Virus du type "Metropolitan Police"

Moderator: Mod

Virus du type "Metropolitan Police"

Postby 5N4K37 » Thu Dec 15, 2011 1:23 am

Bien le bonsoir! :)

Un ami a eu son ordinateur infecté par ça: hxxp://supprimerlevirus.blogspot.com/2011/12/votre-ordinateur-ete-bloque-pour.html.
Après quelques manips le virus semble être parti, mais je me pose toujours une question, comment il est arrivé? Quelqu'un a une idée d'où proviendrait-t-il? Pour information, cet ami était en train de regarder du streaming.
Ce virus semble toucher beaucoup de personnes ces derniers temps. De plus il me paraît, pour les "non-habitués", assez dur à enlever.
Si quelqu'un a des informations concernant ce virus, son "père" serait apparemment "Metropolitan Police", merci de les partager.
Sinon pour ma part je l'ai enlevé en retirant le câble réseau (redémarrage dans tous les modes possibles autres que normaux menaient à un redémarrage de la machine) ce qui avait pour effet de ne pas ouvrir la fenêtre (le virus se servirait d'internet explorer, en tout cas c'était le modèle de la fenêtre). A la place j'avais une petite fenêtre me demandant si je voulais travailler hors connexion. Ne SURTOUT pas le fermer sinon le virus s'active avec une page "impossible de trouver la page..." et l'ordinateur devient de nouveau inutilisable.
J'ai donc fait une restauration du système ( CTRL+ALT+SUPPR (seul commande possible même avec le virus "stoppé"), puis "Nouvelle tâche (exécuter...)" en entrant cmd.exe) par rapport à une date précédente, et comme je l'ai dit plus haut cela semble parti depuis le redémarrage.
Voilà!

Cordialement, 5N4K37
User avatar
5N4K37
Projets
 
Posts: 276
Joined: Tue May 11, 2010 6:57 pm
Location: Where connected=1

Postby WAKFU » Thu Dec 15, 2011 7:40 am

Ca vient d'un exploit pack (ca va tenter en premier d'exploit une faille java , si ca echoue une faille adobe ... ) qu'il y avait sur asrvstatsmanager.com, site de pub present en l'occurence sur VideoBB.
User avatar
WAKFU
Projets
 
Posts: 55
Joined: Mon Mar 16, 2009 9:31 pm
Location: <(0_~)>

Postby 5N4K37 » Thu Dec 15, 2011 4:02 pm

Merci Wakfu
Et ensuite quel est le fonctionnement du virus? J'ai lu qu'il changeait des infos dans le registre, j'aimerais bien comprendre comment il s'y prend pour empêcher toutes les commandes, empêcher redémarrage en mode sans échec, tout ça!

Cordialement, 5N4K37 :)
User avatar
5N4K37
Projets
 
Posts: 276
Joined: Tue May 11, 2010 6:57 pm
Location: Where connected=1

Postby WAKFU » Thu Dec 15, 2011 9:07 pm

hmm j'ai pas etudie la bete. Donc je sais pas reelement ce qu'il fait.
En parlant de regkey pour fucker le safeboot, y'a la clef :
HKLM\System\CurrentControlSet\Control\SafeBoot
Apres les autres infos je "suppose" ca doit etre tout ce qui touche au Policies, genre desactiver l'invite de commande, desactiver le gestionnaire de tache, desactiver regedit ... etc... peut etre meme la restauration systeme.
User avatar
WAKFU
Projets
 
Posts: 55
Joined: Mon Mar 16, 2009 9:31 pm
Location: <(0_~)>

Postby TorTukiTu » Fri Dec 16, 2011 9:33 am

C'est vraiment naze...
Les modifications du registre par un programme viral, c'est aussi vieux que window$...

La furtivité, connaît pas.

Encore un gosse de 15 ans qui se fesait chier ses we, et qui a décider d'écrire une grosse bouze.

Tortue 974.
User avatar
TorTukiTu
Site Admin
 
Posts: 1960
Joined: Thu Feb 07, 2008 10:24 pm
Location: Devant son pc durant la redaction de ce message

Postby Manu404 » Mon Dec 19, 2011 6:42 pm

Ce que je me dit c'est que avec n'importe quel suite de sécurité standard disposant d'un registry locker, cette "faille" (ou plutôt re-do de vieux virus) devrait normalement ne pas passer... :roll:
User avatar
Manu404
 
Posts: 2219
Joined: Tue Feb 26, 2008 3:44 pm
Location: ::1:


Return to Virologie informatique

Who is online

Users browsing this forum: No registered users and 1 guest

cron