Processus malveillant/NAS infecté

Fermé

Utilisateur anonyme - 12 févr. 2018 à 12:14
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 13 févr. 2018 à 14:24

Bonjour,

Je possède un NAS de chez Lacie. Il a malheureusement servi de passerelle pour infecter mon ordinateur.
Je vous explique : un dossier nommé "Photos" s'est installé dans toutes les arborescences du NAS.
Un scan avec ESET les supprime tous, mais ceux-ci reviennent assez vite, automatiquement.
Le dossier contient un fichier Screensaver. Un scan avec Eset me présente ce fichier comme étant un processus CoinMiner.

Depuis, un processus nommé "Photos" est également apparu dans le gestionnaire de tâches, et utilise 250Mo.

Pas de doute, mon ordinateur doit servir à miner du Bitcoin en pagaille.

Voici les rapports de Scan :

https://pjjoint.malekal.com/files.php?id=FRST_20180212_w158w12o914

https://pjjoint.malekal.com/files.php?id=20180212_i6e14p9e13g9

https://pjjoint.malekal.com/files.php?id=20180212_p5t13k8h6u11

Merci pour votre aide :)

A voir également:

Photo scr
Processus inactif du systeme - Forum Matériel & Système
Processus d'execution client serveur - Forum Windows 10
Processus hôte windows (rundll32) ✓ - Forum Windows
Numéro malveillant - Guide
Site malveillant liste - Guide

2 réponses

Réponse 1 / 2

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
12 févr. 2018 à 14:34

Salut,

Rien d'anormal sur les rapports.
Donne une capture d'écran du gestionnaire de tâches.
Sur le processus photos, clic droit et propriétés
donne l'emplacement

Réponse 2 / 2

Utilisateur anonyme
12 févr. 2018 à 16:53

L'emplacement me renvoie vers un dossier caché dans ProgramsFiles qui se nomme "windowsapps". Je ne peux pas y accéder, je dois élever les droits d'accès. Je suis pourtant sur session administrateur.

Cela dit, d'après mes recherches, c'est un dossier tout à fait normal de Windows.

J'ai tué le processus Photos qui apparaissait pour la première fois. Pour l'instant, pas de retour.

En revanche, concernant mon NAS, c'est un problème récurrent. Les dossiers se créent tout seuls. Mais impossible de comprendre de quelle manière ils s'installent malicieusement sur le disque. Peut-être que seul le NAS est infecté, ce qui serait rassurant. Un simple formatage réglerait-il le problème ?

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
13 févr. 2018 à 09:41

c'est lié à l'application photo de Windows 10.
C'est vraiment un dossier qui se créé sur le NAS ?
Il y a quoi dedans ? c'est peut-être des caches de miniatures de l'explorateur de fichiers.

Utilisateur anonyme
13 févr. 2018 à 10:06

Le dossier contient une archive "info.zip" que je ne peux ouvrir, ainsi qu'un fichier nommé "photo.scr"
Voici ce que me dit Eset : "Win32/Crytes.AA ver"

Vu qu'il s'installe dans chaque arborescence du disque, ça m'en fait une bonne centaine à chaque fois.

Cela dit, je ne ressens aucun ralentissement particulier sur mon PC.

Utilisateur anonyme
13 févr. 2018 à 10:10

En faisant des recherches sur des forums, mon cas n'est pas isolé.
Ces fichiers semblent effectivement détectés comme étant des processus malveillants servant à utiliser les ressources du PC de l'hôte pour miner de la crypto-monnaie.

Utilisateur anonyme
Modifié le 13 févr. 2018 à 10:50

Voici des infos plus complètes : https://www.virusradar.com/en/Win32_Crytes.AA/description

Première chose à faire de mon côté : désactiver l'accès FTP de mon disque Ethernet.

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Utilisateur anonyme
Modifié le 13 févr. 2018 à 11:00

ok c'est donc un ver, la source n'est pas l'ordinateur où tu as donné les rapports FRST à priori.
Un autre ordinateur est connecté sur le NAS ?
Si oui faudrait, faire un FRST dessus pour voir.

ou alors sur ton serveur FTP, tu as un compte non sécurisé accessible depuis internet..

Discussions similaires