Forum dédié aux jeux vidéos et à l'entraide informatique. Soluce, bugs ou soucis divers avec Windows? nous ferons notre possible pour vous venir en aide.
 
AccueilFAQRechercherMembresGroupesS'enregistrerConnexion

Partagez | 
 

 Virut, Sality, Expiro, c'est que du bonheur !!!

Aller en bas 
AuteurMessage
Morbak
Administrateur (Fondateur)
avatar

Messages : 3197
Réputation : 197

Feuille de personnage
Nom: Morbak
Race: Humain

MessageSujet: Virut, Sality, Expiro, c'est que du bonheur !!!   Sam 11 Oct - 18:27

Bonsoir le forum,
Aujourd'hui, n'ayant rien de particulier à faire (oui oui ca m'arrive de glander) je me suis trouvé de quoi occuper ma journée. Ceux qui ont un minimum de connaissance en informatique l'auront compris avec le titre, j'ai joué avec des infections.

Voilà les coupables :
http://forum.malekal.com/virut-virtob-vitro-infection-fichiers-executables-t5177.html
http://www.malekal.com/2010/11/12/supprimer-w32-sality-hwin32zapchastw32-hllp-sality/
http://www.malekal.com/2013/05/19/win32-expiro-w32-xpiro-virus-infecteur/

J'avais envie de voir des sujets avec des systèmes hyper infectés comme j'ai mis dans le popup de connexion. Alors plutôt que chercher un vrai pc infecté (j'ai quand même un cœur, ça m'embête de voir des gens avec ce genre d’infections), j'ai décidé d'en lancer plusieurs en même temps sur une machine virtuelle pour voir un peu les dégâts.

Bon, je vais passer sur les détails de la désinfection (de toute façon avec ce genre d'infections c'est toujours les mêmes manipulations), mais je me suis dis que j'allais quand même partager avec vous le rapport de ComboFix (je vous rappelle que c'est un programme dangereux à ne surtout pas utiliser seul).

Ceux qui se demanderaient pourquoi j'ai lancé 3 infections au lieu d'une seule, la réponse est simple : j'ai voulu voir virut tout seul mais le fichier que j'avais ne semblait pas vouloir s'attaquer à mon système étrangement, donc pour être sûr de mon coup j'ai cherché au total une dizaine de fichiers/sites infectés par le même genre de saleté qui pourrissent le système. Dans mon cas c'est Expiro qui a fait le plus de dégâts.

J'ai donc eu le résultat que je cherchais, mais sachez qu'un seul fichier infecté par Virut ou ses semblables suffit pour contaminer rapidement tout le système. Ca n'est pas parce que dans mon cas j'ai lancé plusieurs malwares que vous ne risquez pas la même chose avec 1 seul fichier infecté. Les machines virtuelles réagissent parfois moins facilement que les systèmes réels, c'est tout.

Je rappelle quand même à ceux qui s'intéresseront au sujet que les infections Virut, Sality et Expiro (comme d'autres) sont très virulente (il a suffit de quelques minutes, même quelques secondes pour infecter tout Windows), et s'attrapent essentiellement par des Crack/keygen ou des sites infectés. Si vous pensez toujours que les cracks c'est cool, voila ce qui risque de vous tomber dessus un jour ou l'autre (les fichiers détectés ne sont pas des faux positifs) : http://morbak-home.ddns.net/divers/combofix.txt
En image lors d'un scan, on peut donc voir ce genre de choses :


A noter qu'un scan avec ComboFix prend en général 10/15 minutes, regardez la durée du scan sur mon rapport ---> plus de 50 minutes.

Et ca n'est là que partie de l'infection, un scan avec DrWeb Cureit indique encore plus de 300 fichiers contaminés après le passage de combofix :
Total 25431509837 bytes in 115897 files scanned (139244 objects)
Total 115502 files (138844 objects) are clean
Total 10 files (305 objects) are infected
Total 299 files (300 objects) are neutralized
Total 99 files (100 objects) are raised error condition
Scan time is 04:27:51.828

je passe sur la liste mais il y avait en gros les fichiers exécutable de zhpdiag, du bloc-note, explorer, regedit, wininit, winlogon etc...  les principaux exécutables de Windows étaient touchés et même le mode sans échec était bousillé.

Exemple de détection d'un fichier infecté par expiro sur virustotal :
http://www.virustotal.com/fr/file/b1f7944082cf857a0f5426cda3e33a79b9685a7664d82b6fa837abace3346dca/analysis/1413120762/

Un autre rapport de ComboFix toujours après le lancement de l'infection Expiro : http://www.cjoint.com/doc/17_10/GJgoTxThTqM_combofix2.txt
Sur celui ci, le redémarrage du système à bloqué, j'ai relancé moi-même et ComboFix ne s'est terminé qu'après un nouveau redémarrage quelques heures plus tard, donc ne faites pas attention à l'heure de fin.
Et ensuite DrWeb mais cette fois-ci en version Live CD :


Moralité, en cas d'infection coriace, utilisez un programme comme Dr.Web CureIt (ou LiveDisk si le pc ne démarre plus) pour débuter le nettoyage, plutôt qu'un programme plus dangereux comme Combofix qui s'avère au final moins efficace et plus risqué surtout sans accompagnement.

===============signature ===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : http://www.avast.com/get/I8pJzbZF


Dernière édition par Morbak le Dim 20 Déc - 19:03, édité 7 fois
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
casper
Modérateur/Contributeur désinfection
avatar

Messages : 3451
Réputation : 143
Age : 27

Feuille de personnage
Nom: Goliath
Race: Humain

MessageSujet: Re: Virut, Sality, Expiro, c'est que du bonheur !!!   Sam 11 Oct - 22:20

lol, ca va tu t'amuse bien quand tu n'as rien a faire toi Very Happy
Fais gaffe quand même à ne pas contaminer ton système par accident.

===============signature ===============
Les cracks et leurs conséquences : cliquez ici. Pour des exemples sur virustotal : cliquez là
Index des infections les plus répandues : c'est par ici ou ici
L'anonymat sur internet ça n'existe pas : explications là
Quand les journalistes s'intéressent à l'informatique ca fait rire : la preuve ici
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Morbak
Administrateur (Fondateur)
avatar

Messages : 3197
Réputation : 197

Feuille de personnage
Nom: Morbak
Race: Humain

MessageSujet: Re: Virut, Sality, Expiro, c'est que du bonheur !!!   Sam 11 Oct - 22:38

j'aime bien voir de quoi sont capables les versions récentes des outils Clin d oeil Et là j'ai aussi voulu voir si je pouvais planter ma machine avec ComboFix comme ca s'est déjà vu à cause de virut, mais j'ai pas réussi à prouver que ComboFix est dangereux :'( C'est ptet parce que j'ai aucun antivirus, ou alors expiro est moins virulent que virut, mais j'ai pas trouvé de virut efficace, il a peur de moi content

Dr.Web, toujours au top pour désinfecter les fichiers système, il m'en a pour le moment nettoyé 300 mais ca n'est pas fini.
Combofix est plus dangereux que CureIt et n'a pas réussi à désinfecter la moitié des fichiers qu'il a détecté. Cela dit, il a peut-être facilité la désinfection de Dr.Web. Demain, on prend les mêmes et on recommence, mais cette fois je lancerai d'abord Dr.Web et après Combofix. Mais je ne scipterai pas, je laisse les outils bosser eux même.

Parfois je m'amuse aussi à lancer des programmes qui ne sont pas fait pour ce type d'infection, pour voir si ils aident un peu ou pas. Mon dernier test je ne sais plus quelle infection j'avais lancé (ramnit je crois), j'ai analysé/nettoyé avec zhpdiag, RogueKiller, UsbFix et d'autres pour comparer ce qu'ils trouvaient.

===============signature ===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : http://www.avast.com/get/I8pJzbZF
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
casper
Modérateur/Contributeur désinfection
avatar

Messages : 3451
Réputation : 143
Age : 27

Feuille de personnage
Nom: Goliath
Race: Humain

MessageSujet: Re: Virut, Sality, Expiro, c'est que du bonheur !!!   Sam 11 Oct - 22:54

@Morbak a écrit:
j'ai pas trouvé de virut efficace, il a peur de moi content
Ou alors Expiro a été lancé après virut et du coup il a re-contaminé le système et a fait disparaitre virut.

===============signature ===============
Les cracks et leurs conséquences : cliquez ici. Pour des exemples sur virustotal : cliquez là
Index des infections les plus répandues : c'est par ici ou ici
L'anonymat sur internet ça n'existe pas : explications là
Quand les journalistes s'intéressent à l'informatique ca fait rire : la preuve ici
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Morbak
Administrateur (Fondateur)
avatar

Messages : 3197
Réputation : 197

Feuille de personnage
Nom: Morbak
Race: Humain

MessageSujet: Re: Virut, Sality, Expiro, c'est que du bonheur !!!   Sam 11 Oct - 23:00

j'y ai pensé aussi mais j'avais deja testé virut tout seul et j'avais rien de détecté à part une dll et l’exécutable, même avec reboot. Par contre Expiro c’était du rapide, même pas besoin de reboot, le pc était à moitié mort en quelques secondes : plus de centre de sécurité, plus de gestionnaire de tâches, plus de regedit, etc... Et j'avais Avast sur mon vrai système qui m'engueulait parce que le processus Virtualbox se connectait à des sites infectieux.


Heureusement que ce n'est pas la première infection que je teste parce qu'il y a de quoi avoir peur quand l'antivirus t'affiche 15/20 alertes d'affilé toutes les 10 minutes content

Ah oui, j'oubliais, virut avait quand même été sympa avec moi au point de m'installer tranquillement un keylogger avec un joli rapport sur les frappes capturées : http://www.cjoint.com/doc/17_10/GJgo0pipQ0M_exemple-rapport-keylogger.txt
On voit que j'ai fait des recherches sur Expiro et malwarebytes, que je suis allé sur clubic, sur le site de malekal, que j'ai lancé zhpdiag, qu'un mot de passe m'a été demandé et qu'il a été enregistré etc... on voit même les corrections des fautes de frappe symbolisées par les retours arrières [<-]

Virut était donc bien présent sur le système avant que je lance Expiro, il n'avait simplement pas encore infecté le système.

===============signature ===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : http://www.avast.com/get/I8pJzbZF


Dernière édition par Morbak le Dim 20 Déc - 19:10, édité 2 fois
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
Hornet
Administrateur/Contributeur désinfection
avatar

Messages : 3535
Réputation : 153

Feuille de personnage
Nom:
Race:

MessageSujet: Re: Virut, Sality, Expiro, c'est que du bonheur !!!   Dim 12 Oct - 14:19

J'espère que ca suffira pour que les visiteurs comprennent qu'il ne faut pas jouer avec les cracks/keygens et qu'il faut réfléchir avant de cliquer.

===============signature ===============
Pour savoir comment entretenir votre pc, cliquez ici
Un problème avec Windows? premier réflexe : Microsoft Fixit
Votre pc est infecté et vous ne savez pas quoi faire pour commencer? lisez ceci
Réfléchissez avant de cliquer, vous éviterez beaucoup de soucis. Projet anti-malware : s'informer pour mieux se protéger
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
BOMETIS
Megaman/Megawoman
Megaman/Megawoman
avatar

Messages : 216
Réputation : 0

MessageSujet: Re: Virut, Sality, Expiro, c'est que du bonheur !!!   Ven 14 Nov - 0:42

Intéressant !
Revenir en haut Aller en bas
Voir le profil de l'utilisateur
Morbak
Administrateur (Fondateur)
avatar

Messages : 3197
Réputation : 197

Feuille de personnage
Nom: Morbak
Race: Humain

MessageSujet: Re: Virut, Sality, Expiro, c'est que du bonheur !!!   Ven 14 Nov - 10:10

j'ai rectifié les liens vers les rapports.

===============signature ===============
Superviseur du forum.
Adresse du serveur : http://morbak-home.ddns.net
Formulaire de contact : http://morbak-home.forumgratuit.org/contact
Le forum vous recommande l'utilisation d'Avast antivirus gratuit : http://www.avast.com/get/I8pJzbZF
Revenir en haut Aller en bas
Voir le profil de l'utilisateur http://morbak-home.ddns.net
Contenu sponsorisé




MessageSujet: Re: Virut, Sality, Expiro, c'est que du bonheur !!!   

Revenir en haut Aller en bas
 
Virut, Sality, Expiro, c'est que du bonheur !!!
Revenir en haut 
Page 1 sur 1

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
Morbak's Home :: Informatique :: Informations utiles :: Discussions diverses-
Sauter vers: