Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Comment supprimer Trojan.Vundo

Trojan.Vundo est identifié comme une malveillance de type : - Adware - Downloader - Exploit - Worm

Découverte de la présence de « Trojan.Vundo »

Lorsqu'un objet [*] identifié sous le nom de Trojan.Vundo est découvert dans un appareil fonctionnant sous le système d'exploitation Microsoft Windows, il convient de le supprimer.

[*] L'objet peut être constitué de multiples occurences de fichiers, services, clés du registre, valeurs des clés, DLLs, répertoires, etc.

Décontamination gratuite (après contamination)

Utilisez la version gratuite de Malwarebytes

Malwarebytes - Analyses et décontamination gratuite
Malwarebytes - Analyses et décontamination gratuite

Procédure étendue gratuite de décontamination anti-malwares

Empêcher la contamination (en temps réel)

Utilisez la version Premium de Malwarebytes

Malwarebytes - Malwarebytes Anti-Malware (MBAM) - Tableau de bord
Malwarebytes - Malwarebytes Anti-Malware (MBAM) - Tableau de bord

Comment je me suis fait infecter

Comment mon ordinateur s'est fait infecter - Comment je me suis fait avoir

De quel type de malveillance est Trojan.Vundo

« Vundo » (également appelé « Virtumonde » ou « Virtumondo », et parfois « MS Juan ») est une malveillance propagée par la technique des vers (worm) ou celle du cheval de Troie.

Autres noms :

  • Backdoor/Win32.Cidox (AhnLab)
  • TR/Kazy.117219.78 (Avira)
  • Trojan.Vundo.GZS (BitDefender)
  • W32/Downldr2.IZLI (Command)
  • Trojan.Mayachok.18579 (Dr.Web)
  • Win32/Citirevo.AE (ESET)
  • W32/Cidox.ACIO!tr (Fortinet)
  • Virus.Win32.Vundo (Ikarus)
  • Trojan.Win32.Cidox.acio (Kaspersky)
  • Vundo (McAfee)
  • RDN/Downloader.a!bm (McAfee)
  • Vundo.gen18 (Norman)
  • Troj/Mdrop-ETG (Sophos)
  • Trojan.Vundo (Symantec)
  • TROJ_CIDOX.DH (Trend Micro)

« Vundo » affiche des publicités, sous forme de pop-ups, pour de faux logiciels de sécurité (rogues).

« Vundo » dégrade les performances des ordinateurs, est utilisé pour lancer des opérations de DDoS (Déni de service Distribué), est utilisé pour diffuser d'autres malveillances dont des ransomware.

Une infection « Vundo » est généralement la conséquence de l’ouverture d’une pièce jointe à un courriel, ou l’exploitation d’une faille de sécurité dans le navigateur ou ses plug-ins. La plupart des fenêtres publicitaires affichées font la promotion de rogues (programmes frauduleux) tels qu'antispywaremaster, WinFixer, WinAntiVirus, Amaena, ErrorSafe, SystemDoctor, DriveCleaner, etc. Ces rogues exécutent une fausse analyse vous informant que vous êtes infecté par un prétendu logiciel malveillant, évidemment inconnu des logiciels de sécurité sérieux/légitimes (faire peur : principe des fraudes de type « scarewares »), puis vous obligent à acheter leur programme pour supprimer les prétendus logiciels malveillants détectés.

Lire WinFixer - L'argent que rapporte un crapware - Procès contre la clique ErrorSafe / Winfixer

« Vundo » insère des entrées de registre pour supprimer les avertissements Windows relatifs à la désactivation du pare-feu, de l'antivirus et du service de mises à jour.

« Vundo » attaque ses ennemis Malwarebytes, Spybot Search & Destroy, Lavasoft Ad-Aware (polémiques), HijackThis et plusieurs autres outils de suppression de logiciels malveillants. Il se cache de trois outils qui le ciblent spécifiquement : Vundofix, VirtumundoBegone et Combofix.

L’un des principaux vecteurs d’installation de « Vundo » est l’exploitation (exploit) de failles de sécurité dans Java. Il est primordial de toujours mettre à jour toutes les technologies et de supprimer les anciennes versions, ainsi que d'installer toutes les mises à jour critiques de Windows (de nombreuses variantes de « Vundo » s'installent par des robots IRC qui exploitent des failles de sécurité dans le système d’exploitation Windows.) :

Les ordinateurs infectés par « Vundo » présentent tout ou partie des symptômes suivants :

  • « Vundo » oblige le navigateur Web infecté à afficher des publicités, dont beaucoup réclament le besoin d'un logiciel pour réparer la "détérioration" du système.
  • L'arrière-plan du bureau peut être modifié à l'image d'une fenêtre d'installation indiquant qu'il y a un logiciel de publicité sur l'ordinateur.
  • L'économiseur d'écran peut être changé par une image imitant un « écran bleu de la mort » (BSOD).
  • Dans le panneau de configuration des propriétés d'affichage, les onglets Arrière-plan et Écran de veille sont manquants, car leurs valeurs "Masquer" dans le Registre ont été remplacées par 1.
  • L’arrière-plan et l’économiseur d’écran se trouvent tous deux dans le dossier System32, mais cet économiseur d’écran ne peut pas être supprimé.
  • Les mises à jour automatiques de Windows (et d'autres services Web) peuvent également être désactivées et il n'est pas possible de les réactiver.
  • Les fichiers DLL ou DAT infectés (avec des noms aléatoires tels que « __c00369AB.dat » et « slmnvnk.dll ») seront présents dans le dossier Windows / System32 et des références aux DLLs seront trouvées au démarrage de l'utilisateur (visible dans MSConfig) , registre et add-ons de navigateur dans Internet Explorer.
  • « Vundo » peut tenter d'empêcher l'utilisateur de le supprimer ou d'empêcher autrement son fonctionnement, par exemple en désactivant le gestionnaire de tâches, l'éditeur de registre et msconfig, empêchant ainsi le système de démarrer en mode sans échec (Dossier : Démarrer / redémarrer Windows en mode « sans échec »).
  • Certains pare-feu ou logiciels antivirus peuvent également être désactivés par « Vundo », ce qui rend le système encore plus vulnérable. En particulier, il désactive Norton AntiVirus et l’utilise à son tour pour propager l’infection. Norton AntiVirus affichera des invites pour activer le filtre antihameçonnage, tout seul. En appuyant sur « OK », il essaiera alors de se connecter au serveur real-av.org et de télécharger plus de logiciels malveillants.
  • Les programmes antimalware populaires tels que Spybot - Search & Destroy ou Malwarebytes peuvent être supprimés ou immédiatement fermés lors du chargement. Renommer le programme exécutable peut contourner ce problème. L'exécutable de Malwarebytes peut être supprimé dès son installation (en fonction de l'infection du système). L'installation du programme sur un autre ordinateur et la copie du fichier exécutable dans le répertoire Malwarebytes de l'ordinateur infecté fonctionnent généralement aussi.
  • L'accès Web peut également être affecté négativement. « Vundo » peut rendre de nombreux sites Web inaccessibles en hijackant le fichier Hosts (lire - Hosts et DNS - schéma de principe de la résolution des noms de domaines).
  • Les liens affichés par les moteurs de recherche peuvent être redirigés vers des sites de logiciels de sécurité trompeurs (ce qui peut être évité en copiant / collant les adresses).
  • La variante « MS Juan » peut empêcher le chargement des pages Web après les sessions de navigation et présenter une page vierge dans le navigateur au lieu de la page Web. Lorsque cela se produit, tous les programmes peuvent également ne pas démarrer et il peut devenir impossible d'utiliser l'arrêt de Windows.
  • Le processus winlogon.exe peut commencer à accéder en permanence au disque dur, ce qui peut entraîner des blocages périodiques.
  • Des avertissements sur la non-fermeture d'un code nommé « SuperMWindow », dont la finalité n'est pas déterminée, peuvent se produire.
  • Explorer.exe peut se bloquer constamment, entraînant une boucle sans fin de plantages, puis de redémarrage.
  • Création d'un pilote de virus critique.

  1. Adware

    Trojan.Vundo est un Adware.

    Un Adware est un programme (du code qui s'exécute), implanté par diverses méthodes, indépendant des autres applications (dont des Navigateurs Web) et chargé de délivrer des publicités de toutes formes et, éventuellement, interférer avec les résultats des moteurs de recherche [liste] comme Google, Bing, Yandex, Qwant, etc.) en modifiant à la volée les résultats.

    Pour que l'auteur de l'Adware Trojan.Vundo soit « efficace » face à sa concurrence (les autres régies pub) il doit en savoir plus que les autres sur vous (collecte la plus approfondie possible (tracking) et espionnage des données personnelles afin d établir vos profil(s). Les données privées collectées/volées, vos données, sont la nouvelle monnaie et seront monétisées par :


  2. Downloader

    Trojan.Vundo est un downloader (programme téléchargeur).

    Les downloaders (programmes gestionnaires de téléchargements - téléchargeurs) sont des programmes installés côté client (du code qui s'exécute dans les ordinateurs des utilisateurs) et qui prennent en charge le téléchargement de fichiers depuis des serveurs. Les downloaders, d une manière générale, sont totalement inutiles et les navigateurs Web savent parfaitement prendre en charge, de manière sécuritaire, les téléchargements, que ce soit en HTTP, HTTPS, FTP, FTPS. Les downloaders sont totalement parasitaires, voire malveillants. Les downloaders ne se contentent pas de télécharger, uniquement, ce que nous attendons, ils téléchargent d autres choses plus ou moins hostiles (paquets cadeaux, bundle, ventes liées) et, de toute manière, non sollicitées. Les downloaders collectent et envoient des données vers des serveurs inconnus, appartenant à on ne sait qui, dans des pays inconnus dont la législation est inconnue et certainement pas protectrice. Par exemple, la quasi-totalité des sites de téléchargement implante un downloader, sans aucune nécessité et pour des raisons publicitaires ou hostiles.


  3. Exploit

    Trojan.Vundo est un Exploit.

    Un Exploit est une action logicielle malveillante, selon diverses techniques, tentant d « exploiter » une faille de sécurité après que celle-ci ait été détectée (dont les recherches de services faillibles restant à l'écoute sur un port, par un scanner de ports, un scanner de failles, etc.). Il existe d innombrables failles de sécurité dans pratiquement toutes les applications, sous et dans tous les systèmes d exploitation. Il n'existe pas de programme 100% sans erreur (error free). Un backdoor (Porte dérobée) est, au sens propre comme ou sens figuré, la porte ouverte à l'exploitation de la faille qu'il instaure par destination.


  4. Worm (Ver (virus) informatique)

    Trojan.Vundo est un Worm (un ver informatique). Un ver informatique désigne une forme de virus dont la méthode de propagation repose sur l'utilisation des réseaux, contrairement aux virus dont la méthode de propagation nécessite la contamination d un organisme hôte (un programme à infecter) et attendre que cet organisme infecté se déplace (attendre qu'une copie du programme infecté soit recopiée ailleurs). Typiquement, tous les virus qui se propagent par courriel sont des ver informatique.

Trojan.Vundo -