5/5 - (1 vote)
.

MalPack, CHEVAL DE TROIE (TROJAN)

MalPack correspond à une détection générique de chevaux de Troie (Trojan) qui utilise des emballages personnalisés afin de masquer leur code. Il s’agit d’un type de logiciel malveillant, souvent confondu avec les virus ou autres parasites.

Le cheval de Troie est un logiciel en apparence légitime, mais qui contient une malveillance. La détection est exclusivement basée sur le mode d’emballage du dossier. Malpack utilise généralement des noms de processus génériques du système comme “regsvr32.exe” ou “svchost.exe”. Certaines solutions de sécutité l’identifient en tant que Trojan GenericKD ou Trojan Inject.


Les logiciels potentiellement indésirables (LPI) ou Potentialy Unwanted Programs (PUP) sont à l’origine de nombreuses infections. L’exemple le plus souvent rencontré est celui des adwares InstallCore, CrossRider, Graftor ou Boxore qui polluent la Base de Registres et vos unités de stockage de données. Ils s’installent généralement à votre insu via le téléchargement de gratuiciels. En effet certains sites utilisent la méthode de repaquetage, une opération qui consiste à refaire le module d’installation du logiciel en y ajoutant des options de téléchargement. Ces options permettent d’ajouter d’autres logiciels comme par exemple des barres d’outils de navigateur, des adwares, des logiciels potentiellement indésirables, des logiciels à publicités intrusives, voire des pirates de navigateur.


Le rôle du Cheval de Troie (Trojan) est de faire entrer ce parasite sur l'ordinateur et de l'y installer à l'insu de l'utilisateur. Le programme contenu est appelé la "charge utile". Il peut s'agir de n'importe quel type de parasite : virus, keylogger, logiciel espion. C'est ce parasite, et lui seul, qui va exécuter des actions au sein de l'ordinateur victime. Le cheval de Troie n'est rien d'autre que le véhicule, celui qui fait "entrer le loup dans la bergerie". Il n'est pas nuisible en lui-même car il n'exécute aucune action, si ce n'est celle de permettre l'installation du vrai parasite.


Les logiciels espions (spywares) et les logiciels publicitaires (Adwares) indésirables, tout comme les malwares,  peuvent utiliser les failles d'écriture des logiciels légitimes ou celles des systèmes d'exploitation. Il est donc essentiel d'avoir des logiciels officiels et qu'ils disposent d'une mise à jour automatique. De même votre système d'exploitation Windows doit être programmé en mode update automatique et activé, de façon à pouvoir disposer des dernières mises à jour de failles critiques de sécurité.

ÉLÉMENTS TECHNIQUES

  Caractéristiques

– Démarre un processus au lancement du système (RP),
Il s'installe dans la Base de Registres afin d'être lancé à chaque démarrage du système (O4),
Il s'installe en tant que programme (O42)
– Créé de multiples clés de Registre “Software”,
– Ajoutes de dossiers supplémentaires (O43),
– Ajoute de multiples fichiers utilisateurs (O61),
– Il crée une connexion entrante active dans les exceptions d’application du parefeu Windows (O87),

Aperçu dans les rapports

Recensé le 15/06/2017
O4 – HKCU\..\Run: [WinResSync] . (.Microsoft Corporation – Microsoft(C) Register Server.) — C:\Windows\System32\regsvr32.exe
O4 – HKCU\..\Run: [Ummedia] . (.PGWARE LLC – Ac97 Bag Minimumvalue Codec Radio.) — C:\Users\Coolman\AppData\Local\Ummedia\078b55c42c8d7ce80cee85bcc0397217.exe
O4 – HKCU\..\Run: [YpPack] . (.Microsoft Corporation – Microsoft(C) Register Server.) — C:\Windows\SysWOW64\regsvr32.exe
O43 – CFD: 09/06/2017 – [] D — C:\Users\Coolman\AppData\Local\Ummedia
O61 – LFC: 2017/06/09 23:52:07 A . (..) — C:\Users\Coolman\AppData\Local\Ummedia\vtmbuvmp.dll [1307136]
C:\USERS\Coolman\APPDATA\ROAMING\MICROSOFT\PROTECT\6c4440f8-063c-4b15-bff2-d1bbdc916dae.rs
C:\Users\Coolman\AppData\Local\Ummedia\vtmbuvmp.dll

Recensé le 02/09/2017
O4 – HKCU\..\Run: [Qt] . (…) — c:\Users\Coolman\AppData\Roaming\63387427\svchost.exe
O4 – HKUS\S-1-5-21-50051860-661384414-3684766944-1000\..\Run: [Qt] . (…) — c:\Users\Coolman\AppData\Roaming\63387427\svchost.exe
O42 – Logiciel: GameAsist 3.91 – (.Company.) [HKLM] — GameAsist 3.91
O43 – CFD: 01/09/2017 – [] D — C:\Users\Coolman\AppData\Roaming\63387427
O61 – LFC: 2017/09/01 00:59:46 A . (..) — C:\Users\Coolman\AppData\Roaming\63387427\svchost.exe [126464]
O87 – FAEL: “{0D34AA52-C6D4-4E3C-8829-E8198FCC210B}” [Out-None-P17-TRUE] .(…) — c:\Program Files\company\gameasist\quant_2017-08-31_21-59.exe
O87 – FAEL: “{544A9E76-0346-4294-983F-EEC4F74BC6FC}” [Out-None-P17-TRUE] .(…) — c:\Users\Coolman\appdata\roaming\63387427\svchost.exe

Alias

VirusTotal svchost.exe et quant_2017-08-31_21-59.exe (même MD5) :
AegisLab Uds.Dangerousobject.Multi!c 20170902
AhnLab-V3 Trojan/Win32.Agent.C2114018 20170901
Antiy-AVL Trojan/Win32.Inject 20170902
Avast Win32:Malware-gen 20170902
AVG Win32:Malware-gen 20170902
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9934 20170831
CrowdStrike Falcon (ML) malicious_confidence_100% (D) 20170804
Cylance Unsafe 20170902
Endgame malicious (high confidence) 20170821
ESET-NOD32 a variant of Win32/Kryptik.FWBT 20170902
Fortinet W32/Generic.AC.3F7ACC!tr 20170902
GData Win32.Trojan.Agent.PY8TAW 20170902
Ikarus Win32.Outbreak 20170901
Sophos ML heuristic 20170822
K7GW Trojan ( 00515c601 ) 20170902
Kaspersky Trojan.Win32.Inject.agmbs 20170902
Malwarebytes Trojan.MalPack 20170902
MAX malware (ai score=90) 20170902
McAfee RDN/Generic.grp 20170902
McAfee-GW-Edition Artemis!Trojan 20170902
Palo Alto Networks (Known Signatures) generic.ml 20170902
Qihoo-360 Win32/Trojan.Multi.daf 20170902
Rising Malware.Heuristic!ET#98% (rdm+) 20170901
SentinelOne (Static ML) static engine – malicious 20170806
Sophos AV Mal/Generic-S 20170902
Symantec Trojan.Gen.2 20170901
Tencent Win32.Trojan.Inject.Auto 20170902
Webroot W32.Trojan.Gen 20170902
ZoneAlarm by Check Point Trojan.Win32.Inject.agmbs 20170902

Editeurs associés

Company

Quelques produits

GameAsist

COMMENT SUPPRIMER LE TROJAN MalPack ?

Supprimer avec Windows

Supprimer avec ZHPCleaner

   Supprimer avec ZHPSuite

Responsabilité :   Le principe d'absence de responsabilité du site d'origine, au regard des contenus des sites cibles pointés, est rappelé par l'arrêt du 19 septembre 2001 de la Cour d'Appel de Paris. Les propos que je tiens ici reflètent mon opinion et sont des suggestions - le visiteur n'est pas obligé de les suivre.

A propos de l'auteur

Retour en haut