Malware récalcitrant.

[Virgule59]

Bonjour à tous,

 

Je viens chercher une idée, en effet je suis confronté à une situation où malheureusement je n'ai plus d'idée.

 

J'ai un poste sur lequel un malware utilise Outlook pour spammer tout le carnet d'adresse. Lors de la prise en main du poste Microsoft security essentiel a détecté plusieurs virus dont un plus inquiétant en l’occurrence un Trojan "Troj/Dyreza-BX".

 

Très bien c'est détecté j'effectue la suppression, redémarrage du PC, passage d'un HouseCall, Zhpdiag, adwcleaner, puis zhpdiag, le rapport ne me montre rien d'anormal. mais lorsque je j'ouvre Outlook, on remarque que le logiciel essaie (je dis essaie car j'ai désactivé le mot de passe) d'envoyer des messages mais pourtant il n'y a rien dans la boite d'envoi, et le nombre de mails augmente lorsque l'on ferme et l'on rouvre Outlook. 

 

Je lance Process Explorer et j'essai de détecter un processus qui n'aurait pas ça place mais je ne trouve rien. Comme les messages n'apparaissent pas dans la boite d'envoi je me dit qu'il doivent être à la racine du fichier *.pst. J'essai de voir les messages avec outlookspy mais rien à la racine.

 

Si vous avez une idée je suis preneur

[fabrice]

C'est peut être un rootkit, qui par défaut est difficilement détectable.

[Chris74]

Salut,

 

à ta place, j'essaierai une désinfection complète en commençant en "sans échec" afin qu'il ne se lance pas et qu'il ne se cache pas...

 

puis "Roguekiller" > "SpyBot" > "adwcleaner" > "Malwarebyte" > et un coup de son anti-virus

 

parfois "JRT" si vraiment ça reste

[Virgule59]

Bonsoir,

 

Alors rédemarrage en mode sans échec puis RogueKiller (rien); adwcleaner (rien), Av, Rien, d'après ce que j'ai pu lire ce vers se détruit automatique (comme dans mission impossible!!)  part à la fin de son infection une fois qu'il a bien spammé http://blog.trendmicro.com/trendlabs-security-intelligence/new-dyre-variant-hijacks-microsoft-outlook-expands-targeted-banks/.

Le lien montre la méthode et les intervenants.

 

Bon je crois que je vais abandonner pour ce soir.

 

Cdt

[Chris74]

Malwarebyte n'a rien donné non plus?

 

 

 

d'après ce que j'ai pu lire ce vers se détruit automatique (comme dans mission impossible!!)  part à la fin de son infection une fois qu'il a bien spammé http://blog.trendmicro.com/trendlabs-security-intelligence/new-dyre-variant-hijacks-microsoft-outlook-expands-targeted-banks/.

Le lien montre la méthode et les intervenants.

 

ah ok

[Virgule59]

Par contre, je ne sais pas quand il va se détruire, mais il balance toujours autant de spam si quelqu'un à une idée pour enrayer cette infection je suis preneur.

[nico76]

C'est sur un poste d'un particulier ou d'une entreprise ? 

 

Car si c'est une entreprise, le serveur mx risque de se faire blacklister ...

[Virgule59]

Ouf,

 

je pense avoir résolu le problème, et c'est pas faute d'avoir suivi la méthode de désinfection publiée sur le site TREND MICRO.

Comme indiqué sur leur site d'ailleurs ils parlent d'un fichier caché <ramdom_name>.Bat à supprimer dans le dossier "%User Temp%" (vous pouvez voir la méthode en suivant le lien que j'ai mis sur post) que je n'ai pas trouvé, donc avant une réinstallation totale, je me suis dit que j'allais supprimer les profils des comptes utilisateurs. Et là je ne vois plus de connexion smpt dans "tcpview". Même si je reste prudent. 

 

@nico76, c'est une entreprise mais elle n'a pas de serveur mail en interne, elle passe par les serveurs orange, le truc c'est que si leur antispam avaient été efficace, ce type d'infection n'aurait jamais pu atteindre le poste de l'utilisateur. Pour l'info l'envoi de mails ne se faisaient que lorsque Outlook.