• STATISTIQUES
  • Il y a eu un total de 2 membres et 14812 visiteurs sur le site dans les dernières 24h pour un total de 14 814 personnes!


    Membres: 2 433
    Discussions: 3 585
    Messages: 32 832
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [FR] µContest
    µContest est un site de challenges de programmation, c'est à dire qu'il propose des épreu...
    Hacking
    [EN] social-engineer
    Site dédié au Social Engineering en général.
    Hacking
    [EN] Defcon
    Lancé en 1992 par Dark Tangent, DEFCON est la plus ancienne et la plus grande conférence underground de...
    Hacking
    [EN] Gekko
    Site de challenge présenter sous la forme d'une quête. Vous êtes un agent secret qui répond sous le nom...
    Challenges
    [FR] apprendre-a-manipuler
    Site d'apprentissage de la manipulation d'autrui.
    Hacking
    [EN] Exploit-db
    Une base de données d'exploits triés par genre (GHDB, Remote, Local, Web, DOS, ShellCode) à ...
    Vulnérabilités
    [FR] Hackfest
    Le Hackfest est un évènement de sécurité et de piratage informatique au Québec reg...
    Hacking

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!




Note de ce sujet :
  • Moyenne : 3 (2 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
Malware uKash
08-11-2012, 14h36 (Modification du message : 16-11-2012, 20h01 par Swissky.)
Message : #1
Swissky Absent
Bon membre
*



Messages : 523
Sujets : 32
Points: 96
Inscription : Apr 2012
Malware uKash
Malware uKash


1)Définition
Je viens de me prendre une de ces merde donc je vous fait un petit compte rendu sur ceux-ci , leur comportement et leur désinfection. Malheureusement je n'ai pas pu prendre de screen, mon ordinateur était vérrouillé, les screens présents ci-dessous proviennent d'autres utilisateurs.
Ce sont des malware de type RansomWare, c'est-à-dire qu'ils bloquent votre PC et demande de payer un certain montant afin de pouvoir récupérer l'accès. Il verrouille totalement le système, la seule manière d'éteindre le PC est en appuyant sur le bouton d'extinction:

[Image: ministere-de-l-interieur-virus.jpg]

[Image: ukash-virus.jpg]
Ils vous affichent un message de ce type :
Citation :Votre Ordinateur a été bloqué!
Le fonctionnement de votre ordinateur est arrêté pour les signes de la cyberactivité défendue. Les v-olations possibles commises sur votre ordinateur:
Article 274 – Droit d’auteur Amende ou privation de liberté jusqu’à 4 ans (utilisation ou diffusion des fichiers protégés par le droit d’auteur – films, logiciel)
Article 183- Production pornographique Amende ou privation de Pberte jusqu a 2 ans [Utilisation ou diffusion des fichiers pornograph-ques)
Article 184- Production pornographique avec participation des enfants (jusqu'à Pige de 18 ans) Privation de liberté jusqu'à 15 ans [utilisation ou diffusion des fichiers pornographiques)
Article 104- Vulgarisation du Terrorisme Privation de liberté jusqu'à 25 ans [vous avez visité des sites des organisations terroristes)
Article 297- Usage négligent de l'ordinateur ce qui a entrainé des conséquences sérieuses Amende ou privation de liberté jusqu'à 2 ans [votre ordinateur est infecté par le Malware, qui, à son tour, a infecté d'autres ordinateurs)
Article 108- Jeux de hasard Amende ou privation de liberté jusqu'à 2 ans ;vous avez joué aux jeux de hasard, niais d'après la loi de votre pays le business de hasard est interdit]
En vertu de la décision du Gouvernement du 22 août, tous ces délits peuvent être jugés comme conventionnels en cas du paiement de l’amende.
La somme de l’amende fait 100 euros. Le paiement doit etre produit pendant 48 heures, après la révélation de la v:olabon.
Si l’amende n’est pas payée, une action pénale sera automatiquement ouverte contre votre personne.

2) Détails de l'infection
Vous l'aurez surement reçu en visitant un site web, le plus souvent de streaming. Il utilise de nombreux exploits pour se faufiler à l'intérieur e votre système, chez moi il a utilisé un exploit Java mon AV l'a détecté mais il a aussi utilisé un autre exploit qui lui n'a pas été détecté par Microsoft Security Essentials , c'est peut-être une 0day.
Que fait ce Malware ? Il se trouve que ce Malware modifie des valeurs du registre comme l'utilisation du gestionnaire des tâches et s'installe au démarrage sous différent noms. Pour ma part c'etait sous lsass.exe et 2 autres noms générés probablement par random.

3) Suppression de ce ransomware
Il existe plusieurs manière plus ou moins radicale pour éradiquer ce Malware.

a) Soit vous décidez de repartir sur des bases propres et vous bootez sur un LiveCD Linux afin de copier vos données importantes sur un Disque dur externe. Puis vous formatez et installez de nouveau Windows ou un OS libre Smile

b) Soit vous aimez mettre les mains dans le cambouis et vous démarrez votre machine en mode sans échec avec ou sans prise en charge réseau (au choix mais privilégiez sans le réseau on ne sait jamais), pour cela on fait F8 au démarrage :
[Image: mode_sans_echec_01.gif]
Ensuite vous arrivez sur votre Windows, une différence de résolution peut survenir , allez dans le menu démarrer ou fait [windows]+[R] puis tappez "msconfig" :
[Image: msconfig-demarrer.jpg]
ou
[Image: images?q=tbn:ANd9GcSfbR_GkxGU_RmJobxBwDE...cHBRsIKIni]
Placez-vous dans l'onglet démarrage et décochez les trucs inutiles et ceux que vous ne connaissez pas, généralement le Malware se place dans APPDATA, ROAMING , TEMP, STARTUP. Si vous connaissez bien votre système vous pouvez aller le supprimer du dossier (de façon manuelle)
[Image: 422762msconfig.png]
Ensuite passez un coup d'Antivirus, de Malwarebyte, de Ccleaner puis redémarrez, si tout se passe correctement et que le Malware est éradiqué, mettez votre navigateur à jour ainsi que vos protections (AV, AntiMalware etc).

PS: Pour les fou n'hésitez pas à récupérer le Malware afin que certaines personnes puissent s'amuser à le décompiler/désassembler Wink
+1 (0) -1 (0)
08-11-2012, 16h27
Message : #2
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,614
Sujets : 72
Points: 466
Inscription : Jan 2012
RE: Virus Ukash
Btw tu pourrais poster ton sample de ukash pour analyse ? (le tout sous un .zip password-protected, à reverse uniquement sous machine virtuelle)
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0)
08-11-2012, 17h00
Message : #3
Swissky Absent
Bon membre
*



Messages : 523
Sujets : 32
Points: 96
Inscription : Apr 2012
RE: Virus Ukash
Justement je l'ai pas j'ai dégagé le virus et après je me suis dit que j'aurai pu récuperer le sample ^^"
Au pire je dois pouvoir retrouver le site qui m'a infecté si ça t'interesse ^^
+1 (0) -1 (0)
08-11-2012, 21h02
Message : #4
Horgh Hors ligne
Membre actif
*



Messages : 197
Sujets : 4
Points: 91
Inscription : Mar 2012
RE: Virus Ukash
Citation :Ce sont des virus de type RansomWare, c'est-à-dire qu'ils bloquent votre PC et demande de payer un certain montant afin de pouvoir récupérer l'accès.
Je crois que je serais mort avant d'avoir fini de répéter ça. Ce n'est PAS un virus, un virus est un programme qui se réplique en infectant d'autres fichiers (généralement des exécutables) en ajoutant son code au programme originel. Ici c'est un malware, un trojan de merde. Les virus ça existe presque plus actuellement.

Citation :Il utilise de nombreux exploits pour se faufiler à l'intérieur e votre système, chez moi il a utilisé un exploit Java mon AV l'a détecté mais il a aussi utilisé un autre exploit qui lui n'a pas été détecté par Microsoft Security Essentials , c'est peut-être une 0day.
Lol nope, les mecs derrière sont loin d'avoir le skill pour sortir du 0day. Sans compter que ça serait vraiment une sacré perte que de cramer un 0day dans de la distrib de ransom. Concernant les exploits, c'est du java / pdf / flash, et généralement c'est drop via un Blackhole.

Citation :Btw tu pourrais poster ton sample de ukash pour analyse ? (le tout sous un .zip password-protected, à reverse uniquement sous machine virtuelle)
J'dois avoir du Reveton sur mon ordi, je vais chercher (le screen 1 est du reveton, le 2 flemme de chercher). Sinon il y a Urausy ou Gimemo dans le même genre, les samples se trouvent facilement.

Citation :Au pire je dois pouvoir retrouver le site qui m'a infecté si ça t'interesse ^^
J'en doute.

Sinon pour la désinfection : mode sans échec sans prise en charge réseau, un coup d'autoruns pour virer les saloperies dans %temp% ou %appdata% (généralement avec nom random), on delete les fichiers en même temps. Si on peut pas delete pcq les entrées sont monitorées, Live CD Kaspersky Rescue Disk. Sinon RogueKiller est pas mal pour tout ce qui est désinfection de Rogue AV et saloperies du genre. Ce genre de malwares sont généralement très faciles à virer.

Morale de l'histoire, garder son PC à jour et pas agir comme un idiot ; et les AV ça sux.
+1 (0) -1 (0)
09-11-2012, 13h27
Message : #5
Swissky Absent
Bon membre
*



Messages : 523
Sujets : 32
Points: 96
Inscription : Apr 2012
RE: Virus Ukash
J'ai repris l'infection , je sais je suis borné, mais j'ai pu récupérer le sample ,vous pouvez me le demander par MP,
tout est dans une archive rar protégée par Mot De Passe avec des screens du virus et de ces emplacements Wink
+1 (0) -1 (0)
10-11-2012, 18h37
Message : #6
kaizo Hors ligne
Membre
*



Messages : 45
Sujets : 6
Points: 22
Inscription : Sep 2012
RE: Virus Ukash
a noter que celui ci passe si flash ou java n'est pas à jour, qu'il existe plusieurs variantes dont certaines très chiantes à enlever (remplace le explore.exe), un petit cou de malwarebyte ne fait pas de mal non plus après Cool
"Qui mange une noix de coco, fait confiance à son anus!"

+1 (0) -1 (0)
10-11-2012, 18h47
Message : #7
Swissky Absent
Bon membre
*



Messages : 523
Sujets : 32
Points: 96
Inscription : Apr 2012
RE: Virus Ukash
l'explorer n'a pas subit de modification j'ai checké Wink
+1 (0) -1 (0)
12-11-2012, 17h03 (Modification du message : 12-11-2012, 17h04 par kaizo.)
Message : #8
kaizo Hors ligne
Membre
*



Messages : 45
Sujets : 6
Points: 22
Inscription : Sep 2012
RE: Virus Ukash
si il avait subit une modification tu l'aurais su tout de suite la page du virus s'affiche également en mode sans échec et empêche toutes manipulations Tongue
"Qui mange une noix de coco, fait confiance à son anus!"

+1 (0) -1 (0)
12-11-2012, 18h43
Message : #9
CyberSee Hors ligne
Admin fondateur de N-PN
*******



Messages : 1,721
Sujets : 287
Points: 158
Inscription : Jan 2012
RE: Virus Ukash
Tien on a une news sur a page d'accueil qui en parle

Mag-Securs nid='1bf0d12dddc066c042b300c8814f6108 a écrit :Un groupe de cyber-criminels a déclenché une vaste attaque contre plus de 500 000 internautes en prenant leur ordinateur en otage.

Une attaque de très grande envergure a frappé un grand nombre d’internautes en seulement 18 jours. Le coupable est un ransomware du nom de Reveton. Il s'agit d'un malware qui verrouille une machine jusqu’à ce qu’une rançon soit payée.

Reveton détecté sous le nom Trojan.Ransomlock.G pouvait accomplir plusieurs opérations :

empêcher l’accès au gestionnaire des tâches
crypter les données
verrouiller la zone amorce du disque dur

Les utilisateurs devront alors acheter un Bon (essentiellement lié à des services non conventionnels comme Moneypak et Ukash) pour déverrouiller leur ordinateur.
Les criminels se faisaient passer pour des agences gouvernementales exigeant le paiement d’une amende suite à une supposée infraction sur internet.

Symantec explique qu’avec 2.9% des internautes qui payent l’amende, l’arnaque des Ransomware devient très lucrative pour les criminels et est donc susceptible de se développer.
La totalité des rançons payées chaque année pourrait dépasser les 5 millions de dollars.

Le groupe de cyber-criminels derrière Reveton court toujours et n’ont toujours pas été appréhendés.
Code PHP :
<?php
$pape 
"pape"; echo $pape
// Le $pape en string!
?>
+1 (1) -1 (0)
15-11-2012, 04h57 (Modification du message : 15-11-2012, 05h02 par ﮎyиthﮎtyℓє.)
Message : #10
ﮎyиthﮎtyℓє Hors ligne
Membre
*



Messages : 32
Sujets : 6
Points: 16
Inscription : Mar 2012
RE: Virus Ukash
(08-11-2012, 14h36)Swissky a écrit : Virus uKash
(08-11-2012, 17h00)Swissky a écrit : Justement je l'ai pas j'ai dégagé le virus
(08-11-2012, 21h09)Swissky a écrit : le truc du virus ^^
/facepalm

Sinon a par ça je serais toi je m'alarmerais plus sur ma sécurité qu'a faire un tuto de remove useless (no offense)
Un winlock c'est cool car c'est voyant mais un RAT t'aurais rien vu.


(08-11-2012, 21h02)Horgh a écrit : les mecs derrière sont loin d'avoir le skill pour sortir du 0day. Sans compter que ça serait vraiment une sacré perte que de cramer un 0day dans de la distrib de ransom.
osef du skill les 0day ça s’achète et non ça ne serais pas une perte de temps quand tu voi le taux de conversion ça fait peur.
(08-11-2012, 21h02)Horgh a écrit : J'dois avoir du Reveton sur mon ordi
kernelmode.info

(09-11-2012, 13h27)Swissky a écrit : j'ai pu récupérer le sample ,vous pouvez me le demander par MP,
tout est dans une archive rar protégée par Mot De Passe avec des screens du virus et de ces emplacements Wink
pourquoi plutôt ne pas l’attaché en pièce jointe a ce thread ?
+1 (0) -1 (0)
15-11-2012, 08h02 (Modification du message : 15-11-2012, 08h05 par Swissky.)
Message : #11
Swissky Absent
Bon membre
*



Messages : 523
Sujets : 32
Points: 96
Inscription : Apr 2012
RE: Virus Ukash
Je le met pas en piéce jointe car je ne sais plus qui, Supersnail ou un autre admin m'a dit qu'il fallait limiter les pièces jointe de plus on a droit qu'à 500ko de piece.
De plus je ne fais pas de souci pour la sécurité de mon ordinateur, je lance les trucs sous Machine Virtuelle + Sandbox, quand au trojan ça se trouve facilement en analysant les connexions entrantes et sortantes Wink
+1 (0) -1 (0)
15-11-2012, 09h03
Message : #12
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,614
Sujets : 72
Points: 466
Inscription : Jan 2012
RE: Virus Ukash
Sinon les hebergeurs de fichiers ça existe Wink (juste foutre un pwd "infected" au cas où)
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0)
15-11-2012, 15h12
Message : #13
ﮎyиthﮎtyℓє Hors ligne
Membre
*



Messages : 32
Sujets : 6
Points: 16
Inscription : Mar 2012
RE: Virus Ukash
(15-11-2012, 08h02)Swissky a écrit : Je le met pas en piéce jointe car je ne sais plus qui, Supersnail ou un autre admin m'a dit qu'il fallait limiter les pièces jointe de plus on a droit qu'à 500ko de piece.
De plus je ne fais pas de souci pour la sécurité de mon ordinateur, je lance les trucs sous Machine Virtuelle + Sandbox, quand au trojan ça se trouve facilement en analysant les connexions entrantes et sortantes Wink
>implying que tu regarde tous les jours les connexions entrantes et sortantes ? tu fais comment si un bot update les infos au c&c toutes les heures ou a chaque démarrage du pc ?
ta première infection du malware ukash tu la chopé en navigant dans une vm ? quand a la sandbox si c'est un stealer ça ne te sauvera pas la vie.
+1 (0) -1 (0)
16-11-2012, 19h04
Message : #14
badTasTe Hors ligne
I'm born again
*



Messages : 126
Sujets : 6
Points: 15
Inscription : May 2012
RE: Virus Ukash
Salut a tous,
Je vais juste reagir sur ce que je viens de lire pour dire que je trouve qu'on s'ecarte pas mal de l'etique des N-PN.
J'ai eut l impression de me retrouver sur un site de lamerz ou ca critique a tout va les posts des autres de maniere un peu trop brutale...
Pour un site d'entraide je trouve ca dommage de voir "tuto de remove useless" et autres reflexion qui n'aident personnes.
Merci swissky pour ce post informatif et fait les tri entre les critiques instructives et les critiques "useless".
Sur ce, je conseil a certain de refaire un tour sur le topic de l etique du site
Des biz
[Image: badnpn.jpg]
+1 (1) -1 (0)
16-11-2012, 19h19
Message : #15
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,614
Sujets : 72
Points: 466
Inscription : Jan 2012
RE: Virus Ukash
Bonjour,

En un sens, les critiques "useless" ont malgré tout le mérite de soulever certaines questions pas si "useless" que ça (cf la sécurisation du PC de Swissky, ou encore des points méthodologiques concernant le reverse de malwares qui incitent à se poser des questions).
Bon, c'est vrai que ﮎyиthﮎtyℓє est assez "agressif" dans ses propos, mais il faut aussi savoir se remettre en question et dire à quelqu'un qui se trompe "tu fais de la m*rde là" lui sera plus profitable à long terme que lui dire "c'est bien ton truc, continue" (même si la manière de le dire peut être "offensente".

Bref y'a pas mort d'homme, par contre essayez d'être moins "agressifs" dans vos posts et rassure-toi badTasTe, j'ai nullement l'intention de laisser le forum devenir une board lame Wink
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (3) -1 (0)


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  Infection, Fonctionnement, Contrôle et Détection de Malware InstinctHack 13 3,815 08-05-2019, 22h07
Dernier message: Di0Sasm
  Reverse Jar Malware Yttrium 6 2,187 24-02-2016, 10h20
Dernier message: ZeR0-@bSoLu
  [Malz] - Malware dans .doc notfound 0 751 24-03-2015, 11h38
Dernier message: notfound
  Mes Analyses de Malware Yttrium 6 1,770 05-02-2015, 16h15
Dernier message: sakiir

Atteindre :


Utilisateur(s) parcourant ce sujet : 19 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut