome => 391539424 B
Firefox => 1706304516 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 1180028 B
NetworkService => 1334278 B
xxxxx => 857738697 B
administrateur => 857765654 B
POSTE18 => 857859435 B

RecycleBin => 0 B
EmptyTemp: => 4.8 GB données temporaires supprimées.

================================


Le système a dû redémarrer.

==== Fin de Fixlog 18:09:26 ====

[Malekal_morte]

ok c'est bon, tu peux supprimer FRST et C:\FRST
J'ai passé le sujet en résolu =)