Les Trojans MSIL sont des Trojans écrit en langage Microsoft intermediate language (MSIL).
Certains antivirus ont tendance à utiliser des nomenclatures, bien souvent en préfixe, le nom du langage avec lequel le programme malicieux a été écrit.
On peut donc rencontrer des détections du type :
- Trojan.VB pour des Trojans écrits en Visual Basic
- Trojan.Delphi pour des Trojans écrit en Borland Delphi.
- Trojan.JS pour des Trojans en JavaScript (voir Scripts malicieux : JavaScript, VBS, PowerShell, Macros)
- Trojan.VBS ou Worm.VBS pour des malwares écrits en VBScript (diminutif de Microsoft Visual Basic Scripting Edition)
D’autres exemples sur la page : Index des menaces et programmes malveillants/Malwares
En général, il s’agit les Trojan.MSIL sont peu évolués ou semi-professionnels en comparaison des Trojans comme Dridex, Trojan Banker etc – ces derniers étant plutôt écrit en C ou ASM.
Table des matières
Les RATs (Remote Access Tools)
En premier lieu, Dans les Trojan.MSIL, on retrouve beaucoup de RATs (Remote Access Tools).
Brièvement ce sont des malwares qui permettent le contrôle à distance de l’ordinateur et ont souvent des fonctionnalités de KeyLogger.
Par exemple ci-dessous, un RAT qui est distribué à travers des vidéos de Crack de jeu sur Youtube.
Même chose avec ce crack pour le jeu Valentino Rossi :
A l’analyse, on obtient :
| SHA256: | bd28b5550a3fe9d15565e5480d053b4c5e47008c45aa8361c0d9f2d56cdb7db0 |
| File name: | MotoGPVR46.exe |
| Detection ratio: | 12 / 55 |
| Analysis date: | 2016-06-20 15:34:00 UTC ( 1 hour, 10 minutes ago ) |
| Antivirus | Result | Update |
|---|---|---|
| ALYac | Gen:Variant.MSIL.Krypt.22 | 20160620 |
| Ad-Aware | Gen:Variant.MSIL.Krypt.22 | 20160620 |
| AhnLab-V3 | Win-Trojan/MDA.630F094C | 20160620 |
| Arcabit | Trojan.MSIL.Krypt.22 | 20160620 |
| Avira (no cloud) | TR/Dropper.MSIL.Gen | 20160620 |
| BitDefender | Gen:Variant.MSIL.Krypt.22 | 20160620 |
| DrWeb | Trojan.PWS.Siggen1.51258 | 20160620 |
| ESET-NOD32 | a variant of MSIL/Kryptik.GKH | 20160620 |
| Emsisoft | Gen:Variant.MSIL.Krypt.22 (B) | 20160620 |
| F-Secure | Gen:Variant.MSIL.Krypt.22 | 20160620 |
| GData | Gen:Variant.MSIL.Krypt.22 | 20160620 |
| eScan | Gen:Variant.MSIL.Krypt.22 | 20160620 |
Le crack MotoGPVR et les processus malicieux qui se lancent :
La détection générique NOD32 le détecte en MSIL/Kryptik :
et Avast! en MSIL:GenMalicious :
ou encore MSIL:Agent [Trj] d’Avast!
autres campagnes de RAT – Trojan MSIL :
- TR/Dropper.MSIL (rs.exe et cwres.exe) via Pôle Emploi
- Trojan NanoCore / Backdoor:MSIL/Noancooe : Exemple d’une Campagne
Backdoor IRC via Skype
Autre exemple de détection générique Trojan MSIL avec une Backdoor IRC (snk) qui se propage par Skype (Win32.Phorpiex)
Des liens malicieux sont envoyés par les PC infectés aux contacts sur Skype, avec un lien de téléchargement d’une photo.
Il s’agit bien entendu du Trojan déguisé en photo, si l’utilisateur tente d’ouvrir celle-ci le PC est infecté et sous le contrôle du pirate.
Exemple de détection de ce Trojan :
| SHA256: | 38cb98bf4feff8a9691e12029594e934bba8e53128e5c7636f67ab9cef837f69 |
| File name: | IMG0525040502016-JPEG.www.facebook.com.com |
| Detection ratio: | 14 / 55 |
| Analysis date: | 2016-06-19 10:07:05 UTC ( 15 minutes ago ) |
| Antivirus | Result | Update |
|---|---|---|
| AVG | MSIL10.ACXR | 20160619 |
| AegisLab | Uds.Dangerousobject.Multi!c | 20160619 |
| Avast | MSIL:GenMalicious-FBK [Trj] | 20160619 |
| Avira (no cloud) | TR/Dropper.MSIL.ijbn | 20160619 |
| Baidu | Win32.Trojan.WisdomEyes.151026.9950.9999 | 20160618 |
| ESET-NOD32 | a variant of MSIL/Injector.PON | 20160619 |
| Fortinet | W32/IRCBot.AIUZ!tr | 20160619 |
| GData | Win32.Worm.Phorpiex.BPQWWL | 20160619 |
| Ikarus | Trojan.MSIL.Inject | 20160619 |
| Kaspersky | Trojan.Win32.IRCbot.aiuz | 20160619 |
| McAfee | Artemis!B7CDD73C70AE | 20160619 |
| McAfee-GW-Edition | Artemis | 20160619 |
| Qihoo-360 | HEUR/QVM03.0.0000.Malware.Gen | 20160619 |
| Sophos | Mal/Generic-S | 20160619 |
Ransomware Jisaw
Le Ransomware Jisaw est aussi écrit en Microsoft intermediate language (MSIL).
Il s’agit d’un ransomware peut évolué en comparaison à des Ransomwares comme Cerber, Locky ou CryptXXX
La détection du Ransomware jigSaw, certaines détections génériques le flag en Ransom.MSIL
| SHA256: | 61aa800584b170ffe9959acd057ccaf784bf3088e1d3aab39d07c0793f6c03df |
| File name: | jigsaw |
| Detection ratio: | 31 / 55 |
| Analysis date: | 2016-06-19 13:16:33 UTC ( 2 hours, 35 minutes ago ) |
| Antivirus | Result | Update |
|---|---|---|
| ALYac | Gen:Variant.MSIL.Ransom.Jigsaw.1 | 20160619 |
| AVG | Atros3.BLFP | 20160619 |
| AVware | Trojan.Win32.Generic!BT | 20160619 |
| Ad-Aware | Gen:Variant.MSIL.Ransom.Jigsaw.1 | 20160619 |
| Antiy-AVL | Trojan/Generic.ASMalwS.1948C08 | 20160619 |
| Arcabit | Trojan.MSIL.Ransom.Jigsaw.1 | 20160619 |
| Avast | Win32:Malware-gen | 20160619 |
| Avira (no cloud) | TR/Ransom.wbuq | 20160619 |
| BitDefender | Gen:Variant.MSIL.Ransom.Jigsaw.1 | 20160619 |
| Comodo | UnclassifiedMalware | 20160619 |
| Cyren | W32/Ransom.BJLQ-5035 | 20160619 |
| ESET-NOD32 | a variant of MSIL/Filecoder.Jigsaw.D | 20160619 |
| Emsisoft | Gen:Variant.MSIL.Ransom.Jigsaw.1 (B) | 20160619 |
| F-Secure | Gen:Variant.MSIL.Ransom.Jigsaw.1 | 20160619 |
| Fortinet | MSIL/Filecoder_Jigsaw.D!tr | 20160619 |
| GData | Gen:Variant.MSIL.Ransom.Jigsaw.1 | 20160619 |
| Ikarus | Trojan.MSIL.Filecoder | 20160619 |
| K7AntiVirus | Trojan ( 004f21821 ) | 20160619 |
| K7GW | Trojan ( 004f21821 ) | 20160619 |
| Kaspersky | Trojan.Win32.Scar.onhj | 20160619 |
| Malwarebytes | Ransom.Jigsaw | 20160619 |
| McAfee | Ransomware-FJY!D0E1AEA88850 | 20160619 |
| McAfee-GW-Edition | BehavesLike.Win32.Trojan.bh | 20160619 |
| eScan | Gen:Variant.MSIL.Ransom.Jigsaw.1 | 20160619 |
| Microsoft | Ransom:MSIL/JigsawLocker.A | 20160619 |
| Panda | Trj/GdSda.A | 20160619 |
| Sophos | Mal/Generic-S | 20160619 |
| Symantec | Suspicious.Cloud.7.L | 20160619 |
| TrendMicro | Ransom_JIGSAW.P | 20160619 |
| TrendMicro-HouseCall | Ransom_JIGSAW.P | 20160619 |
| VIPRE | Trojan.Win32.Generic!BT | 20160619 |
Supprimer Trojan MSIL
Comme indiqué en introduction, en règle général, ces Trojan MSIL sont peu évolué.
La distribution est souvent limité en comparaison des malwares plus professionnels mais cela reste tout de même une forte nuisance.
Le persistance dans le système se fait à travers une clef Run ou Startup qui lance un binaire au démarrage de la session Windows.
De ce fait, la méthode donnée dans cette vidéo avec Process Explorer devrait vous permettre d’identifier facilement si un Trojan MSIL est présent sur l’ordinateur.
Si l’antivirus utilisé est capable de détecter le Trojan, la suppression ne pose pas de problème.
Nous vous recommandons de suivre le lien suivant pour supprimer Trojan MSIL : Supprimer Trojan MSIL
Un nettoyage Malwarebytes Anti-Malware et/ou scan en ligne NOD32 peut être suffisant.
Pensez que ces malwares sont capables de récupérer les mots de passe contenu sur l’ordinateur.
Vous devez donc changer tous vos mots de passe, une fois l’ordinateur désinfecté.
Sécuriser Windows
Suivre les indications de la page : Comment sécuriser mon Windows