Il y a deux points important dans cette nouvelle version de UsbFix 7.912.
Le premier concerne l’infection Bondat et ses variantes comme proslikefan. En effet cette infection à la particularité depuis sa dernière « mise à niveau » de déplacer les fichier et dossiers de l’utilisateur situés sur les disques USB dans un dossier nommé .Trashes.
Ce dossier .Trashes est légitime sous les environnement MAC et Android.
C’est le dossier « poubelle » de ces systèmes d’exploitations, pour Windows c’est Recycler sous XP et $Recycle.bin à partir de Vista.
UsbFix restaure maintenant les données déplacées et les replacent à leur emplacement d’origine tout en supprimant l’infection bien sur 😉

################## | System information |

MB: LENOVO (Lenovo)
CPU: Intel(R) Core(TM) i3-3110M CPU @ 2.40GHz
RAM ->

[Total : 3957 Mo | Free : 1029 Mo] Bios: Phoenix Technologies Ltd.
Boot: Normal boot

OS: Microsoft™ Windows 7 Ultimate (6.1.7600 64-Bit)
WB: Internet Explorer : 8.00.7600.16385
WB: Google Chrome : 41.0.2272.101

################## | Security Information |

AV: ESET NOD32 Antivirus 7.0 [Activado |Actualizado]
AS: Windows Defender [Activado |(!) No actualizado] AS: ESET NOD32 Antivirus 7.0 [Activado |Actualizado]
FW: Windows Firewall [Activado] SC: Security Center [Activado] WU: Windows Update [Activado]

################## | Disk Information |

C:\ (%SystemDrive%) -> Disco fijo # 466 Gb (372 Gb libre(s) – 80%) [] # NTFS
D:\ -> CD-ROM # 4 Mb (0 Mb libre(s) – 0%) [Mi disco] # CDFS
E:\ -> Disco extraíble # 7 Gb (3 Gb libre(s) – 47%) [KINGSTON] # FAT32

################## | Búsqueda genérica |

Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\amdmonitor64.exe
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\cofme
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\dcqoa
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\diskupdate.exe
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\dkcxob.js
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\dskprocess64.exe
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\egbshir
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\hpmon64.exe
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\jwcovh
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\lpuqieup
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe\msupdater.exe
Borrado! C:\Users\%UserName%\AppData\Roaming\fcwspywe
Borrado! C:\Users\%UserName%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Explorer.lnk
Borrado! E:\Annie.HD.www.peliculasputlocker.net.mkv.lnk
Borrado! E:\fondofull_tequierover.jpg.lnk
Borrado! E:\logotipo_tequieroveracruz4.png.lnk
Borrado! E:\logotipo_tequieroveracruz41.png.lnk
Borrado! E:\fondofull_tequierover.psd.lnk
Borrado! E:\logotipo_mandarinastudio.psd.lnk
Borrado! E:\LogotipoTeQuieroVeracruz.psd.lnk
Borrado! E:\VolanteMediaCarta_Fonstersys.psd.lnk
Borrado! E:\Folder copy 2.jpg.lnk
Borrado! E:\logo reciclaje JPG.jpg.lnk
Borrado! E:\Logo El Jarocho.png.lnk
Borrado! E:\Hoja Membretada copy.jpg.lnk
Borrado! E:\para sergrafia.cdr.lnk
Borrado! E:\invitaciones xv años.cdr.lnk
Borrado! E:\Autocopia_de_seguridad_deinvitaciones xv años.cdr.lnk
Borrado! E:\241b-01e1-4339-b08b-d59e06b0a444.mp3.lnk
Borrado! E:\Requisició de Contrato copy.jpg.lnk
Borrado! E:\mandarinaFRENTE.jpg.lnk
Borrado! E:\nota_mandarina01.psd.lnk
Borrado! E:\nota_mandarina02.psd.lnk
Borrado! E:\Logo Orvidigital.png.lnk
Borrado! E:\INTSTLR.HD.BFD756NFGt4wGFD65nf5.www.peliculasputlocker.net.mkv.lnk
Borrado! E:\IngRiveroll.JPG.lnk
Borrado! E:\V34753-500×500.png.lnk
Borrado! E:\unnamed.jpg.lnk
Borrado! E:\IMG-20150322-WA0003.jpg.lnk
Borrado! E:\Autorun.inf.lnk
Borrado! E:\Fonts.lnk
Borrado! E:\CONDISA.lnk
Borrado! E:\Guten Tag Ramon.www.peliculasputlocker.net.avi.lnk
Borrado! E:\Guten Tag Ramon.www.peliculasputlocker.net.srt.lnk

(!) Archivos temporales suprimido. (18758.278960228 MB)

################## | Attrib – Restore |

Restorado! E:\.Trashes\Fonts\04B.TTF -> E:\Fonts\04B.TTF
Restorado! E:\.Trashes\Fonts\3 theHard way RMX.ttf -> E:\Fonts\3 theHard way RMX.ttf
Restorado! E:\.Trashes\Fonts\cgor46w.ttf -> E:\Fonts\cgor46w.ttf
Restorado! E:\.Trashes\Fonts\cgor65w.ttf -> E:\Fonts\cgor65w.ttf
Restorado! E:\.Trashes\Fonts\cgor66w.ttf -> E:\Fonts\cgor66w.ttf
Restorado! E:\.Trashes\Fonts\cgtr45w.ttf -> E:\Fonts\cgtr45w.ttf
Restorado! E:\.Trashes\Fonts\cgtr46w.ttf -> E:\Fonts\cgtr46w.ttf
Restorado! E:\.Trashes\Fonts\cgtr65w.ttf -> E:\Fonts\cgtr65w.ttf
Restorado! E:\.Trashes\Fonts\cgtr66w.ttf -> E:\Fonts\cgtr66w.ttf
Restorado! E:\.Trashes\Fonts\Champagne & Limousines Bold Italic.ttf -> E:\Fonts\Champagne & Limousines Bold Italic.ttf
Restorado! E:\.Trashes\Fonts\Champagne & Limousines Bold.ttf -> E:\Fonts\Champagne & Limousines Bold.ttf
Restorado! E:\.Trashes\Fonts\Champagne & Limousines Italic.ttf -> E:\Fonts\Champagne & Limousines Italic.ttf
Restorado! E:\.Trashes\Fonts\Champagne & Limousines.ttf -> E:\Fonts\Champagne & Limousines.ttf
Restorado! E:\.Trashes\Fonts\Champignon.ttf -> E:\Fonts\Champignon.ttf
Restorado! E:\.Trashes\Fonts\chanc.ttf -> E:\Fonts\chanc.ttf
Restorado! E:\.Trashes\Fonts\ChaparralPro-Bold.otf -> E:\Fonts\ChaparralPro-Bold.otf
Restorado! E:\.Trashes\Fonts\ChaparralPro-BoldIt.otf -> E:\Fonts\ChaparralPro-BoldIt.otf
Restorado! E:\.Trashes\Fonts\WINGDNG2_0.TTF -> E:\Fonts\WINGDNG2_0.TTF
Restorado! E:\.Trashes\Fonts\WINGDNG3.TTF -> E:\Fonts\WINGDNG3.TTF
Restorado! E:\.Trashes\Fonts\WINGDNG3_0.TTF -> E:\Fonts\WINGDNG3_0.TTF
Restorado! E:\.Trashes\Fonts\WIREDsaji.ttf -> E:\Fonts\WIREDsaji.ttf
Restorado! E:\.Trashes\Fonts\WireOne.ttf -> E:\Fonts\WireOne.ttf
Restorado! E:\.Trashes\Fonts\Wolf in the City Light.ttf -> E:\Fonts\Wolf in the City Light.ttf
Restorado! E:\.Trashes\Fonts\Wolf in the City.ttf -> E:\Fonts\Wolf in the City.ttf
Restorado! E:\.Trashes\Fonts\Wpco01na.ttf -> E:\Fonts\Wpco01na.ttf
Restorado! E:\.Trashes\Fonts\wpco01nb.ttf -> E:\Fonts\wpco01nb.ttf
Restorado! E:\.Trashes\Fonts\wphv01na.ttf -> E:\Fonts\wphv01na.ttf
Restorado! E:\.Trashes\Fonts\Wphv01nb.ttf -> E:\Fonts\Wphv01nb.ttf
Restorado! E:\.Trashes\Fonts\wpro01na.ttf -> E:\Fonts\wpro01na.ttf
Restorado! E:\.Trashes\Fonts\wpro01nb.ttf -> E:\Fonts\wpro01nb.ttf
Restorado! E:\.Trashes\Fonts\wst_cze0.fon -> E:\Fonts\wst_cze0.fon
Restorado! E:\.Trashes\Fonts\wst_eng0.fon -> E:\Fonts\wst_eng0.fon
Restorado! E:\.Trashes\Fonts\wst_fre0.fon -> E:\Fonts\wst_fre0.fon
Restorado! E:\.Trashes\Fonts\wst_ger0.fon -> E:\Fonts\wst_ger0.fon
Restorado! E:\.Trashes\Fonts\WWE Raw.ttf -> E:\Fonts\WWE Raw.ttf
Restorado! E:\.Trashes\Fonts\X360.ttf -> E:\Fonts\X360.ttf
Restorado! E:\.Trashes\Fonts\Young & Beautiful.ttf -> E:\Fonts\Young & Beautiful.ttf
Restorado! E:\.Trashes\Fonts\[z] Arista ExtraFilled.ttf -> E:\Fonts\[z] Arista ExtraFilled.ttf
Restorado! E:\.Trashes\Fonts\[z] Arista.ttf -> E:\Fonts\[z] Arista.ttf
Restorado! E:\.Trashes\CONDISA\DSC02308.jpg -> E:\CONDISA\DSC02308.jpg
Restorado! E:\.Trashes\CONDISA\Oficina Tula, Hgo..JPG -> E:\CONDISA\Oficina Tula, Hgo..JPG
Restorado! E:\.Trashes\CONDISA\DSC07723.JPG -> E:\CONDISA\DSC07723.JPG
Restorado! E:\.Trashes\CONDISA\DSC03386.jpg -> E:\CONDISA\DSC03386.jpg
Restorado! E:\.Trashes\CONDISA\DSC02104.jpg -> E:\CONDISA\DSC02104.jpg
Restorado! E:\.Trashes\CONDISA\GRUA 35 TON.jpg -> E:\CONDISA\GRUA 35 TON.jpg
Restorado! E:\.Trashes\CONDISA\DSC00622.jpg -> E:\CONDISA\DSC00622.jpg
Restorado! E:\.Trashes\CONDISA\DSC02066.jpg -> E:\CONDISA\DSC02066.jpg
Restorado! E:\.Trashes\CONDISA\DSC02384.jpg -> E:\CONDISA\DSC02384.jpg
Restorado! E:\.Trashes\CONDISA\DSC02365.jpg -> E:\CONDISA\DSC02365.jpg
Restorado! E:\.Trashes\CONDISA\DSC02335.jpg -> E:\CONDISA\DSC02335.jpg
Restorado! E:\.Trashes\CONDISA\DSC02270.jpg -> E:\CONDISA\DSC02270.jpg
Restorado! E:\.Trashes\CONDISA\DSC02419.jpg -> E:\CONDISA\DSC02419.jpg
Restorado! E:\.Trashes\CONDISA\DSC02536.jpg -> E:\CONDISA\DSC02536.jpg
Restorado! E:\.Trashes\CONDISA\DSC02793.JPG -> E:\CONDISA\DSC02793.JPG
Restorado! E:\.Trashes\CONDISA\LogotipoCondisa.psd -> E:\CONDISA\LogotipoCondisa.psd
Restorado! E:\.Trashes\Guten Tag Ramon.www.peliculasputlocker.net.avi -> E:\Guten Tag Ramon.www.peliculasputlocker.net.avi
Restorado! E:\.Trashes\Guten Tag Ramon.www.peliculasputlocker.net.srt -> E:\Guten Tag Ramon.www.peliculasputlocker.net.srt
Restorado! E:\.Trashes\Annie.HD.www.peliculasputlocker.net.mkv -> E:\Annie.HD.www.peliculasputlocker.net.mkv
Restorado! E:\.Trashes\fondofull_tequierover.jpg -> E:\fondofull_tequierover.jpg
Restorado! E:\.Trashes\logotipo_tequieroveracruz4.png -> E:\logotipo_tequieroveracruz4.png
Restorado! E:\.Trashes\logotipo_tequieroveracruz41.png -> E:\logotipo_tequieroveracruz41.png
Restorado! E:\.Trashes\fondofull_tequierover.psd -> E:\fondofull_tequierover.psd
Restorado! E:\.Trashes\logotipo_mandarinastudio.psd -> E:\logotipo_mandarinastudio.psd
Restorado! E:\.Trashes\LogotipoTeQuieroVeracruz.psd -> E:\LogotipoTeQuieroVeracruz.psd
Restorado! E:\.Trashes\VolanteMediaCarta_Fonstersys.psd -> E:\VolanteMediaCarta_Fonstersys.psd
Restorado! E:\.Trashes\Folder copy 2.jpg -> E:\Folder copy 2.jpg
Restorado! E:\.Trashes\logo reciclaje JPG.jpg -> E:\logo reciclaje JPG.jpg
Restorado! E:\.Trashes\Logo El Jarocho.png -> E:\Logo El Jarocho.png
Restorado! E:\.Trashes\Hoja Membretada copy.jpg -> E:\Hoja Membretada copy.jpg
Restorado! E:\.Trashes\para sergrafia.cdr -> E:\para sergrafia.cdr
Restorado! E:\.Trashes\invitaciones xv años.cdr -> E:\invitaciones xv años.cdr
Restorado! E:\.Trashes\Autocopia_de_seguridad_deinvitaciones xv años.cdr -> E:\Autocopia_de_seguridad_deinvitaciones xv años.cdr
Restorado! E:\.Trashes\241b-01e1-4339-b08b-d59e06b0a444.mp3 -> E:\241b-01e1-4339-b08b-d59e06b0a444.mp3
Restorado! E:\.Trashes\Requisició de Contrato copy.jpg -> E:\Requisició de Contrato copy.jpg
Restorado! E:\.Trashes\mandarinaFRENTE.jpg -> E:\mandarinaFRENTE.jpg
Restorado! E:\.Trashes\nota_mandarina01.psd -> E:\nota_mandarina01.psd
Restorado! E:\.Trashes\nota_mandarina02.psd -> E:\nota_mandarina02.psd
Restorado! E:\.Trashes\Logo Orvidigital.png -> E:\Logo Orvidigital.png
Restorado! E:\.Trashes\INTSTLR.HD.BFD756NFGt4wGFD65nf5.www.peliculasputlocker.net.mkv -> E:\INTSTLR.HD.BFD756NFGt4wGFD65nf5.www.peliculasputlocker.net.mkv
Restorado! E:\.Trashes\IngRiveroll.JPG -> E:\IngRiveroll.JPG
Restorado! E:\.Trashes\V34753-500×500.png -> E:\V34753-500×500.png
Restorado! E:\.Trashes\unnamed.jpg -> E:\unnamed.jpg
Restorado! E:\.Trashes\IMG-20150322-WA0003.jpg -> E:\IMG-20150322-WA0003.jpg

Le second point : UsbFix va prendre également en charge l’infection RMT_SecureBrowsing.exe, cette infection agit un peut sur le même principe de Bondat, à savoir :

  • Elle créé une copie de son code dans %Appdata%\SecureBrowsing\RMT_SecureBrowsing.exe
  • Se rend persistante via l’inscription en %startup% et appelle le fichier dans %AppData% :
  • LCL_FileProtect.lnk -> %Appdata%\SecureBrowsing\RMT_SecureBrowsing.exe
  • LCL_SecureBrowsing.lnk -> %Appdata%\SecureBrowsing\RMT_SecureBrowsing.exe
  • LCL_SysProtect.lnk -> %Appdata%\SecureBrowsing\RMT_SecureBrowsing.exe
  • LCL_WebProtect.lnk -> %Appdata%\SecureBrowsing\RMT_SecureBrowsing.exe

Elle créé 2 dossiers cachés sur chaque disques amovibles présent (Clé USB, carte SD, Téléphone, appareil photo etc etc) et y déplace les fichiers et dossiers de l’utilisateur :

  • [24/03/2015 – 21:38:59 | RSHD] – E:\RMT_UserData
  • [24/03/2015 – 21:39:04 | RSHD] – E:\RMT_Core

Elle y place son code malicieux dans le dossier %Drive%\RMT_Core\RMT_SecureBrowsing.exe
Et enfin elle créé un raccourci piégé (SecureBrowsing.lnk) qui lui va appeler le fichier %Drive%\RMT_Core\RMT_SecureBrowsing.exe pour lancer le code malveillant et afficher le contenu déplacé.
C’est une façon de prendre en otage les données de l’utilisateur.

  • [24/03/2015 – 21:39:26 | A | 1 Ko] – E:\SecureBrowsing.lnk

L  À F‰   PàOÐ ê:i¢Ø +00 /F:\ V 1  RMT_Core >   ï¾ * R M T _ C o r e  € 2 RMT_SecureBrowsing.exe Z   ï¾ * R M T _ S e c u r e B r o w s i n g . e x e & ! . \ R M T _ C o r e \ R M T _ S e c u r e B r o w s i n g . e x e (   1SPSâŠXF¼L8C»ü“&˜mÎ

Nous avons également ajouté :

  • Une importante mise à jour de la base de donnée
  • Révisé quelques MessageBox (Ajout d’un bouton de fermeture)
  • A coté de cela, nous travaillons sur les modules de protections en temps réel