Virus PowerShell : attention au malware des applis crackées
Un curieux malware sévit dans Windows depuis le début de l'année : se diffusant via des cracks de logiciels, il installe une extension vérolée dans Chrome et affiche une fenêtre PowerShell à intervalles réguliers. Un nettoyage manuel s'impose.
Notre forum en témoigne : un étrange malware sévit depuis le début janvier 2022 – et même depuis la fin décembre 2021 chez certains – dans le monde Windows. De nombreux utilisateurs de PC nous ont en effet signalé des comportements curieux de leur ordinateur, avec notamment l'apparition subite et répétée de fenêtres PowerShell – le nouvel interpréteur de commandes de Microsoft – et des pages Web détournées dans Chrome, allant jusqu'à rendre la navigation sur Internet difficile voire impossible. Des symptômes qui traduisent la présence d'un logiciel malveillant et assez pernicieux. Toutes les victimes ont un point commun : elles ont installé récemment au moins un logiciel piraté à l'aide d'un "crack", un petit programme chargé de détourner les protections internes en générant un numéro de série et en réécrivant des lignes de code. Le plus souvent, il s'agit de jeux téléchargés via des torrents, mais on peut légitimement supposer que le mal s'est aussi insinué dans d'autres applis commerciales crackées.
Certes, ce "virus PowerShell" comme on pourrait le qualifier ne provoque visiblement pas de graves dégâts : à défaut de pirater des données confidentielles ou de crypter des fichiers comme le font les malwares les plus dangereux, il semblerait se contenter d'afficher régulièrement des fenêtres PowerShell, avec un retour sur le Bureau de Windows qui interrompt le logiciel actif, et de perturber la navigation Web dans Chrome – qui reste le seul navigateur touché jusqu'à présent. Mais ce n'est pas une raison pour le laisser agir !
Virus PowerShell : encore non détecté par les antivirus
Hélas, pour l'heure, le malware passe à travers les mailles des antivirus classiques sans être détecté. Il semblerait que des utilitaires spécialisés comme les excellents AdwCleaner et Malwarebytes Anti-Malware soient également inefficaces pour le moment dans l'identification et la suppression du logiciel malveillant. Le repérage est d'ailleurs d'autant plus difficile que l'extension vérolée prend des noms différents, comme ChromeTask, Chromeloader ou ChromeChecker. Curieusement, et même heureusement, c'est l'apparition impromptue des fenêtres PowerShell – preuve d'un développement très maladroit… – qui trahit sa présence.
Mais tout n'est pas perdu pour autant. En attendant que les éditeurs de ces outils de sécurité se mettent à jour, il est possible de repérer l'intrus et d'éradiquer l'extension vérolée manuellement, en s'aidant d'un utilitaire de diagnostic gratuit et très efficace, FRST (Farbar Recovery Scan Tool). Cet outil puissant – à manier avec précaution – permet de repérer une tâche planifiée dans System32\Tasks\ qui se lance à intervalles réguliers en provoquant les symptômes évoqués avec l'extension infectée. Le traitement est ensuite relativement simple : il faut supprimer la tâche planifiée avec un script FRST personnalisé, puis réinitialiser Chrome avec un utilitaire spécialisé tel que l'excellent ResetBrowser, gratuit et en français. Si vous êtes touché par le problème, n'hésitez pas à consulter les pages qui le traitent sur notre forum.
Un immense merci à bazfile qui nous a signalé le problème et qui aide activement les victimes du "virus PowerShell" sur le forum de CCM.