Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection par le Trojan Vundo


Messages recommandés

logowindowsxppd8.jpgInfection par le trojan Vundo.

Pour Symantec "Trojan.Vundo est un composant de logiciel publicitaire qui télécharge et affiche des publicités intempestives. Il s'installe lorsque l'utilisateur clique sur un lien contenu dans un courrier indésirable". Ce trojan est connu généralement sous la dénomination "Trojan.Vundo" ou de sa variante "Trojan Vundo.B". Il a été rencontré sous forme de ressources dynamiques nommées "gebya.dll", "geeby.dll", "rhhltlrt.dll", "pmkjg.dll" ou encore "vtuvusq.dll". Ce trojan s'incruste dans la Base de Registres mais aussi dans les dossiers cachés du système. Il peut donc échapper à l'analyse de certain antivirus ou antiTrojan. Quelques utilitaires permettent l'éradication du trojan Vundo. La traque doit se faire de préférence en désactivant temporairement l'option de Restauration du système.

 

 

chevalhq5.png Les effets du trojan Vundo

Les effets de ce cheval de Troie sont multiples, il s'agit principalement de :

  • une prise en main du navigateur Internet Exploreur par insertion de code HTML par exploitation de la vulnérabilité de débordement de tampon IFRAME. L'objectif étant le téléchargement et l'exécution du fichier "C:\bla.exe" depuis l'adresse "83.149.86.132",
  • une installation d'applications,
  • une polution de la Base de Registres,
  • un contrôle du processus WinLogon lors du démarrage du système. Ce qui permet la régéneration éventuelle du trojan en cas d'effacement par l'utilisateur.

chevalhq5.png Les Symptômes visibles du trojan Vundo

Les symptômes de ce cheval de Troie que perçoivent les utilisateurs infectés sont multiples, il s'agit principalement de :

  • une instabilité du système,
  • une diminution des performances de la station par réduction de sa mémoire virtuelle disponible,
  • une publicité intrusive.

chevalhq5.png Procédure d'éradication manuelle du trojan

L'éradication manuelle de ce trojan est difficile.

  • corbeillelo3.png Les fichiers de ressources dynamiques
     
  • Décharger les fichiers de ressources dynamiques (DLL) :
    • C:\WINDOWS\system32\awvtr.dll
    • C:\WINDOWS\system32\jkhhf.dll
    • C:\WINDOWS\system32\rqroopn.dll
    • C:\WINDOWS\system32\yayyvts.dll

    corbeillelo3.png Les autres fichiers

     

    [*]Rechercher et supprimer les fichiers suivants :

    • "hhkmp.bak1" sous "C:\WINDOWS\system32\"
       
    • "fhhkj.bak1" sous "C:\WINDOWS\system32\"
       
    • "fhhkj.ini" sous "C:\WINDOWS\system32\"
       
    • "hhkmp.ini" sous "C:\WINDOWS\system32\"
       
    • "hhkmp.ini2" sous "C:\WINDOWS\system32\"
       
    • "hhkmp.tmp" sous "C:\WINDOWS\system32\"
       
    • "pmkhh.dll" sous "C:\WINDOWS\system32\"

chevalhq5.png L'utilitaire AVG Anti-Spyware

Cet utilitaire permet de dépister le trojan Vundo mais pas de l'éradiquer.

  • Télécharger l'utilitaire gratuit AVG Anti-Spyware
     
  • Rapport de détection
    C:\WINDOWS\system32\awvtr.dll (Infected with: MemScan:Trojan.Vundo.AF)
    C:\WINDOWS\system32\awvtr.dll (Disinfection failed)
    C:\WINDOWS\system32\awvtr.dll (Delete failed)

chevalhq5.png L'Utilitaire "VundoFix"

Cet utilitaire très simple permet de traquer et d'éradiquer le trojan Vundo. Il a été crée par Atribune

  • Télécharger l'utilitaire VundoFix.exe (Atribune).
     
     
  • Lancer "VundoFix" en double-cliquant sur son icône. La fenêtre suivante apparaît :
    vundovu3.jpg
     
     
  • Démarrer l'analyse en Cliquant sur "Scan for Vundo". Une ligne "Searching for files" montre les processus et ressources analysées.
     
  • A la fin de l'analyse , cliquer sur "Remove Vundo" pour démarrer l'éradication.
  • Confirmer la suppression des fichiers.
  • Confirmer le redémarrage du système.
  • A la fin, un rapport d'analyse "C:\vundofix.txt" est disponible sous la racine "C:\".

chevalhq5.png L'Utilitaire "FixVundo"

Cet utilitaire permet de traquer et d'éradiquer le trojan Vundo. Il a été crée par Symantec sous le nom de "Trojan.Vundo Removal Tool 1.5.0"

  • Télécharger l'utilitaire FixVundo (Symantec)
     
     
  • Lancer "FixVundo" en double-cliquant sur son icône. La fenêtre suivante apparaît :
    vundofixlb7.jpg
     
     
  • Démarrer l'analyse en Cliquant sur "Start".
  • A la fin, un rapport d'analyse "FixVundo.log" est disponible dans le dossier de lancement de l'utilitaire.

chevalhq5.png L'Utilitaire "VirtumundoBeGone"

Cet utilitaire permet de traquer et d'éradiquer le trojan Vundo. Il a été crée par Secured2k

  • Télécharger l'utilitaire VirtumundoBeGone (Secured2k)
     
     
  • Lancer "VirtumundoBeGone" en double-cliquant sur son icône. La fenêtre suivante apparaît :
    virtuzf5.jpg
     
     
  • Démarrer l'analyse en Cliquant sur "Start".
  • A la fin de l'analyse, le système redémarrera automatiquement.
  • Un rapport d'analyse "VBG.txt" est disponible dans le dossier "C:\Documents and Settings\All Users\Bureau"

chevalhq5.png Autres utilitaires

D'autres utilitaires permettent de traquer le trojan Vundo.

  • SpySweeper

chevalhq5.png La prévention

  • Penser à faire un nettoyage complet périodique des dossiers temporaires et notamment ceux concernant la navigation internet.
  • Mettre systèmatiquement à jour les signatures antivirales. Installer de préférence un antivirus avec update automatique.
  • Faire régulièrement les mises à jour du système Windows, et notamment celles qui portent sur le navigateur "Microsoft Internet Explorer" mais aussi sur les logiciels de messagerie "outlook" et "outlook Express".
  • Mettre en place un gardien de Base de Registres en mode résidant comme SpyBot. Cette précaution permettra de vous prévenir en cas d'intrusion dans la BDR.
  • Ne pas accepter de scan antimalware lorsqu'un message d'alerte vous indique que vous êtes infecté.
  • Consulter régulièrement les processus qui tournent dans votre "Gestionnaire des tâches Windows".

articlesgy5.jpg

Supprimer Virtumonde / Msevents / Trojan.vundo

Rapport Complet de Symantec sur le Trojan Vundo

Index de traitement des infections

Lexique des ressources dynamiques à supprimer.

J'ai un problème avec une DLL !

Modifié par coolman
Lien à poster
Partager sur d’autres sites

Join the conversation

You are posting as a guest. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...