Sinowal avec Virus Gendarmerie par malversiting clicksor

Depuis un peu plus d’une semaine, la malvertising clicksor qui installe le virus gendarmerie lance aussi un autre exploit sur site WEB qui conduit  une infection Sinowal.

Si l’infection du virus gendarmerie est loin d’être discrète, Sinowal lui l’est.
Sinowal est un stealer qui vise les sites de banques (Trojan.Banker) et se charge au niveau du MBR et donc peu de programmes sont capables de le détecter.

L’exploit sur site WEB  qui charge l’infection :

regsrv32.exe qui enregistre un fichier téléchargé par l’exploit

puis un driver rclbi5.sys est chargé – le MBR est par la suite corrompu.

GMER affiche les lignes suivantes :

GMER 1.0.15.15640 – http://www.gmer.net
Rootkit scan 2012-02-28 09:46:06
Windows 5.1.2600 Service Pack 2
Running: v4omn0r8.exe; Driver: C:\DOCUME~1\Mak\LOCALS~1\Temp\uxtdypoc.sys—- Kernel code sections – GMER 1.0.15 —-? RGRCZ@J@ Syntaxe du nom de fichier, de répertoire ou de volume incorrecte. !
? C:\WINDOWS\system32\Drivers\PROCEXP141.SYS Le fichier spécifié est introuvable. !
? C:\WINDOWS\system32\drivers\ldj98z8.sys Le fichier spécifié est introuvable. !
? system32\drivers\xpsec.sys Le chemin d’accès spécifié est introuvable. !
? system32\drivers\xcpip.sys Le chemin d’accès spécifié est introuvable. !—- User code sections – GMER 1.0.15 —-

.text C:\Program Files\Mozilla Firefox\firefox.exe[284] ntdll.dll!LdrLoadDll 7C9261CA 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

—- Devices – GMER 1.0.15 —-

Device owAZEVAoRGRCZ \Device\Ide\IdeDeviceP0T0L0-3 RGRCZ@J@
Device owAZEVAoRGRCZ \Device\Ide\IdePort0 RGRCZ@J@
Device owAZEVAoRGRCZ \Device\Ide\IdePort1 RGRCZ@J@
Device owAZEVAoRGRCZ \Device\Ide\IdeDeviceP1T0L0-e RGRCZ@J@

—- EOF – GMER 1.0.15 —-

TDSSKiller le détecte et permet le nettoyage :

AswMBR détecte aussi Sinowal :

Attention dans le cas où Sinowal est présent – Malwarebyte’s Anti-Malware ne détecte rien.

De même Antivir ne voit rien :

Avast! détecte MBRoot-J – mais ne nettoye pas.
Notez qu’il faut faire un scan au démarrage pour qu’Avast! détecte Sinowal, dans le cas d’un scan depuis Windows et même complet, il ne verra rien.

Dans le cas où vous avez été confronté au virus gendarmerie, il est vivement conseillé de scanner son ordinateur avec TDSSKiller pour vérifier si le PC n’est pas infecté par Sinowal.
Si vous êtes allé sur le site de votre banque entre le moment où vous avez été infecté et la désinfection, contactez votre banque.

 Après désinfection

Afin de ne plus infecter votre ordinateur  via des  exploits sur site WEB – mettez à jour vos logiciels.

Votre ordinateur est vulnérable car vos logiciels ne sont pas à jour – Un site hacké ou une publicité malicieuse qui conduit à un exploit sur site WEB peux infecter votre ordinateur (si votre antivirus est dans le vent, ce qui est souvent le cas).
La source de l’infection est d’avoir sur son ordinateur des logiciels non à jour.
Des logiciels permettent de vous y aider => https://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html

Pensez à maintenir à jour vos logiciels (notamment Java, Adobe Reader et Flash), ces programmes non à jour permettent l’infection de votre système.
Plus globalement pour sécuriser son ordinateur : Sécuriser son ordinateur (version courte)

(Visité 137 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet