Noci.exe (2011) et boutique Internet [Résolu/Fermé]

Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013
- - Dernière réponse : Victor Laszlo
Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013
- 4 mars 2013 à 20:56
Bonjour,
Je me suis rendu récemment dans une de ces petites boutiques (Internet - fax - photocopies, etc...), muni d'une clé USB, préalablement formatée, contenant exclusivement une copie d'écran PSD que je voulais imprimer.
De retour chez moi, j'ai constaté la présence de ce trojan, datant de 2011 mais installé ou modifié dans le réseau de la boutique, la nuit précédente, à 01H00.
J'avais déjà signalé ce problème il y a quelques semaines et en ai à nouveau averti le personnel, qui ne m'a pas semblé prendre la chose au sérieux.
Je n'ai pas d'inquiétude pour mes données personnelles, mais qu'en est-il pour d'autres utilisateurs?
Merci d'avance.
Copie du virus disponible en M.P.

Afficher la suite 

17 réponses

0
Merci
bonjour,

ceci est surement un verre qui se balade d'un support externe à un autre !

pour ce qui conserne les autres utilisateurs, il suffit que le fichier soit executé (par erreur ou par curiosité, ou en autoexecution) pour que leurs pc soient à leurs tours infectés !



Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013
0
Merci
... et le gentil ver (qui se situe dans un dossier nommé "Vatrenoj", ce qui signifie "feu" en serbe), est acompagné de ce texte:

[autorun]
USEAUTOPLAY=1
shellexcute=vatrenoj/noci.exe
Shelltucite
shell\\Explore\\command=vatrenoj/noci.exe
shell\Open\\command=vatrenoj/noci.exe
icon=vatrenoj/noci.exe
open=vatrenoj/noci.exe
action=Open folder to view files using Windows Explorer


... et Il semble bel et bien être mis à jour la nuit, à 01H00...
Les boutiques du type de celle à laquelle je me suis adressé ont, surtout dans un quartier cosmopolite comme le mien, une clientèle des plus variées, dont des personnes qui n'ont pas d'antivirus ni d'accès à Internet.
Après tout, Je me suis contenté de demander l'impression d'un document!
0
Merci
compresse ton fichier executable (le gentil ver :P),

hénérge le sur cjoint,

colle son lien sur ton prochain message,

je vais voir ce que c'est !

merci pour ta contribution ;-)


Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4692
0
Merci
Salut,

ceci est surement un verre qui se balade d'un support externe à un autre !

T'aime bien les verres toi :D mdr

Tu peux l'envoyer directement chez malekal : http://upload.malekal.com

;)
lilidurhone
Messages postés
43287
Date d'inscription
lundi 25 avril 2011
Statut
Contributeur sécurité
Dernière intervention
5 décembre 2019
3150 -
Mdr le lapsus d'elec
Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013
0
Merci
Merci à toi aussi. J'ai envoyé le fichier à malekal.
Je ne parviens pas à te l'envoyer (je l'ai compressé) en M.P. As-tu bloqué cette option?
0
Merci
les mp sont pleins !

envoie le moi directement ici, après la récupération, je vire ton poste :D


Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013
0
Merci
(lien effacé)
Messages postés
172755
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
7 décembre 2019
18460
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4692
0
Merci
Ah ouais palevo, ça date :)
Victor Laszlo
Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013
-
Je ne connaissais pas ce palevo...
Il y a des titres d'articles amusants sur le Net:
Worm.P2P.Palevo.B à l 'affût dans votre corbeille
Mais je suis sans doute bien naïf...
Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013
0
Merci
Bonjour,
Il est détecté par mon antivirus aussi, bien sûr, mais si qqn fait comme moi (voir + haut), sans AV? Et pour les données de sa clé?
15H45: Je repasserai sur CCM dans la soirée...
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4692
0
Merci
USBFix et/ou Malwarebytes anti malware, ça doit le shooter.
0
Merci
Edit :

juju me l'a envoyé, c'est bon !




O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manièr claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°Oø
Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013
0
Merci
@ juju 666:
Les boutiques du type de celle à laquelle je me suis adressé ont, surtout dans un quartier cosmopolite comme le mien, une clientèle des plus variées, dont des personnes qui n'ont pas d'antivirus ni d'accès à Internet (voir #2):
Des centaines de personnes ont donc pu se faire plumer via cette boutique.
Et si je ne parviens pas à convaincre le patron, ou s'il s'en f..., ou si ça l'arrange, ça va continuer.
@ Electricien 69:
Désolé, j'ai laissé le lien pendant près de 20 minutes.
0
Merci
j'ai eu le fichier , merci :D


as tu d'autres questions ?


Victor Laszlo
Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013
-
Non, je reste en attente d'une réponse un peu plus précise à celle-ci.
J'ai appris qu'il fallait être très patient sur ce site et attendre parfois plusieurs années.
Je placerai ma question en résolu le cas échéant.
Sinon, je chercherai du côté de ce palevo.
Merci beaucoup et à demain.
Bonne soirée à tous.
P.S: désolé, Mais là, je regarde un film avec Bacri/Jaoui/M.L.Berry, chez une voisine.
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
4692
0
Merci
Microsoft:
Worm:Win32/Rimecud.DP is a worm that spreads via removable drives, instant messaging and peer-to-peer file-sharing programs. It also contains backdoor functionality that allows unauthorized access to an affected computer.
0
Merci
pour ce qui me conserne, il s'agit d'un worm qui libère (ou invite) un backdoor !

http://www.google.fr/...

donc à supprimer !

sur ce, bon surf ;-)

Messages postés
21
Date d'inscription
lundi 12 novembre 2012
Statut
Membre
Dernière intervention
4 mars 2013
0
Merci
Bonsoir,
Je me suis sans doute un peu emporté, hier (#17)...
Je clique sur "résolu".
Bonne soirée et merci à tous.