Infections par support amovible vbs/vbe autorun - ItunesHelper - Serge_Le_Lama - Fichiers en raccourcis
******
Ces infections se propagent par supports amovibles (clés USB, DD externes, lecteurs MP3/MP4, smartphone, carte SD ,......) en créant des copies des fichiers du support amovible sous forme de raccourcis qui relanceront l'infection.
- Tout support infecté qui est connecté sur un PC va infecter le système
- Tout système infecté va propager l'infection sur tout support connecté
L'infection crée des entrées Run et des raccourcis dans le dossier Démarrage, pour se lancer à chaque démarrage.
Quelques exemples d'éléments infectieux relevés :
04 - HKU\S-1-5-21-446298113-1738797652-642029874-1000\SOFTWARE | Run : [iTunesHelper] - wscript.exe //B "C:\Users\xxxxxx\AppData\Local\Temp\iTunesHelper.vbe"
04 - HKU\S-1-5-21-446298113-1738797652-642029874-1000\SOFTWARE | Run : [SergeLeLama] - wscript.exe //B "C:\Users\xxxxxx\AppData\Local\Temp\SergeLeLama.vbs"
04 - HKU\S-1-5-21-446298113-1738797652-642029874-1000\SOFTWARE | Run : [8jusched] - C:\Users\Public\jusched.exe
C:\Users\xxxxxx\AppData\Roaming\SergeLeLama.vbs
C:\Users\xxxxxx\AppData\Roaming\9EE784D2\ak.tmp
C:\Users\xxxxxx\AppData\Roaming\9EE784D2
C:\Users\xxxxxx\AppData\Local\Temp\SergeLeLama.vbs
C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SergeLeLama.vbs
C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jusched.exe
G:\iTunesHelper.vbe
G:\SergeLeLama.vbs
H:\iTunesHelper.vbe
H:\SergeLeLama.vbs
G:\iTunesHelper.lnk
H:\iTunesHelper.lnk
G:\4n0S6hwz.vbs
G:\BBuJUuKs.vbs
C:\Users\xxxxxx\AppData\Local\Temp\BBuJUuKs.vbs
C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\BBuJUuKs.vbs
C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel(R)TCP.exe
C:\Users\xxxxxx\AppData\Roaming\62F8442D\ak.tmp
C:\Users\xxxxxx\AppData\Roaming\62F8442D
C:\Users\Public\4zz.VBE
C:\Users\Public\7zz.VBE
C:\Users\Public\Intel(R)TCP.exe
C:\Users\Public\Intel(TM)SD.exe
04 - HKLM\SOFTWARE | Policies\Explorer\run : [rescue] - "C:\ProgramData\rescue.vbe"
C:\ProgramData\rescue.vbe
C:\Users\All Users\rescue.vbe
04 - HKU\S-1-5-21-813374866-583897242-3649296067-1000\SOFTWARE | Run : [usxueqpbzj] - wscript.exe //B "C:\Users\xxxxxx\AppData\Local\Temp\usxueqpbzj..vbs"
C:\Users\xxxxxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\usxueqpbzj..vbs
E:\usxueqpbzj..vbs
H:\SURVIVAL.vbe
Dans certains cas, cette infection a des fonctions de keylogger (http://fr.wikipedia.org/wiki/Enregistreur_de_frappe) (enregistreur de frappe).
Il faut donc impérativement modifier les mots de passe (Administrations, banques, messageries, réseaux sociaux, FAI .......), et si des achats sur internet ont été effectués par Carte Bancaire, vérifier ses relevés et contacter son agence bancaire pour faire opposition à la carte.
Détection VirusTotal (https://www.virustotal.com/fr/file/fd5abf547b41be8df7ea83e91f0afb8b39cdfa61cd86458a839d3c98fd1d1b05/analysis/) pour iTunesHelper.vbe
Détection VirusTotal (https://www.virustotal.com/fr/file/b27b20f5103ade4414e3f60c32a48049e7419f41f623cc17780fe9e741107ff6/analysis/1384618880/) pour Serge_Le_Lama.vbe
Désinfection
Une recherche avec USBFix (http://forum.security-x.fr/tutoriels-317/tutoriel-usbfix-11888/) de El Desaparecido et poster le rapport UsbFix.txt en ouvrant un sujet dans le sous-forum Désinfections (http://forum.security-x.fr/desinfections/), pour être étudié par un intervenant qualifié (USBfix est un outil spécifique puissant)
Exemple de rapport USBFix.txt
http://security-x.fr/up/file.php?h=R3bac723e6d70f3fccfa4264bc15ed245
Dans le cas d'une détection d'une activité de keylogger, ce message apparaît dans le rapport, ainsi qu'en pop-up.
################## | UsbFix - Information |
UsbFix a détecté sur votre ordinateur, une infection qui dispose d'une fonction de Keylogger.
Après désinfection par UsbFix, veuillez modifier tous vos mots de passe.
Si vous avez effectué des achats sur internet,
veuillez contacter votre banque afin d'envisager une opposition sur votre carte bancaire.
Voir aussi le Tutoriel USBFix (http://forum.security-x.fr/tutoriels-317/tutoriel-usbfix-11888/)
Toujours infecté ? Une question avant de faire des manipulations ?
Venez poster un nouveau sujet dans ce forum : http://forum.security-x.fr/desinfections/ en prenant soin de suivre la procédure http://forum.security-x.fr/desinfections/procedure-preliminaire/