Tor installé sans pré-avis => Trojan.Mevade

Résolu

elpens Messages postés 815 Date d'inscription Statut Contributeur Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention - 2 oct. 2013 à 11:48

Bonjour,

Est-ce possible que Tor ce soit installé "tout seul" sur une machine?
J'ai un utilisateur qui prétend ne pas l'avoir installé, or il est bel et bien présent sur sa machine...

https://www.numerama.com/magazine/26908-la-poussee-fulgurante-de-tor-serait-due-a-un-malware.html
Mais est-ce vraiment plausible?
Elpens

Afficher la suite

A voir également:

Tor installé sans pré-avis => Trojan.Mevade
Installer windows 10 sans compte microsoft - Guide
Tor usb ccm - Télécharger - Confidentialité
Comment installer une application sur samsung sans play store - Guide
Epson stylus sx218 installation sans cd - Forum Imprimante
Installation bbox fibre sans technicien - Forum Bbox Bouygues

8 réponses

Réponse 1 / 8

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Salut,

Il a pu être installé avec un programme qui s'en sert.

Réponse 2 / 8

elpens Messages postés 815 Date d'inscription Statut Contributeur Dernière intervention 136

Ok,

Tu as des exemples de programmes qui nécessitent d'avoir tor?

Réponse 3 / 8

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Comme ça là, non.

Si tu veux vérif pour les virus :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Réponse 4 / 8

elpens Messages postés 815 Date d'inscription Statut Contributeur Dernière intervention 136

Je te remercie d'avance!

Comme mentionné ce n'est pas sur ma machine, donc toujours difficile de croire les gens.

Je l'ai fait faire un scan OTL avec les options suivantes:


>    netsvcs
>    msconfig
>    safebootminimal
>    safebootnetwork
>    activex
>    drivers32
>    %ALLUSERSPROFILE%\Application Data\*.
>    %ALLUSERSPROFILE%\Application Data\*.exe /s
>    %APPDATA%\*.
>    %APPDATA%\*.exe /s
>    %temp%\*.exe /s
>    %SYSTEMDRIVE%\*.exe
>    %systemroot%\*. /mp /s
>    %systemroot%\system32\consrv.dll
>    %systemroot%\system32\*.dll /lockedfiles
>    %windir%\Tasks\*.job /lockedfiles
>    %systemroot%\system32\drivers\*.sys /lockedfiles
>    %systemroot%\System32\config\*.sav
>    /md5start
>    explorer.exe
>    winlogon.exe
>    services.exe
>    wininit.exe
>    /md5stop
>    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
>    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
>    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
>    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
>    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
>    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
>    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
>    CREATERESTOREPOINT
>    nslookup https://www.google.fr/?gws_rd=ssl /c
>    SAVEMBR:0
>    hklm\software\clients\startmenuinternet|command /rs
>    hklm\software\clients\startmenuinternet|command /64 /rs

Je vais copier les rapports ou tu me l'as indiqué, je dois juste "anonymiser" qqes info

Je lui ai demandé d'effectuer ce scan à cause de TrendMicro OfficeScan, qui a détecté sur son PC le problème suivant:


Platform:   Windows 7 6.1.7601  
Virus/Malware:  TROJ_MEVADE.UHT  
Infection Source:   
Infected File/Object: WINS.EXE  
Path of file: C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\WINDOWS INTERNET NAME SERVICE\  
Scan Type: Real-time Scan  
Result: Unable to quarantine the file. Refer to the online help for solutions.  
IP Address:     [removed]
MAC Address:  [removed]

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

bha il est infecté par un bot.
Je sais que les antivirus avaient parlé dernièrement d'un bot qui utilise tor, mais c'est assez débile s'il doit installer Tor pour fonctionner Oo

elpens Messages postés 815 Date d'inscription Statut Contributeur Dernière intervention 136

le serpent qui se mange la queue

elpens Messages postés 815 Date d'inscription Statut Contributeur Dernière intervention 136

Je lui ai fait installé RUBotted de TrendMicro, mais il n'a rien detecté
Ensuite un scan Adwcleaner qui n'a rien donné
Puis MalwareBytes qui n'a rien fait non plus

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

c'est bien Mevade qui utilise TOR :

McDonald said Microsoft uncovered evidence linking Sefnit to the Mevade malware used in the world's first large-scale Tor botnet.
"?Recently Trojan:Win32/Mevade made news for being the first large botnet to use Tor to anonymise and hide its network traffic. Within a few weeks, starting mid-August, the number of directly connecting Tor users increased by almost 600 percent - from about 500,000 users per day to more than three million," he wrote.

elpens Messages postés 815 Date d'inscription Statut Contributeur Dernière intervention 136

tiens, j'avais manqué ca! Merci

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 8

elpens Messages postés 815 Date d'inscription Statut Contributeur Dernière intervention 136

Voilà le lien du fichier "OTL"
https://pjjoint.malekal.com/files.php?id=20131001_c5s12k911g11

Je n'aime pas trop le contenu de son "AppData\Local\Temp\"
Il faut également que je lui demande s'il utilise sa "Bing Bar"

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

tant qu'à faire, t'aurais pu anonymiser son cr@ck adobe :p

elpens Messages postés 815 Date d'inscription Statut Contributeur Dernière intervention 136

je suis bluffé... comment faites-vous pour arriver à des résultats comme ça en quelques secondes???

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

c'est connu le coup du hosts :

O1 - Hosts: 127.0.0.1 activate.adobe.com
O1 - Hosts: 127.0.0.1 practivate.adobe.com
O1 - Hosts: 127.0.0.1 ereg.adobe.com
O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com
O1 - Hosts: 127.0.0.1 wip3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-3.adobe.com
O1 - Hosts: 127.0.0.1 3dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com
O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com
O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com
O1 - Hosts: 127.0.0.1 activate-sea.adobe.com
O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1 adobeereg.com

elpens Messages postés 815 Date d'inscription Statut Contributeur Dernière intervention 136

ok ok, j'hallucine! Il faut vraiment que je me fasse la main avec ces rapports, j'ai encore tellement à apprendre!

juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention 4 796

http://assiste.forum.free.fr/viewtopic.php?t=26725
^^

Réponse 6 / 8

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Pas l'air infecté - je veux dire y a pas l'air d'y avoir autre chose.
Faire un scan Malwarebytes histoire de.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Réponse 7 / 8

elpens Messages postés 815 Date d'inscription Statut Contributeur Dernière intervention 136

OK merci beaucoup pour votre analyse!!!!

Est-ce que vous avez une idée de comment enlever mevade?
Car justement, aucun tools n'avait réussit à me confirmer l'éradication

Je suis tombé sur ce site, mais je n'ai pas trop confiance avec ce genre de tools...

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Supprime le dossier C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\WINDOWS INTERNET NAME SERVICE\
en mode sans échec.

Assure toi qu'il ne revienne pas.

Fais un scan Malwarebytes.

elpens Messages postés 815 Date d'inscription Statut Contributeur Dernière intervention 136

Ok, merci encore 1000x !!!!!!!!!
Vous êtes d'une efficacité incroyable!

Je ferme le topic si résolu!
Merci encore à vous 2!

Réponse 8 / 8

Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention 24 685

Assure toi qu'il ne revienne pas, si c'est le cas, on poussera la désinfection.

Par contre, faudrait voir pour changer tous les mots de passe et notamment celui du domaine.
Il peux avoir été récupéré.

Discussions similaires

supprimer tor.jack android

Tor.Jack.Malware

Pré au lard : Harry Potter

je n'arrive pas a supprimer un virus sur mon téléphone

Erreur installation Valorant

Votre réponse

Discussions similaires