Virus Gendarmerie sur Seven – Unicode Powa !

Evolution du Virus Gendarmerie depuis quelques jours.
Par le passé, ce dernier ajoutait une clef Run, la désinfection pouvait se fait en mode sans échec via une restauration du système.
Depuis peu, le dropper lance un fichier StartBrokerSetting.exe qui demande une élévation de privilège (voir UAC).
Comme le faisait à ses débuts ZeroAccess, la popup insiste, si vous cliquez sur « non », elle revient et ainsi de suite jusqu’à ce que vous cliquez sur oui et que le malware acquiert les droits administrateurs.

Comme vous pouvez le voir, un explorer.exe est lancé (c’est lui qui lance StartBrokerSetting.exe) et et… aussi un expl?rer.exe

Lors de l’affichage via les dossiers, ce expl?rer.exe sera invisible.
Par contre, la commande dir depuis une invite de commande l’affiche.

La clef Shell (qui charge explorer.exe – le bureau avec le menu Démarrer) est modifiée, cependant, regedit affichera explorer.exe alors qu’en réalité la valeur est expl?rer.exe afin de charger le virus gendarmerie.
Un programme comme GMER montre la différence, ci-dessous, on peux voir une barre verticale gras.

Cette « feinte » avait déjà été utilisée, par le passé, avec le fichier système userinit.exe par le rogue/scareware Antivirus 2010 : https://forum.malekal.com/antivirus-2010-t28675.html?hilit=unicode#p229929

et.enfint.. le malware vide tous les points de restauration :

Désinfection

  • Au démarrage de l’ordinateur, après le premier écran et avant le logo Windows, juste au changement d’écran, tapotez sur F8 pour obtenir les menu de démarrage
  • Choisissez invite de commandes en mode sans échec
  • Tapez regedit afin d’ouvrir l’éditeur du registre


  • Déroulez l’arborescence suivante en cliquant sur les + : HKEY_LOCAL_MACHINE => Software => Microsoft => Windows NT => CurrentVersion => Winlogon
  • A droite, chercher Shell, vous devez avoir explorer.exe
  • Double-cliquer sur la valeur Shell, effacer explorer.exe et retaper explorer.exe (oui il faut remettre la même chose)
  • Valider par OK et fermer l’éditeur du registre
  • Sur la fenêtre noire cmd.exe : Saisir la commande : shutdown /r pour que l’ordinateur redémarre

Au redémarrage de l’ordinateur, si tout va bien, vous devrirez récupérer votre système.
Si pas mieux, continuer la procédure donnée sur cette page : https://www.malekal.com/2011/12/11/trojan-fake-police-virus-gendarmerie-nation/

Si l’invite de commande ne fonctionne pas => Kaspersky Live CD

Kaspersky Live CD inclue une fonction Windows Unlocker qui reset la clef Shell.
Il est conseillé de faire un scan, ans oublier avant, de mettre à jour les définitions virales, le malware peux être détecté par Kaspersky.

Plus d’informations : https://forum.malekal.com/kaspersky-live-windows-unlocker-t35913.html

Ci-dessous une capture de  Kaspersky Unlocker qui reset la clef Shell :

Sinowal et autres

L’infection peux venir avec d’autres infections, notamment Sinowal : https://www.malekal.com/2012/02/28/sinowal-avec-virus-gendarmerie-par-malversiting-clicksor/
Sinowal est un trojan.Banker qui vise les sites des banques pour voler des comptes.

Il est vivement conseillé de faire un scan avec TDSSKiller afin de s’assurer que le PC n’est pas infecté.

Et surtout… Après désinfection

Important – L’infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l’infection de ton ordinateur de manière automatiquement à la visite d’un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l’execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d’infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d’entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s’installer facilement.

Maintiens tes logiciels à jour c’est important, utilise ce programme : https://forum.malekal.com/logiciels-pour-maintenir-ses-programmes-jour-t15960.html
Absolument à faire.

Print Friendly, PDF & Email
(Visité 262 fois, 1 visites ce jour)

90 Comments

  1. arnaud 9 février 2012
  2. Jam 10 février 2012
  3. arnaud 10 février 2012
  4. tookie 11 février 2012
  5. Pagnoux 12 février 2012
  6. matt 12 février 2012
  7. MORDENTI 13 février 2012
  8. Tasur 14 février 2012
  9. Julie 14 février 2012
  10. Anne-laure 15 février 2012
  11. patrice 16 février 2012
  12. Olivier 16 février 2012
  13. Nassim 17 février 2012
  14. GANDRA 17 février 2012
  15. louison 17 février 2012
  16. naotty 18 février 2012
  17. greges 18 février 2012
  18. greges 18 février 2012
  19. hamdaoui asma 18 février 2012
  20. Christiane DELACOUR 18 février 2012
  21. Amélie K. 19 février 2012
  22. Auré 20 février 2012
  23. camiiillle 21 février 2012
  24. Florent 21 février 2012
  25. windows 22 février 2012
  26. Lauriane 25 février 2012
  27. Thomas 26 février 2012
  28. Alexandra2711 26 février 2012
  29. Léa 28 février 2012
  30. alex 28 février 2012
  31. Charlotte 29 février 2012
  32. Charlotte 29 février 2012
  33. Max 29 février 2012
  34. Alice 29 février 2012
  35. confidentiel 29 février 2012
  36. Val 29 février 2012
  37. Quentin 29 février 2012
  38. Quentin 29 février 2012
  39. sahithya@gmail.com 29 février 2012
  40. Marie 1 mars 2012
  41. Patrick 1 mars 2012
  42. serrhini 1 mars 2012
  43. serrhini 1 mars 2012
  44. pedairi 1 mars 2012
  45. helene 1 mars 2012
  46. Vincent 2 mars 2012
  47. Bertrand 3 mars 2012
  48. olivier 3 mars 2012
  49. Jean-Louis 3 mars 2012
  50. Coralie 3 mars 2012
  51. Nicoss 4 mars 2012
  52. Jérém 4 mars 2012
  53. christophe 4 mars 2012
  54. ritt jérémy 4 mars 2012
  55. jean 4 mars 2012
  56. jpc_aware 4 mars 2012
  57. Soho 4 mars 2012
  58. golois 4 mars 2012
  59. Francois 5 mars 2012
  60. jerem 5 mars 2012
  61. Namion 5 mars 2012
  62. Brucek 5 mars 2012
  63. kamel 6 mars 2012
  64. Navrug 6 mars 2012
  65. Duflot 6 mars 2012
  66. Nicorsu 6 mars 2012
  67. Gawelle 6 mars 2012
  68. frapanh 7 mars 2012
  69. Kuma20 9 mars 2012
  70. lionel 9 mars 2012
  71. pietrapola 9 mars 2012
  72. Chel 10 mars 2012
  73. Rocher Suchard 10 mars 2012
  74. dad 11 mars 2012
  75. Romain 11 mars 2012
  76. kest92izi 11 mars 2012
  77. Fabtuch 15 mars 2012
  78. jerem56 19 mars 2012
  79. Jojo 22 mars 2012
  80. Teo 2 avril 2012
  81. cedric 6 avril 2012
  82. David 19 mai 2012
  83. jojo 23 mai 2012
  84. Lyncon 8 juin 2012
  85. Freddo 8 juillet 2012
  86. Vanessa 19 juillet 2012
  87. Manirac 5 septembre 2012
  88. guest 12 octobre 2012
  89. franck 26 décembre 2012
  90. Karro77 25 mai 2013

Add Comment