Trojan 'Ransomware' en activité et variable..
Résolu
jalobservateur
Messages postés
7372
Date d'inscription
Statut
Contributeur sécurité
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Voyant se multiplier les cas un peu partout, il est avisé de faire circuler cette information importante afin de limiter les dégats...
Voici 1 des nombreux cas vu dont ici: Cheval de Troie Rogue:W32/DotTorrent.A
Il y a un nouveau Trojan d'extorsion en circulation.
À première vu, en provenance de la Russie...
Celui-ci essaye de voler l'argent des victimes en les intimidant pour payer « un règlement pre-trial » pour couvrir « une amende de support de copyright ».
La victime est au courant que « un module de balayage de base d'Antipiracy » ait trouvé les torrents illégaux du système.
Le client (utilisateur du PC)doit payer $400 (par l'intermédiaire d'une transaction par carte de crédit), il pourrait faire face à la prison et à des amandes énormes...
De plus, les avertissements ne partiront pas. Ils réapparaîtront chaque fois que l'utilisateur recharge son système, sinon même que cette infection s'installe sur le MBR et met ainsi en grand danger la machine qui risque de planter 'écran bleu de la mort' sinon ne démarre plus.
Tout ceci est complètement faux.
Il n'y a aucune « base d'ICPP », et les messages apparaîtront même si le système ne contient aucun matériel illégal tel que des torrents de logiciels ou musiques téléchargées, via la Mule ou Limewire
D'une manière plus importante : Ces ordures tentent de faire verser de l'argent!
Si les gens les payent, le problème se développera et de façon exponentielle.
Le groupe derrière ceci ont même installé un site Web chez icpp-online.com.
Le domaine est enregistré à M. « Shoen Overns ». Le même email address ovenersbox@yahoo.com Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir. a été vu avant dans de divers autres domaines, reliés aux escroqueries de Zeus et de Koobface.
Si vous cliquez sur les rapports montrés par l'application, vous aboutirez à des pages de ce type :
Le téléphone mentionné ne mène nulle part, bien-entendu...
Ces pages sont hébergées chez 91.209.238.2, qui selon le WHOIS appartient à EBUNKER-NET, « un réseau protégé élevé de la Somalie ». Il fonctionne dans Moldau.
Et voici à quoi la page de paiement ressemble :
Il n'y a aucun système évident de paiement par carte de crédit relié à l'emplacement ; ils semblent juste collecter les informations par la carte de crédit.
Si vous êtes frappé par ce Trojan, NE PAYEZ PAS.
Le malware est typiquement placé dans les données de c:\documents and settings\USERNAME\application \ IQManager \ iqmanager.exe. Nous avons vu deux versions jusqu'ici. MD5 hache de elles est cedc2c35bf967027d609df13e937946c et bca3226cc1cfea416c0bcf488082e5fd.
Que du bonheur
Source avant ma francisation: www.f-secure.com/weblog/archives/00001931.html
Analyse de la menace en détails ici : www.threatexpert.com/report.aspx?md5=ced...7027d609df13e937946c
Information sur une nouvelle tentative modifiée, sera communiquée par m0e
Que je remerci de son implication :)
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Voyant se multiplier les cas un peu partout, il est avisé de faire circuler cette information importante afin de limiter les dégats...
Voici 1 des nombreux cas vu dont ici: Cheval de Troie Rogue:W32/DotTorrent.A
Il y a un nouveau Trojan d'extorsion en circulation.
À première vu, en provenance de la Russie...
Celui-ci essaye de voler l'argent des victimes en les intimidant pour payer « un règlement pre-trial » pour couvrir « une amende de support de copyright ».
La victime est au courant que « un module de balayage de base d'Antipiracy » ait trouvé les torrents illégaux du système.
Le client (utilisateur du PC)doit payer $400 (par l'intermédiaire d'une transaction par carte de crédit), il pourrait faire face à la prison et à des amandes énormes...
De plus, les avertissements ne partiront pas. Ils réapparaîtront chaque fois que l'utilisateur recharge son système, sinon même que cette infection s'installe sur le MBR et met ainsi en grand danger la machine qui risque de planter 'écran bleu de la mort' sinon ne démarre plus.
Tout ceci est complètement faux.
Il n'y a aucune « base d'ICPP », et les messages apparaîtront même si le système ne contient aucun matériel illégal tel que des torrents de logiciels ou musiques téléchargées, via la Mule ou Limewire
D'une manière plus importante : Ces ordures tentent de faire verser de l'argent!
Si les gens les payent, le problème se développera et de façon exponentielle.
Le groupe derrière ceci ont même installé un site Web chez icpp-online.com.
Le domaine est enregistré à M. « Shoen Overns ». Le même email address ovenersbox@yahoo.com Cette adresse email est protégée contre les robots des spammeurs, vous devez activer Javascript pour la voir. a été vu avant dans de divers autres domaines, reliés aux escroqueries de Zeus et de Koobface.
Si vous cliquez sur les rapports montrés par l'application, vous aboutirez à des pages de ce type :
Le téléphone mentionné ne mène nulle part, bien-entendu...
Ces pages sont hébergées chez 91.209.238.2, qui selon le WHOIS appartient à EBUNKER-NET, « un réseau protégé élevé de la Somalie ». Il fonctionne dans Moldau.
Et voici à quoi la page de paiement ressemble :
Il n'y a aucun système évident de paiement par carte de crédit relié à l'emplacement ; ils semblent juste collecter les informations par la carte de crédit.
Si vous êtes frappé par ce Trojan, NE PAYEZ PAS.
Le malware est typiquement placé dans les données de c:\documents and settings\USERNAME\application \ IQManager \ iqmanager.exe. Nous avons vu deux versions jusqu'ici. MD5 hache de elles est cedc2c35bf967027d609df13e937946c et bca3226cc1cfea416c0bcf488082e5fd.
Que du bonheur
Source avant ma francisation: www.f-secure.com/weblog/archives/00001931.html
Analyse de la menace en détails ici : www.threatexpert.com/report.aspx?md5=ced...7027d609df13e937946c
Information sur une nouvelle tentative modifiée, sera communiquée par m0e
Que je remerci de son implication :)
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
A voir également:
- Trojan 'Ransomware' en activité et variable..
- Activité instagram - Guide
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan al11 ✓ - Forum Virus
- Compte orange bloqué activité suspecte ✓ - Forum Mail
- Trojan b901 system32 win config 34 ✓ - Forum Virus
86 réponses
Trop fort m0e !
Super démo l'ami !
Merci :)
Alors ça commence ...
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Super démo l'ami !
Merci :)
Alors ça commence ...
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
MBAM le reconnait maintenant
https://forums.commentcamarche.net/forum/affich-17553729-trojan-bnk-win32-keylogger-gen#6
https://forums.commentcamarche.net/forum/affich-17553729-trojan-bnk-win32-keylogger-gen#6
Il semble bien en effet...:)
On verra bien avec des scans plus profonds et quelques redémarrages de quoi il en retourne.
L'équipe de MBAM est réactive encore une fois ! Bravo !
On verra bien avec des scans plus profonds et quelques redémarrages de quoi il en retourne.
L'équipe de MBAM est réactive encore une fois ! Bravo !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut à vous,
Merci pour les informations.
Si quelqu'un a le dropper, je voudrais bien faire joujou avec la VM ...?
Merci pour les informations.
Si quelqu'un a le dropper, je voudrais bien faire joujou avec la VM ...?
Salut Crapoulou,
Tout dépend de ce que tu veux faire.
Par exemple, pour une vidéo sans commentaires je me sert de la fonction "Capture movie" intégré à VMWare.
L'inconvéniant étant la taille du fichier en sortie qui nécessite souvent d'être réencodé (Xvid, h264 etc...) pour avoir quelque chose au final, de relativement rapide à télécharger/visualiser.
L'avantage étant de pouvoir absolument tout capturer (séquence de boot, utilisation de la console de récup etc...)
Sinon si la capture doit nécessiter des explications ou être interactive, Camtasia Studio, NetPlay Instant Démo, Snagit, Wink etc...
Voilou !
@++
Tout dépend de ce que tu veux faire.
Par exemple, pour une vidéo sans commentaires je me sert de la fonction "Capture movie" intégré à VMWare.
L'inconvéniant étant la taille du fichier en sortie qui nécessite souvent d'être réencodé (Xvid, h264 etc...) pour avoir quelque chose au final, de relativement rapide à télécharger/visualiser.
L'avantage étant de pouvoir absolument tout capturer (séquence de boot, utilisation de la console de récup etc...)
Sinon si la capture doit nécessiter des explications ou être interactive, Camtasia Studio, NetPlay Instant Démo, Snagit, Wink etc...
Voilou !
@++
Salut Crap:)
m0e a et m'a refilé y a quelques jours, mais j'en ai près de 800 dans un dossier sur mon Nux et mdr je le retrouve plus ...
Si c'est possible m0e de remettre ici 'temporaire', on va jouer de la gachette.
m0e a et m'a refilé y a quelques jours, mais j'en ai près de 800 dans un dossier sur mon Nux et mdr je le retrouve plus ...
Si c'est possible m0e de remettre ici 'temporaire', on va jouer de la gachette.
Je l'ai shippé à plusieurs endroits et testé en vm, mais supprimé de ma VM en toute fin.
Mais j'ai shippé une vingtaine en 2 jours un peu partout et je mélange les noms...
Je voulait hier envoyer à Cedric, mais me suis gourré avec un tdss lol
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
Mais j'ai shippé une vingtaine en 2 jours un peu partout et je mélange les noms...
Je voulait hier envoyer à Cedric, mais me suis gourré avec un tdss lol
Steve Job 'Apple' est un génie du marketing, Bill Gates un génie de la finance 'W$'
puis Linus Torvald et Richard Stallman 'Gnu/Linux' sont des génies de l'informatique...
La vérité n'est pas toujours où nous cherchons, mais souvent où l'on refuse de voir...
gaffe l'infection prend un cliché de toi au moment de l install , j ai retrouvé une photo de moi dans Roaming\APM......
non le cliché est pris au moment de l'install du malware
si ca interesse quelqu'un :
244fcd5f107657d07bb87efcbeb02619 avm\apmanager.exe
5ca7c4a45b34602e466e6464115e1796 avm\install-767.exe
feb6e9acf04e7e047e773fd477e2c84f avm\install-768.exe
135a99f079861b2352f3caba74ec22c0 avm\install-769.exe
e0f2da90368635a8f44c1ee613dcb952 avm\install-770.exe
365e8f5b86e5b8cf0819986746f7148e avm\install-771.exe
39db5604b2c957430be2828d5d158221 avm\install-772.exe
fac5f96fe7bb46d942789357741f1de1 avm\install-773.exe
30555b7ade4ee8421cd9d71c113168fa avm\install-774.exe
53df6cf7c2c35c6453d9e0515a7542c4 avm\install-775.exe
55e24f1fa0898541abbbdb9e9a9fa433 avm\install-776.exe
b980013811cbd972cdb7968b10f79c69 avm\install-777.exe
507edfa4d7cfc9bbc3737cd2fe27d089 avm\install-778.exe
4e41c974fa116134fae4cebb96c408c2 avm\install-779.exe
eaad6deae2a1aef25034fa1f48c86e84 avm\install-780.exe
d968e3bf0ff26a5f8f70759c0ec7472c avm\install-781.exe
cbc69ba7eea54ba26be83ec3ac4ee015 avm\install-782.exe
d22705d090e01a2788410ad7a4636771 avm\install-783.exe
3b99a033b865b814289374bc677bb01f avm\install-784.exe
391a414072281d6be0d3fc060ebd82da avm\install-785.exe
03f049d35526ae45db6f712aad92c807 avm\install-786.exe
3f6409171cbbab500bdf73ae440adbaa avm\install-787.exe
f2be711aee7ef32305c645fe4afd5e52 avm\install-788.exe
4bc9e1a242d699757dda7ae0029b003c avm\install-789.exe
8d3a292662c57181c5fbb2c05c10aa70 avm\install-790.exe
3546d84df4e51049959163ca3eb39896 avm\install-791.exe
590dd1a9b4c6942b33810292653d09e7 avm\install-792.exe
c32c6939cd29301335d98e2c98bec15d avm\install-793.exe
69dddc561fbc63a9974707abd22d4c41 avm\install-794.exe
0f95fefd01f6c3643385d19b24bba27f avm\install-795.exe
365a33ec35fee6adbd9fd5020e84ca50 avm\install-796.exe
064e78335b87c7eb84fc53d8ab4f008e avm\install-797.exe
2e33e55f3a9e9cb318bf8870b2765aff avm\install-798.exe
b49322b3dd09599ce59e68688999dd94 avm\install-799.exe
dcfcf958321dac45cfb8fb9a00865156 avm\install-800.exe
3872ca3a3d63b3703e11fc2cc4e11afe avm\install-801.exe
1dfd19eb94a47cf3752da7974e2a5ecf avm\install-802.exe
dfcf9f83f1991a8b6acf09b5a86cd31c avm\install-803.exe
ad78af3ed1b301fe9d6ec4a39ae2bf94 avm\install-804.exe
6c13b186bc2a189c6ab4046c36258f9a avm\install-805.exe
1ea4f217d973ad1bfdec5477bf7d7596 avm\install-806.exe
fbdb8ba1cb1131a641651cfb4997aaa4 avm\install-807.exe
9b67e4df28baf4c1d7e5d7aa4e5dfd02 avm\install-808.exe
663be6df6004f677d3d3e223fd8b0ddb avm\install-809.exe
424a2ac643e0ef7abab4e0ada603997d avm\install-810.exe
9e1b7121b82e0b39a15de0d6991f3745 avm\install-811.exe
e229b95c15872ba41da834c671c7a14b avm\install-812.exe
8c119b021199b1131f48eee78c901f0f avm\install-813.exe
053c9a53d9f166377160cf1823a66a76 avm\install-814.exe
e04a19794a43dce08274ed1ea5145749 avm\install-815.exe
9ee0bdfd4f2adf0651a98f014bfd1556 avm\install-816.exe
496656d33933d0d1f954a22e63c409c9 avm\install-817.exe
baa10a9914c0dcafb3eee9d721e398de avm\install-818.exe
04949b9132af7fdaeda48ffc26e4c964 avm\install-819.exe
b52733a354adb6c7cb80d6aaee7fa6ef avm\install-820.exe
c5aff7064664988fb54a7ac853626d6b avm\install-821.exe
8d10c9382f2b6e054265dc34def4eb2f avm\install-822.exe
1a784a7ac1832ecdb607d6b0d67a0d2b avm\install-823.exe
9fdd3fb69f214a58730b47304aab129b avm\install-824.exe
c59529a7009c1b5e243a0cbe43c5e3c8 avm\install-825.exe
0a42d80ebb6a3ef2aea8f0d0fe2611d8 avm\install-826.exe
e10d5ba6c84ce5669d9dc088eda4023a avm\install-827.exe
838d7f5e974374adafc7f0a40121dfd7 avm\install-828.exe
c48873d4b4e0fcf608b45bf876bc5802 avm\install-829.exe
fac2806006087b794ee3aeb147086647 avm\install-830.exe
b222b1fff70a300a4f687d970609371e avm\install-831.exe
a917d358b5b7342d99d1a00114532619 avm\install-832.exe
5c314991dc95a4829e6ce7959e2ac58a avm\install-833.exe
0d102982f908583c5412d314a288b1c2 avm\install-834.exe
97874acaaaa6624492f6f9e02809116d avm\install-835.exe
7ab78a348eed0140b7ed7aa10bcd7e79 avm\install-836.exe
31b57dbfa1c82da8f98dcea49d673455 avm\install-837.exe
e54510931b0a5602094ead6fc0cc1721 avm\install-838.exe
dde846b76cb02717f8497fb3444c798b avm\install-839.exe
f2e173510d53fa6f135fc7e5d19122c0 avm\install-840.exe
9fcefbdc046ec21463f443764c092e27 avm\install-841.exe
ea295f0e0ac0b204dad9f7928dda2f99 avm\install-842.exe
5a8698c77f331214726cc0b9f92cf1a1 avm\install-843.exe
b77b0da35d0fa5450cedb1e5e9a62aa4 avm\install-844.exe
9806588206e583d11b4ff479578f698e avm\install-845.exe
si ca interesse quelqu'un :
244fcd5f107657d07bb87efcbeb02619 avm\apmanager.exe
5ca7c4a45b34602e466e6464115e1796 avm\install-767.exe
feb6e9acf04e7e047e773fd477e2c84f avm\install-768.exe
135a99f079861b2352f3caba74ec22c0 avm\install-769.exe
e0f2da90368635a8f44c1ee613dcb952 avm\install-770.exe
365e8f5b86e5b8cf0819986746f7148e avm\install-771.exe
39db5604b2c957430be2828d5d158221 avm\install-772.exe
fac5f96fe7bb46d942789357741f1de1 avm\install-773.exe
30555b7ade4ee8421cd9d71c113168fa avm\install-774.exe
53df6cf7c2c35c6453d9e0515a7542c4 avm\install-775.exe
55e24f1fa0898541abbbdb9e9a9fa433 avm\install-776.exe
b980013811cbd972cdb7968b10f79c69 avm\install-777.exe
507edfa4d7cfc9bbc3737cd2fe27d089 avm\install-778.exe
4e41c974fa116134fae4cebb96c408c2 avm\install-779.exe
eaad6deae2a1aef25034fa1f48c86e84 avm\install-780.exe
d968e3bf0ff26a5f8f70759c0ec7472c avm\install-781.exe
cbc69ba7eea54ba26be83ec3ac4ee015 avm\install-782.exe
d22705d090e01a2788410ad7a4636771 avm\install-783.exe
3b99a033b865b814289374bc677bb01f avm\install-784.exe
391a414072281d6be0d3fc060ebd82da avm\install-785.exe
03f049d35526ae45db6f712aad92c807 avm\install-786.exe
3f6409171cbbab500bdf73ae440adbaa avm\install-787.exe
f2be711aee7ef32305c645fe4afd5e52 avm\install-788.exe
4bc9e1a242d699757dda7ae0029b003c avm\install-789.exe
8d3a292662c57181c5fbb2c05c10aa70 avm\install-790.exe
3546d84df4e51049959163ca3eb39896 avm\install-791.exe
590dd1a9b4c6942b33810292653d09e7 avm\install-792.exe
c32c6939cd29301335d98e2c98bec15d avm\install-793.exe
69dddc561fbc63a9974707abd22d4c41 avm\install-794.exe
0f95fefd01f6c3643385d19b24bba27f avm\install-795.exe
365a33ec35fee6adbd9fd5020e84ca50 avm\install-796.exe
064e78335b87c7eb84fc53d8ab4f008e avm\install-797.exe
2e33e55f3a9e9cb318bf8870b2765aff avm\install-798.exe
b49322b3dd09599ce59e68688999dd94 avm\install-799.exe
dcfcf958321dac45cfb8fb9a00865156 avm\install-800.exe
3872ca3a3d63b3703e11fc2cc4e11afe avm\install-801.exe
1dfd19eb94a47cf3752da7974e2a5ecf avm\install-802.exe
dfcf9f83f1991a8b6acf09b5a86cd31c avm\install-803.exe
ad78af3ed1b301fe9d6ec4a39ae2bf94 avm\install-804.exe
6c13b186bc2a189c6ab4046c36258f9a avm\install-805.exe
1ea4f217d973ad1bfdec5477bf7d7596 avm\install-806.exe
fbdb8ba1cb1131a641651cfb4997aaa4 avm\install-807.exe
9b67e4df28baf4c1d7e5d7aa4e5dfd02 avm\install-808.exe
663be6df6004f677d3d3e223fd8b0ddb avm\install-809.exe
424a2ac643e0ef7abab4e0ada603997d avm\install-810.exe
9e1b7121b82e0b39a15de0d6991f3745 avm\install-811.exe
e229b95c15872ba41da834c671c7a14b avm\install-812.exe
8c119b021199b1131f48eee78c901f0f avm\install-813.exe
053c9a53d9f166377160cf1823a66a76 avm\install-814.exe
e04a19794a43dce08274ed1ea5145749 avm\install-815.exe
9ee0bdfd4f2adf0651a98f014bfd1556 avm\install-816.exe
496656d33933d0d1f954a22e63c409c9 avm\install-817.exe
baa10a9914c0dcafb3eee9d721e398de avm\install-818.exe
04949b9132af7fdaeda48ffc26e4c964 avm\install-819.exe
b52733a354adb6c7cb80d6aaee7fa6ef avm\install-820.exe
c5aff7064664988fb54a7ac853626d6b avm\install-821.exe
8d10c9382f2b6e054265dc34def4eb2f avm\install-822.exe
1a784a7ac1832ecdb607d6b0d67a0d2b avm\install-823.exe
9fdd3fb69f214a58730b47304aab129b avm\install-824.exe
c59529a7009c1b5e243a0cbe43c5e3c8 avm\install-825.exe
0a42d80ebb6a3ef2aea8f0d0fe2611d8 avm\install-826.exe
e10d5ba6c84ce5669d9dc088eda4023a avm\install-827.exe
838d7f5e974374adafc7f0a40121dfd7 avm\install-828.exe
c48873d4b4e0fcf608b45bf876bc5802 avm\install-829.exe
fac2806006087b794ee3aeb147086647 avm\install-830.exe
b222b1fff70a300a4f687d970609371e avm\install-831.exe
a917d358b5b7342d99d1a00114532619 avm\install-832.exe
5c314991dc95a4829e6ce7959e2ac58a avm\install-833.exe
0d102982f908583c5412d314a288b1c2 avm\install-834.exe
97874acaaaa6624492f6f9e02809116d avm\install-835.exe
7ab78a348eed0140b7ed7aa10bcd7e79 avm\install-836.exe
31b57dbfa1c82da8f98dcea49d673455 avm\install-837.exe
e54510931b0a5602094ead6fc0cc1721 avm\install-838.exe
dde846b76cb02717f8497fb3444c798b avm\install-839.exe
f2e173510d53fa6f135fc7e5d19122c0 avm\install-840.exe
9fcefbdc046ec21463f443764c092e27 avm\install-841.exe
ea295f0e0ac0b204dad9f7928dda2f99 avm\install-842.exe
5a8698c77f331214726cc0b9f92cf1a1 avm\install-843.exe
b77b0da35d0fa5450cedb1e5e9a62aa4 avm\install-844.exe
9806588206e583d11b4ff479578f698e avm\install-845.exe
Non mais... Sans blague là, j'ai vu une info 'underground' ou il est question de rançons et de clichés pris de l'utilisateur, qui durant la fréquentation de sites X, se verra menacé de divulgation et d'images, puis d'ip, d'infos perso, d'Url's vistées, ect...
Alors pour les intéressés, mettez vos Cams dos à vous lollll
Alors pour les intéressés, mettez vos Cams dos à vous lollll
