BDTools.net Logo

Supprimer Zimuse d’ordinateurs infectés





Est-ce que votre ordinateur est infecté ? Essayez notre nouveau QuickScan en 30 secondes pour le savoir :


Page d’accueil Qu’est-ce-que Zimuse ? Description technique Télécharger l’outil de désinfection Instruction de désinfection A propos de BitDefender
Protection Internet Permanente
BitDefender Internet Security Box
Pour optimiser votre sécurité en ligne, nous vous recommandons BitDefender Internet Security

Essayez-le !

Worm.Zimuse

(Trojan.Startpage.G, Win32/Zimuse.A, Worm:Win32/Zumes.A!sys)

SYMPTOMES

Présence des fichiers suivants :
  • %system32%\drivers\mstart.sys
  • %system32%\drivers\mseu.sys

DESCRIPTION TECHNIQUE

Le malware arrive comme une application avec une icône Winzip afin d’inciter l’utilisateur à l’exécuter. Afin de ressembler encore plus à une archive auto-extractable, il affiche une boîte de dialogue demandant un mot de passe afin de pouvoir décompresser le contenu du package.

Une fois exécuté, l’application contrôle les paramètres de ligne de commande et s’il y a ‘/Z’ alors il procède à la suppression de tous les fichiers, toutes les clés de registre et tous les services qu’il a créé durant une précédente infection.

Dans le cas contraire, il prend les actions suivantes :
  • Il vérifie s’il est paramétré pour s’exécuter au démarrage, en vérifiant la présence d’une clé nommée 'Dump' dans HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
  • Si aucune infection précédente n’est trouvée, alors il infecte l’ordinateur.

L’infection de l’ordinateur consiste en :
  • Copier les fichiers
    • %system32%\drivers\mstart.sys et créé puis exécute un service nommé 'mstart' à partir de ce fichier;
    • %program-files%\Dump\dump.exe"
    • %Temp%\Dump.ini
    • %Temp%\Regini.exe
    • %system32%\drivers\mstart.sys
    • %system32%\drivers\mseu.sys
    • %Temp%\mseu.ini (utilisés pour l’installation du service mseu.sys)
    • %system32%\mseus.exe
    • %Temp%\mseus.ini (utilisés pour l’installation du service mseus.exe)
    • %system32%\tokset.dll
    • %system32%\ainf.inf
    • %Temp%\instdrv.exe (qui est un fichier sain utilisé pour installer des services)
    • %system_drive%\IQTest\iqtest.exe (dans certaines versions)
    • %system_drive%\IQTest\readme.txt (dans certaines versions)
  • Paramétrer le fichier dump.exe copié plus tôt pour s’exécuter au démarrage
  • supprime les fichiers suivants (qui étaient utilisées pour des installations de services)
    • %Temp%\Regini.exe
    • %Temp%\Dump.ini
    • %Temp%\mseu.ini
    • %Temp%\mseus.ini
    • %Temp%\instdrv.exe

Le malware est inactive Durant les 10 premiers jours (première variante) ou 7 jours (seconde variante). Après cette période de temps, à partir du moment de l’infection, il infectera tous les lecteurs USB connectés à l’ordinateur en utilisant la technique classique d’autorun.inf.

40 jours après l’infection (première variante) ou 20 jours (seconde variante), le malware écrit sur le MBR (Master Boot Record) rendant impossible le redémarrage du PC.


Bitdefender Remove Zimuse