Tor installé sans pré-avis => Trojan.Mevade

Résolu
elpens Messages postés 917 Statut Contributeur -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Est-ce possible que Tor ce soit installé "tout seul" sur une machine?
J'ai un utilisateur qui prétend ne pas l'avoir installé, or il est bel et bien présent sur sa machine...

https://www.numerama.com/magazine/26908-la-poussee-fulgurante-de-tor-serait-due-a-un-malware.html
Mais est-ce vraiment plausible?
Elpens

8 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Il a pu être installé avec un programme qui s'en sert.
    0
  2. elpens Messages postés 917 Statut Contributeur 136
     
    Ok,

    Tu as des exemples de programmes qui nécessitent d'avoir tor?
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Comme ça là, non.

    Si tu veux vérif pour les virus :

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %windir%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    services.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    CREATERESTOREPOINT
    nslookup https://www.google.fr/?gws_rd=ssl /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
    Je répète : donne le lien du rapport pjjoint ici en réponse.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

    0
  4. elpens Messages postés 917 Statut Contributeur 136
     
    Je te remercie d'avance!

    Comme mentionné ce n'est pas sur ma machine, donc toujours difficile de croire les gens.

    Je l'ai fait faire un scan OTL avec les options suivantes:


    > netsvcs
    > msconfig
    > safebootminimal
    > safebootnetwork
    > activex
    > drivers32
    > %ALLUSERSPROFILE%\Application Data\*.
    > %ALLUSERSPROFILE%\Application Data\*.exe /s
    > %APPDATA%\*.
    > %APPDATA%\*.exe /s
    > %temp%\*.exe /s
    > %SYSTEMDRIVE%\*.exe
    > %systemroot%\*. /mp /s
    > %systemroot%\system32\consrv.dll
    > %systemroot%\system32\*.dll /lockedfiles
    > %windir%\Tasks\*.job /lockedfiles
    > %systemroot%\system32\drivers\*.sys /lockedfiles
    > %systemroot%\System32\config\*.sav
    > /md5start
    > explorer.exe
    > winlogon.exe
    > services.exe
    > wininit.exe
    > /md5stop
    > HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    > HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    > HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    > HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    > CREATERESTOREPOINT
    > nslookup https://www.google.fr/?gws_rd=ssl /c
    > SAVEMBR:0
    > hklm\software\clients\startmenuinternet|command /rs
    > hklm\software\clients\startmenuinternet|command /64 /rs


    Je vais copier les rapports ou tu me l'as indiqué, je dois juste "anonymiser" qqes info

    Je lui ai demandé d'effectuer ce scan à cause de TrendMicro OfficeScan, qui a détecté sur son PC le problème suivant:


    Platform: Windows 7 6.1.7601
    Virus/Malware: TROJ_MEVADE.UHT
    Infection Source:
    Infected File/Object: WINS.EXE
    Path of file: C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\WINDOWS INTERNET NAME SERVICE\
    Scan Type: Real-time Scan
    Result: Unable to quarantine the file. Refer to the online help for solutions.
    IP Address: [removed]
    MAC Address: [removed]

    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      bha il est infecté par un bot.
      Je sais que les antivirus avaient parlé dernièrement d'un bot qui utilise tor, mais c'est assez débile s'il doit installer Tor pour fonctionner Oo
      0
    2. elpens Messages postés 917 Statut Contributeur 136
       
      le serpent qui se mange la queue
      0
    3. elpens Messages postés 917 Statut Contributeur 136
       
      Je lui ai fait installé RUBotted de TrendMicro, mais il n'a rien detecté
      Ensuite un scan Adwcleaner qui n'a rien donné
      Puis MalwareBytes qui n'a rien fait non plus
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      c'est bien Mevade qui utilise TOR :

      McDonald said Microsoft uncovered evidence linking Sefnit to the Mevade malware used in the world's first large-scale Tor botnet.
      "?Recently Trojan:Win32/Mevade made news for being the first large botnet to use Tor to anonymise and hide its network traffic. Within a few weeks, starting mid-August, the number of directly connecting Tor users increased by almost 600 percent - from about 500,000 users per day to more than three million," he wrote.
      0
    5. elpens Messages postés 917 Statut Contributeur 136
       
      tiens, j'avais manqué ca! Merci
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. elpens Messages postés 917 Statut Contributeur 136
     
    Voilà le lien du fichier "OTL"
    https://pjjoint.malekal.com/files.php?id=20131001_c5s12k911g11

    Je n'aime pas trop le contenu de son "AppData\Local\Temp\"
    Il faut également que je lui demande s'il utilise sa "Bing Bar"
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      tant qu'à faire, t'aurais pu anonymiser son cr@ck adobe :p
      0
    2. elpens Messages postés 917 Statut Contributeur 136
       
      je suis bluffé... comment faites-vous pour arriver à des résultats comme ça en quelques secondes???
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      c'est connu le coup du hosts :

      O1 - Hosts: 127.0.0.1 activate.adobe.com
      O1 - Hosts: 127.0.0.1 practivate.adobe.com
      O1 - Hosts: 127.0.0.1 ereg.adobe.com
      O1 - Hosts: 127.0.0.1 activate.wip3.adobe.com
      O1 - Hosts: 127.0.0.1 wip3.adobe.com
      O1 - Hosts: 127.0.0.1 3dns-3.adobe.com
      O1 - Hosts: 127.0.0.1 3dns-2.adobe.com
      O1 - Hosts: 127.0.0.1 adobe-dns.adobe.com
      O1 - Hosts: 127.0.0.1 adobe-dns-2.adobe.com
      O1 - Hosts: 127.0.0.1 adobe-dns-3.adobe.com
      O1 - Hosts: 127.0.0.1 ereg.wip3.adobe.com
      O1 - Hosts: 127.0.0.1 activate-sea.adobe.com
      O1 - Hosts: 127.0.0.1 wwis-dubc1-vip60.adobe.com
      O1 - Hosts: 127.0.0.1 activate-sjc0.adobe.com
      O1 - Hosts: 127.0.0.1 adobeereg.com
      0
    4. elpens Messages postés 917 Statut Contributeur 136
       
      ok ok, j'hallucine! Il faut vraiment que je me fasse la main avec ces rapports, j'ai encore tellement à apprendre!
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Pas l'air infecté - je veux dire y a pas l'air d'y avoir autre chose.
    Faire un scan Malwarebytes histoire de.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  8. elpens Messages postés 917 Statut Contributeur 136
     
    OK merci beaucoup pour votre analyse!!!!

    Est-ce que vous avez une idée de comment enlever mevade?
    Car justement, aucun tools n'avait réussit à me confirmer l'éradication

    Je suis tombé sur ce site, mais je n'ai pas trop confiance avec ce genre de tools...
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Supprime le dossier C:\WINDOWS\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\WINDOWS INTERNET NAME SERVICE\
      en mode sans échec.

      Assure toi qu'il ne revienne pas.

      Fais un scan Malwarebytes.
      0
    2. elpens Messages postés 917 Statut Contributeur 136
       
      Ok, merci encore 1000x !!!!!!!!!
      Vous êtes d'une efficacité incroyable!

      Je ferme le topic si résolu!
      Merci encore à vous 2!
      0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Assure toi qu'il ne revienne pas, si c'est le cas, on poussera la désinfection.

    Par contre, faudrait voir pour changer tous les mots de passe et notamment celui du domaine.
    Il peux avoir été récupéré.
    0