L’infection Dinihou / Houdini continue sa propagation avec la variante Microsoft Word.WsF. Après avoir fait évoluer son code source vers le WSF (Windows Script File) . Découvrez la description et la méthode pour supprimer Microsoft Word.WsF dans cet article.
Dès la sortie de cette nouvelle variante en WSF, nous avions intégrée son fonctionnement et donc sa détection dans la base de donnée UsbFix. Cette nouvelle variante WSF a donc été automatiquement détectée par UsbFix. Du coté détection des antivirus c’est le calme plat, les détections sont tout simplement inexistante alors que UsbFix a découvert cette variante il y a déjà 4 jours.
UsbFix détecte et supprime cette variante, pour l’instant seule celle ci-dessous et Microsoft Excel.wsf sont connues mais UsbFix est réglé pour détecter les variantes sous toutes leurs formes possible. Ce qui est inquiétant est que ce virus dispose de fonctionnalité RAT pouvant ainsi créer un nouveau Botnet.
Détection UsbFix : Microsoft Excel.WsF
############################## | UsbFix V 7.937 | [Nettoyage]
Utilisateur: Cédric (Administrateur) # WIN-8O81K304NLN
Mis à jour le 14/05/2015 par El Desaparecido – SosVirus
Lancé à 14:39:26 | 14/05/2015[b]################## | System information |[/b]
MB: Intel Corporation (440BX Desktop Reference Platform)
CPU: Intel(R) Core(TM) i7-4790K CPU @ 4.00GHz
GC: VMware SVGA 3D
RAM -> [Total : 2047 Mo | Free : 1044 Mo]
Bios: Phoenix Technologies LTD
Boot: Normal bootOS: Microsoft™ Windows 10 Pro Technical Preview (6.3.9600 64-Bit)
WB: Internet Explorer : 11.0.9926.0[b]################## | Security Information |[/b]
AV: Windows Defender [[b](!) Désactivé[/b] |A jour]
AS: Windows Defender [[b](!) Désactivé[/b] |A jour]
FW: Windows Firewall [Actif]
SC: Security Center [Actif]
WU: Windows Update [Actif][b]################## | Disk Information |[/b]
C:\ (%SystemDrive%) -> Disque fixe # 60 Go (46 Go libre(s) – 76%) [] # NTFS
D:\ -> CD-ROM # 4 Go (0 Mo libre(s) – 0%) [J_CCSA_X64FRE_FR-FR_DV5] # UDF
E:\ -> Disque amovible # 15 Go (15 Go libre(s) – 99%) [Test] # NTFS[b]################## | Autorun |[/b]
E:\Mon test.lnk -> E:\Microsoft Word.WsF
E:\System Volume Information.lnk -> E:\Microsoft Word.WsF[b]################## | Recherche générique |[/b]
Supprimé! E:\Mon test.lnk
Supprimé! E:\System Volume Information.lnk
Supprimé! E:\Microsoft Word.WsF
Supprimé! C:\Users\Cédric\AppData\Roaming\Microsoft Office\Microsoft Word.WsF
Supprimé! C:\Users\Cédric\Desktop\Microsoft Word.WsF(!) Fichiers temporaires supprimés. (15.2023496627808 MB)
[b]################## | Registre |[/b]
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Microsoft Word
[b]################## | Startup |[/b]
F2 – HKLM\..\Winlogon : [Shell] explorer.exe
F2 – [x64] HKLM\..\Winlogon : [Shell] explorer.exe
F2 – [x64] HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
04 – HKCU\..\Run : [OneDrive] « C:\Users\Cédric\AppData\Local\Microsoft\OneDrive\OneDrive.exe » /background
04 – HKCU\..\RunOnce : [Uninstall C:\Users\Cédric\AppData\Local\Microsoft\OneDrive\17.3.4726.0226\amd64] C:\Windows\system32\cmd.exe /q /c rmdir /s /q « C:\Users\Cédric\AppData\Local\Microsoft\OneDrive\17.3.4726.0226\amd64 »
04 – HKCU\..\RunOnce : [Uninstall C:\Users\Cédric\AppData\Local\Microsoft\OneDrive\17.3.4726.0226] C:\Windows\system32\cmd.exe /q /c rmdir /s /q « C:\Users\Cédric\AppData\Local\Microsoft\OneDrive\17.3.4726.0226 »
04 – [x64] HKLM\..\Run : [VMware User Process] « C:\Program Files\VMware\VMware Tools\vmtoolsd.exe » -n vmusr
04 – HKU\S-1-5-19\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 – HKU\S-1-5-20\..\Run : [OneDriveSetup] C:\Windows\SysWOW64\OneDriveSetup.exe /thfirstsetup
04 – HKU\S-1-5-21-3839008760-56720508-3255429872-1000\..\Run : [OneDrive] « C:\Users\Cédric\AppData\Local\Microsoft\OneDrive\OneDrive.exe » /background
04 – HKU\S-1-5-21-3839008760-56720508-3255429872-1000\..\RunOnce : [Uninstall C:\Users\Cédric\AppData\Local\Microsoft\OneDrive\17.3.4726.0226\amd64] C:\Windows\system32\cmd.exe /q /c rmdir /s /q « C:\Users\Cédric\AppData\Local\Microsoft\OneDrive\17.3.4726.0226\amd64 »
04 – HKU\S-1-5-21-3839008760-56720508-3255429872-1000\..\RunOnce : [Uninstall C:\Users\Cédric\AppData\Local\Microsoft\OneDrive\17.3.4726.0226] C:\Windows\system32\cmd.exe /q /c rmdir /s /q « C:\Users\Cédric\AppData\Local\Microsoft\OneDrive\17.3.4726.0226 »[b]################## | Attrib – Restore |[/b]
Restauré! [N] E:\Mon test.exe
[b]################## | C:\ %SystemDrive% – Disque Fixe (NTFS) |[/b]
[14/05/2015 – 14:28:03 | ASH | 1179648 Ko] – C:\pagefile.sys
[14/05/2015 – 14:28:03 | ASH | 262144 Ko] – C:\swapfile.sys
[10/04/2015 – 13:14:10 | SHD] – C:\$Recycle.Bin
[20/01/2015 – 13:46:30 | RASH | 400 Ko] – C:\bootmgr
[20/01/2015 – 13:46:30 | N | 0 Ko] – C:\BOOTNXT
[20/01/2015 – 14:09:40 | D] – C:\PerfLogs
[20/01/2015 – 17:34:00 | SHD] – C:\Documents and Settings
[10/04/2015 – 12:55:03 | SHD] – C:\Recovery
[10/04/2015 – 13:13:34 | RD] – C:\Users
[10/04/2015 – 13:44:13 | D] – C:\Windows
[24/04/2015 – 08:31:10 | HD] – C:\ProgramData
[24/04/2015 – 08:32:28 | RD] – C:\Program Files
[24/04/2015 – 08:32:30 | RD] – C:\Program Files (x86)
[14/05/2015 – 14:29:11 | D] – C:\OneDriveTemp
[14/05/2015 – 14:38:08 | D] – C:\UsbFix[b]################## | E:\ – Disque USB (NTFS) |[/b]
[13/05/2015 – 12:53:48 | N | 120908 Ko] – E:\Mon test.exe
[b]################## | Vaccin |[/b]
C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)[b]################## | E.O.F |
Supprimer Microsoft Word.WsF avec UsbFix
UsbFix détecte les variantes de ces infections : Voici comment procéder pour supprimer Microsoft Word.WsF et nettoyer votre PC Windows ainsi que vos clés USB.
- Commencez par Télécharger UsbFix
- Lancer l’application et choisir Analyse complète
- UsbFix va analyser votre pc et vous proposer de supprimer les éléments malveillant
- Cliquez sur Mettre en quarantaine
