Trojan MSIL

Les Trojans MSIL sont des Trojans écrit en langage Microsoft intermediate language (MSIL).
Certains antivirus ont tendance à utiliser des nomenclatures, bien souvent en préfixe, le nom du langage avec lequel le programme malicieux a été écrit.
On peut donc rencontrer des détections du type :

  • Trojan.VB pour des Trojans écrits en Visual Basic
  • Trojan.Delphi pour des Trojans écrit en Borland Delphi.
  • Trojan.JS pour des Trojans en JavaScript (voir Scripts malicieux : JavaScript, VBS, PowerShell, Macros)
  • Trojan.VBS ou Worm.VBS pour des malwares écrits en VBScript (diminutif de Microsoft Visual Basic Scripting Edition)

D’autres exemples sur la page : Index des menaces et programmes malveillants/Malwares

En général, il s’agit les Trojan.MSIL sont peu évolués ou semi-professionnels en comparaison des Trojans comme Dridex, Trojan Banker etc – ces derniers étant plutôt écrit en C ou ASM.

Les RATs (Remote Access Tools)

En premier lieu, Dans les Trojan.MSIL, on retrouve beaucoup de RATs (Remote Access Tools).
Brièvement ce sont des malwares qui permettent le contrôle à distance de l’ordinateur et ont souvent des fonctionnalités de KeyLogger.
Par exemple ci-dessous, un RAT qui est distribué à travers des vidéos de Crack de jeu sur Youtube.

RAT_Trojan_MSIL_Crack_Jeu_Youtube

Même chose avec ce crack pour le jeu Valentino Rossi  :

Trojan_MSIL_Youtube_Crack

A l’analyse, on obtient :

SHA256:bd28b5550a3fe9d15565e5480d053b4c5e47008c45aa8361c0d9f2d56cdb7db0
File name:MotoGPVR46.exe
Detection ratio:12 / 55
Analysis date:2016-06-20 15:34:00 UTC ( 1 hour, 10 minutes ago )
AntivirusResultUpdate
ALYacGen:Variant.MSIL.Krypt.2220160620
Ad-AwareGen:Variant.MSIL.Krypt.2220160620
AhnLab-V3Win-Trojan/MDA.630F094C20160620
ArcabitTrojan.MSIL.Krypt.2220160620
Avira (no cloud)TR/Dropper.MSIL.Gen20160620
BitDefenderGen:Variant.MSIL.Krypt.2220160620
DrWebTrojan.PWS.Siggen1.5125820160620
ESET-NOD32a variant of MSIL/Kryptik.GKH20160620
EmsisoftGen:Variant.MSIL.Krypt.22 (B)20160620
F-SecureGen:Variant.MSIL.Krypt.2220160620
GDataGen:Variant.MSIL.Krypt.2220160620
eScanGen:Variant.MSIL.Krypt.2220160620

Le crack MotoGPVR et les processus malicieux qui se lancent :

Trojan_MSIL_Youtube_Crack_processus

La détection générique NOD32 le détecte en MSIL/Kryptik :

MSIL_Kryptik

et Avast! en MSIL:GenMalicious :

Avast_MSIL_GenMalicious

ou encore MSIL:Agent [Trj] d’Avast!

Avast_MSIL_Agent
autres campagnes de RAT – Trojan MSIL :

Backdoor IRC via Skype

Autre exemple de détection générique Trojan MSIL avec une Backdoor IRC (snk) qui se propage par Skype (Win32.Phorpiex)
Des liens malicieux sont envoyés par les PC infectés aux contacts sur Skype, avec un lien de téléchargement d’une photo.
Il s’agit bien entendu du Trojan déguisé en photo, si l’utilisateur tente d’ouvrir celle-ci le PC est infecté et sous le contrôle du pirate.


Exemple de détection de ce Trojan :

SHA256:38cb98bf4feff8a9691e12029594e934bba8e53128e5c7636f67ab9cef837f69
File name:IMG0525040502016-JPEG.www.facebook.com.com
Detection ratio:14 / 55
Analysis date:2016-06-19 10:07:05 UTC ( 15 minutes ago )
AntivirusResultUpdate
AVGMSIL10.ACXR20160619
AegisLabUds.Dangerousobject.Multi!c20160619
AvastMSIL:GenMalicious-FBK [Trj]20160619
Avira (no cloud)TR/Dropper.MSIL.ijbn20160619
BaiduWin32.Trojan.WisdomEyes.151026.9950.999920160618
ESET-NOD32a variant of MSIL/Injector.PON20160619
FortinetW32/IRCBot.AIUZ!tr20160619
GDataWin32.Worm.Phorpiex.BPQWWL20160619
IkarusTrojan.MSIL.Inject20160619
KasperskyTrojan.Win32.IRCbot.aiuz20160619
McAfeeArtemis!B7CDD73C70AE20160619
McAfee-GW-EditionArtemis20160619
Qihoo-360HEUR/QVM03.0.0000.Malware.Gen20160619
SophosMal/Generic-S20160619

Ransomware Jisaw

Le Ransomware Jisaw est aussi écrit en Microsoft intermediate language (MSIL).
Il s’agit d’un ransomware peut évolué en comparaison à des Ransomwares comme Cerber, Locky ou CryptXXX

La détection du Ransomware jigSaw, certaines détections génériques le flag en Ransom.MSIL

SHA256:61aa800584b170ffe9959acd057ccaf784bf3088e1d3aab39d07c0793f6c03df
File name:jigsaw
Detection ratio:31 / 55
Analysis date:2016-06-19 13:16:33 UTC ( 2 hours, 35 minutes ago )
AntivirusResultUpdate
ALYacGen:Variant.MSIL.Ransom.Jigsaw.120160619
AVGAtros3.BLFP20160619
AVwareTrojan.Win32.Generic!BT20160619
Ad-AwareGen:Variant.MSIL.Ransom.Jigsaw.120160619
Antiy-AVLTrojan/Generic.ASMalwS.1948C0820160619
ArcabitTrojan.MSIL.Ransom.Jigsaw.120160619
AvastWin32:Malware-gen20160619
Avira (no cloud)TR/Ransom.wbuq20160619
BitDefenderGen:Variant.MSIL.Ransom.Jigsaw.120160619
ComodoUnclassifiedMalware20160619
CyrenW32/Ransom.BJLQ-503520160619
ESET-NOD32a variant of MSIL/Filecoder.Jigsaw.D20160619
EmsisoftGen:Variant.MSIL.Ransom.Jigsaw.1 (B)20160619
F-SecureGen:Variant.MSIL.Ransom.Jigsaw.120160619
FortinetMSIL/Filecoder_Jigsaw.D!tr20160619
GDataGen:Variant.MSIL.Ransom.Jigsaw.120160619
IkarusTrojan.MSIL.Filecoder20160619
K7AntiVirusTrojan ( 004f21821 )20160619
K7GWTrojan ( 004f21821 )20160619
KasperskyTrojan.Win32.Scar.onhj20160619
MalwarebytesRansom.Jigsaw20160619
McAfeeRansomware-FJY!D0E1AEA8885020160619
McAfee-GW-EditionBehavesLike.Win32.Trojan.bh20160619
eScanGen:Variant.MSIL.Ransom.Jigsaw.120160619
MicrosoftRansom:MSIL/JigsawLocker.A20160619
PandaTrj/GdSda.A20160619
SophosMal/Generic-S20160619
SymantecSuspicious.Cloud.7.L20160619
TrendMicroRansom_JIGSAW.P20160619
TrendMicro-HouseCallRansom_JIGSAW.P20160619
VIPRETrojan.Win32.Generic!BT20160619

Supprimer Trojan MSIL

Comme indiqué en introduction, en règle général, ces Trojan MSIL sont peu évolué.
La distribution est souvent limité en comparaison des malwares plus professionnels mais cela reste tout de même une forte nuisance.

Le persistance dans le système se fait à travers une clef Run ou Startup qui lance un binaire au démarrage de la session Windows.

Trojan.Phorpiex_processus

De ce fait, la méthode donnée dans cette vidéo avec Process Explorer devrait vous permettre d’identifier facilement si un Trojan MSIL est présent sur l’ordinateur.

Si l’antivirus utilisé est capable de détecter le Trojan, la suppression ne pose pas de problème.
Nous vous recommandons de suivre le lien suivant pour supprimer Trojan MSIL : Supprimer Trojan MSIL
Un nettoyage Malwarebytes Anti-Malware et/ou scan en ligne NOD32 peut être suffisant.

Pensez que ces malwares sont capables de récupérer les mots de passe contenu sur l’ordinateur.
Vous devez donc changer tous vos mots de passe, une fois l’ordinateur désinfecté.

Sécuriser Windows

Suivre les indications de la page : Comment sécuriser mon Windows

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 253 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *