Noci.exe (2011) et boutique Internet [Résolu/Fermé]

Signaler
Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013
-
Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013
-
Bonjour,
Je me suis rendu récemment dans une de ces petites boutiques (Internet - fax - photocopies, etc...), muni d'une clé USB, préalablement formatée, contenant exclusivement une copie d'écran PSD que je voulais imprimer.
De retour chez moi, j'ai constaté la présence de ce trojan, datant de 2011 mais installé ou modifié dans le réseau de la boutique, la nuit précédente, à 01H00.
J'avais déjà signalé ce problème il y a quelques semaines et en ai à nouveau averti le personnel, qui ne m'a pas semblé prendre la chose au sérieux.
Je n'ai pas d'inquiétude pour mes données personnelles, mais qu'en est-il pour d'autres utilisateurs?
Merci d'avance.
Copie du virus disponible en M.P.

17 réponses


bonjour,

ceci est surement un verre qui se balade d'un support externe à un autre !

pour ce qui conserne les autres utilisateurs, il suffit que le fichier soit executé (par erreur ou par curiosité, ou en autoexecution) pour que leurs pc soient à leurs tours infectés !



Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013

... et le gentil ver (qui se situe dans un dossier nommé "Vatrenoj", ce qui signifie "feu" en serbe), est acompagné de ce texte:

[autorun]
USEAUTOPLAY=1
shellexcute=vatrenoj/noci.exe
Shelltucite
shell\\Explore\\command=vatrenoj/noci.exe
shell\Open\\command=vatrenoj/noci.exe
icon=vatrenoj/noci.exe
open=vatrenoj/noci.exe
action=Open folder to view files using Windows Explorer


... et Il semble bel et bien être mis à jour la nuit, à 01H00...
Les boutiques du type de celle à laquelle je me suis adressé ont, surtout dans un quartier cosmopolite comme le mien, une clientèle des plus variées, dont des personnes qui n'ont pas d'antivirus ni d'accès à Internet.
Après tout, Je me suis contenté de demander l'impression d'un document!

compresse ton fichier executable (le gentil ver :P),

hénérge le sur cjoint,

colle son lien sur ton prochain message,

je vais voir ce que c'est !

merci pour ta contribution ;-)


Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 753
Salut,

ceci est surement un verre qui se balade d'un support externe à un autre !

T'aime bien les verres toi :D mdr

Tu peux l'envoyer directement chez malekal : http://upload.malekal.com

;)
Messages postés
42903
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
23 novembre 2020
3 539
Mdr le lapsus d'elec
Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013

Merci à toi aussi. J'ai envoyé le fichier à malekal.
Je ne parviens pas à te l'envoyer (je l'ai compressé) en M.P. As-tu bloqué cette option?

les mp sont pleins !

envoie le moi directement ici, après la récupération, je vire ton poste :D


Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013

(lien effacé)
Messages postés
180209
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
23 novembre 2020
22 641
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 753
Ah ouais palevo, ça date :)
Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013

Je ne connaissais pas ce palevo...
Il y a des titres d'articles amusants sur le Net:
Worm.P2P.Palevo.B à l 'affût dans votre corbeille
Mais je suis sans doute bien naïf...
Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013

Bonjour,
Il est détecté par mon antivirus aussi, bien sûr, mais si qqn fait comme moi (voir + haut), sans AV? Et pour les données de sa clé?
15H45: Je repasserai sur CCM dans la soirée...
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 753
USBFix et/ou Malwarebytes anti malware, ça doit le shooter.
Edit :

juju me l'a envoyé, c'est bon !




O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manièr claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°Oø
Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013

@ juju 666:
Les boutiques du type de celle à laquelle je me suis adressé ont, surtout dans un quartier cosmopolite comme le mien, une clientèle des plus variées, dont des personnes qui n'ont pas d'antivirus ni d'accès à Internet (voir #2):
Des centaines de personnes ont donc pu se faire plumer via cette boutique.
Et si je ne parviens pas à convaincre le patron, ou s'il s'en f..., ou si ça l'arrange, ça va continuer.
@ Electricien 69:
Désolé, j'ai laissé le lien pendant près de 20 minutes.

j'ai eu le fichier , merci :D


as tu d'autres questions ?


Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013

Non, je reste en attente d'une réponse un peu plus précise à celle-ci.
J'ai appris qu'il fallait être très patient sur ce site et attendre parfois plusieurs années.
Je placerai ma question en résolu le cas échéant.
Sinon, je chercherai du côté de ce palevo.
Merci beaucoup et à demain.
Bonne soirée à tous.
P.S: désolé, Mais là, je regarde un film avec Bacri/Jaoui/M.L.Berry, chez une voisine.
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 753
Microsoft:
Worm:Win32/Rimecud.DP is a worm that spreads via removable drives, instant messaging and peer-to-peer file-sharing programs. It also contains backdoor functionality that allows unauthorized access to an affected computer.
Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013

Bonsoir,
Je me suis sans doute un peu emporté, hier (#17)...
Je clique sur "résolu".
Bonne soirée et merci à tous.