Instructions de suppression du maliciel GootBot
Écrit par Tomas Meskauskas le
Quel type de maliciel est GootBot ?
GootBot est une nouvelle variante du maliciel GootLoader. Il est utilisé comme outil de déplacement latéral. Ce programme malveillant est extrêmement léger et met l'accent sur la furtivité. GootBot est essentiellement mis en œuvre dans les dernières phases des attaques de grande envergure, où ce logiciel se déplace latéralement dans un réseau afin de faciliter d'autres infections.
Compte tenu des thèmes commerciaux utilisés dans les techniques d'empoisonnement des moteurs de recherche employées pour la prolifération de GootBot, il est évident que ce maliciel cible de grandes entités.
Aperçu du maliciel GootBot
Les infections par GootBot observées ont commencé par une recherche ciblée de la victime qui s'est vue présenter un résultat malveillant. Ce résultat est censé la conduire à un site web compromis, déguisé en forum, qui héberge un fichier prétendument connexe dans une archive. Celui-ci contient un fichier JavaScript qui déclenche la première étape de l'infection.
L'attaque commence par GootLoader, qui introduit GootBot dans le système. Comme indiqué dans l'introduction, GootBot est un outil qui permet des déplacements latéraux dans un réseau.
Ce maliciel utilise plusieurs techniques pour éviter d'être détecté le plus longtemps possible. Il utilise notamment un code obscurci et des serveurs C&C (Command and Control) codés en dur. Cependant, GootBot se propage à travers le réseau grâce à une multitude d'implants, chacun avec un C&C différent fonctionnant sur des sites WordPress piratés. L'idée est de réduire les chances de détection en limitant la découverte de trafic malveillant provenant d'une myriade de sources. L'objectif final est d'atteindre le contrôleur de domaine.
En outre, GootBot collecte des données, notamment la version et l'architecture du système d'exploitation, le nom d'hôte, le nom d'utilisateur du domaine, les données du contrôleur de domaine, les adresses IP, les processus en cours d'exécution, etc.
Comme dans les campagnes GootLoader observées précédemment, la charge utile finale des infections incluant GootBot dans leur chaîne se retrouve dans Cobalt Strike, IcedID, SystemBC, ou ransomware.
Les menaces associées à ces infections peuvent varier en fonction des capacités de la charge utile malveillante finale et du mode opératoire des attaquants.
En général, les dangers comprennent la diminution des performances du système ou sa défaillance, de graves problèmes de confidentialité, la perte de données, des pertes financières et l'usurpation d'identité. Toutefois, les menaces peuvent être plus importantes lorsqu'elles sont dirigées contre des cibles très sensibles (comme celles qui fournissent des services essentiels).
| Nom | Virus GootBot |
| Type de Menace | Cheval de Troie, Virus voleur de mots de passe, Maliciel bancaire, Logiciel espion. |
| Noms de Détection | Avast (JS:Dropper-AAFB [Trj]), Combo Cleaner (Trojan.GenericKD.69583909), ESET-NOD32 (JS/Agent.PVS), Kaspersky (HEUR:Trojan-Downloader.Script.Generic), Microsoft (Trojan:Script/Malgent!MSR), Liste complète des détections (VirusTotal) |
| Charge Utile | Cobalt Strike, IcedID, SystemBC, ransomware-type programs, etc. |
| Symptômes | Les chevaux de Troie sont conçus pour s'infiltrer furtivement dans l'ordinateur de la victime et rester silencieux, de sorte qu'aucun symptôme particulier n'est clairement visible sur une machine infectée. |
| Méthodes de Distribution | Pièces jointes de courriels infectés, publicités en ligne malveillantes, ingénierie sociale, "cracks" de logiciels. |
| Dommages | Mots de passe et informations bancaires volés, usurpation d'identité, ajout de l'ordinateur de la victime à un réseau botnet. |
| Suppression des maliciels (Windows) |
Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. |
Les maliciels en général
Le terme "maliciel" est un terme général qui recouvre une grande variété de programmes conçus à des fins malveillantes. Ces logiciels peuvent effectuer des tâches extrêmement spécifiques ou être très polyvalents.
Toutefois, quel que soit le mode de fonctionnement des programmes de cette classification, leur présence sur un système met en péril l'intégrité de l'appareil et la sécurité de l'utilisateur. C'est pourquoi toutes les menaces doivent être éliminées dès qu'elles sont détectées.
Nous avons étudié des milliers d'échantillons de maliciels ; LPEClient, SIGNBT, StripedFly, GoPIX, Lumar, et BlazeStealer ne sont que quelques exemples de nos derniers articles sur le sujet.
Comment GootBot s'est-il infiltré dans mon ordinateur ?
Les chaînes d'infection connues de GootBot proviennent de sites malveillants vers lesquels les victimes sont dirigées par le biais de résultats de recherche empoisonnés. Cette mise en œuvre des techniques d'empoisonnement SEO est ciblée. Les sites web malveillants sont présentés comme les premiers résultats lorsqu'un utilisateur saisit une requête de recherche liée aux affaires, telle qu'une requête portant sur les contrats, les formulaires juridiques ou autres.
Une fois le résultat malveillant sélectionné, la victime est redirigée vers une page présentée comme un forum légitime. Un fichier censé se rapporter à la recherche initiale y est hébergé. L'archive contient un fichier JavaScript, qui déclenche la chaîne d'infection de GootLoader, qui inclut ensuite GootBot, et culmine avec une charge utile finale (comme un rançongiciel).
Il convient de noter que des formats de fichiers et des méthodes différents ont pu être utilisés pour faire proliférer GootBot. Les tactiques d'hameçonnage et d'ingénierie sociale sont particulièrement répandues dans la distribution des maliciels. Les logiciels malveillants sont souvent déguisés ou regroupés avec des fichiers de programmes/médias ordinaires. Ceux-ci se présentent sous différents formats, par exemple des archives (ZIP, RAR, etc.), des exécutables (.exe, .run, etc.), des documents (PDF, Microsoft Office, Microsoft OneNote, etc.), du JavaScript, etc.
Les techniques de distribution les plus répandues sont : la publicité malveillante, les téléchargements "drive-by" (furtifs/trompeurs), les pièces jointes/liens malveillants dans les courriers indésirables (courriels, DMs/PMs, SMS, etc.), les escroqueries en ligne, les canaux de téléchargement douteux (sites de freeware et de tiers, réseaux de partage Peer-to-Peer, etc.), les outils d'activation de logiciels illégaux ("cracks") et les fausses mises à jour.
Certains programmes malveillants peuvent même s'autoproliférer via des réseaux locaux et des dispositifs de stockage amovibles (clés USB, disques durs externes, etc.).
Comment éviter l'installation de maliciels ?
Il est essentiel d'être vigilant lors de la navigation, car les contenus en ligne falsifiés et malveillants semblent généralement authentiques et inoffensifs. Nous vous conseillons d'être prudent avec les courriels et autres messages entrants. Les pièces jointes ou les liens trouvés dans des courriers douteux/irréprochables ne doivent pas être ouverts, car ils peuvent être infectieux.
En outre, tous les téléchargements doivent être effectués à partir de sources officielles et vérifiées. Il est également recommandé d'activer et de mettre à jour les programmes en utilisant des fonctions/outils légitimes, car ceux obtenus auprès de tiers peuvent contenir des maliciels.
Il convient de souligner l'importance de l'installation et de la mise à jour d'un antivirus réputé. Ce logiciel doit être utilisé pour effectuer des analyses régulières du système et pour supprimer les menaces détectées. Si vous pensez que votre ordinateur est déjà infecté, nous vous recommandons de lancer une analyse avec Combo Cleaner pour éliminer automatiquement les maliciels infiltrés.
Suppression automatique et instantanée des maliciels :
La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :
▼ TÉLÉCHARGEZ Combo Cleaner
Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite. En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation.
Menu rapide :
- Qu'est-ce que GootBot ?
- ETAPE 1. Suppression manuelle du maliciel GootBot.
- ETAPE 2. Vérifiez si votre ordinateur est propre.
Comment supprimer manuellement les maliciels ?
La suppression manuelle des maliciels est une tâche compliquée - il est généralement préférable de permettre aux programmes antivirus ou anti-maliciel de le faire automatiquement. Pour supprimer ce maliciel, nous vous recommandons d'utiliser Combo Cleaner.
Si vous souhaitez supprimer les maliciels manuellement, la première étape consiste à identifier le nom du logiciel malveillant que vous essayez de supprimer. Voici un exemple de programme suspect exécuté sur l'ordinateur d'un utilisateur :
Si vous avez vérifié la liste des programmes exécutés sur votre ordinateur, par exemple à l'aide du gestionnaire de tâches, et identifié un programme qui semble suspect, vous devez continuer avec ces étapes :
Téléchargez un programme appelé Autoruns. Ce programme affiche les emplacements des applications à démarrage automatique, du registre et du système de fichiers :
Redémarrez votre ordinateur en mode sans échec :
Utilisateurs de Windows XP et Windows 7 : démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, cliquez sur Arrêter, cliquez sur Redémarrer, cliquez sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows s'affiche, puis sélectionnez Mode sans échec avec mise en réseau dans la liste.
Vidéo montrant comment démarrer Windows 7 en "Mode sans échec avec mise en réseau" :
Utilisateurs de Windows 8 : Démarrer Windows 8 en mode sans échec avec mise en réseau - Accédez à l'écran de démarrage de Windows 8, tapez Avancé, dans les résultats de la recherche, sélectionnez Paramètres. Cliquez sur Options de démarrage avancées, dans la fenêtre "Paramètres généraux du PC" ouverte, sélectionnez Démarrage avancé.
Cliquez sur le bouton "Redémarrer maintenant". Votre ordinateur va maintenant redémarrer dans le "menu des options de démarrage avancées". Cliquez sur le bouton "Dépanner", puis cliquez sur le bouton "Options avancées". Dans l'écran des options avancées, cliquez sur "Paramètres de démarrage".
Cliquez sur le bouton "Redémarrer". Votre PC redémarrera dans l'écran Paramètres de démarrage. Appuyez sur F5 pour démarrer en mode sans échec avec mise en réseau.
Vidéo montrant comment démarrer Windows 8 en "Mode sans échec avec mise en réseau" :
Utilisateurs de Windows 10 : Cliquez sur le logo Windows et sélectionnez l'icône Alimentation. Dans le menu ouvert, cliquez sur "Redémarrer" tout en maintenant le bouton "Shift" de votre clavier enfoncé. Dans la fenêtre "choisir une option", cliquez sur "Dépanner", sélectionnez ensuite "Options avancées".
Dans le menu des options avancées, sélectionnez "Paramètres de démarrage" et cliquez sur le bouton "Redémarrer". Dans la fenêtre suivante, vous devez cliquer sur le bouton "F5" de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec mise en réseau.
Vidéo montrant comment démarrer Windows 10 en "Mode sans échec avec mise en réseau" :
Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.
Dans l'application Autoruns, cliquez sur "Options" en haut et décochez les options "Masquer les emplacements vides" et "Masquer les entrées Windows". Après cette procédure, cliquez sur l'icône "Actualiser".
Consultez la liste fournie par l'application Autoruns et localisez le fichier malveillant que vous souhaitez éliminer.
Vous devez écrire son chemin complet et son nom. Notez que certains maliciels masquent les noms de processus sous des noms de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer des fichiers système. Après avoir localisé le programme suspect que vous souhaitez supprimer, cliquez avec le bouton droit de la souris sur son nom et choisissez "Supprimer".
Après avoir supprimé le maliciel via l'application Autoruns (cela garantit que le maliciel ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du maliciel sur votre ordinateur. Assurez-vous d'activer les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom de fichier du maliciel, assurez-vous de le supprimer.
Redémarrez votre ordinateur en mode normal. En suivant ces étapes, vous devriez supprimer tout maliciel de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne possédez pas ces compétences, laissez la suppression des maliciels aux programmes antivirus et anti-maliciel.
Ces étapes peuvent ne pas fonctionner avec les infections de maliciels avancés. Comme toujours, il est préférable de prévenir l'infection que d'essayer de supprimer les maliciels plus tard. Pour protéger votre ordinateur, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus. Pour être sûr que votre ordinateur est exempt d'infections malveillantes, nous vous recommandons de l'analyser avec Combo Cleaner.
Foire Aux Questions (FAQ)
Mon ordinateur est infecté par le maliciel GootBot. Dois-je formater mon périphérique de stockage pour m'en débarrasser ?
La suppression des maliciels nécessite rarement un formatage.
Quels sont les principaux problèmes que le maliciel GootBot peut causer ?
Les dangers posés par une infection dépendent des fonctionnalités du maliciel et des objectifs des cybercriminels. GootBot est utilisé dans de vastes chaînes d'attaque qui ont été observées et qui aboutissent à Cobalt Strike, IcedID, SystemBC, et des infections par des rançongiciels. Par conséquent, la présence d'un logiciel comme GootBot sur des appareils peut entraîner une baisse des performances du système ou une panne, une perte de données, de graves problèmes de confidentialité, des pertes financières et une usurpation d'identité.
Quel est l'objectif du maliciel GootBot ?
La plupart des attaques de maliciels sont motivées par le gain financier. Toutefois, les logiciels malveillants peuvent également être utilisés pour amuser les attaquants, réaliser des vendettas personnelles, perturber des processus (par exemple, des sites, des services, des entreprises, etc.) et même lancer des attaques à caractère politique ou géopolitique.
Comment le maliciel GootBot s'est-il infiltré dans mon ordinateur ?
On a constaté que GootBot se propageait par le biais de pages web malveillantes imitant les forums et promues à l'aide de techniques ciblées d'empoisonnement du référencement (SEO). Cependant, d'autres méthodes de distribution ne sont pas improbables.
Les techniques les plus couramment utilisées sont les suivantes : téléchargements "drive-by", courriels/messages de spam, escroqueries en ligne, publicité malveillante, sources de téléchargement non fiables (par exemple, sites d'hébergement de fichiers gratuits et freeware (logiciels gratuits), réseaux de partage P2P, etc.), outils illégaux d'activation de logiciels ("cracking") et fausses mises à jour. En outre, certains programmes malveillants peuvent se propager eux-mêmes via les réseaux locaux et les périphériques de stockage amovibles.
Combo Cleaner me protège-t-il des maliciels ?
Oui, Combo Cleaner est conçu pour analyser les ordinateurs et éliminer toutes sortes de menaces. Il peut détecter et supprimer pratiquement tous les maliciels connus. Comme les logiciels malveillants haut de gamme se cachent généralement au cœur des systèmes, il est essentiel d'effectuer une analyse complète du système.
!Remarquable!
▼ Montrer la discussion