Infections par support amovible vbs/vbe autorun - ItunesHelper - Serge_Le_Lama - Fichiers en raccourcis
******
Ces infections se propagent par supports amovibles (clés USB, DD externes, lecteurs MP3/MP4, smartphone, carte SD ,......) en créant des copies des fichiers du support amovible sous forme de raccourcis qui relanceront l'infection.
- Tout support infecté qui est connecté sur un PC va infecter le système
- Tout système infecté va propager l'infection sur tout support connecté
L'infection crée des entrées
Run et des raccourcis dans le
dossier Démarrage, pour se lancer à chaque démarrage.
Quelques exemples d'éléments infectieux relevés :
04 - HKU\S-1-5-21-446298113-1738797652-642029874-1000\SOFTWARE | Run : [iTunesHelper] - wscript.exe //B "C:\Users\xxxxxx\AppData\Local\Temp\iTunesHelper.vbe"
04 - HKU\S-1-5-21-446298113-1738797652-642029874-1000\SOFTWARE | Run : [SergeLeLama] - wscript.exe //B "C:\Users\xxxxxx\AppData\Local\Temp\SergeLeLama.vbs"
04 - HKU\S-1-5-21-446298113-1738797652-642029874-1000\SOFTWARE | Run : [8jusched] - C:\Users\Public\jusched.exe
C:\Users\xxxxxx\AppData\Roaming\SergeLeLama.vbs
C:\Users\xxxxxx\AppData\Roaming\9EE784D2\ak.tmp
C:\Users\xxxxxx\AppData\Roaming\9EE784D2
C:\Users\xxxxxx\AppData\Local\Temp\SergeLeLama.vbs
C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SergeLeLama.vbs
C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jusched.exe
G:\iTunesHelper.vbe
G:\SergeLeLama.vbs
H:\iTunesHelper.vbe
H:\SergeLeLama.vbs
G:\iTunesHelper.lnk
H:\iTunesHelper.lnk
G:\4n0S6hwz.vbs
G:\BBuJUuKs.vbs
C:\Users\xxxxxx\AppData\Local\Temp\BBuJUuKs.vbs
C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BBuJUuKs.vbs
C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel(R)TCP.exe
C:\Users\xxxxxx\AppData\Roaming\62F8442D\ak.tmp
C:\Users\xxxxxx\AppData\Roaming\62F8442D
C:\Users\Public\4zz.VBE
C:\Users\Public\7zz.VBE
C:\Users\Public\Intel(R)TCP.exe
C:\Users\Public\Intel(TM)SD.exe
04 - HKLM\SOFTWARE | Policies\Explorer\run : [rescue] - "C:\ProgramData\rescue.vbe"
C:\ProgramData\rescue.vbe
C:\Users\All Users\rescue.vbe
04 - HKU\S-1-5-21-813374866-583897242-3649296067-1000\SOFTWARE | Run : [usxueqpbzj] - wscript.exe //B "C:\Users\xxxxxx\AppData\Local\Temp\usxueqpbzj..vbs"
C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\usxueqpbzj..vbs
E:\usxueqpbzj..vbs
H:\SURVIVAL.vbe
Dans certains cas, cette infection a des fonctions de
keylogger (enregistreur de frappe).
Il faut donc impérativement modifier les mots de passe (
Administrations, banques, messageries, réseaux sociaux, FAI .......), et si des achats sur internet ont été effectués par Carte Bancaire, vérifier ses relevés et contacter son agence bancaire pour faire opposition à la carte.
Détection
VirusTotal pour
iTunesHelper.vbeDétection
VirusTotal pour
Serge_Le_Lama.vbeDésinfection
Une recherche avec
USBFix de
El Desaparecido et poster le rapport
UsbFix.txt en ouvrant un sujet dans le sous-forum
Désinfections,
pour être étudié par un intervenant qualifié (USBfix est un outil spécifique puissant)Exemple de rapport
USBFix.txthttp://security-x.fr/up/file.php?h=R3bac723e6d70f3fccfa4264bc15ed245Dans le cas d'une détection d'une activité de keylogger, ce message apparaît dans le rapport, ainsi qu'en pop-up.
################## | UsbFix - Information |
UsbFix a détecté sur votre ordinateur, une infection qui dispose d'une fonction de Keylogger.
Après désinfection par UsbFix, veuillez modifier tous vos mots de passe.
Si vous avez effectué des achats sur internet,
veuillez contacter votre banque afin d'envisager une opposition sur votre carte bancaire.
Voir aussi le Tutoriel USBFix
Toujours infecté ? Une question avant de faire des manipulations ?
Venez poster un
nouveau sujet dans ce forum :
http://forum.security-x.fr/desinfections/ en prenant soin de suivre la procédure
http://forum.security-x.fr/desinfections/procedure-preliminaire/
