ma bannière



Détecter et désactiver le logiciel malveillant pro-syrien "Xtreme RAT" sur votre ordinateur
Traduction publiée le 21 Mars 2012 15:32 GMT sur le site

Il y a quelques semaines, nous avons appris ICI l'existence d'un cheval de Troie baptisé "Darkcomet RAT" ayant infecté des ordinateurs appartenant à des activistes syriens et conçu pour capturer l'activité de la webcam, désactiver les paramètres de notification de plusieurs logiciels antivirus, pour enregistrer l'activité du clavier, voler les mots de passe notamment — ainsi que pour envoyer ces informations sensibles à une adresse située dans l'espace des adresses IP syriennes.

Les documents et les recommandations de Symantec sont disponibles ICI.

Entretemps, nous avons été informés de l'existence d'un nouveau logiciel malveillant, connu sous le nom "Xtreme RAT", et chargé de renvoyer des données à la même adresse dans l'espace des adresses IP syriennes et dont la diffusion semble être antérieure à celle du cheval de Troie "Darkcomet RAT". Des rapports indiquent que le cheval de Troie se propage par le biais de programmes de courrier électronique et de messagerie instantanée. Le logiciel malveillant était utilisé pour enregistrer l'activité du clavier et pour prendre des captures d'écran de l'ordinateur de la victime. Il n'est pas exclu qu'il ait été conçu pour réaliser d'autres fonctions.

Vous pouvez vous protéger contre les risques d'être infecté en évitant d'exécuter tout logiciel reçu par courrier électronique, ou d'installer des logiciels hormis en HTTPS, ou d'installer des logiciels provenant de sources inconnues, même si l'opération est recommandée par une fenêtre surgissante ou par un ami. L’EFF (Electronic Frontier Foundation) recommande par ailleurs de veiller à maintenir le système d'exploitation de votre ordinateur à jour en installant immédiatement les mises à jour de sécurité publiées par l'éditeur du système. N'utilisez pas de système d'exploitation obsolète et ne bénéficiant plus de mises à jour de sécurité.

La découverte de l'un des fichiers ou processus ci-après est un indice de ce que votre système a été compromis par Xtreme RAT. La présence d'indices supplémentaires tend à corroborer la suspicion de compromission.

Comment identifier Xtreme RAT lorsqu'il est exécuté sur votre ordinateur, dans le cas où vous utilisez Microsoft Windows :

1. Lancez le Gestionnaire des tâches en exécutant Ctrl+MAJ+Échap puis cliquez sur l'onglet Processus.
Recherchez un processus nommé svchost.exe qui s'exécute sous votre nom d'utilisateur. Dans l'exemple donné ici, l'utilisateur est “Administrator”.

Capture Gestionnaire des tâches


2. Ouvrez votre Dossier "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup".
Si vous trouvez un lien nommé "Empty", cela révèle que l'ordinateur est infecté.

Capture Gestionnaire des tâches


3. Ouvrez votre dossier "C:\Users\votre_nom\AppData\Local\Temp".
Recherchez deux fichiers : _$SdKdwi.bin et System.exe. Si le paramètre d'affichage de l'extension des fichiers est activée, le fichier se présente sous le nom “System.exe”. Dans le cas contraire, il apparaît sous le nom “System Project Up-date DMW”.

4. Ouvrez votre dossier "C:\Users\votre_nom\AppData\Local\Microsoft\Windows", "C:\Users\votre_nom\AppData\LocalLow\Microsoft\Windows" et "C:\Users\votre_nom\AppData\Roaming\Microsoft\Windows" .
Recherchez les deux fichiers : fQoFaScoN.dat et fQoFaScoN.cfg.

5. Cliquez sur le bouton Démarrer. Tapez “cmd” pour ouvrir le terminal de commande. Tapez “netstat”. La liste de connexions actives s'affiche alors. Recherchez une connexion sortante vers l'adresse IP : 216.6.0.28.

Que faire en cas d'infection :

Si votre ordinateur est infecté, la suppression des fichiers précités ou l'utilisation d'un logiciel antivirus pour éliminer le cheval de Troie ne garantit pas que votre ordinateur aura été nettoyé ou sécurisé. Ce logiciel malveillant permet à un attaquant d'exécuter un code arbitraire sur l'ordinateur infecté. Rien ne garantit que l'attaquant n'a pas installé d'autres logiciels malicieux lorsqu'il contrôlait votre ordinateur.

À la date du 6 mars 2011, un seul éditeur d'antivirus sait détecter ce cheval de Troie. Vous pouvez essayer de mettre à jour votre logiciel antivirus, en l'exécutant et en l'utilisant pour éliminer le cheval de Troie s'il apparaît mais le plus sûr est de réinstaller le système d'exploitation sur votre ordinateur.

DarkComet RAT Remover détectera une version exécutée de DarkComet RAT en mémoire. Il est efficace et il peut détecter n’importe quelle version de DarkComet RAT même si elle est cryptée, emballée (compressé), virtualisée et occultée.

Si DarkComet est présent et fonctionne, DarkComet RAT Remover va le trouver et l’enlever. Il annulera également les changements que DarkComet RAT a faits dans le registre et supprime tous les journaux des enregistreurs de frappe.

Note: Vous devez utiliser la version compatible avec votre système. Si vous n'êtes pas sûr de la version adaptée à votre système, téléchargez les deux versions et essayez de les exécuter. Une seule d'entre elles s'exécutera sur votre système, ce sera la 'bonne' version.

Full Pack DarkComet RemoverTélécharger




Validation CSS 3.0
Validation HTML 5.0





Haut-de-Page