TR/Dropper.MSIL (rs.exe et cwres.exe) via Pôle Emploi

Dernière Mise à jour le

Aujourd’hui, une désinfection relativement classique sur le site commentcamarche.net : TR/Dropper.MSIL : rs.exe et cwres.exe avec un Trojan.MSIL
qui se termine bien puis un nouvel internaute avec le même problème arrive, en discutant, il semblerait que le Trojan a été diffusé via une annonce Pôle Emploi.

L’internaute m’a envoyé l’adresse, il semblerait que les informations données soient fausses.
Une fois le contact fait, la personne envoie un lien pour télécharger un logiciel de dactylographie connu Dacty6SU via un hébergeur de fichiers, ce qui est plutôt louche, puisque le programme est disponible en téléchargement sur beaucoup de sites connus.

Trojan_MSIL_Pole_Emploi

Un des deux fichiers lance bien l’installation du logiciel de Dactylo :

Trojan_MSIL_Pole_Emploi_3

Les fichiers cwres.exe et rs.exe ajoutés qui se lancent par une tâche planifiée :

System32\Tasks\Update\5s665sds5f5sf5sf5f58f75d5fd5f5df5d => C:\Users\Thierry Tuborg\AppData\Local\Temp\cwres.exe [2015-09-09]
System32\Tasks\Update\hgkghjgkfjfhgfhj56665 => C:\Users\Thierry Tuborg\AppData\Local\Temp\rs.exe [2015-09-09]

La détection est plutôt mauvaise, 3 sur VirusTotal au moment où le fichier est récupéré.
http://malwaredb.malekal.com/index.php?hash=4f60866ea19259105b15adf40aa07659
http://malwaredb.malekal.com/index.php?hash=09c3f9060351a3a9a7959d360c483d2f

Trojan_MSIL_Pole_Emploi_2

SHA256: a57d69d84624e377a1705b97cd65eff2622e702afc0593ab0a3f804d2a5c45cf
Nom du fichier : cwres.exe.xBAD
Ratio de détection : 3 / 56
Date d'analyse : 2015-09-10 12:39:13 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
Avira TR/Dropper.MSIL.197232 20150910
ESET-NOD32 a variant of MSIL/Kryptik.DGP 20150910
Kaspersky HEUR:Trojan.Win32.Generic 20150910

Le DNS du malware izilife.zapto.org qui conduit à l’adresse IP 185.19.85.151

En Suisse :

inetnum: 185.19.84.0 - 185.19.85.255
netname: DATAWIRE-DATACENTERS
descr: CUSTOMERS ZG01
country: CH

Il semblerait que le serveur soit déjà down.

Comme indiqué dans le sujet, les fichiers ont été envoyés aux antivirus et l’abuse DynDNS a été contacté.

Les données volées sont stockés dans le dossier :%APPDATA%

Stolen.Data, C:\Users\VincentPC\AppData\Roaming\Imminent\Logs

Les liens d’exécutables sur des sites d’hébergement mènent la plupart du temps à des malwares, souvent les RATs (Remote Access Tools) utilisent ces hébergeurs via des vidéo youtube ou des cracks/keygen pour se diffuser, c’est aussi le cas ici. Néanmoins, l’utilisation d’une annonce Pôle Emploi est assez inédite. Cela peut mettre malheureusement les personnes en confiance qui vont ouvrir le fichier et installer le programme malveillant.

Malwarebytes Anti-Malware devrait rapidement prendre en charge cette infection.
Une fois la désinfecton effectuée, nous vous recommandons de changer tous vos mot de passe.
Si vous avez besoin d’une assistance pour supprimer ce dernier, rendez-vous le forum : VIRUS : Supprimer/Desinfecter (Trojans, Adwares, Backdoor, Spywares, Hijack)

EDIT – Malwarebyte le gère en Trojan.Kryptik.MSIL :

Trojan_Kryptik_MSIL

Trouver la solution sur le forum d'aide

Vous êtes arrivé au terme de l'article TR/Dropper.MSIL (rs.exe et cwres.exe) via Pôle Emploi mais vous n'avez pas trouvé la solution à votre problème...
Suivez ces articles du forum pour trouver une réponse ou demandez à votre tour de l'aide sur le forum


Vous avez trouvé cet article utile et interressant, n'hésitez pas à le partager...
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum

Une réponse

  1. marcel 1 octobre 2015

Laisser un commentaire

0 Partages
Tweetez
Partagez
Enregistrer
Partagez