Tor installé sans pré-avis => Trojan.Mevade [Résolu/Fermé]

Signaler
Messages postés
814
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
-
Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
-
Bonjour,

Est-ce possible que Tor ce soit installé "tout seul" sur une machine?
J'ai un utilisateur qui prétend ne pas l'avoir installé, or il est bel et bien présent sur sa machine...

https://www.numerama.com/magazine/26908-la-poussee-fulgurante-de-tor-serait-due-a-un-malware.html
Mais est-ce vraiment plausible?
Elpens

8 réponses

Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
21 741
Salut,

Il a pu être installé avec un programme qui s'en sert.
Messages postés
814
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
125
Ok,

Tu as des exemples de programmes qui nécessitent d'avoir tor?
Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
21 741
Comme ça là, non.

Si tu veux vérif pour les virus :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


Messages postés
814
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
125
Je te remercie d'avance!

Comme mentionné ce n'est pas sur ma machine, donc toujours difficile de croire les gens.

Je l'ai fait faire un scan OTL avec les options suivantes:


> netsvcs
> msconfig
> safebootminimal
> safebootnetwork
> activex
> drivers32
> %ALLUSERSPROFILE%\Application Data\*.
> %ALLUSERSPROFILE%\Application Data\*.exe /s
> %APPDATA%\*.
> %APPDATA%\*.exe /s
> %temp%\*.exe /s
> %SYSTEMDRIVE%\*.exe
> %systemroot%\*. /mp /s
> %systemroot%\system32\consrv.dll
> %systemroot%\system32\*.dll /lockedfiles
> %windir%\Tasks\*.job /lockedfiles
> %systemroot%\system32\drivers\*.sys /lockedfiles
> %systemroot%\System32\config\*.sav
> /md5start
> explorer.exe
> winlogon.exe
> services.exe
> wininit.exe
> /md5stop
> HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
> HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
> HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
> HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
> CREATERESTOREPOINT
> nslookup https://www.google.fr/?gws_rd=ssl /c
> SAVEMBR:0
> hklm\software\clients\startmenuinternet|command /rs
> hklm\software\clients\startmenuinternet|command /64 /rs


Je vais copier les rapports ou tu me l'as indiqué, je dois juste "anonymiser" qqes info

Je lui ai demandé d'effectuer ce scan à cause de TrendMicro OfficeScan, qui a détecté sur son PC le problème suivant:


Platform: Windows 7 6.1.7601
Virus/Malware: TROJ_MEVADE.UHT
Infection Source:
Infected File/Object: WINS.EXE
Path of file: C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\WINDOWS INTERNET NAME SERVICE\
Scan Type: Real-time Scan
Result: Unable to quarantine the file. Refer to the online help for solutions.
IP Address: [removed]
MAC Address: [removed]

Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
21 741
bha il est infecté par un bot.
Je sais que les antivirus avaient parlé dernièrement d'un bot qui utilise tor, mais c'est assez débile s'il doit installer Tor pour fonctionner Oo
Messages postés
814
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
125
le serpent qui se mange la queue
Messages postés
814
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
125
Je lui ai fait installé RUBotted de TrendMicro, mais il n'a rien detecté
Ensuite un scan Adwcleaner qui n'a rien donné
Puis MalwareBytes qui n'a rien fait non plus
Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
21 741
c'est bien Mevade qui utilise TOR :

McDonald said Microsoft uncovered evidence linking Sefnit to the Mevade malware used in the world's first large-scale Tor botnet.
"?Recently Trojan:Win32/Mevade made news for being the first large botnet to use Tor to anonymise and hide its network traffic. Within a few weeks, starting mid-August, the number of directly connecting Tor users increased by almost 600 percent - from about 500,000 users per day to more than three million," he wrote.
Messages postés
814
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
125
tiens, j'avais manqué ca! Merci
Messages postés
814
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
125
Voilà le lien du fichier "OTL"
https://pjjoint.malekal.com/files.php?id=20131001_c5s12k911g11

Je n'aime pas trop le contenu de son "AppData\Local\Temp\"
Il faut également que je lui demande s'il utilise sa "Bing Bar"
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 735
tant qu'à faire, t'aurais pu anonymiser son cr@ck adobe :p
Messages postés
814
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
125
je suis bluffé... comment faites-vous pour arriver à des résultats comme ça en quelques secondes???
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 735
c'est connu le coup du hosts :

O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O1 - Hosts: 127.0.0.1 ereg.adobe.com
O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1 wip3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com
O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1 adobeereg.com
Messages postés
814
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
125
ok ok, j'hallucine! Il faut vraiment que je me fasse la main avec ces rapports, j'ai encore tellement à apprendre!
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 735
Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
21 741
Pas l'air infecté - je veux dire y a pas l'air d'y avoir autre chose.
Faire un scan Malwarebytes histoire de.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
814
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
125
OK merci beaucoup pour votre analyse!!!!

Est-ce que vous avez une idée de comment enlever mevade?
Car justement, aucun tools n'avait réussit à me confirmer l'éradication

Je suis tombé sur ce site, mais je n'ai pas trop confiance avec ce genre de tools...
Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
21 741
Supprime le dossier C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\WINDOWS INTERNET NAME SERVICE\
en mode sans échec.

Assure toi qu'il ne revienne pas.

Fais un scan Malwarebytes.
Messages postés
814
Date d'inscription
mercredi 10 septembre 2008
Statut
Contributeur
Dernière intervention
24 avril 2014
125
Ok, merci encore 1000x !!!!!!!!!
Vous êtes d'une efficacité incroyable!

Je ferme le topic si résolu!
Merci encore à vous 2!
Messages postés
179678
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
12 août 2020
21 741
Assure toi qu'il ne revienne pas, si c'est le cas, on poussera la désinfection.

Par contre, faudrait voir pour changer tous les mots de passe et notamment celui du domaine.
Il peux avoir été récupéré.