Ne suivez pas ce lien ou vous tomberez dans un trou noir et vous serez banni du site.
Rkill est un programme par bleepingcomputer, un site américain spécialisé en sécurité informatique, dont le programme est probablement créé par Lawrence Abrams, fondateur du site bleepingcomputer.
Je conseille aux non-connaisseurs et aux confirmés de visiter ce site, pour une veille concernant les menaces informatiques, mais aussi aux désinfections, si vous savez vous exprimer en anglais.
Rkill est un programme permettant de mettre fin à certains éléments concernant des infections connues, il détecte donc:
Utilisation:
Mais je tenais à inclure ce programme dans les ressources de forum-des-portables-asus, via l'infection regin dont j'ai été infectée (celle de Belgacom), et qui m'était spécialement ciblée pour voler des CV, mais pas que, dont la description s'avère être la découverte de GrayFish, mais à la fois à une étape de Regin en version 32 bits.
Rkill a été un effet de bord, puisque des services étaient détectés, mais quand l'analyse concernant la signature digitale a débuté, le processus Rkill a été tué.
Comme Rkill détecte des menaces connues, alors j'avais émis l'hypothèse que Regin\GrayFish\EquationGroup utilisent ou utilisaient des malwares de cybercriminels.
En effet, en ayant fait une capture réseau, une partie des trames réseaux montre un botnet GameOverZeus.
Puis la chance était encore une fois de mon côté, derrière les trames réseaux, on y trouve le malware générique correspondant, qui est un trojan de type trojan.banker
J'avais constaté que mes machines virtuelles étaient infectées et sûrement lié à la menace à ZeusVM ou à ses rejetons.
Un conditionnement médiatique ou un réalisme naïf aurait trompé un administrateur réseau, et aurait eu une accusation facile en pointant du doigt des menaces russes ou brésiliennes.
Enfin, pour détecter Regin, les outils (quand l'un des malwares est lancé) sont:
Je conseille aux non-connaisseurs et aux confirmés de visiter ce site, pour une veille concernant les menaces informatiques, mais aussi aux désinfections, si vous savez vous exprimer en anglais.
Rkill est un programme permettant de mettre fin à certains éléments concernant des infections connues, il détecte donc:
- Les processus malveillants connus.
- Corrige des associations de fichers dû à des programmes malveillants.
- Il prend le temps de vérifier si il existe des élements infectieux dans la base de registre.
- Vérifie les signatures digitales des fichiers Windows.
- Effectue des analyses supplémentaires (non détaillé)
Rkil n'est pas un anti-virus, il permet de faciliter la désinfection de personnes infectées par un Helpeur (une personne qui désinfecte un ordinateur par rapport à un script de diagnostic).
Utilisation:
- Télécharger Rkill à cette adresse, dans votre bureau.
- Choisir un des éléments ci-dessous, par rapport au lieu ci-dessus:
- Choisir l'encadré où il est indiqué: iExplore.exe, afin d'éviter qu'une infection connue tue le processus qui lance Rkill (reconnaissance par rapport au nom).
- Pour des infections qui tuent le processus RKill, vous pouvez utiliser Rkill, mais avec une liste de noms dont l'infection ne tuera pas probablement(reconnaissance par rapport au nom).
Toutefois, il existe des infections qui prennent d'autres points de contrôle pour détecter si le programme est un programme de désinfection ou pas.
- Pour lancer RKill, faire un clic-droit sur l'icône représentant le nom du programme, puis sélectionner "Exécuter en tant qu'administrateur".
- Laisser le programme tourner. Ne faîtes rien pendant l'analyse.
- Une fois que le programme a fini son analyse, la fenêtre ci-dessous apparaîtra.
- Un rapport en format .txt va s'afficher, poster le rapport si besoin.
Mais je tenais à inclure ce programme dans les ressources de forum-des-portables-asus, via l'infection regin dont j'ai été infectée (celle de Belgacom), et qui m'était spécialement ciblée pour voler des CV, mais pas que, dont la description s'avère être la découverte de GrayFish, mais à la fois à une étape de Regin en version 32 bits.
Rkill a été un effet de bord, puisque des services étaient détectés, mais quand l'analyse concernant la signature digitale a débuté, le processus Rkill a été tué.
Comme Rkill détecte des menaces connues, alors j'avais émis l'hypothèse que Regin\GrayFish\EquationGroup utilisent ou utilisaient des malwares de cybercriminels.
En effet, en ayant fait une capture réseau, une partie des trames réseaux montre un botnet GameOverZeus.
Puis la chance était encore une fois de mon côté, derrière les trames réseaux, on y trouve le malware générique correspondant, qui est un trojan de type trojan.banker
J'avais constaté que mes machines virtuelles étaient infectées et sûrement lié à la menace à ZeusVM ou à ses rejetons.
Un conditionnement médiatique ou un réalisme naïf aurait trompé un administrateur réseau, et aurait eu une accusation facile en pointant du doigt des menaces russes ou brésiliennes.
Enfin, pour détecter Regin, les outils (quand l'un des malwares est lancé) sont:
- AswMBR: se crashe dès le début de l'analyse. Cela correspondrait à un patch d'un des fichiers du dossier SYSTEM32 ou SYSTEM32\DRIVERS.
- Gmer: A l'époque, Gmer ne fonctionnait qu'en mode utilisateur, et pas au mode kernel. Mais on peut toujours détecter quelque chose avec les IAT et les inline Hook.
- AISMI-cacher: (android) Je constate un SMS silencieux (Type-0), la langue utilisée trahit l'utilisateur. Accumulé à d'autres observations, les apparences peuvent-être trompeuses.
- Comodo: Un détecteur d'intrusion basé sur l'hôte et le réseau fait des merveilles.
