Troie Efimer

Quel type de logiciel malveillant est Efimer ?

Efimer est un logiciel malveillant utilisé pour voler des cryptomonnaies. Il se propage via des sites WordPress infectés, des fichiers torrent malveillants et des e-mails trompeurs. Le logiciel malveillant communique avec ses opérateurs via le réseau Tor et utilise des scripts spécifiques pour compromettre les pages WordPress vulnérables et collecter des adresses e-mail en vue d'attaques ultérieures.

Efimer maliciel

En savoir plus sur Efimer

Après avoir exécuté un fichier script malveillant (fichier Windows Script) contenant Efimer, les utilisateurs voient généralement s'afficher un faux message d'erreur, et le logiciel malveillant pénètre dans le système. Le script vérifie d'abord si l'utilisateur dispose des droits d'administrateur. Si c'est le cas, le logiciel malveillant ajoute certains dossiers et fichiers à la liste d'exclusion de Windows Defender et configure une tâche planifiée.

Si l'utilisateur ne dispose pas de droits d'administrateur, le script installe tout de même Efimer, mais le configure pour qu'il démarre automatiquement via le registre Windows. Efimer est conçu pour cibler les utilisateurs de cryptomonnaies. Il remplace les adresses de portefeuille copiées dans le presse-papiers par l'adresse de l'attaquant.

Le logiciel malveillant vérifie si le Gestionnaire des tâches est en cours d'exécution et s'arrête si c'est le cas afin d'éviter toute détection. Si ce n'est pas le cas, il installe et exécute Tor. Ensuite, Efimer recherche les fichiers SEED contenant des phrases de portefeuille et envoie les données au serveur de l'attaquant. Une fois cette opération terminée, le logiciel malveillant commence à surveiller le presse-papiers à la recherche d'adresses de portefeuille de cryptomonnaie et les remplace par les adresses de l'attaquant.

Il prend également des captures d'écran et envoie les fichiers SEED et les captures d'écran au serveur. De plus, Efimer ne se contente pas de voler des cryptomonnaies, il utilise également les ordinateurs infectés pour cibler les sites WordPress vulnérables, publie de faux liens de téléchargement pour se propager et effectue des attaques par force brute pour voler des mots de passe.

Toutes les informations d'identification capturées sont envoyées aux attaquants, ce qui leur permet d'augmenter le nombre de systèmes compromis.

Il existe également une autre variante d'Efimer, qui vérifie s'il s'exécute dans une machine virtuelle, cache son dossier et garde une trace du moment où envoyer les données. Il se concentre davantage sur les extensions de navigateur et les applications de portefeuille, crypte les données qu'il collecte et ne les supprime qu'après avoir confirmé que le serveur les a reçues.

Il est important de noter que les attaques impliquent également un script qui collecte les adresses e-mail sur les sites web. Les pirates peuvent ensuite utiliser ces e-mails pour des campagnes de spam, de phishing ou de logiciels malveillants, ce qui les aide à propager Efimer (ou d'autres outils malveillants).

Résumé de la menace :
Nom	Efimer maliciel
Type de menace	Cheval de Troie, Clipper
Noms de détection	Avast (Script:SNH-gen [Trj]), Combo Cleaner (Trojan.GenericS.5863), ESET-NOD32 (JS/Agent.SWE), Kaspersky (Trojan-Dropper.Win32. Agentb.qx), Microsoft (Trojan:Win32/Wacatac.B!ml), Liste complète (VirusTotal)
Symptômes	Les chevaux de Troie sont conçus pour infiltrer discrètement l'ordinateur de la victime et rester silencieux. Aucun symptôme particulier n'est donc clairement visible sur une machine infectée.
Méthodes de distribution	Pièces jointes infectées, sites WordPress compromis, torrents.
Dommages	Vol de cryptomonnaie, utilisation de l'appareil infecté pour propager davantage le logiciel malveillant (ou d'autres menaces).
Suppression des maliciels (Windows)	Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. Téléchargez Combo Cleaner Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Conclusion

Efimer est un logiciel malveillant dangereux qui vole des informations sensibles et se propage à travers les systèmes. Il peut cibler les données relatives aux cryptomonnaies, compromettre des sites web et collecter des identifiants. Un ordinateur infecté par Efimer peut entraîner des problèmes tels que le vol de cryptomonnaies, le vol d'identifiants, l'accès non autorisé à des comptes et l'exposition à d'autres attaques.

Comment Efimer s'est-il infiltré dans mon ordinateur ?

Lorsque les pirates utilisent le courrier électronique pour diffuser le logiciel malveillant, ils envoient des messages prétendant provenir d'entités légitimes, contenant souvent des allégations liées à des questions juridiques ou financières. Ces courriels contiennent un fichier d'archive protégé par un mot de passe. Le logiciel malveillant s'infiltre dans les systèmes lorsque les utilisateurs extraient et exécutent le script contenu dans le fichier d'archive.

Lorsque les cybercriminels utilisent des sites WordPress, ils attaquent des sites web mal sécurisés, forcent les identifiants de connexion et publient de faux liens de téléchargement pour des films ou d'autres contenus. Ces liens mènent à des archives protégées par mot de passe contenant Efimer. Les utilisateurs qui téléchargent et exécutent ces fichiers infectent leurs systèmes.

Comment éviter l'installation de logiciels malveillants ?

Évitez de télécharger des fichiers ou des logiciels à partir de téléchargeurs tiers, de sites torrent, de sites non officiels, etc. Ne téléchargez que des fichiers ou des logiciels provenant de sites web officiels ou de boutiques d'applications fiables. Évitez d'ouvrir des pièces jointes inattendues ou de cliquer sur des liens suspects provenant d'adresses inconnues.

Maintenez votre système d'exploitation, vos navigateurs et vos applications à jour. N'interagissez pas avec les publicités, les liens ou autres éléments présents sur des sites web non fiables, et bloquez toujours les demandes de notification provenant de ces pages. Utilisez un logiciel de sécurité réputé et effectuez régulièrement des analyses du système.

Si vous pensez que votre ordinateur est déjà infecté, nous vous recommandons d'effectuer une analyse avec Combo Cleaner Antivirus pour Windows afin d'éliminer automatiquement les logiciels malveillants infiltrés.

E-mail malveillant distribuant Efimer (source : securelist.com) :

E-mail promouvant le cheval de Troie Efimer (source securelist.com)

Texte de l'e-mail :

Subject: Application for illegal use of a domain name

JUSTICE

The legal bureau examined the complaint and established that, in the name of the domain, patented combinations belonging to a major brand are used. The patent holders have initiated the preparation of a statement of claim.

The claim may be withdrawn upon the change of the domain name. The patent holders are interested in acquiring your domain. Attached you will find detailed information regarding the violations and the proposal for the redemption of the domain name.

Suppression automatique et instantanée des maliciels :

La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :

TÉLÉCHARGEZ Combo Cleaner

En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Menu rapide :

Qu'est-ce qu'Efimer ?
ÉTAPE 1. Suppression manuelle du logiciel malveillant Efimer.
ÉTAPE 2. Vérifiez si votre ordinateur est propre.

Comment supprimer manuellement les logiciels malveillants ?

La suppression manuelle des logiciels malveillants est une tâche compliquée - il est généralement préférable de laisser les programmes antivirus ou anti-malware s'en charger automatiquement. Pour supprimer ce logiciel malveillant, nous vous recommandons d'utiliser Combo Cleaner Antivirus pour Windows.

Si vous souhaitez supprimer un logiciel malveillant manuellement, la première étape consiste à identifier le nom du logiciel malveillant que vous essayez de supprimer. Voici un exemple de programme suspect s'exécutant sur l'ordinateur d'un utilisateur :

Processus malveillant en cours d'exécution dans le gestionnaire des tâches

Si vous avez vérifié la liste des programmes en cours d'exécution sur votre ordinateur, par exemple à l'aide du gestionnaire des tâches, et que vous avez identifié un programme qui semble suspect, vous devriez poursuivre avec les étapes suivantes :

étape de suppression manuelle des logiciels malveillants 1 Téléchargez un programme appelé Autoruns. Ce programme affiche les applications à démarrage automatique, le registre et les emplacements du système de fichiers :

Apparence de l'application Autoruns

étape de suppression manuelle des logiciels malveillants 2 Redémarrez votre ordinateur en mode sans échec :

Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, cliquez sur Arrêter, cliquez sur Redémarrer, cliquez sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que vous voyiez le menu des options avancées de Windows, puis sélectionnez Mode sans échec avec mise en réseau dans la liste.

Exécuter Windows 7 ou Windows XP en mode sans échec avec mise en réseau

Vidéo montrant comment démarrer Windows 7 en "mode sans échec avec mise en réseau" :

Utilisateurs de Windows 8: Démarrez Windows 8 en mode sans échec avec mise en réseau - Allez à l'écran de démarrage de Windows 8, tapez "Avancé", dans les résultats de la recherche, sélectionnez "Paramètres". Cliquez sur Options de démarrage avancées, dans la fenêtre ouverte "Paramètres généraux de l'ordinateur", sélectionnez Démarrage avancé.

Cliquez sur le bouton "Redémarrer maintenant". Votre ordinateur va maintenant redémarrer dans le "menu des options avancées de démarrage". Cliquez sur le bouton "Dépannage", puis sur le bouton "Options avancées". Dans l'écran des options avancées, cliquez sur "Paramètres de démarrage".

Cliquez sur le bouton "Redémarrer". Votre PC redémarre et l'écran des paramètres de démarrage s'affiche. Appuyez sur F5 pour démarrer en mode sans échec avec mise en réseau.

Exécuter Windows 8 en mode sans échec avec mise en réseau

Vidéo montrant comment démarrer Windows 8 en "mode sans échec avec mise en réseau" :

Utilisateurs de Windows 10: Cliquez sur le logo Windows et sélectionnez l'icône d'alimentation. Dans le menu qui s'ouvre, cliquez sur "Redémarrer" tout en maintenant la touche "Shift" de votre clavier. Dans la fenêtre "choisir une option", cliquez sur "Dépannage", puis sélectionnez "Options avancées".

Dans le menu des options avancées, sélectionnez "Paramètres de démarrage" et cliquez sur le bouton "Redémarrer". Dans la fenêtre suivante, cliquez sur la touche "F5" de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec mise en réseau.

Exécuter Windows 10 en mode sans échec avec mise en réseau

Vidéo montrant comment démarrer Windows 10 en "mode sans échec avec mise en réseau" :

étape de suppression manuelle des logiciels malveillants 3 Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.

Extraire l'archive Autoruns.zip et exécuter l'application Autoruns.exe

étape de suppression manuelle des logiciels malveillants 4 Dans l'application Autoruns, cliquez sur "Options" en haut et décochez les options "Masquer les emplacements vides" et "Masquer les entrées Windows". Après cette procédure, cliquez sur l'icône "Actualiser".

Actualiser les résultats de l'application Autoruns

étape de suppression manuelle des logiciels malveillants 5 Consultez la liste fournie par l'application Autoruns et localisez le fichier malveillant que vous souhaitez éliminer.

Notez son chemin d'accès complet et son nom. Notez que certains logiciels malveillants cachent des noms de processus sous des noms de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer des fichiers système. Après avoir localisé le programme suspect que vous souhaitez supprimer, cliquez avec le bouton droit de la souris sur son nom et choisissez "Supprimer".

Supprimer les logiciels malveillants dans Autoruns

Après avoir supprimé le logiciel malveillant par l'intermédiaire de l'application Autoruns (ce qui garantit que le logiciel malveillant ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du logiciel malveillant sur votre ordinateur. Veillez à activer les fichiers et dossiers cachés avant de poursuivre. Si vous trouvez le nom de fichier du logiciel malveillant, veillez à le supprimer.

Rechercher les logiciels malveillants et les supprimer

Redémarrez votre ordinateur en mode normal. Ces étapes devraient permettre de supprimer tous les logiciels malveillants de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne possédez pas ces compétences, confiez la suppression des logiciels malveillants à des programmes antivirus et anti-programmes malveillants.

Ces mesures peuvent ne pas fonctionner en cas d'infection par des logiciels malveillants avancés. Comme toujours, il est préférable de prévenir l'infection plutôt que d'essayer de supprimer les logiciels malveillants par la suite. Pour assurer la sécurité de votre ordinateur, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus. Pour être sûr que votre ordinateur n'est pas infecté par des logiciels malveillants, nous vous recommandons de le scanner avec Combo Cleaner Antivirus pour Windows.

Foire aux questions (FAQ)

Mon ordinateur est infecté par Efimer, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

En général, le formatage du périphérique est une option de dernier recours. Il est d'abord recommandé d'utiliser un logiciel anti-malware réputé (comme Combo Cleaner) pour effectuer une analyse complète du système et supprimer Efimer.

Quels sont les principaux problèmes que peuvent causer les logiciels malveillants ?

Les logiciels malveillants peuvent ralentir les systèmes, verrouiller ou corrompre des fichiers, exécuter d'autres logiciels malveillants, voler des données sensibles, etc. Les victimes se font souvent voler leur argent, leurs comptes ou leur identité, ou sont confrontées à d'autres problèmes.

Quel est l'objectif d'Efimer ?

L'objectif d'Efimer est de voler des cryptomonnaies en surveillant l'activité du presse-papiers et en remplaçant les adresses de portefeuille par celles contrôlées par les attaquants. Il collecte également des informations sensibles, compromet les sites WordPress vulnérables et récolte des identifiants pour étendre l'infection à d'autres appareils.

Comment Efimer s'est-il infiltré dans mon appareil ?

Efimer a probablement infecté votre appareil lorsque vous avez exécuté un script malveillant à partir d'une archive protégée par mot de passe, téléchargée à partir d'un e-mail trompeur ou d'un site WordPress compromis.

Combo Cleaner me protégera-t-il contre les logiciels malveillants ?

Oui, Combo Cleaner peut détecter et supprimer la plupart des logiciels malveillants. Il est conseillé d'effectuer une analyse complète du système, car les menaces avancées se cachent souvent profondément dans le système.