Malware uKash
|
08-11-2012, 14h36
(Modification du message : 16-11-2012, 20h01 par Swissky.)
Message : #1
|
|
Swissky
Bon membre Messages : 523 Sujets : 32 Points: 96 Inscription : Apr 2012 |
Malware uKash
Malware uKash 1)Définition Je viens de me prendre une de ces merde donc je vous fait un petit compte rendu sur ceux-ci , leur comportement et leur désinfection. Malheureusement je n'ai pas pu prendre de screen, mon ordinateur était vérrouillé, les screens présents ci-dessous proviennent d'autres utilisateurs. Ce sont des malware de type RansomWare, c'est-à-dire qu'ils bloquent votre PC et demande de payer un certain montant afin de pouvoir récupérer l'accès. Il verrouille totalement le système, la seule manière d'éteindre le PC est en appuyant sur le bouton d'extinction: Citation :Votre Ordinateur a été bloqué! 2) Détails de l'infection Vous l'aurez surement reçu en visitant un site web, le plus souvent de streaming. Il utilise de nombreux exploits pour se faufiler à l'intérieur e votre système, chez moi il a utilisé un exploit Java mon AV l'a détecté mais il a aussi utilisé un autre exploit qui lui n'a pas été détecté par Microsoft Security Essentials , c'est peut-être une 0day. Que fait ce Malware ? Il se trouve que ce Malware modifie des valeurs du registre comme l'utilisation du gestionnaire des tâches et s'installe au démarrage sous différent noms. Pour ma part c'etait sous lsass.exe et 2 autres noms générés probablement par random. 3) Suppression de ce ransomware Il existe plusieurs manière plus ou moins radicale pour éradiquer ce Malware. a) Soit vous décidez de repartir sur des bases propres et vous bootez sur un LiveCD Linux afin de copier vos données importantes sur un Disque dur externe. Puis vous formatez et installez de nouveau Windows ou un OS libre b) Soit vous aimez mettre les mains dans le cambouis et vous démarrez votre machine en mode sans échec avec ou sans prise en charge réseau (au choix mais privilégiez sans le réseau on ne sait jamais), pour cela on fait F8 au démarrage : Ensuite vous arrivez sur votre Windows, une différence de résolution peut survenir , allez dans le menu démarrer ou fait [windows]+[R] puis tappez "msconfig" : ou Ensuite passez un coup d'Antivirus, de Malwarebyte, de Ccleaner puis redémarrez, si tout se passe correctement et que le Malware est éradiqué, mettez votre navigateur à jour ainsi que vos protections (AV, AntiMalware etc). PS: Pour les fou n'hésitez pas à récupérer le Malware afin que certaines personnes puissent s'amuser à le décompiler/désassembler |
|
08-11-2012, 16h27
Message : #2
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: Virus Ukash
Btw tu pourrais poster ton sample de ukash pour analyse ? (le tout sous un .zip password-protected, à reverse uniquement sous machine virtuelle)
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
08-11-2012, 17h00
Message : #3
|
|
Swissky
Bon membre Messages : 523 Sujets : 32 Points: 96 Inscription : Apr 2012 |
RE: Virus Ukash
Justement je l'ai pas j'ai dégagé le virus et après je me suis dit que j'aurai pu récuperer le sample ^^"
Au pire je dois pouvoir retrouver le site qui m'a infecté si ça t'interesse ^^ |
|
08-11-2012, 21h02
Message : #4
|
|
Horgh
Membre actif Messages : 197 Sujets : 4 Points: 91 Inscription : Mar 2012 |
RE: Virus Ukash
Citation :Ce sont des virus de type RansomWare, c'est-à-dire qu'ils bloquent votre PC et demande de payer un certain montant afin de pouvoir récupérer l'accès.Je crois que je serais mort avant d'avoir fini de répéter ça. Ce n'est PAS un virus, un virus est un programme qui se réplique en infectant d'autres fichiers (généralement des exécutables) en ajoutant son code au programme originel. Ici c'est un malware, un trojan de merde. Les virus ça existe presque plus actuellement. Citation :Il utilise de nombreux exploits pour se faufiler à l'intérieur e votre système, chez moi il a utilisé un exploit Java mon AV l'a détecté mais il a aussi utilisé un autre exploit qui lui n'a pas été détecté par Microsoft Security Essentials , c'est peut-être une 0day.Lol nope, les mecs derrière sont loin d'avoir le skill pour sortir du 0day. Sans compter que ça serait vraiment une sacré perte que de cramer un 0day dans de la distrib de ransom. Concernant les exploits, c'est du java / pdf / flash, et généralement c'est drop via un Blackhole. Citation :Btw tu pourrais poster ton sample de ukash pour analyse ? (le tout sous un .zip password-protected, à reverse uniquement sous machine virtuelle)J'dois avoir du Reveton sur mon ordi, je vais chercher (le screen 1 est du reveton, le 2 flemme de chercher). Sinon il y a Urausy ou Gimemo dans le même genre, les samples se trouvent facilement. Citation :Au pire je dois pouvoir retrouver le site qui m'a infecté si ça t'interesse ^^J'en doute. Sinon pour la désinfection : mode sans échec sans prise en charge réseau, un coup d'autoruns pour virer les saloperies dans %temp% ou %appdata% (généralement avec nom random), on delete les fichiers en même temps. Si on peut pas delete pcq les entrées sont monitorées, Live CD Kaspersky Rescue Disk. Sinon RogueKiller est pas mal pour tout ce qui est désinfection de Rogue AV et saloperies du genre. Ce genre de malwares sont généralement très faciles à virer. Morale de l'histoire, garder son PC à jour et pas agir comme un idiot ; et les AV ça sux. |
|
09-11-2012, 13h27
Message : #5
|
|
Swissky
Bon membre Messages : 523 Sujets : 32 Points: 96 Inscription : Apr 2012 |
RE: Virus Ukash
J'ai repris l'infection , je sais je suis borné, mais j'ai pu récupérer le sample ,vous pouvez me le demander par MP,
tout est dans une archive rar protégée par Mot De Passe avec des screens du virus et de ces emplacements |
|
10-11-2012, 18h37
Message : #6
|
|
kaizo
Membre Messages : 45 Sujets : 6 Points: 22 Inscription : Sep 2012 |
RE: Virus Ukash
a noter que celui ci passe si flash ou java n'est pas à jour, qu'il existe plusieurs variantes dont certaines très chiantes à enlever (remplace le explore.exe), un petit cou de malwarebyte ne fait pas de mal non plus après
"Qui mange une noix de coco, fait confiance à son anus!"
|
|
10-11-2012, 18h47
Message : #7
|
|
Swissky
Bon membre Messages : 523 Sujets : 32 Points: 96 Inscription : Apr 2012 |
RE: Virus Ukash
l'explorer n'a pas subit de modification j'ai checké
|
|
12-11-2012, 17h03
(Modification du message : 12-11-2012, 17h04 par kaizo.)
Message : #8
|
|
kaizo
Membre Messages : 45 Sujets : 6 Points: 22 Inscription : Sep 2012 |
RE: Virus Ukash
si il avait subit une modification tu l'aurais su tout de suite la page du virus s'affiche également en mode sans échec et empêche toutes manipulations
"Qui mange une noix de coco, fait confiance à son anus!"
|
|
12-11-2012, 18h43
Message : #9
|
|
CyberSee
Admin fondateur de N-PN Messages : 1,721 Sujets : 287 Points: 157 Inscription : Jan 2012 |
RE: Virus Ukash
Tien on a une news sur a page d'accueil qui en parle
Mag-Securs nid='1bf0d12dddc066c042b300c8814f6108 a écrit :Un groupe de cyber-criminels a déclenché une vaste attaque contre plus de 500 000 internautes en prenant leur ordinateur en otage. Code PHP : <?php |
|
15-11-2012, 04h57
(Modification du message : 15-11-2012, 05h02 par ﮎyиthﮎtyℓє.)
Message : #10
|
|
ﮎyиthﮎtyℓє
Membre Messages : 32 Sujets : 6 Points: 16 Inscription : Mar 2012 |
RE: Virus Ukash
(08-11-2012, 14h36)Swissky a écrit : Virus uKash (08-11-2012, 17h00)Swissky a écrit : Justement je l'ai pas j'ai dégagé le virus (08-11-2012, 21h09)Swissky a écrit : le truc du virus ^^/facepalm Sinon a par ça je serais toi je m'alarmerais plus sur ma sécurité qu'a faire un tuto de remove useless (no offense) Un winlock c'est cool car c'est voyant mais un RAT t'aurais rien vu. (08-11-2012, 21h02)Horgh a écrit : les mecs derrière sont loin d'avoir le skill pour sortir du 0day. Sans compter que ça serait vraiment une sacré perte que de cramer un 0day dans de la distrib de ransom.osef du skill les 0day ça s’achète et non ça ne serais pas une perte de temps quand tu voi le taux de conversion ça fait peur. (08-11-2012, 21h02)Horgh a écrit : J'dois avoir du Reveton sur mon ordikernelmode.info (09-11-2012, 13h27)Swissky a écrit : j'ai pu récupérer le sample ,vous pouvez me le demander par MP,pourquoi plutôt ne pas l’attaché en pièce jointe a ce thread ? |
|
15-11-2012, 08h02
(Modification du message : 15-11-2012, 08h05 par Swissky.)
Message : #11
|
|
Swissky
Bon membre Messages : 523 Sujets : 32 Points: 96 Inscription : Apr 2012 |
RE: Virus Ukash
Je le met pas en piéce jointe car je ne sais plus qui, Supersnail ou un autre admin m'a dit qu'il fallait limiter les pièces jointe de plus on a droit qu'à 500ko de piece.
De plus je ne fais pas de souci pour la sécurité de mon ordinateur, je lance les trucs sous Machine Virtuelle + Sandbox, quand au trojan ça se trouve facilement en analysant les connexions entrantes et sortantes |
|
15-11-2012, 09h03
Message : #12
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: Virus Ukash
Sinon les hebergeurs de fichiers ça existe (juste foutre un pwd "infected" au cas où)
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
15-11-2012, 15h12
Message : #13
|
|
ﮎyиthﮎtyℓє
Membre Messages : 32 Sujets : 6 Points: 16 Inscription : Mar 2012 |
RE: Virus Ukash
(15-11-2012, 08h02)Swissky a écrit : Je le met pas en piéce jointe car je ne sais plus qui, Supersnail ou un autre admin m'a dit qu'il fallait limiter les pièces jointe de plus on a droit qu'à 500ko de piece.>implying que tu regarde tous les jours les connexions entrantes et sortantes ? tu fais comment si un bot update les infos au c&c toutes les heures ou a chaque démarrage du pc ? ta première infection du malware ukash tu la chopé en navigant dans une vm ? quand a la sandbox si c'est un stealer ça ne te sauvera pas la vie. |
|
16-11-2012, 19h04
Message : #14
|
|
badTasTe
I'm born again Messages : 126 Sujets : 6 Points: 15 Inscription : May 2012 |
RE: Virus Ukash
Salut a tous,
Je vais juste reagir sur ce que je viens de lire pour dire que je trouve qu'on s'ecarte pas mal de l'etique des N-PN. J'ai eut l impression de me retrouver sur un site de lamerz ou ca critique a tout va les posts des autres de maniere un peu trop brutale... Pour un site d'entraide je trouve ca dommage de voir "tuto de remove useless" et autres reflexion qui n'aident personnes. Merci swissky pour ce post informatif et fait les tri entre les critiques instructives et les critiques "useless". Sur ce, je conseil a certain de refaire un tour sur le topic de l etique du site Des biz |
|
16-11-2012, 19h19
Message : #15
|
|
supersnail
Éleveur d'ornithorynques Messages : 1,609 Sujets : 71 Points: 465 Inscription : Jan 2012 |
RE: Virus Ukash
Bonjour,
En un sens, les critiques "useless" ont malgré tout le mérite de soulever certaines questions pas si "useless" que ça (cf la sécurisation du PC de Swissky, ou encore des points méthodologiques concernant le reverse de malwares qui incitent à se poser des questions). Bon, c'est vrai que ﮎyиthﮎtyℓє est assez "agressif" dans ses propos, mais il faut aussi savoir se remettre en question et dire à quelqu'un qui se trompe "tu fais de la m*rde là" lui sera plus profitable à long terme que lui dire "c'est bien ton truc, continue" (même si la manière de le dire peut être "offensente". Bref y'a pas mort d'homme, par contre essayez d'être moins "agressifs" dans vos posts et rassure-toi badTasTe, j'ai nullement l'intention de laisser le forum devenir une board lame
Mon blog
Code : push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp "VIM est merveilleux" © supersnail |
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
Infection, Fonctionnement, Contrôle et Détection de Malware | InstinctHack | 13 | 732 |
08-05-2019, 22h07 Dernier message: Di0Sasm |
|
Reverse Jar Malware | Yttrium | 6 | 469 |
24-02-2016, 10h20 Dernier message: ZeR0-@bSoLu |
|
[Malz] - Malware dans .doc | notfound | 0 | 125 |
24-03-2015, 11h38 Dernier message: notfound |
|
Mes Analyses de Malware | Yttrium | 6 | 313 |
05-02-2015, 16h15 Dernier message: sakiir |
Utilisateur(s) parcourant ce sujet : 2 visiteur(s)