Flux RSS - La vie du site - Nouveautés et mises à jour
Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

Comment supprimer Vundo.gen.da

Vundo.gen.da est identifié comme une malveillance de type - Adware - Downloader - Exploit - Worm (virus de type vers)

« Vundo » (également appelé « Virtumonde » ou « Virtumondo », et parfois « MS Juan ») est une malveillance propagée par la technique des vers (worm) ou celle du cheval de Troie.

Autres noms :

  • Backdoor/Win32.Cidox (AhnLab)
  • TR/Kazy.117219.78 (Avira)
  • Trojan.Vundo.GZS (BitDefender)
  • W32/Downldr2.IZLI (Command)
  • Trojan.Mayachok.18579 (Dr.Web)
  • Win32/Citirevo.AE (ESET)
  • W32/Cidox.ACIO!tr (Fortinet)
  • Virus.Win32.Vundo (Ikarus)
  • Trojan.Win32.Cidox.acio (Kaspersky)
  • Vundo (McAfee)
  • RDN/Downloader.a!bm (McAfee)
  • Vundo.gen18 (Norman)
  • Troj/Mdrop-ETG (Sophos)
  • Trojan.Vundo (Symantec)
  • TROJ_CIDOX.DH (Trend Micro)

« Vundo » affiche des publicités, sous forme de pop-ups, pour de faux logiciels de sécurité (rogues).

« Vundo » dégrade les performances des ordinateurs, est utilisé pour lancer des opérations de DDoS (Déni de service Distribué), est utilisé pour diffuser d'autres malveillances dont des ransomware.

Une infection « Vundo » est généralement la conséquence de l’ouverture d’une pièce jointe à un courriel, ou l’exploitation d’une faille de sécurité dans le navigateur ou ses plug-ins. La plupart des fenêtres publicitaires affichées font la promotion de rogues (programmes frauduleux) tels qu'antispywaremaster, WinFixer, WinAntiVirus, Amaena, ErrorSafe, SystemDoctor, DriveCleaner, etc. Ces rogues exécutent une fausse analyse vous informant que vous êtes infecté par un prétendu logiciel malveillant, évidemment inconnu des logiciels de sécurité sérieux/légitimes (faire peur : principe des fraudes de type « scarewares »), puis vous obligent à acheter leur programme pour supprimer les prétendus logiciels malveillants détectés.

Lire WinFixer - L'argent que rapporte un crapware - Procès contre la clique ErrorSafe / Winfixer

« Vundo » insère des entrées de registre pour supprimer les avertissements Windows relatifs à la désactivation du pare-feu, de l'antivirus et du service de mises à jour.

« Vundo » attaque ses ennemis Malwarebytes, Spybot Search & Destroy, Lavasoft Ad-Aware (polémiques), HijackThis et plusieurs autres outils de suppression de logiciels malveillants. Il se cache de trois outils qui le ciblent spécifiquement : Vundofix, VirtumundoBegone et Combofix.

L’un des principaux vecteurs d’installation de « Vundo » est l’exploitation (exploit) de failles de sécurité dans Java. Il est primordial de toujours mettre à jour toutes les technologies et de supprimer les anciennes versions, ainsi que d'installer toutes les mises à jour critiques de Windows (de nombreuses variantes de « Vundo » s'installent par des robots IRC qui exploitent des failles de sécurité dans le système d’exploitation Windows.) :

Les ordinateurs infectés par « Vundo » présentent tout ou partie des symptômes suivants :

  • « Vundo » oblige le navigateur Web infecté à afficher des publicités, dont beaucoup réclament le besoin d'un logiciel pour réparer la "détérioration" du système.
  • L'arrière-plan du bureau peut être modifié à l'image d'une fenêtre d'installation indiquant qu'il y a un logiciel de publicité sur l'ordinateur.
  • L'économiseur d'écran peut être changé par une image imitant un « écran bleu de la mort » (BSOD).
  • Dans le panneau de configuration des propriétés d'affichage, les onglets Arrière-plan et Écran de veille sont manquants, car leurs valeurs "Masquer" dans le Registre ont été remplacées par 1.
  • L’arrière-plan et l’économiseur d’écran se trouvent tous deux dans le dossier System32, mais cet économiseur d’écran ne peut pas être supprimé.
  • Les mises à jour automatiques de Windows (et d'autres services Web) peuvent également être désactivées et il n'est pas possible de les réactiver.
  • Les fichiers DLL ou DAT infectés (avec des noms aléatoires tels que « __c00369AB.dat » et « slmnvnk.dll ») seront présents dans le dossier Windows / System32 et des références aux DLLs seront trouvées au démarrage de l'utilisateur (visible dans MSConfig) , registre et add-ons de navigateur dans Internet Explorer.
  • « Vundo » peut tenter d'empêcher l'utilisateur de le supprimer ou d'empêcher autrement son fonctionnement, par exemple en désactivant le gestionnaire de tâches, l'éditeur de registre et msconfig, empêchant ainsi le système de démarrer en mode sans échec (Dossier : Démarrer / redémarrer Windows en mode « sans échec »).
  • Certains pare-feu ou logiciels antivirus peuvent également être désactivés par « Vundo », ce qui rend le système encore plus vulnérable. En particulier, il désactive Norton AntiVirus et l’utilise à son tour pour propager l’infection. Norton AntiVirus affichera des invites pour activer le filtre antihameçonnage, tout seul. En appuyant sur « OK », il essaiera alors de se connecter au serveur real-av.org et de télécharger plus de logiciels malveillants.
  • Les programmes antimalware populaires tels que Spybot - Search & Destroy ou Malwarebytes peuvent être supprimés ou immédiatement fermés lors du chargement. Renommer le programme exécutable peut contourner ce problème. L'exécutable de Malwarebytes peut être supprimé dès son installation (en fonction de l'infection du système). L'installation du programme sur un autre ordinateur et la copie du fichier exécutable dans le répertoire Malwarebytes de l'ordinateur infecté fonctionnent généralement aussi.
  • L'accès Web peut également être affecté négativement. « Vundo » peut rendre de nombreux sites Web inaccessibles en hijackant le fichier Hosts (lire - Hosts et DNS - schéma de principe de la résolution des noms de domaines).
  • Les liens affichés par les moteurs de recherche peuvent être redirigés vers des sites de logiciels de sécurité trompeurs (ce qui peut être évité en copiant / collant les adresses).
  • La variante « MS Juan » peut empêcher le chargement des pages Web après les sessions de navigation et présenter une page vierge dans le navigateur au lieu de la page Web. Lorsque cela se produit, tous les programmes peuvent également ne pas démarrer et il peut devenir impossible d'utiliser l'arrêt de Windows.
  • Le processus winlogon.exe peut commencer à accéder en permanence au disque dur, ce qui peut entraîner des blocages périodiques.
  • Des avertissements sur la non-fermeture d'un code nommé « SuperMWindow », dont la finalité n'est pas déterminée, peuvent se produire.
  • Explorer.exe peut se bloquer constamment, entraînant une boucle sans fin de plantages, puis de redémarrage.
  • Création d'un pilote de virus critique.

Vundo

Lorsqu'un objet identifié sous le nom de Vundo.gen.da est découvert dans un ordinateur fonctionnant sous le système d'exploitation Microsoft Windows, il convient de le supprimer car :


Adware

L'objet identifié sous le nom de Vundo.gen.da est accusé d'agir en Adware. Un Adware est un programme implanté dans l'ordinateur (par diverses méthodes trompant l'utilisateur), indépendant des autres applications (dont les Navigateur Web). Un Adware est un canon à publicités qui peut délivrer des messages publicitaires de toutes formes par-dessus n'importe quelle application s'exécutant dans l'ordinateur. Un Adware peut interférer avec les résultats de recherches (faites avec les moteurs de recherche comme Google, Bing, etc. ...) dans les Navigateur Web et modifier à la volée ces résultats qui deviennent menteurs. Un Adware peut également défigurer les sites Web visités en remplaçant à la volée les publicités affichées par un site (Publicité intrusive et, pour en savoir plus, Dossier : Publicité intrusive). Les Adwares consomment de la bande passante, ralentissant la navigation, etc. ... En sus, pour que l'auteur de l'AdwareVundo.gen.da soit « efficace » face à sa concurrence (les autres régies publicitaires), il se doit d'en savoir plus que les autres sur vous. Les auteurs d'Adwares se battent entre eux pour être les meilleurs espions de votre vie privée. Un Adware (qui est du code qui s'exécute dans votre ordinateur), est susceptible d'y faire n'importe quoi, dont voler vos historiques de navigation (tous les liens de toutes les pages Web que vous avez visitées), tous vos favoris (tous vos liens préférés) et tous les historiques des téléchargements (tous les liens), révélant ainsi votre personnalité qui sera analysée, et votre vie privée, qui sera dévoilée, pour les faire remonter on ne sait où, ni pour qui. Ce sont les tracking et profiling qui seront suivis d'analyse comportementale et de marketing comportemental.


Downloader

L'objet identifié sous le nom de Vundo.gen.da est accusé d'agir en Downloader (programmes téléchargeurs). Les Downloaders (programmes gestionnaires de téléchargements - téléchargeurs) sont des programmes installés côté client (dans les ordinateurs des utilisateurs) et qui prennent en charge le téléchargement de fichiers depuis des serveurs. Les Downloaders, d'une manière générale inutile, sauf quelques-uns ayant pignon sur rue, peuvent être légitimes ou totalement parasitaires (ils ne téléchargent pas que ce que nous attendons). Dans tous les cas, c'est du code qui s'exécute dans l'ordinateur de l'utilisateur. Par exemple, la quasi-totalité des Sites de téléchargement (et leurs pratiques) implantent un Downloaders, sans aucune nécessité.


Exploit

L'objet identifié sous le nom de Vundo.gen.da est accusé d'agir en Exploit. Un Exploit est un logiciel malveillant tentant d'« exploiter » une faille de sécurité après que celle-ci ait été détectée (par un scanner de ports, un scanner de failles, etc. ...). Un Exploit est une action, selon diverses techniques, consistant à exploiter la faille (exploit). Il existe d'innombrables failles de sécurité dans pratiquement toutes les applications, sous et dans tous les systèmes d'exploitation. Il n'existe pas de programme 100% sans erreur (error free). Un Backdoor (Porte dérobée) est, au sens propre comme ou sens figuré, la porte ouverte à l'exploitation la faille par un « Exploit »


Worm (Ver (virus) informatique)

L'objet identifié sous le nom de Vundo.gen.da est accusé d'être un Worm (un ver informatique). Un ver informatique désigne une forme de virus dont la méthode de propagation repose sur l'utilisation des réseaux, contrairement aux virus dont la méthode de propagation nécessite la contamination d'un organisme hôte (un programme à infecter) et attendre que cet organisme infecté se déplace (attendre qu'une copie du programme infecté soit recopiée ailleurs). Typiquement, tous les virus qui se propagent par courriel sont des ver informatique.