Un trojan qui « bloque » votre PC : Heel Abase Afro – Fake Gendarmerie Nationale

Un petit article suite à la demande de réparation d’un ordinateur infecté ! Un petit trojan très peu offensif au doux nom de Heel Abase Afro (voir le rapport VirusTotal). Il ne fait rien d’autre que s’afficher en plein écran lors du démarrage de votre ordinateur, au lancement de votre session. Aucun moyen de le fermer via tous les raccourcis possibles, par contre Ctrl + Alt + Suppr. fonctionne, mais le gestionnaire de tâches n’apparaîtra pas. Et que veut-il ce trojan ? Votre argent bien sûr, 200 € à payer par Ukash et autres moyens de paiement sans le moindre traçage, what else. Et pour cela il se fait passer pour la gendarmerie nationale, rien que ça.

Présentation du trojan Heel Abase Afro

On retrouve les classiques des mails de phishing avec leurs fautes d’orthographe et autres hoax bien connus vous demandant de l’argent via Western Union par exemple. Heureusement qu’ils ne savent pas écrire correctement pour l’heure, sinon le nombre de victimes pourrait augmenter. Bref, voici à quoi cette page ressemble (cliquez sur l’image et sur l’icône d’agrandissement pour voir l’image en taille réelle) :

Si vous êtes connecté à Internet, votre IP et autres informations s’afficheront, fournis par le service d’IP2Location. Dans l’onglet Payer amende on retrouve un petit formulaire vous demandant le ou les codes vouchers qu’ils attendaient que vous achetiez.

On en a cherché un bidon sur Google car ils vérifient quand même avec un peu de JavaScript si ça semble bon et du coup aucune requête n’est envoyé sur leur serveur, et voici ce que l’on obtient :

Mais où cela a-t-il été envoyé ? Sur un site obscur qui n’est apparemment plus en service (c’est bien la peine !) dont voici les informations qu’il en ressort suite à un Whois (un autre domaine apparaît également avec les mêmes coordonnées que ci-dessous, cndroaayghmf.com) :

Est-ce le véritable responsable de cette arnaque ? Bonne question, si des autorités compétentes s’en chargent, nous le saurons peut-être mais j’en doute. Quant au fait que le site ne soit plus en service, c’est grâce à Wireshark (un logiciel libre d’analyse de protocole ou « packet sniffer ») que j’ai pu savoir ça. En effet il y avait constamment des requêtes vers les serveurs DNS de mon FAI concernant le nom de domaine indiqué ci-dessus.

Voilà pour le côté analyse, maintenant je disais au début de l’article qu’il n’était pas du tout offensif, c’est parce que je n’ai jamais vu un logiciel malveillant aussi facile à supprimer.

Comment supprimer Heel Abase Afro ?

En démarrant votre ordinateur normalement, vous n’arriverez à rien vu qu’au lancement de votre session, il bloquera immédiatement votre PC. Seulement il y a toujours le superbe Mode sans Échec ! En appuyant sur F8 en démarrant votre ordinateur (un peu avant l’apparition du logo Windows ou de la barre de chargement), vous accèderez au menu vous permettant de choisir ce mode d’exécution. Une fois lancé, faites Win + R (ce qui équivaut à Démarrer > Exécuter mais vous n’avez pas forcément ce menu) et tapez « msconfig ». Allez dans l’onglet « Démarrage » et vous trouverez tous les logiciels qui se lancent au démarrage. Il ne vous reste qu’à chercher dans la liste le nom « Heel Abase Afro » (dans la première colonne « Élément de démarrage »), de le décocher, Appliquer, Ok et de redémarrer votre ordinateur normalement ! Pensez également à noter le chemin d’accès indiqué si vous voulez le supprimer directement. Il ne se lancera plus en le décochant, mais il sera toujours présent à moins de le supprimer manuellement, ou de le faire via un antivirus.

Enfin, nous vous recommandons d’utiliser un antivirus, ce trojan est détecté par la plupart comme le montre le rapport de VirusTotal en début de l’article (30/43). Vous n’avez pas forcément besoin de débourser de l’argent pour cela, Avast par exemple est gratuit et fait un boulot plutôt pas mal. Bref, surfez couverts !

Tags: avast, bloque, gendarmerie nationale, heel abase afro, pc, police, supprimer, trojan, virusHigh-Tech