TR/Dropper.MSIL (rs.exe et cwres.exe) via Pôle Emploi

Aujourd’hui, une désinfection relativement classique sur le site commentcamarche.net : TR/Dropper.MSIL : rs.exe et cwres.exe avec un Trojan.MSIL
qui se termine bien puis un nouvel internaute avec le même problème arrive, en discutant, il semblerait que le Trojan a été diffusé via une annonce Pôle Emploi.

L’internaute m’a envoyé l’adresse, il semblerait que les informations données soient fausses.
Une fois le contact fait, la personne envoie un lien pour télécharger un logiciel de dactylographie connu Dacty6SU via un hébergeur de fichiers, ce qui est plutôt louche, puisque le programme est disponible en téléchargement sur beaucoup de sites connus.

Trojan_MSIL_Pole_Emploi

Un des deux fichiers lance bien l’installation du logiciel de Dactylo :

Trojan_MSIL_Pole_Emploi_3

Les fichiers cwres.exe et rs.exe ajoutés qui se lancent par une tâche planifiée :

System32\Tasks\Update\5s665sds5f5sf5sf5f58f75d5fd5f5df5d => C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe [2015-09-09]
System32\Tasks\Update\hgkghjgkfjfhgfhj56665 => C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe [2015-09-09]

La détection est plutôt mauvaise, 3 sur VirusTotal au moment où le fichier est récupéré.
http://malwaredb.malekal.com/index.php?hash=4f60866ea19259105b15adf40aa07659
http://malwaredb.malekal.com/index.php?hash=09c3f9060351a3a9a7959d360c483d2f

Trojan_MSIL_Pole_Emploi_2

SHA256: a57d69d84624e377a1705b97cd65eff2622e702afc0593ab0a3f804d2a5c45cf
Nom du fichier : cwres.exe.xBAD
Ratio de détection : 3 / 56
Date d'analyse : 2015-09-10 12:39:13 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
Avira TR/Dropper.MSIL.197232 20150910
ESET-NOD32 a variant of MSIL/Kryptik.DGP 20150910
Kaspersky HEUR:Trojan.Win32.Generic 20150910

Le DNS du malware izilife.zapto.org qui conduit à l’adresse IP 185.19.85.151

En Suisse :

inetnum: 185.19.84.0 - 185.19.85.255
netname: DATAWIRE-DATACENTERS
descr: CUSTOMERS ZG01
country: CH

Il semblerait que le serveur soit déjà down.

Comme indiqué dans le sujet, les fichiers ont été envoyés aux antivirus et l’abuse DynDNS a été contacté.

Les données volées sont stockés dans le dossier :%APPDATA%

Stolen.Data, C:\Users\VincentPC\AppData\Roaming\Imminent\Logs

Les liens d’exécutables sur des sites d’hébergement mènent la plupart du temps à des malwares, souvent les RATs (Remote Access Tools) utilisent ces hébergeurs via des vidéo youtube ou des cracks/keygen pour se diffuser, c’est aussi le cas ici. Néanmoins, l’utilisation d’une annonce Pôle Emploi est assez inédite. Cela peut mettre malheureusement les personnes en confiance qui vont ouvrir le fichier et installer le programme malveillant.

Malwarebytes Anti-Malware devrait rapidement prendre en charge cette infection.
Une fois la désinfecton effectuée, nous vous recommandons de changer tous vos mot de passe.
Si vous avez besoin d’une assistance pour supprimer ce dernier, rendez-vous le forum : VIRUS : Supprimer/Desinfecter (Trojans, Adwares, Backdoor, Spywares, Hijack)

EDIT – Malwarebyte le gère en Trojan.Kryptik.MSIL :

Trojan_Kryptik_MSIL

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 53 times, 1 visits today)

2 thoughts on “TR/Dropper.MSIL (rs.exe et cwres.exe) via Pôle Emploi

  1. Ces formations sont mises a disposition par Pole emploi dans chaque region. Pour en savoir plus, renseignez-vous aupres de votre conseiller Pole Emploi.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *