noci.exe (2011) et boutique Internet Résolu/Fermé

Question

Bonjour, 
Je me suis rendu récemment dans une de ces petites boutiques (Internet - fax - photocopies, etc...), muni d'une clé USB, préalablement formatée, contenant exclusivement une copie d'écran PSD que je voulais imprimer.
De retour chez moi, j'ai constaté la présence de ce trojan, datant de 2011 mais installé ou modifié dans le réseau de la boutique, la nuit précédente, à 01H00.
J'avais déjà signalé ce problème il y a quelques semaines et en ai à nouveau averti le personnel, qui ne m'a pas semblé prendre la chose au sérieux.
Je n'ai pas d'inquiétude pour mes données personnelles, mais qu'en est-il pour d'autres utilisateurs?
Merci d'avance.
Copie du virus disponible en M.P.

Configuration: Linux / Firefox 17.0

Utilisateur anonyme · Answer

bonjour,

ceci est surement un verre qui se balade d'un support externe à un autre !

pour ce qui conserne les autres utilisateurs, il suffit que le fichier soit executé (par erreur ou par curiosité, ou en autoexecution) pour que leurs pc soient à leurs tours infectés !

Victor Laszlo · Answer

... et le gentil ver (qui se situe dans un dossier nommé "Vatrenoj", ce qui signifie "feu" en serbe), est acompagné de ce texte:

[autorun]
USEAUTOPLAY=1
shellexcute=vatrenoj/noci.exe
Shelltucite
shell\Explore\command=vatrenoj/noci.exe
shell\Open\command=vatrenoj/noci.exe
icon=vatrenoj/noci.exe
open=vatrenoj/noci.exe
action=Open folder to view files using Windows Explorer

... et Il semble bel et bien être mis à jour la nuit, à 01H00...
Les boutiques du type de celle à laquelle je me suis adressé ont, surtout dans un quartier cosmopolite comme le mien, une clientèle des plus variées, dont des personnes qui n'ont pas d'antivirus ni d'accès à Internet.
Après tout, Je me suis contenté de demander l'impression d'un document!

Utilisateur anonyme · Answer

compresse ton fichier executable (le gentil ver :P),

hénérge le sur cjoint,

colle son lien sur ton prochain message,

je vais voir ce que c'est !

merci pour ta contribution  ;-)

juju666 · Answer

Salut,

ceci est surement un verre qui se balade d'un support externe à un autre !  

T'aime bien les verres toi :D mdr

Tu peux l'envoyer directement chez malekal : http://upload.malekal.com 

;)

Victor Laszlo · Answer

Merci à toi aussi. J'ai envoyé le fichier à malekal.
Je ne parviens pas à te l'envoyer (je l'ai compressé) en M.P. As-tu bloqué cette option?

Utilisateur anonyme · Answer

les mp sont pleins !

envoie le moi directement ici, après la récupération, je vire ton poste  :D

Victor Laszlo · Answer

(lien effacé)

Malekal_morte- · Answer

Bha 2011 donc super bien détecté : https://www.virustotal.com/gui/file/f0932914586b8387a43457da6d6bc055c84f6466fd1c824d245868b7f9a8a8aa

juju666 · Answer

Ah ouais palevo, ça date :)

Victor Laszlo · Answer

Bonjour, 
Il est détecté par mon antivirus aussi, bien sûr, mais si qqn fait comme moi (voir + haut), sans AV? Et pour les données de sa clé?
15H45: Je repasserai sur CCM dans la soirée...

juju666 · Answer

USBFix et/ou Malwarebytes anti malware, ça doit le shooter.

Utilisateur anonyme · Answer

Edit :

juju me l'a envoyé, c'est bon !


  
  
O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø 
=>>Réspire à fond, Rédige ton message en bon français et de manièr claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°Oø

Victor Laszlo · Answer

@ juju 666:  
Les boutiques du type de celle à laquelle je me suis adressé ont, surtout dans un quartier cosmopolite comme le mien, une clientèle des plus variées, dont des personnes qui n'ont pas d'antivirus ni d'accès à Internet (voir #2):  
Des centaines de personnes ont donc pu se faire plumer via cette boutique.  
Et si je ne parviens pas à convaincre le patron, ou s'il s'en f..., ou si ça l'arrange, ça va continuer.
@ Electricien 69:
Désolé, j'ai laissé le lien pendant près de 20 minutes.

Utilisateur anonyme · Answer

j'ai eu le fichier , merci  :D


as tu d'autres questions ?

juju666 · Answer

Microsoft: 
 Worm:Win32/Rimecud.DP is a worm that spreads via removable drives, instant messaging and peer-to-peer file-sharing programs. It also contains backdoor functionality that allows unauthorized access to an affected computer.

Utilisateur anonyme · Answer

pour ce qui me conserne, il s'agit d'un worm qui libère (ou invite) un backdoor !

https://www.google.fr/?gws_rd=ssl#hl=fr&sclient=psy-ab&q=palevo&oq=palevo&gs_l=hp.3..0j0i10j0j0i10.1659.3543.0.4799.6.6.0.0.0.0.1749.2321.0j4j8-1.5.0...0.0...1c.1.5.psy-ab.b5p_jCgOLFY&pbx=1&bav=on.2,or.r_gc.r_pw.r_qf.&bvm=bv.43148975,d.d2k&fp=7338be22edb28209&biw=1360&bih=576

donc à supprimer !

sur ce, bon surf  ;-)

Victor Laszlo · Answer

Bonsoir,
Je me suis sans doute un peu emporté, hier (#17)... 
Je clique sur "résolu".
Bonne soirée et merci à tous.

Noci.exe (2011) et boutique Internet

17 réponses

Discussions similaires