Trojan banker [RESOLU]
Accueil › Forums › Virus et Antivirus › Je suis infecté par un virus › Trojan banker [RESOLU]
- Ce sujet contient 49 réponses, 6 participants et a été mis à jour pour la dernière fois par G r e y Cat, le il y a 7 années et 1 mois.
-
CréateurSujet
-
12 novembre 2017 à 14 h 19 min #29542G r e y CatParticipant
Bonjour
Apres analyse avec KIS il m'a trouvé un trojan banker dans Thunderbird
je l'ai supprimé avec kis , refais une analyse : RAS puis malwarbytes : RAS puis Adwcleaner : RAS
a votre avis y a t'il autre chose a faire et a t'il pu voler des données , sachant que je n'ai pas ouvert ce courrier qui date de 10 jours et que c'est aujourd'hui que j'ai ce message de KIS
Merci d'avance pour vos conseils
Attachments:
-
CréateurSujet
-
AuteurRéponses
-
12 novembre 2017 à 23 h 46 min #29571AZAMOSModérateur
Hello !!!
Normal que KIS ait quand même hurlé malgré ton passage à une restauration d'il y a un mois : la restauration système remet en place les fichiers système et autre SANS supprimer ou modifier les dossiers et fichier perso ; donc le mail et sa pièce jointe étaient toujours présent.
Là l'infection est arrivée via un mail, et rien ne peut prémunir de cela si le virus n'a pas de signature connue. C'est un peu l'inconvénient des logiciels de messagerie embarqués comme Outlook, Incredimail et Thunderbird : ils rapatrient directement sur le PC le mail et sa pièce jointe vérolé, et à partir de là tout est possible
Il vaut mieux utiliser une messagerie en ligne qu'une messagerie embarquée sur son PC.
13 novembre 2017 à 9 h 32 min #29572G r e y CatParticipantBonjour Azamos
Dans Kis il y a l'option :antivirus email , donc cette fonction ne sert a rien a priori ? elle devrait analyser les pièces jointes qui entrent ?
Deuxièmement point : pas de détection pendant presque un mois , a quoi bon payer un antivirus , je vais prendre un gratuit dans ce cas !
la messagerie en ligne OK , je suis d'accord mais quand on a 6 ou 7 comptes c'est plutôt galère !
a ton avis au niveau de l'infection quels risques pour moi , sachant que je ne fais pas d'achat en ligne !
j'ai fait un malwarebyte et adwcleaner , RAS , faut il une autre action de ma part ?
ps : " rien ne peut prémunir de cela si le virus n’a pas de signature connue " donc pareil sur les sites !!!
13 novembre 2017 à 11 h 59 min #29575VulcainParticipantbonjour
Oui KIS aurait du hurler et le supprimer voir au pire le mettre en quarantaine.
Pour la messagerie embarquée, elle va bien lire sur la messagerie FAI ou Gmail ou Gmx ect.. donc c'est cette messagerie qui fait défaut et non l'embarquée. Avec cette infection ouvrir le mail sur une messagerie FAI ou embarquée c'est idem.
Les messageries FAI, c'est zéro, gmx pas toujours compatible il on un souci de certificat actuellement. Gmail possède un bon filtre et couplé avec thunderbird c'est très bon avec un mais, le 100% n'existe pas, c'est l'antivirus qui doit protéger.
Fait attention : Vide les points de restaurations et recréer un autre, lorsque tu seras sur que le PC est top, un autre. Sinon tu vas restaurer avec l'infection.
Très cordialement,
Vulcain
-------------------------------------------------------------
Quand un Antivirus est gratuit, je ne cherche surtout pas à savoir ce que ça va me coûter, sinon je n' en voudrais pas !13 novembre 2017 à 12 h 08 min #29576AZAMOSModérateurre,
En ce qui concerne la fonction "antivirus mail", elle aussi n'est pas infaillible, mais elle a le mérite d'exister : aucune solution antivirale ne peut être à 100% efficace. Cette protection sera plus ou moins efficace suivant la capacité de l'éditeur à la maintenir à jour (et KIS est plutôt bon à ce niveau là). Entre avoir un antivirus-mail et ne pas en avoir, le premier choix est le bon, mais ne doit pas empêcher d'être vigilant.
A ce propos il faut aussi que les utilisateurs soient eux aussi actifs : beaucoup repères les faux-mail et les mettent dans leur indésirables : c'est bien, mais le souci c'est qu'ils ne le signal pas au fournisseur de service mail, et donc le même mail qui est diffusé sur des dizaines de milliers de boites courriels sera bien à plusieurs reprises ouvert par d'autres utilisateurs moins méfiants : donc message à tous ceux qui liront ces lignes => SIGNALEZ VOS MAILS VÉROLÉS A VOTRE FOURNISSEUR DE BOITE MAIL !!!
Il faut bien prendre en compte qu'il y a 3 000 000 de malwares créé par jour !!! Oui, 3 millions ; la majorité le sont en partant d'un "malware-source" qu'un petit programme édite automatiquement en plusieurs dizaines/centaines de variantes, qui sont ensuite diffusées sur le Net afin de vérifier et conserver celles qui réussissent à passer les antivirus. C'est le jeu du chat et de la souris, et il n'est pas près de s'arrêter...
Les machines-zombies serves entre autre aux pirates à tester ce genre de malwares.
1 mois sans être détecté, c'est vrai que c'est long, mais si les gens le mettent juste en "indésirable" sans le signaler il est normal que cela prenne du temps à être mis dans la liste de signature des antivirus.
6 ou 7 comptes : je ne connais pas tes raisons pour en avoir autant, mais voici comment je procède personnellement :
- 1 compte-poubelle : il me sert juste à créer un compte sur un site douteux (oui, je trainent dans des quartiers malfamés parfois ), par exemple lorsque je commande en Chine des pièces informatiques. Vu que là-bas la revente des adresses mail est un sport national c'est bien plus sûr . Je le consulte qu'au moment de l'inscription, voir si problème sur la livraison ou autre.
- un compte "Pro" que je communique à mes clients : il a un renvoi vers mon compte personnel. Je le consulte 1 fois par semaine, voir si je n'ai pas un mail-client mis par erreur en "indésirable" par mon fournisseur.
- un compte personnel que je consulte au quotidien, et où je reçoit donc aussi mes mails "Pro".
- un compte secondaire de sauvegarde où tous mes mails de mon compte personnel sont automatiquement renvoyés ; je le consulte que tous les 6 mois, histoire qu'il ne soit pas fermé pour inactivité.
- ÉDIT : j'ai oublié le compte FAI que je n'ouvre pas/peu : seul Orange y poste ses mails inutiles
L'avantage des comptes en ligne c'est déjà le pré-filtrage par le fournisseur, l'accessibilité de n'importe où, et aussi la possibilité d'ouverture des pièces-jointes "dans le cloud", même si il faut reste prudent à ce niveau là : un PDF vérolé (en vérité un exécutable maquillé) ouvert de cette manière ne s'ouvrira pas, le serveur indiquant un problème à l'ouverture tropbien
Un (des) comptes en ligne peut être renvoyé sur un autre compte en ligne, rendant donc inutile (si ce n'est l'interface) les logiciels de messagerie intégré à l'ordinateur, surtout s'ils sont mal configurés.
D'ailleurs avoir un gestionnaire de messagerie sur son PC c'est un très grand risque : donne moi accès moins de 2 minutes à ton PC et je récupère tous tes mots de passe de tes messagerie (et plus si j'ai une clé USB vide avec moi), et ceci sans aucun logiciel... alors si tu as une vérole spécialisée qui s'invite sur ton ordinateur, c'est en un clin d’œil que tout est rapatrié ailleurs sur le Net
Niveau risque en ce qui te concerne : bien que tu ne l'ai pas ouvert, la simple action de le mettre en "indésirable" peut l'avoir déclenché (voir juste le rapatriement sur ton PC). Il est présent physiquement sur ton disque dur, et donc on peut le considérer déjà comme compromis ! Certes les malwares aussi "intelligents" ne courent pas les rues, mais ils existent, et ils ne sortent pas un petit fanion disant "coucou, je suis là !!!"
Ton numéro de carte bancaire, un pirate il s'en fiche : une boite mail, c'est bien plus rentable à court, moyen et long terme :
- infection en ton nom de tous tes contacts par mail
- prise de contact avec les sites bancaire, FAI, sécurité social, préfecture, etc : comme cela il se commande un nouveau téléphone, un chéquier ou carte bleu, un permis ou un passeport, une carte vitale, une carte grise pour que ce soit toi qui paye ses PV, etc... Ça rapporte gros au marché noir, et en plus au niveau de la Loi, c'est toi le responsable.
- transformation de ton PC en zombie : action sur un autre site en utilisant ta connexion, minage de Bitcoin, test de vérole, etc...
- piratage de ta webcam : ça se monnaie bien les vidéos des galipettes avec Madame
Vu que ton AV l'a détecté (tard, ok), il a aussi intégré les endroits où il se loge : donc un scan minutieux avec lui devrait déjà limité les choses.
En compléments : ZHPCleaner, Roguekiller, scan en ligne avec le log que tu veux, et je pense que l'on devrait être serein.
Bien entendu, changement de TOUS tes mots de passe, et ceci depuis un AUTRE PC considéré comme sûr (le faire depuis le "mode sans échec avec prise en charge réseau" peut être une couche supplémentaire de prévention, mais juste pour faire le changement, pas pour consulter tes mails ).
ps : » rien ne peut prémunir de cela si le virus n’a pas de signature connue » donc pareil sur les sites !!!
Pas sûr d'avoir compris le sens de ta phrase... Si c'est pour le blocage des sites vérolés, idem, aucune protection n'est efficace à 100% ; mais comme en voiture, mieux vaut avoir sa ceinture attachée, ABS actif, 8 airbags et une conduite prudente que rien du tout. Donc un AV reconnu est toujours mieux qu'un AV "made in China"
EDIT : j'oubliai le plus important : ne JAMAIS enregistrer ses pots de passe sur ses navigateur ET sur ses gestionnaires de messageries : 15 secondes pour les récupérer manuellement, 10 centième de seconde via un malwares... à bon entendeur
13 novembre 2017 à 13 h 17 min #29579G r e y CatParticipantHello Vulcain et Azamos
je veux bien me servir des mails en ligne , mais a ce moment là comment avoir des mots de passe complexes ( j'ai une petite tête !!)
j'ai envoyer hier un à Vulcain le rapport ZHP diag , il semble qu'il n'y a plus d'infection ( du moins si ce n'est pas planqué dans un sombre recoin )
Roguekiller pas fait , je vais voir ce que c'est !!
prise de contact avec les sites bancaire : non car je ne vérifie pas mes comptes en ligne ( je sais ça fait vieux , mais j'ai un DAB à coté de chez moi pour tirer des tickets ! )
Pour le reste je laisse rien de vital sur l'ordi , je stocke en externe un max !
6 boites car je les fais en fonction de mes besoins : famille , site achat (payé en chèque ) , abonnement à des lettres d'infos ( sospcname ....) etc ... ce qui me permet de voir d'ou vient la merde , et la c'est une adresse de mon ancien FAI sur laquelle vient des pubs , j'avais bien vu que c’était un faux courrier , je l'ai pas ouvert et mis en indésirable , j'aurais du le détruire directement !
Ceci dit , j'ai un niveau informatique moyen , mais il m'arrive d'aider des gens et parfois je vois des ordis avec 20 à 30 merdes dessus , cela n'a pas l'air d'avoir de conséquences pour ces gens qui ne sont pas plus inquiets pour autant !!!
Ceci dit mon ordi ronronne au mieux , le cpu ne plafonne pas , la vitesse des navigateurs est rapide , pas de signes de merdes qui pourraient tourner en arrière plan !! ( je sais c'est subjectif comme étude )
En plus KIS protège la frappe clavier , donc je pense que le risque doit être limite ?
En attendant de voir si il y a des problèmes , je viens de refaire une analyse complète avec KIS : RAS !!
Fait attention : Vide les points de restaurations : plus de point de restauration , j'ai mis un ssd ( avec Azamos ) et je fais des images systèmes
Avec cette infection ouvrir le mail sur une messagerie FAI ou embarquée c’est idem : du même avis que Vulcain , car la WEB messagerie s'ouvre dans le navigateur !!
ps : » rien ne peut prémunir de cela si le virus n’a pas de signature connue » donc pareil sur les sites !!! je veux dire que si l'AV ne le reconnait pas dans un courriel , ce sera pareil sur un site !!
ps : piratage de ta webcam : ça se monnaie bien les vidéos des galipettes avec Madame , chouette ça me plait
13 novembre 2017 à 14 h 03 min #29580AZAMOSModérateurRe,
Je ne dis pas qu'il faut tenter d'ouvrir un mail suspicieux dans le Cloud à tout bout de champ, juste qu'il est possible d'ouvrir la pièce jointe en "aperçu", et que si elle est un .exe le site n'arrivera pas à l'ouvrir (ou plus exactement bloquera son ouverture). Après les rares fois où je fais ça c'est sur un PC spéciale, connecté au Net sur un réseau séparé, en machine virtuelle et en plus en formatant le disque dur à l'issu
En l'ouvrant "en ligne", si processus malicieux, il se déclenche chez le fournisseur (qui a des AV performants à son niveau), transit en "clair" sur le Net, subissant un second filtrage par l'AV ; cela te fait donc 2 couches de protection supplémentaires, à l'opposé du rapatriement de la pièce-jointe "inerte" que te fait automatiquement ton gestionnaire de mail.
Pour les mots de passe complexe, je te laisse gérer, la seule chose primordiale étant de ne jamais l’enregistrer, et surtout pas sur un gestionnaire de messagerie : il vaut mieux les taper à chaque fois.
Après chacun fait comme il veut, moi je ne fais qu'énumérer les possibilités et les risques
13 novembre 2017 à 14 h 29 min #29581G r e y CatParticipantle rapport roguekiller
pour moi de faux positifs , mais besoin de votre avis surtout pour le PUm , sachant que j'ai mis les dns de freedns sur la box ? est ce cela ?
Attachments:
13 novembre 2017 à 14 h 36 min #29583G r e y CatParticipantPour les mots de passe j'utilise KEEPASS !!
pour moi valable , le rapport de certification de l’ANSSI : https://www.ssi.gouv.fr/uploads/IMG/cspn/anssi-cspn_2010-07fr.pdf
13 novembre 2017 à 15 h 36 min #29584VulcainParticipantLes recommandations ANSSI sont excellentes.
Même si je peux être en accord avec AZAMOS concernant l'antivirus FAI pour une protection supplémentaire, dans tous les cas leur Antivirus n'est pas plus avancé que KIS, ESET par exemple. Donc les gens qui paient un Antivirus FAI, c'est une dépense en trop.
Concernant RogueKiller, il existe beaucoup de faux positif et il est préférable de leur demander et leur envoyer soit le rapport ou fichiers. Il réponde très vite.
Ouvrir un mail suspicieux, le faite de cliquer sur un lien, c'est mort. Il faut savoir que l'on peut être infecté rien qu'avec une image car les pirates sont malin.
Une image s'affiche alors que si on regarde bien, d'ou l'intérêt d'afficher les extensions, le nom de l'image se présente comme ça : image.exe.png
cela pour dire que nous ne sommes pas à l'abri.
Donc pour l'aperçu du mail faire attention, une url peut être planquée dans l'entête du message. Une protection efficace fera son effet, au clic et à l'ouverture ou exécution de l'infection. Si inconnue le niveau de la protection comportementale entre en action etc... voir un HIPS.
Je clic sur le dossier corbeille ou spam et si entête inconnu je vide le dossier.
Très cordialement,
Vulcain
-------------------------------------------------------------
Quand un Antivirus est gratuit, je ne cherche surtout pas à savoir ce que ça va me coûter, sinon je n' en voudrais pas !13 novembre 2017 à 15 h 42 min #29586AZAMOSModérateurRe,
Pour la précision, quand je parlais de "l'antivirus FAI", c'est celui qui protège leurs serveurs, pas de celui qu'ils nous vendent en abonnement à 5€/mois, donc 60 €/an, ce qui est très cher vu qu'on en a des très performants pour moins de 15 €/an
13 novembre 2017 à 16 h 38 min #29587G r e y CatParticipantEn réalité il est difficile d’échapper a toutes ces merdes , que ce soit un AV sur le PC ou sur le mail du FAI , il y aura toujours un retard dans les bases virales ! et je pense que les AV des serveurs sont les mêmes que les nôtres ? ( c'est a dire guère plus efficace !!! )
maintenant même le fait de recevoir le mail valide déjà la boite ! elle est foutue
Pour rogue killer j'ai tous mis en quarantaine , on va voir , je viens du site , il semble que seul les Eléments rouges sont vraiment dangereux , comme on peut restaurer , je vais voir ce que cela donne !
Encore une question , j'ai mon module kis protection bancaire qui reste orange ( ne passe pas en vert ? ) soit c'est un problème de virtualisation , soit la version 18 n'est pas encore finalisé sur ce module ? j'ai essayé de voir pour ouvrir les boites mails , mais est ce que cela contiendrais un élément indésirable comme une sand box ?
13 novembre 2017 à 17 h 17 min #29592VulcainParticipantDans une sandbox, tu ne risque rien
Un truc, tu reçois le mail et là rien que l'expéditeur, le titre est indicateur donc supprime.
Si tu reçois et que tu ne donne pas d'action sur un lien ou chargement d'image, là aussi c'est bon.
Question antivirus serveur, perso, je les qualifie de navet, car il existe tant d'infections, y a qu'à voir les ransomwares dans les entreprises. Je dis navet mais bon, les intérêts commerciaux prévaux sur notre sécurité à mon avis.
Il y a des règles de comportement à avoir et si nous les respectons, nous aurons peu de chance d'être infecté.
Très cordialement,
Vulcain
-------------------------------------------------------------
Quand un Antivirus est gratuit, je ne cherche surtout pas à savoir ce que ça va me coûter, sinon je n' en voudrais pas !13 novembre 2017 à 17 h 23 min #29594G r e y CatParticipantLes sandbox c'est le mieux a mon avis , manque de bol Sandboxie n'est pas fonctionnel avec KIS !!!!!
Christophe avait fait un article sur un équivalent
https://sospc.name/toolwiz-time-freeze-2017/
est ce compatible W10 et vraiment efficace ?
13 novembre 2017 à 17 h 31 min #29595Non abonnéParticipantSalut Grey cat,
j’ai mon module kis protection bancaire qui reste orange ( ne passe pas en vert ? ) soit c’est un problème de virtualisation , soit la version 18 n’est pas encore finalisé sur ce module ?
Si il ne passe pas en vert, c'est qu'il y a un souci avec la « Protection bancaire ».
J'ai la version 18.0.0.405 (d), et tout est OK avec la « Protection bancaire » !
Bon courage !
A+
13 novembre 2017 à 17 h 32 min #29596G r e y CatParticipantOk merci Yves B. donc il y a un problème chez moi !
-
AuteurRéponses
- Vous devez être connecté pour répondre à ce sujet.