Sinowal avec Virus Gendarmerie par malversiting clicksor

Depuis un peu plus d’une semaine, la malvertising clicksor qui installe le virus gendarmerie lance aussi un autre exploit sur site WEB qui conduit  une infection Sinowal.

Si l’infection du virus gendarmerie est loin d’être discrète, Sinowal lui l’est.
Sinowal est un stealer qui vise les sites de banques (Trojan.Banker) et se charge au niveau du MBR et donc peu de programmes sont capables de le détecter.

L’exploit sur site WEB  qui charge l’infection :

regsrv32.exe qui enregistre un fichier téléchargé par l’exploit

puis un driver rclbi5.sys est chargé – le MBR est par la suite corrompu.

GMER affiche les lignes suivantes :

GMER 1.0.15.15640 – http://www.gmer.net
Rootkit scan 2012-02-28 09:46:06
Windows 5.1.2600 Service Pack 2
Running: v4omn0r8.exe; Driver: C:\DOCUME~1\Mak\LOCALS~1\Temp\uxtdypoc.sys—- Kernel code sections – GMER 1.0.15 —-? RGRCZ@J@ Syntaxe du nom de fichier, de répertoire ou de volume incorrecte. !
? C:\WINDOWS\system32\Drivers\PROCEXP141.SYS Le fichier spécifié est introuvable. !
? C:\WINDOWS\system32\drivers\ldj98z8.sys Le fichier spécifié est introuvable. !
? system32\drivers\xpsec.sys Le chemin d’accès spécifié est introuvable. !
? system32\drivers\xcpip.sys Le chemin d’accès spécifié est introuvable. !—- User code sections – GMER 1.0.15 —-

.text C:\Program Files\Mozilla Firefox\firefox.exe[284] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

—- Devices – GMER 1.0.15 —-

Device owAZEVAoRGRCZ \Device\Ide\IdeDeviceP0T0L0-3 RGRCZ@J@
Device owAZEVAoRGRCZ \Device\Ide\IdePort0 RGRCZ@J@
Device owAZEVAoRGRCZ \Device\Ide\IdePort1 RGRCZ@J@
Device owAZEVAoRGRCZ \Device\Ide\IdeDeviceP1T0L0-e RGRCZ@J@

—- EOF – GMER 1.0.15 —-

TDSSKiller le détecte et permet le nettoyage :

AswMBR détecte aussi Sinowal :

Attention dans le cas où Sinowal est présent – Malwarebyte’s Anti-Malware ne détecte rien.

De même Antivir ne voit rien :

Avast! détecte MBRoot-J – mais ne nettoye pas.
Notez qu’il faut faire un scan au démarrage pour qu’Avast! détecte Sinowal, dans le cas d’un scan depuis Windows et même complet, il ne verra rien.

Dans le cas où vous avez été confronté au virus gendarmerie, il est vivement conseillé de scanner son ordinateur avec TDSSKiller pour vérifier si le PC n’est pas infecté par Sinowal.
Si vous êtes allé sur le site de votre banque entre le moment où vous avez été infecté et la désinfection, contactez votre banque.

 Après désinfection

Afin de ne plus infecter votre ordinateur  via des  exploits sur site WEB – mettez à jour vos logiciels.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peux infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => http://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 37 times, 1 visits today)

5 thoughts on “Sinowal avec Virus Gendarmerie par malversiting clicksor

  1. Bonjour,

    Il y a ici « Association de malfaiteurs malveillants ».

    Ils pensaient que peut-être tu ne verrais rien ! Nanméo !

    Après, c’est sûr que si on ne désinfecte que le « Virus Gendarmerie », Sinowal va rester !

  2. De plus en plus sophistiqué le bouzin.

    Je suis sous XP. Je me suis fait infecté 3 fois en moins de 3 mois depuis des sites de protection de liens.
    Les 2 premières par 2 versions différentes du virus « Bundes polizei » pour lesquels une simple restauration système avec Erunt suivi d’une désinfection à l’antivirus avaient suffies.
    La 3ème par la version précédente du virus « Gendarmerie nationale » (sans Sinowal) qui lui par contre m’a bien emmerdé parce qu’il remplace le fichier « explorer.exe ». Heureusement que l’info est ici et j’en profite donc au passage pour remercier Malekalmorte pour son superbe boulot sans qui énormément de monde serait bien dans la galère.

    J’ai beau avoir tous mes programmes à jour, le sketch continue. L’expérience aidant, maintenant je le vois arriver. C’est toujours pareil, une popup apparait (avec l’icone Java qui se lance dans le systray) me demandant d’autoriser un programme à s’exécuter avec les boutons « autoriser » et « annuler », sauf que si on clique sur « annuler » c’est évidemment game over quand même. Donc un coup de Process Explorer pour tuer les processus et c’est réglé. J’appréhende par contre le jour où ils arriveront à nous infecter sans cette fameuse popup, mais j’imagine que les antivirus seront plus réactifs si le code s’exécute automatiquement (pour l’instant chez moi avec Avira quand la popup apparait il ne détecte qu’une fois sur 5).

    Concernant les campagnes d’infection, elles se cantonnaient aux week-ends mais hier soir, oh surprise: kikoouuu, je suis là! Donc, comme l’a dit Malekalmorte, soit les régies publicitaires s’en foutent soit elles sont grassement payées et laissent faire.

    Voilà, je voulais juste apporter ma petite expérience et je remercie encore une fois Malekalmorte pour son très bon taf.

  3. Tu as vraiment la dernière version de Java ?
    Tu aurais pas plusieurs versions de Java dans Program Files ? faudrait que je test tiens, si les exploits marchent si t’as la dernière version installés mais des anciennes qui trainent..

    ~~

    Dans tous les cas, faut filtrer l’adresse de clicksor.com c’est la source de l’infection.
    Donc soit adblock sur Firefox, soit un filtreur de pub sur Chrome.
    Soit foutre l’adresse en 127.0.0.1 dans le fichier HOSTS.

    et là t’auras la paix.

    En plus je viens de voir aujourd’hui que clicksor était sur Piratebay..

  4. Ah oui, effectivement j’avais encore 3 des anciennes versions de Java dans Program Files. Pourtant après la dernière infection j’avais pris soin de désinstaller toutes les vieilles versions par le panneau de configuration. Bon, c’est corrigé, je verrai si ça continue et dans quelques jours je filtrerai l’adresse de clicksor. Merci.

  5. bonjour je tiens a signaler que j ai pris un virus dans le meme style que celeui de la gendarmerie mais moi c est scotland yard; je voudrais savoir si d autres ont eu le meme que moi merci

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *