Auteur Sujet: Infection vbs/vbe autorun - ItunesHelper - SergeLeLama - Fichiers en raccourcis  (Lu 8501 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne chantal11

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 22872
    • Windows 10 - Windows 8 - Windows 7 - Windows Vista
Infections par support amovible vbs/vbe autorun - ItunesHelper - Serge_Le_Lama - Fichiers en raccourcis

******

Ces infections se propagent par supports amovibles (clés USB, DD externes, lecteurs MP3/MP4, smartphone, carte SD ,......) en créant des copies des fichiers du support amovible sous forme de raccourcis qui relanceront l'infection.
 - Tout support infecté qui est connecté sur un PC va infecter le système
 - Tout système infecté va propager l'infection sur tout support connecté


L'infection crée des entrées Run et des raccourcis dans le dossier Démarrage, pour se lancer à chaque démarrage.

Quelques exemples d'éléments infectieux relevés :

Citer
04 - HKU\S-1-5-21-446298113-1738797652-642029874-1000\SOFTWARE | Run : [iTunesHelper] - wscript.exe //B "C:\Users\xxxxxx\AppData\Local\Temp\iTunesHelper.vbe"
04 - HKU\S-1-5-21-446298113-1738797652-642029874-1000\SOFTWARE | Run : [SergeLeLama] - wscript.exe //B "C:\Users\xxxxxx\AppData\Local\Temp\SergeLeLama.vbs"
04 - HKU\S-1-5-21-446298113-1738797652-642029874-1000\SOFTWARE | Run : [8jusched] - C:\Users\Public\jusched.exe
C:\Users\xxxxxx\AppData\Roaming\SergeLeLama.vbs
C:\Users\xxxxxx\AppData\Roaming\9EE784D2\ak.tmp
C:\Users\xxxxxx\AppData\Roaming\9EE784D2
C:\Users\xxxxxx\AppData\Local\Temp\SergeLeLama.vbs
C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SergeLeLama.vbs
C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jusched.exe
G:\iTunesHelper.vbe
G:\SergeLeLama.vbs
H:\iTunesHelper.vbe
H:\SergeLeLama.vbs
G:\iTunesHelper.lnk
H:\iTunesHelper.lnk
G:\4n0S6hwz.vbs
G:\BBuJUuKs.vbs
C:\Users\xxxxxx\AppData\Local\Temp\BBuJUuKs.vbs
C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BBuJUuKs.vbs
C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel(R)TCP.exe
C:\Users\xxxxxx\AppData\Roaming\62F8442D\ak.tmp
C:\Users\xxxxxx\AppData\Roaming\62F8442D
C:\Users\Public\4zz.VBE
C:\Users\Public\7zz.VBE
C:\Users\Public\Intel(R)TCP.exe
C:\Users\Public\Intel(TM)SD.exe
04 - HKLM\SOFTWARE | Policies\Explorer\run : [rescue] - "C:\ProgramData\rescue.vbe"
C:\ProgramData\rescue.vbe
C:\Users\All Users\rescue.vbe
04 - HKU\S-1-5-21-813374866-583897242-3649296067-1000\SOFTWARE | Run : [usxueqpbzj] - wscript.exe //B "C:\Users\xxxxxx\AppData\Local\Temp\usxueqpbzj..vbs"
C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\usxueqpbzj..vbs
E:\usxueqpbzj..vbs
H:\SURVIVAL.vbe

Dans certains cas, cette infection a des fonctions de keylogger (enregistreur de frappe).
Il faut donc impérativement modifier les mots de passe (Administrations, banques, messageries, réseaux sociaux, FAI .......), et si des achats sur internet ont été effectués par Carte Bancaire, vérifier ses relevés et contacter son agence bancaire pour faire opposition à la carte.


Détection VirusTotal pour iTunesHelper.vbe

Détection VirusTotal pour Serge_Le_Lama.vbe


Désinfection

Une recherche avec USBFix de El Desaparecido  et poster le rapport UsbFix.txt en ouvrant un sujet dans le sous-forum Désinfections, pour être étudié par un intervenant qualifié (USBfix est un outil spécifique puissant)


Exemple de rapport USBFix.txt

http://security-x.fr/up/file.php?h=R3bac723e6d70f3fccfa4264bc15ed245



Dans le cas d'une détection d'une activité de keylogger, ce message apparaît dans le rapport, ainsi qu'en pop-up.

Citer
################## | UsbFix - Information |

UsbFix a détecté sur votre ordinateur, une infection qui dispose d'une fonction de Keylogger.
Après désinfection par UsbFix, veuillez modifier tous vos mots de passe.
Si vous avez effectué des achats sur internet,
veuillez contacter votre banque afin d'envisager une opposition sur votre carte bancaire.



Voir aussi le Tutoriel USBFix



Toujours infecté ? Une question avant de faire des manipulations ?

Venez poster un nouveau sujet dans ce forum : http://forum.security-x.fr/desinfections/  en prenant soin de suivre la procédure http://forum.security-x.fr/desinfections/procedure-preliminaire/
« Modifié: décembre 13, 2013, 18:49:19 par chantal11 »
 

Security-X


Tags: