Nous avons récemment eu un logiciel malveillant sur des machines, qui est en fait un trojan de type Winlock, s’étant fortement répandu fin 2011. Il est communément appelé “Virus Gendarmerie” ou même “Virus Bundespolizei”. Celui-ci bloque votre ordinateur en faisant apparaitre un message vous demandant de débourser une certaine somme pour une soi-disant amende, voire encore une sorte de rançon, afin que l’ordinateur soit de nouveau fonctionnel. Le message peut varier et les images aussi.
Celui-ci peut s’être installé tranquillement dans votre système à cause de failles web. Certains logiciels non mis à jour et permettant de traiter du contenu spécifique, peuvent contenir des failles, et celles-ci pourraient avoir été exploitées lors de l’infection. Par exemple, des logiciels comme Flash Player, Adobe Reader et Java doivent régulièrement être mis à jour, ainsi que le navigateur lui-même.
Le site de Malekal répertorie les différentes variantes de ce trojan et explique comment les supprimer.
Suppression avec l’utilitaire ComboFix
L’une des variantes empêche l’ordinateur de se lancer en mode normal, mais permet de lancer celui-ci en mode sans échec, c’est-à-dire en pressant la touche F8 juste avant l’apparition du logo de démarrage de Windows. C’est ici que ComboFix intervient : il s’agit d’un utilitaire dont nous avons déjà parlé sur ce blog et qui s’occupe de nettoyer beaucoup de saletés. Pour le télécharger, rendez-vous sur le site Bleeping Computer. Lancez cet utilitaire en mode sans échec, et suivez les indications à l’écran. En général, vous ne devez rien faire de spécial.
Cet utilitaire est mis à jour régulièrement et doit donc être téléchargé périodiquement, car il intègre toujours plus de nouveautés. Notez aussi que vous pouvez consulter le tutorial en anglais disponible sur BleepingComputer.
Variante créant une clé de registre « Run »
L’une des variantes crée une clé de registre de type Run qui permet normalement de lancer un simple programme au démarrage. L’utilisation de Malwarebytes Anti-Malware en version gratuite suffira à éradiquer le trojan. D’autres programmes de sécurité permettent aussi de l’enlever, comme RogueKiller.
Variante modifiant la clé de registre « Shell »
Il s’agit d’une version qui modifie la clé « Shell » du registre de Windows pour lancer le programme malveillant au démarrage. Cette version sera malheureusement active dès lors qu’on sera entré en mode sans échec. Il faut alors choisir l’option “Invite de commandes en mode sans échec”.
- Redémarrer en invite de commandes. Pour cela, redémarrez l’ordinateur, avant le logo Windows, appuyer sur sur la touche F8, un menu va apparaitre, choisir alors “invite de commandes en mode sans échec” et appuyer sur la touche entrée du clavier.
- Une fois sur l’invite de commandes, tapez la commande : regedit.
- Déroulez l’arborescence suivante en cliquant sur les icônes [+] : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.
- Positionnez-vous sur la clé « Winlogon« , de telle manière à voir les valeurs apparaitre dans la partie droite.
- Localisez la valeur « Shell » (de type chaine) ; vous devriez y trouver « explorer.exe« , effacez tout et saisissez à nouveau « explorer.exe » (oui il faut remettre la même chose).
- Fermer l’éditeur de registre.
- Sur l’invite de commandes, saisir la commande : shutdown /r.
- Redémarrez l’ordinateur en mode normal.
- Si cela ne fonctionne pas, essayez de placer le programme ComboFix à la racine, puis de le lancer via l’invite de commandes.
