Worm.Vobfus : mes dossiers sont devenus des raccourcis

Worm.Vobfus est une famille de malware qui se propage par médias amovibles.
Pour monétiser, Worm.Vobfus peut installer l’infection Trojan.Alureon/TDSS ou Trojan.Renos/Trojan.FakeAlert

Le simple faite d’ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s’en protéger etc…. à partir de ces liens :

Caractéristiques de Worm.Vobfus

Les caractéristiques du Vers Vobfus est que ce dernier va créer un raccourcis malicieux de tous les dossiers présents sur le medias amovibles.
Les dossiers vont passer en attributs et cachés et systèmes et le vers empeche l’affichage des fichiers systèmes, dès lors, l’utilisateur ne voit plus que les raccorcis et du coup il croit que ses dossiers sont devenus des raccourcis et il pense avoir perdu toutes ses données.

Comme le montre la capture ci-dessous, en lisant le contenu de la clef USB (E:\) via un dir /ad, on voit que les dossiers : Dossier, Dossier2, Dossier3.
Via le Poste de Travail, ces dossiers sont « pâles » car ils sont cachés, les raccourcis eux sont bien visibles.

Worm.Vobfus et dossiers raccourcis

Le malwarecréé, en plus, systématiquement les dossiers suivants sur les médias qu’il infecte :

xxxxx.exe <= nom aléatoire malicieux
Passwords.lnk
Documents.lnk
Pictures.lnk
Music.lnk
Video.lnk

Les fichiers malicieux se copient dans le profile de l’utilisateur et se lance une démarrage via une clef Run voici un exemple de lignes HijackThis :

O4 – HKCU\..\Run: [trdoz] C:\Documents and Settings\Mak\trdoz.exe /L
O4 – HKCU\..\Run: [trdozx] C:\Documents and Settings\Mak\trdozx.exe /b
O4 – HKCU\..\Run: [qoiino] C:\Documents and Settings\Mak\qoiino.exe /d
O4 – HKCU\..\Run: [neeica] C:\Documents and Settings\Mak\neeica.exe /c

Le malware se met constamment à jour, en se connectant à des adresses sur internet (jeu du chat et de la souris avec les antivirus).

Les détections sont en général assez mauvaises :

File name: 65E816F8C2AD5B05490D07B1FD2B6800E2671CF4.exe
Submission date: 2011-01-11 05:23:11 (UTC)
Current status: finished
Result: 2 /43 (4.7%)Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3     2011.01.11.00     2011.01.10     –
AntiVir     7.11.1.80     2011.01.10     –
Antiy-AVL     2.0.3.7     2011.01.11     –
Avast     4.8.1351.0     2011.01.10     –
Avast5     5.0.677.0     2011.01.10     –
AVG     9.0.0.851     2011.01.11     –
BitDefender     7.2     2011.01.11     –
CAT-QuickHeal     11.00     2011.01.11     –
ClamAV     0.96.4.0     2011.01.11     –
Command     5.2.11.5     2011.01.11     –
Comodo     7358     2011.01.11     –
DrWeb     5.0.2.03300     2011.01.11     –
Emsisoft     5.1.0.1     2011.01.11     –
eSafe     7.0.17.0     2011.01.10     –
eTrust-Vet     36.1.8091     2011.01.10     –
F-Prot     4.6.2.117     2011.01.10     –
F-Secure     9.0.16160.0     2011.01.11     –
Fortinet     4.2.254.0     2011.01.10     –
GData     21     2011.01.11     –
Ikarus     T3.1.1.90.0     2011.01.11     –
Jiangmin     13.0.900     2011.01.10     –
K7AntiVirus     9.75.3497     2011.01.10     –
Kaspersky     7.0.0.125     2011.01.11     –
McAfee     5.400.0.1158     2011.01.11     –
McAfee-GW-Edition     2010.1C     2011.01.10     –
Microsoft     1.6402     2011.01.10     –
NOD32     5776     2011.01.10     –
Norman     6.06.12     2011.01.10     –
nProtect     2011-01-10.01     2011.01.10     –
Panda     10.0.2.7     2011.01.10     –
PCTools     7.0.3.5     2011.01.11     –
Prevx     3.0     2011.01.11     –
Rising     22.82.01.00     2011.01.11     –
Sophos     4.61.0     2011.01.11     –
SUPERAntiSpyware     4.40.0.1006     2011.01.11     –
Symantec     20101.3.0.103     2011.01.10     –
TheHacker     6.7.0.1.113     2011.01.11     Trojan/VBKrypt.uuv
TrendMicro     9.120.0.1004     2011.01.10     –
TrendMicro-HouseCall     9.120.0.1004     2011.01.11     –
VBA32     3.12.14.2     2011.01.06     –
VIPRE     8027     2011.01.11     –
ViRobot     2011.1.11.4247     2011.01.11     –
VirusBuster     13.6.138.1     2011.01.10     Trojan.VBKrypt!AjZvefH0U/g
Additional information
Show all
MD5   : 3a57383730bf2dceac121313061d388c
SHA1  : f2d2ab59a7a72c92c512ece101e445b094a1a1a3
SHA256: 255485be0be141c156b9509c7ec52d9b1b5dbf168ddfdc004ebdcfaab3baa929

File name: neeicax.exe
Submission date: 2011-01-11 11:31:17 (UTC)
Current status: queued queued analysing finished
Result: 2/ 43 (4.7%)
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.01.11.00 2011.01.10 –
AntiVir 7.11.1.84 2011.01.11 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2011.01.11 –
Avast 4.8.1351.0 2011.01.10 –
Avast5 5.0.677.0 2011.01.11 –
AVG 9.0.0.851 2011.01.11 –
BitDefender 7.2 2011.01.11 –
CAT-QuickHeal 11.00 2011.01.11 –
ClamAV 0.96.4.0 2011.01.11 –
Command 5.2.11.5 2011.01.11 –
Comodo 7360 2011.01.11 –
DrWeb 5.0.2.03300 2011.01.11 –
Emsisoft 5.1.0.1 2011.01.11 –
eSafe 7.0.17.0 2011.01.10 –
eTrust-Vet 36.1.8092 2011.01.11 –
F-Prot 4.6.2.117 2011.01.10 –
F-Secure 9.0.16160.0 2011.01.11 –
Fortinet 4.2.254.0 2011.01.10 –
GData 21 2011.01.11 –
Ikarus T3.1.1.90.0 2011.01.11 –
Jiangmin 13.0.900 2011.01.11 –
K7AntiVirus 9.75.3497 2011.01.10 –
Kaspersky 7.0.0.125 2011.01.11 –
McAfee 5.400.0.1158 2011.01.11 –
McAfee-GW-Edition 2010.1C 2011.01.11 –
Microsoft 1.6402 2011.01.11 –
NOD32 5776 2011.01.10 –
Norman 6.06.12 2011.01.11 –
nProtect 2011-01-11.01 2011.01.11 –
Panda 10.0.2.7 2011.01.10 Suspicious file
PCTools 7.0.3.5 2011.01.11 –
Prevx 3.0 2011.01.11 –
Rising 22.82.01.05 2011.01.11 –
Sophos 4.61.0 2011.01.11 –
SUPERAntiSpyware 4.40.0.1006 2011.01.11 –
Symantec 20101.3.0.103 2011.01.11 –
TheHacker 6.7.0.1.113 2011.01.11 –
TrendMicro 9.120.0.1004 2011.01.11 –
TrendMicro-HouseCall 9.120.0.1004 2011.01.11 –
VBA32 3.12.14.2 2011.01.11 –
VIPRE 8028 2011.01.11 –
ViRobot 2011.1.11.4248 2011.01.11 –
VirusBuster 13.6.138.1 2011.01.10 –
Additional informationShow all
MD5   : cdfa0c2226437f2ff012156bf13cb2be
SHA1  : 02b951bfcb324f2d2b300cca84c28f4f4d695949
SHA256: 16ef0498f1b8032f3e1e407868a65c9de9a359f855e2092ee6fd0c8da253b740

En bien détecté, on obtient :

File name: 077c3cf1424987408e31cca56d73e49f
Submission date: 2010-12-25 02:15:17 (UTC)
Current status: finished
Result: 39 /43 (90.7%)

not reviewed
Safety score: –
Compact
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3     2010.12.25.00     2010.12.24     –
AntiVir     7.11.0.174     2010.12.24     TR/Drop.Agent.bdf
Antiy-AVL     2.0.3.7     2010.12.25     Trojan/Win32.VBKrypt.gen
Avast     4.8.1351.0     2010.12.24     Win32:VB-QLO
Avast5     5.0.677.0     2010.12.24     Win32:VB-QLO
AVG     9.0.0.851     2010.12.25     Worm/VB.13.N
BitDefender     7.2     2010.12.25     Gen:Variant.VBKrypt.5
CAT-QuickHeal     11.00     2010.12.24     Worm.VBNA.gen
ClamAV     0.96.4.0     2010.12.25     –
Command     5.2.11.5     2010.12.25     W32/Vobfus.K.gen!Eldorado
Comodo     7178     2010.12.24     Worm.Win32.AutoRun.WL
DrWeb     5.0.2.03300     2010.12.25     Win32.HLLW.Autoruner.34709
Emsisoft     5.1.0.1     2010.12.24     Worm.Win32.Vobfus!IK
eSafe     7.0.17.0     2010.12.22     Win32.Changeup
eTrust-Vet     36.1.8060     2010.12.24     Win32/Vobfus.E!generic
F-Prot     4.6.2.117     2010.12.24     W32/Vobfus.K.gen!Eldorado
F-Secure     9.0.16160.0     2010.12.25     Worm:W32/Vobfus.DS
Fortinet     4.2.254.0     2010.12.24     W32/VBKrypt.D!tr
GData     21     2010.12.25     Gen:Variant.VBKrypt.5
Ikarus     T3.1.1.90.0     2010.12.24     Worm.Win32.Vobfus
Jiangmin     13.0.900     2010.12.24     Trojan/VBKrypt.cef
K7AntiVirus     9.74.3335     2010.12.24     Riskware
Kaspersky     7.0.0.125     2010.12.25     Trojan.Win32.VBKrypt.zrz
McAfee     5.400.0.1158     2010.12.25     Downloader-CJX.gen.j
McAfee-GW-Edition     2010.1C     2010.12.24     Downloader-CJX.gen.j
Microsoft     1.6402     2010.12.24     Worm:Win32/Vobfus.gen!D
NOD32     5730     2010.12.24     a variant of Win32/AutoRun.VB.WL
Norman     6.06.12     2010.12.24     W32/Vobfus.BR
nProtect     2010-12-24.01     2010.12.24     Trojan/W32.VBKrypt.352256.E
Panda     10.0.2.7     2010.12.24     Generic Worm
PCTools     7.0.3.5     2010.12.25     Malware.Changeup
Prevx     3.0     2010.12.25     High Risk Cloaked Malware
Rising     22.79.04.00     2010.12.25     –
Sophos     4.60.0     2010.12.25     Mal/SillyFDC-D
SUPERAntiSpyware     4.40.0.1006     2010.12.24     Trojan.Agent/Gen-CDesc[Gen]
Symantec     20101.3.0.103     2010.12.25     W32.Changeup
TheHacker     6.7.0.1.105     2010.12.25     Trojan/AutoRun.VB.wl
TrendMicro     9.120.0.1004     2010.12.24     WORM_VBNA.SMCY
TrendMicro-HouseCall     9.120.0.1004     2010.12.25     WORM_VBNA.SMCY
VBA32     3.12.14.2     2010.12.24     Trojan.VBKrypt.uux
VIPRE     7813     2010.12.25     Trojan.Win32.Vobfus.a (v)
ViRobot     2010.12.24.4218     2010.12.24     –
VirusBuster     13.6.111.0     2010.12.24     Trojan.VBKrypt.Gen.4
Additional information
Show all
MD5   : 077c3cf1424987408e31cca56d73e49f
SHA1  : 69767ff8b18e6ede008ebb10bbdd8611e2c247d4
SHA256: a36accb4f2fe70466aec00e15f9afe12dbec2c93cf58ef99c720972450ad3898

 
 

Suppression de Worm.Vobfus

Il est donc conseillé de suivre le Tutorial et Guide Procédure standard de désinfection de virus
Vous pouvez ensuite désinfecter vos médias amovibles à l’aide d’USBFix : Tutorial USBFix
USBFix devrait remettre les attributs normaux à vos fichiers et supprimer les raccourcis, vos données devraient réapparaître, si c’est pas le cas – après avoir nettoyer vos médias amovibles avec USBFix (ne pas faire si vos médias sont encore infectés, vous allez réinfecter votre ordinateur) :

  • Affiichier les fichiers cachés et systèmes
  • Ouvrez votre médias amovibles, vous devriez voir vos dossiers avec un dossier « pâle ».
  • Sélectionnez tous les dossiers : Menu Edition / Sélectionnez Tout
  • Faites un clic droit puis propriétés
  • Décochez l’attribut en bas caché.
  • L’icone des dossiers ne doit plus être pâle. Vous pouvez alors désactiver l’affiche des fichiers cachés et système en faisant l’étape inverse.

Vous pouvez aussi vous reporter à la page de désinfection : virus raccourcis USB

PrintFriendly and PDFImprimer l'article en PDF

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 301 times, 2 visits today)

One thought on “Worm.Vobfus : mes dossiers sont devenus des raccourcis

  1. Merci beaucoup !!!

    Je n arrivais a rien avec les meilleurs anti virus payants qui n ont rien repare du tout. USBfix a tout remis en ordre en quelques minutes, incroyable mais vrai.
    Merci encore !

    Greg

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *