Trojan MSIL

Les Trojans MSIL sont des Trojans écrit en langage Microsoft intermediate language (MSIL).
Certains antivirus ont tendance à utiliser des nomenclatures, bien souvent en préfixe, le nom du langage avec lequel le programme malicieux a été écrit.
On peut donc rencontrer des détections du type :

  • Trojan.VB pour des Trojans écrits en Visual Basic
  • Trojan.Delphi pour des Trojans écrit en Borland Delphi.
  • Trojan.JS pour des Trojans en JavaScript (voir Scripts malicieux : JavaScript, VBS, PowerShell, Macros)
  • Trojan.VBS ou Worm.VBS pour des malwares écrits en VBScript (diminutif de Microsoft Visual Basic Scripting Edition)

D’autres exemples sur la page : Index des menaces et programmes malveillants/Malwares

En général, il s’agit les Trojan.MSIL sont peu évolués ou semi-professionnels en comparaison des Trojans comme Dridex, Trojan Banker etc – ces derniers étant plutôt écrit en C ou ASM.

Les RATs (Remote Access Tools)

En premier lieu, Dans les Trojan.MSIL, on retrouve beaucoup de RATs (Remote Access Tools).
Brièvement ce sont des malwares qui permettent le contrôle à distance de l’ordinateur et ont souvent des fonctionnalités de KeyLogger.
Par exemple ci-dessous, un RAT qui est distribué à travers des vidéos de Crack de jeu sur Youtube.

RAT_Trojan_MSIL_Crack_Jeu_Youtube

Même chose avec ce crack pour le jeu Valentino Rossi  :

Trojan_MSIL_Youtube_Crack

A l’analyse, on obtient :

SHA256: bd28b5550a3fe9d15565e5480d053b4c5e47008c45aa8361c0d9f2d56cdb7db0
File name: MotoGPVR46.exe
Detection ratio: 12 / 55
Analysis date: 2016-06-20 15:34:00 UTC ( 1 hour, 10 minutes ago )
Antivirus Result Update
ALYac Gen:Variant.MSIL.Krypt.22 20160620
Ad-Aware Gen:Variant.MSIL.Krypt.22 20160620
AhnLab-V3 Win-Trojan/MDA.630F094C 20160620
Arcabit Trojan.MSIL.Krypt.22 20160620
Avira (no cloud) TR/Dropper.MSIL.Gen 20160620
BitDefender Gen:Variant.MSIL.Krypt.22 20160620
DrWeb Trojan.PWS.Siggen1.51258 20160620
ESET-NOD32 a variant of MSIL/Kryptik.GKH 20160620
Emsisoft Gen:Variant.MSIL.Krypt.22 (B) 20160620
F-Secure Gen:Variant.MSIL.Krypt.22 20160620
GData Gen:Variant.MSIL.Krypt.22 20160620
eScan Gen:Variant.MSIL.Krypt.22 20160620

Le crack MotoGPVR et les processus malicieux qui se lancent :

Trojan_MSIL_Youtube_Crack_processus

La détection générique NOD32 le détecte en MSIL/Kryptik :

MSIL_Kryptik

et Avast! en MSIL:GenMalicious :

Avast_MSIL_GenMalicious

ou encore MSIL:Agent [Trj] d’Avast!

Avast_MSIL_Agent
autres campagnes de RAT – Trojan MSIL :

Backdoor IRC via Skype

Autre exemple de détection générique Trojan MSIL avec une Backdoor IRC (snk) qui se propage par Skype (Win32.Phorpiex)
Des liens malicieux sont envoyés par les PC infectés aux contacts sur Skype, avec un lien de téléchargement d’une photo.
Il s’agit bien entendu du Trojan déguisé en photo, si l’utilisateur tente d’ouvrir celle-ci le PC est infecté et sous le contrôle du pirate.


Exemple de détection de ce Trojan :

SHA256: 38cb98bf4feff8a9691e12029594e934bba8e53128e5c7636f67ab9cef837f69
File name: IMG0525040502016-JPEG.www.facebook.com.com
Detection ratio: 14 / 55
Analysis date: 2016-06-19 10:07:05 UTC ( 15 minutes ago )
Antivirus Result Update
AVG MSIL10.ACXR 20160619
AegisLab Uds.Dangerousobject.Multi!c 20160619
Avast MSIL:GenMalicious-FBK [Trj] 20160619
Avira (no cloud) TR/Dropper.MSIL.ijbn 20160619
Baidu Win32.Trojan.WisdomEyes.151026.9950.9999 20160618
ESET-NOD32 a variant of MSIL/Injector.PON 20160619
Fortinet W32/IRCBot.AIUZ!tr 20160619
GData Win32.Worm.Phorpiex.BPQWWL 20160619
Ikarus Trojan.MSIL.Inject 20160619
Kaspersky Trojan.Win32.IRCbot.aiuz 20160619
McAfee Artemis!B7CDD73C70AE 20160619
McAfee-GW-Edition Artemis 20160619
Qihoo-360 HEUR/QVM03.0.0000.Malware.Gen 20160619
Sophos Mal/Generic-S 20160619

Ransomware Jisaw

Le Ransomware Jisaw est aussi écrit en Microsoft intermediate language (MSIL).
Il s’agit d’un ransomware peut évolué en comparaison à des Ransomwares comme Cerber, Locky ou CryptXXX

La détection du Ransomware jigSaw, certaines détections génériques le flag en Ransom.MSIL

SHA256: 61aa800584b170ffe9959acd057ccaf784bf3088e1d3aab39d07c0793f6c03df
File name: jigsaw
Detection ratio: 31 / 55
Analysis date: 2016-06-19 13:16:33 UTC ( 2 hours, 35 minutes ago )
Antivirus Result Update
ALYac Gen:Variant.MSIL.Ransom.Jigsaw.1 20160619
AVG Atros3.BLFP 20160619
AVware Trojan.Win32.Generic!BT 20160619
Ad-Aware Gen:Variant.MSIL.Ransom.Jigsaw.1 20160619
Antiy-AVL Trojan/Generic.ASMalwS.1948C08 20160619
Arcabit Trojan.MSIL.Ransom.Jigsaw.1 20160619
Avast Win32:Malware-gen 20160619
Avira (no cloud) TR/Ransom.wbuq 20160619
BitDefender Gen:Variant.MSIL.Ransom.Jigsaw.1 20160619
Comodo UnclassifiedMalware 20160619
Cyren W32/Ransom.BJLQ-5035 20160619
ESET-NOD32 a variant of MSIL/Filecoder.Jigsaw.D 20160619
Emsisoft Gen:Variant.MSIL.Ransom.Jigsaw.1 (B) 20160619
F-Secure Gen:Variant.MSIL.Ransom.Jigsaw.1 20160619
Fortinet MSIL/Filecoder_Jigsaw.D!tr 20160619
GData Gen:Variant.MSIL.Ransom.Jigsaw.1 20160619
Ikarus Trojan.MSIL.Filecoder 20160619
K7AntiVirus Trojan ( 004f21821 ) 20160619
K7GW Trojan ( 004f21821 ) 20160619
Kaspersky Trojan.Win32.Scar.onhj 20160619
Malwarebytes Ransom.Jigsaw 20160619
McAfee Ransomware-FJY!D0E1AEA88850 20160619
McAfee-GW-Edition BehavesLike.Win32.Trojan.bh 20160619
eScan Gen:Variant.MSIL.Ransom.Jigsaw.1 20160619
Microsoft Ransom:MSIL/JigsawLocker.A 20160619
Panda Trj/GdSda.A 20160619
Sophos Mal/Generic-S 20160619
Symantec Suspicious.Cloud.7.L 20160619
TrendMicro Ransom_JIGSAW.P 20160619
TrendMicro-HouseCall Ransom_JIGSAW.P 20160619
VIPRE Trojan.Win32.Generic!BT 20160619

Supprimer Trojan MSIL

Comme indiqué en introduction, en règle général, ces Trojan MSIL sont peu évolué.
La distribution est souvent limité en comparaison des malwares plus professionnels mais cela reste tout de même une forte nuisance.

Le persistance dans le système se fait à travers une clef Run ou Startup qui lance un binaire au démarrage de la session Windows.

Trojan.Phorpiex_processus

De ce fait, la méthode donnée dans cette vidéo avec Process Explorer devrait vous permettre d’identifier facilement si un Trojan MSIL est présent sur l’ordinateur.

Si l’antivirus utilisé est capable de détecter le Trojan, la suppression ne pose pas de problème.
Nous vous recommandons de suivre le lien suivant pour supprimer Trojan MSIL : Supprimer Trojan MSIL
Un nettoyage Malwarebytes Anti-Malware et/ou scan en ligne NOD32 peut être suffisant.

Pensez que ces malwares sont capables de récupérer les mots de passe contenu sur l’ordinateur.
Vous devez donc changer tous vos mots de passe, une fois l’ordinateur désinfecté.

Sécuriser Windows

Suivre les indications de la page : Comment sécuriser mon Windows

Print Friendly, PDF & Email
(Visité 501 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet