Virus Gendarmerie sur Seven – Unicode Powa !

Evolution du Virus Gendarmerie depuis quelques jours.
Par le passé, ce dernier ajoutait une clef Run, la désinfection pouvait se fait en mode sans échec via une restauration du système.
Depuis peu, le dropper lance un fichier StartBrokerSetting.exe qui demande une élévation de privilège (voir UAC).
Comme le faisait à ses débuts ZeroAccess, la popup insiste, si vous cliquez sur « non », elle revient et ainsi de suite jusqu’à ce que vous cliquez sur oui et que le malware acquiert les droits administrateurs.

Comme vous pouvez le voir, un explorer.exe est lancé (c’est lui qui lance StartBrokerSetting.exe) et et… aussi un expl?rer.exe

Lors de l’affichage via les dossiers, ce expl?rer.exe sera invisible.
Par contre, la commande dir depuis une invite de commande l’affiche.

La clef Shell (qui charge explorer.exe – le bureau avec le menu Démarrer) est modifiée, cependant, regedit affichera explorer.exe alors qu’en réalité la valeur est expl?rer.exe afin de charger le virus gendarmerie.
Un programme comme GMER montre la différence, ci-dessous, on peux voir une barre verticale gras.

Cette « feinte » avait déjà été utilisée, par le passé, avec le fichier système userinit.exe par le rogue/scareware Antivirus 2010 : http://forum.malekal.com/antivirus-2010-t28675.html?hilit=unicode#p229929

et.enfint.. le malware vide tous les points de restauration :

Désinfection

  • Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage
  • Choisissez invite de commandes en mode sans échec
  • Tapez regedit afin d’ouvrir l’éditeur du registre


  • Déroulez l’arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINE => Software => Microsoft => Windows NT => CurrentVersion => Winlogon
  • A droite, chercher Shell, vous devez avoir explorer.exe
  • Double-cliquer sur la valeur Shell, effacer explorer.exe et retaper explorer.exe (oui il faut remettre la même chose)
  • Valider par OK et fermer l’éditeur du registre
  • Sur la fenêtre noire cmd.exe : Saisir la commande : shutdown /r pour que l’ordinateur redémarre

Au redémarrage de l’ordinateur, si tout va bien, vous devrirez récupérer votre système.
Si pas mieux, continuer la procédure donnée sur cette page : http://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/

Si l’invite de commande ne fonctionne pas => Kaspersky Live CD

Kaspersky Live CD inclue une fonction Windows Unlocker qui reset la clef Shell.
Il est conseillé de faire un scan, ans oublier avant, de mettre à jour les définitions virales, le malware peux être détecté par Kaspersky.

Plus d’informations : http://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html

Ci-dessous une capture de  Kaspersky Unlocker qui reset la clef Shell :

Sinowal et autres

L’infection peux venir avec d’autres infections, notamment Sinowal : http://www.malekal.com/2012/02/28/sinowal-avec-virus-gendarmerie-par-malversiting-clicksor/
Sinowal est un trojan.Banker qui vise les sites des banques pour voler des comptes.

Il est vivement conseillé de faire un scan avec TDSSKiller afin de s’assurer que le PC n’est pas infecté.

Et surtout… Après désinfection

Important – L’infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l’infection de ton ordinateur de manière automatiquement à la visite d’un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l’execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d’infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d’entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s’installer facilement.

Maintiens tes logiciels à jour c’est important, utilise ce programme : http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html
Absolument à faire.