Comment supprimer le backdoor NANOREMOTE du système d'exploitation

Quel type de malware est NANOREMOTE ?

NANOREMOTE est un backdoor - un type de malware qui ouvre un canal caché sur un ordinateur infecté afin que les attaquants puissent envoyer des commandes et déployer des charges utiles supplémentaires à tout moment. Selon les recherches d'Elastic Security Labs, NANOREMOTE fait partie de la campagne de menaces REF7707 et est étroitement lié à un autre implant de la même famille appelé FINALDRAFT.

Une fois actif, NANOREMOTE permet aux opérateurs d'exécuter des commandes shell, de gérer des fichiers, de charger des programmes en mémoire et de transférer des données vers et depuis la machine infectée. Il achemine ses communications via les propres services de Google, ce qui aide son trafic à se fondre dans l'activité légitime.

En savoir plus sur NANOREMOTE

NANOREMOTE est généralement déployé par un composant de chargement appelé WMLOADER. WMLOADER se fait passer pour un fichier légitime de Bitdefender nommé BDReinit.exe, accompagné d'une signature numérique falsifiée. Lorsqu'il est exécuté, il déchiffre la charge utile NANOREMOTE à partir d'un fichier chiffré nommé wmsetup.log avant de la charger en mémoire via un shellcode intégré.

Pour la commande et contrôle, NANOREMOTE communique via l'API Google Drive. Il s'authentifie à l'aide de jetons OAuth 2.0 intégrés dans sa configuration et envoie des requêtes de signalisation régulières aux serveurs de Google. Étant donné que ces connexions sont dirigées vers une plateforme connue et de confiance, elles sont plus difficiles à signaler comme suspectes par les outils de sécurité.

Tout le trafic est compressé avec Zlib puis chiffré avec AES-CBC avant d'être envoyé. Chaque requête suit un format JSON structuré qui inclut un identifiant de machine, un identifiant de commande et une charge utile de données.

Capacités de NANOREMOTE

Elastic Security Labs a identifié 22 gestionnaires de commandes intégrés dans NANOREMOTE, offrant aux opérateurs un large contrôle à distance sur un système infecté. Ces commandes couvrent la gestion de fichiers, l'exécution de code, le transfert de données et la reconnaissance système.

Les commandes liées aux fichiers permettent aux opérateurs de lister les répertoires, naviguer dans le système de fichiers, et créer, supprimer ou déplacer des fichiers. Les opérateurs peuvent également énumérer les lecteurs de stockage connectés et mettre en file d'attente les téléchargements montants et descendants, avec prise en charge de la mise en pause et de la reprise des transferts. Chaque transfert est vérifié à l'aide d'une somme de contrôle MD5.

Côté exécution, NANOREMOTE intègre un chargeur PE personnalisé capable d'exécuter des programmes depuis le disque ou d'exécuter des binaires en mémoire à partir de charges utiles encodées en Base64, contournant entièrement le chargeur Windows standard. Des commandes shell peuvent également être émises et exécutées via des processus générés.

Au démarrage, le malware collecte des informations système de base - les adresses IP de la machine, le nom d'hôte, le nom d'utilisateur, la version du système d'exploitation et si l'utilisateur actuel dispose de droits administrateur.

Persistance et évasion des défenses

NANOREMOTE utilise la bibliothèque Detours de Microsoft pour intercepter des fonctions système clés telles que GetStdHandle et ExitProcess. Cela empêche un seul thread défaillant de faire planter l'ensemble du processus, ce qui aide le malware à continuer de fonctionner même lorsque des composants individuels rencontrent des erreurs.

Le chargeur PE personnalisé intégré contourne les crochets que les produits de sécurité endpoint placent généralement sur le chargeur Windows standard. Cela rend plus difficile pour les logiciels de protection de détecter les exécutables nouvellement chargés au moment de l'exécution.

NANOREMOTE installe également un gestionnaire de plantage à l'échelle du processus qui génère des fichiers minidump Windows. Elastic Security Labs a noté que le malware crée un répertoire local nommé Log et écrit des informations détaillées sur l'activité dans un fichier appelé pe_exe_run.log, suggérant qu'il a été conçu avec le dépannage côté opérateur à l'esprit.

Conclusion

NANOREMOTE donne aux attaquants un accès persistant et caché à un ordinateur infecté et prend en charge un large éventail d'opérations à distance - de l'exécution de commandes et du chargement de malware supplémentaire à l'exfiltration de fichiers via Google Drive.

Sa connexion à la campagne REF7707 suggère qu'il fait partie d'un effort d'attaque ciblé et soigneusement coordonné. Le malware devrait être supprimé de tout système affecté immédiatement.

D'autres exemples de backdoors sont A0Backdoor, YiBackdoor et Anubis.

Comment NANOREMOTE a-t-il infiltré mon ordinateur ?

Selon Elastic Security Labs, NANOREMOTE est livré par un chargeur appelé WMLOADER. WMLOADER se fait passer pour un composant légitime de Bitdefender - BDReinit.exe - mais possède une signature numérique invalide. Lorsqu'il est exécuté, il déchiffre la charge utile NANOREMOTE à partir d'un fichier nommé wmsetup.log et la charge en mémoire.

Elastic Security Labs a lié NANOREMOTE à la campagne REF7707, avec des échantillons précoces montrant une activité provenant des Philippines en octobre 2025. Le malware partage une clé de chiffrement et plusieurs modèles de code avec l'implant FINALDRAFT, indiquant que les deux proviennent du même effort de développement et probablement du même acteur de menace.

Plus largement, les trojans et les backdoors sont diffusés par de nombreux canaux : courriels de phishing avec des pièces jointes malveillantes, faux sites de téléchargement de logiciels, publicité malveillante, sites Web compromis, logiciels piratés et supports amovibles infectés.

Comment éviter l'installation de malware ?

Soyez prudent avec les courriels non sollicités, en particulier ceux qui contiennent des pièces jointes ou des liens - même si l'expéditeur semble familier. Téléchargez des logiciels uniquement à partir de sources officielles et évitez les cracks, les générateurs de clés ou le contenu piraté. Maintenez le système d'exploitation et tous les programmes installés à jour, car les mises à jour comblent fréquemment les failles de sécurité que les attaquants exploitent.

Évitez de cliquer sur les publicités pop-up ou les notifications de navigateur provenant de sites inconnus, et utilisez un programme de sécurité réputé avec une protection en temps réel activée. Effectuez régulièrement des analyses complètes du système. Si vous pensez que votre ordinateur est déjà infecté, nous vous recommandons d'exécuter une analyse avec Combo Cleaner Antivirus pour Windows pour éliminer automatiquement les malwares infiltrés.

Suppression automatique et instantanée des maliciels :

La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :

En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Menu rapide :

• Qu'est-ce que NANOREMOTE ?
• ÉTAPE 1. Suppression manuelle du malware NANOREMOTE.
• ÉTAPE 2. Vérifiez si votre ordinateur est propre.

Comment supprimer un malware manuellement ?

La suppression manuelle des malwares est une tâche compliquée - il est généralement préférable de laisser les programmes antivirus ou anti-malware le faire automatiquement. Pour supprimer ce malware, nous recommandons d'utiliser Combo Cleaner Antivirus pour Windows.

Si vous souhaitez supprimer un malware manuellement, la première étape consiste à identifier le nom du malware que vous essayez de supprimer. Voici un exemple de programme suspect s'exécutant sur l'ordinateur d'un utilisateur :

Si vous avez vérifié la liste des programmes s'exécutant sur votre ordinateur, par exemple en utilisant le gestionnaire des tâches, et identifié un programme qui semble suspect, vous devez continuer avec ces étapes :

Téléchargez un programme appelé Autoruns. Ce programme affiche les applications à démarrage automatique, le Registre et les emplacements du système de fichiers :

Redémarrez votre ordinateur en Mode sans échec :

Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en Mode sans échec. Cliquez sur Démarrer, cliquez sur Arrêter, cliquez sur Redémarrer, cliquez sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows apparaisse, puis sélectionnez Mode sans échec avec prise en charge réseau dans la liste.

Vidéo montrant comment démarrer Windows 7 en « Mode sans échec avec prise en charge réseau » :

Utilisateurs de Windows 8 : Démarrez Windows 8 en Mode sans échec avec prise en charge réseau - Allez à l'écran de démarrage de Windows 8, tapez Avancé, dans les résultats de recherche sélectionnez Paramètres. Cliquez sur Options de démarrage avancées, dans la fenêtre « Paramètres généraux du PC » ouverte, sélectionnez Démarrage avancé.

Cliquez sur le bouton « Redémarrer maintenant ». Votre ordinateur va maintenant redémarrer dans le « menu des options de démarrage avancées ». Cliquez sur le bouton « Résolution des problèmes », puis cliquez sur le bouton « Options avancées ». Dans l'écran des options avancées, cliquez sur « Paramètres de démarrage ».

Cliquez sur le bouton « Redémarrer ». Votre PC redémarrera sur l'écran des paramètres de démarrage. Appuyez sur F5 pour démarrer en Mode sans échec avec prise en charge réseau.

Vidéo montrant comment démarrer Windows 8 en « Mode sans échec avec prise en charge réseau » :

Utilisateurs de Windows 10 : Cliquez sur le logo Windows et sélectionnez l'icône d'alimentation. Dans le menu ouvert, cliquez sur « Redémarrer » tout en maintenant la touche « Maj » enfoncée sur votre clavier. Dans la fenêtre « Choisir une option », cliquez sur « Résolution des problèmes », puis sélectionnez « Options avancées ».

Dans le menu des options avancées, sélectionnez « Paramètres de démarrage » et cliquez sur le bouton « Redémarrer ». Dans la fenêtre suivante, vous devez cliquer sur la touche « F5 » de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec prise en charge réseau.

Vidéo montrant comment démarrer Windows 10 en « Mode sans échec avec prise en charge réseau » :

Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.

Dans l'application Autoruns, cliquez sur « Options » en haut et décochez les options « Masquer les emplacements vides » et « Masquer les entrées Windows ». Après cette procédure, cliquez sur l'icône « Actualiser ».

Vérifiez la liste fournie par l'application Autoruns et localisez le fichier malveillant que vous souhaitez éliminer.

Vous devez noter son chemin complet et son nom. Notez que certains malwares masquent leurs noms de processus sous des noms de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer des fichiers système. Après avoir localisé le programme suspect que vous souhaitez supprimer, faites un clic droit sur son nom et choisissez « Supprimer ».

Après avoir supprimé le malware via l'application Autoruns (cela garantit que le malware ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du malware sur votre ordinateur. Assurez-vous d'activer les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom de fichier du malware, assurez-vous de le supprimer.

Redémarrez votre ordinateur en mode normal. Suivre ces étapes devrait supprimer tout malware de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne disposez pas de ces compétences, laissez la suppression des malwares aux programmes antivirus et anti-malware.

Ces étapes pourraient ne pas fonctionner avec des infections de malware avancées. Comme toujours, il est préférable de prévenir l'infection plutôt que d'essayer de supprimer le malware par la suite. Pour garder votre ordinateur en sécurité, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus. Pour être sûr que votre ordinateur est exempt d'infections par des malwares, nous recommandons de le scanner avec Combo Cleaner Antivirus pour Windows.

Foire aux questions (FAQ)

Mon ordinateur est infecté par le malware NANOREMOTE, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

Le formatage supprime NANOREMOTE mais efface également tous les fichiers du disque. Un outil de sécurité fiable tel que Combo Cleaner devrait être essayé en premier, car il peut supprimer l'infection sans perte de données personnelles.

Quels sont les plus gros problèmes que le malware NANOREMOTE peut causer ?

NANOREMOTE donne aux attaquants le contrôle total à distance du système infecté. Cela peut entraîner le vol de données, l'exécution de malware supplémentaire, la perte totale de contrôle de l'ordinateur et - au fil du temps - le vol d'identité et la fraude financière.

Quel est l'objectif du malware NANOREMOTE ?

L'objectif de NANOREMOTE est de donner aux attaquants un accès persistant et caché à une machine infectée. Les opérateurs peuvent exécuter des commandes, gérer des fichiers, charger des programmes supplémentaires en mémoire et exfiltrer des données via Google Drive, tout en restant hors de vue.

Comment le malware NANOREMOTE a-t-il infiltré mon ordinateur ?

NANOREMOTE est livré par un chargeur appelé WMLOADER, qui se fait passer pour un fichier légitime de Bitdefender. Il a été lié à la campagne REF7707. En général, les backdoors atteignent également les victimes par le biais de courriels de phishing, de faux téléchargements de logiciels, de contenu piraté et de sites Web compromis.

Combo Cleaner me protégera-t-il contre les malwares ?

Oui. Combo Cleaner peut détecter et supprimer la plupart des malwares connus, y compris les backdoors et les trojans. Étant donné que des menaces comme NANOREMOTE sont conçues pour se cacher profondément dans le système, l'exécution d'une analyse complète est importante pour s'assurer que rien n'est manqué.