2 replies to this topic

[Txon]

Salut.

 

Le rootkit/cheval de Troie ‘’Necurs’’ n’est pas un nouveau-né. Une variante aurait été détecté dès mai 2011 mais il revient à la mode sous une forme un peu différente.

 

Au mois de novembre 2012 il aurait infecté plus de 80.000 PCs. Sa propagation se ferait à l’aide d’un bon vieux ‘’drive-by-download’’ inséré dans des pages Web.

 

Unexpected reboot: Necurs (Tim Liu – blogs.technet)

Il s’attaque à toutes les versions de Windows 32 et 64bits et serait capable de rendre impuissants de nombreux logiciels de sécurité :

 

Agnitum, ALWIL, Avira, Beijing Jiangmin, Beijing Rising, BitDefender, BullGuard, Check Point Software Technologies, CJSC Returnil, Comodo Security Solutions, Doctor Web, ESET, FRISK, G DATA, GRISOFT, Immunet, K7 Computing, Kaspersky Lab, Microsoft, NovaShield, Panda, PC Tools, Quick Heal Technologies, Sunbelt, Symantec (Norton), VirusBuster.

 

 

Necurs transperce le ‘’Patchguard’’ de Windows (KPP - kernel patch protection).

Suivant les variantes, il peut télécharger un ‘’rogue’’, Winwebsec, un DDL de distribution de spam ou d’autres joyeusetés comme du ‘’code’’ dans tous les processus en cours de fonctionnement.

Trojan:Win32/Necurs (Microsoft).

 

Il existe un remède, Necurs Removal Tool, mais je ne saurais dire s’il est efficace contre toutes les variantes.

 

@+

[EboO]

Mbam et hitman ne semblent pas touchés. Ça peut aider pour la désinfection.

[Txon]

Pour désinfecter, il y a toujours un scan et une éradication depuis un autre O.S : multiboot ou Live CD.

Parfois, la restauration du système selon le procédé de Windows à une date antérieure à celle de l'infection suffit.

Dans le pire des cas une restauration depuis un Live CD de sauvegarde du système fera l'affaire (Clonezilla par exemple).

 

@+