Processus malveillant/NAS infecté

Fermé

badgone88 Messages postés 132 Date d'inscription vendredi 9 octobre 2009 Statut Membre Dernière intervention 13 février 2018 - 12 févr. 2018 à 12:14
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 13 févr. 2018 à 14:24

Bonjour,

Je possède un NAS de chez Lacie. Il a malheureusement servi de passerelle pour infecter mon ordinateur.
Je vous explique : un dossier nommé "Photos" s'est installé dans toutes les arborescences du NAS.
Un scan avec ESET les supprime tous, mais ceux-ci reviennent assez vite, automatiquement.
Le dossier contient un fichier Screensaver. Un scan avec Eset me présente ce fichier comme étant un processus CoinMiner.

Depuis, un processus nommé "Photos" est également apparu dans le gestionnaire de tâches, et utilise 250Mo.

Pas de doute, mon ordinateur doit servir à miner du Bitcoin en pagaille.

Voici les rapports de Scan :

https://pjjoint.malekal.com/files.php?id=FRST_20180212_w158w12o914

https://pjjoint.malekal.com/files.php?id=20180212_i6e14p9e13g9

https://pjjoint.malekal.com/files.php?id=20180212_p5t13k8h6u11

Merci pour votre aide :)

A voir également:

2 réponses

Réponse 1 / 2

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
12 févr. 2018 à 14:34

Salut,

Rien d'anormal sur les rapports.
Donne une capture d'écran du gestionnaire de tâches.
Sur le processus photos, clic droit et propriétés
donne l'emplacement

Réponse 2 / 2

badgone88 Messages postés 132 Date d'inscription vendredi 9 octobre 2009 Statut Membre Dernière intervention 13 février 2018 72
12 févr. 2018 à 16:53

L'emplacement me renvoie vers un dossier caché dans ProgramsFiles qui se nomme "windowsapps". Je ne peux pas y accéder, je dois élever les droits d'accès. Je suis pourtant sur session administrateur.

Cela dit, d'après mes recherches, c'est un dossier tout à fait normal de Windows.

J'ai tué le processus Photos qui apparaissait pour la première fois. Pour l'instant, pas de retour.

En revanche, concernant mon NAS, c'est un problème récurrent. Les dossiers se créent tout seuls. Mais impossible de comprendre de quelle manière ils s'installent malicieusement sur le disque. Peut-être que seul le NAS est infecté, ce qui serait rassurant. Un simple formatage réglerait-il le problème ?

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
13 févr. 2018 à 09:41

c'est lié à l'application photo de Windows 10.
C'est vraiment un dossier qui se créé sur le NAS ?
Il y a quoi dedans ? c'est peut-être des caches de miniatures de l'explorateur de fichiers.

badgone88 Messages postés 132 Date d'inscription vendredi 9 octobre 2009 Statut Membre Dernière intervention 13 février 2018 72
13 févr. 2018 à 10:06

Le dossier contient une archive "info.zip" que je ne peux ouvrir, ainsi qu'un fichier nommé "photo.scr"
Voici ce que me dit Eset : "Win32/Crytes.AA ver"

Vu qu'il s'installe dans chaque arborescence du disque, ça m'en fait une bonne centaine à chaque fois.

Cela dit, je ne ressens aucun ralentissement particulier sur mon PC.

badgone88 Messages postés 132 Date d'inscription vendredi 9 octobre 2009 Statut Membre Dernière intervention 13 février 2018 72
13 févr. 2018 à 10:10

En faisant des recherches sur des forums, mon cas n'est pas isolé.
Ces fichiers semblent effectivement détectés comme étant des processus malveillants servant à utiliser les ressources du PC de l'hôte pour miner de la crypto-monnaie.

badgone88 Messages postés 132 Date d'inscription vendredi 9 octobre 2009 Statut Membre Dernière intervention 13 février 2018 72
Modifié le 13 févr. 2018 à 10:50

Voici des infos plus complètes : https://www.virusradar.com/en/Win32_Crytes.AA/description

Première chose à faire de mon côté : désactiver l'accès FTP de mon disque Ethernet.

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627 > badgone88 Messages postés 132 Date d'inscription vendredi 9 octobre 2009 Statut Membre Dernière intervention 13 février 2018
Modifié le 13 févr. 2018 à 11:00

ok c'est donc un ver, la source n'est pas l'ordinateur où tu as donné les rapports FRST à priori.
Un autre ordinateur est connecté sur le NAS ?
Si oui faudrait, faire un FRST dessus pour voir.

ou alors sur ton serveur FTP, tu as un compte non sécurisé accessible depuis internet..

Processus malveillant/NAS infecté

2 réponses

Discussions similaires

Newsletters