Important [vstcrack][Trojan] Nettoyage PC infecté par un vst de vstcrack.com

krk_VL

l'Accru 🥇
Level 2

Torrents Stats

Messages
39
J'aime
5
Trophées
131
Inscrit
9 Mai 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Taper "Registre" ou "regedit" dans la recherche windows et ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
Bonjour, j'ai besoin d'aide car depuis que j'ai été infecté par le qemu de dune 3 sur veryleaks même après avoir supprimé tous les dossiers et clé de registre indiquées j'ai des problèmes qui arrivent de tant en temps comme des messages d'erreurs "bridge.exe" qui m'empêche de lancer chrome par exemple et mon daw qui a crash une fois ca m'inquiète. merci d'avance
 

purplemood

l'Affirmé 🥈
Level 1

Torrents Stats

Messages
42
J'aime
5
Trophées
86
Inscrit
29 Janvier 2021
Un grand merci pour ces infos Très importante !!!

J'ai modifier le préfixe en IMPORTANT

Merci pour ta contribution ?
Exactement , j'ai eu ce fameux dossier qemu qui c'est installé sur mon C programme files , j'ai un un Trojan important , j'ai du tout reformaté , plus jamais je télécharge dur cette daub.
 

CBJOE

l'Actif 🥉
Level 1

Torrents Stats

Messages
10
J'aime
0
Trophées
46
Inscrit
11 Octobre 2019
Salut j'ai récemment installé une application qui s'appelait xfer ça m'a lancé une commande windows donc ça me semble être un virus mais je n'ai rien trouvé et ça ne ressemble pas au loudminer 2019,2020 le fichier datait de mi janvier 2021, est-ce possible que ce soit une nouvelle version du virus ?
 

Techside

Membre ✓
Certifié
Level 5

Torrents Stats

Messages
3 941
J'aime
81 191
Trophées
1 630
Inscrit
31 Décembre 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Taper "Registre" ou "regedit" dans la recherche windows et ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
Merci !
 

lecrayonapapierV2

l'Accru 🥇
Level 2

Torrents Stats

Messages
55
J'aime
230
Trophées
135
Inscrit
29 Janvier 2020
Salut j'ai récemment installé une application qui s'appelait xfer ça m'a lancé une commande windows donc ça me semble être un virus mais je n'ai rien trouvé et ça ne ressemble pas au loudminer 2019,2020 le fichier datait de mi janvier 2021, est-ce possible que ce soit une nouvelle version du virus ?
Surveille ton gestionnaire de tâche pour voir s'il y a quelques chose d'anormal mais comme ça je ne sais pas

Cheers
 

parodyfamilly

l'Actif 🥉
Level 2

Torrents Stats

Messages
6
J'aime
0
Trophées
59
Inscrit
4 Février 2021
- Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
Salut merci pour ton super guide, mais quand je supprime ça j'ai un message d'erreur "Suppression de Windows Defender impossible : erreur lors de la suppression de clé." , tu sais comment régler ça ?
Merci !
 

Vectaur_Eks

l'Affirmé 🥈
Level 1

Torrents Stats

Messages
18
J'aime
5
Trophées
86
Inscrit
27 Décembre 2020
Merci beaucoup pour les conseils, c'est bien de savoir se protéger... Pour ma part le virus n'était pas actif mais je pense savoir quoi faire quand je toucherai aux PCs de mes potes
 

Whoheem

l'Actif 🥉
Level 1

Torrents Stats

Messages
12
J'aime
1
Trophées
46
Inscrit
10 Février 2021
Je sais pas si c'est lié mais je crois que ce virus m'empêchait également d'installer des applications sur le Microsoft Store. La page Windows Defender était vide et j'avais à chaque fois une erreur quand je faisais une recherche de MAJ Windows. Un grand merci à toi.
 

matisselga

l'Affirmé 🥈
Level 1

Torrents Stats

Messages
45
J'aime
6
Trophées
81
Inscrit
29 Janvier 2021
merci beaucoup, tu m'aide énormément.
 

Htamn

l'Affirmé 🥈
Level 1

Torrents Stats

Messages
57
J'aime
9
Trophées
113
Inscrit
4 Décembre 2020
Merci beaucoup, c'est top de partager ce genre d'information !
 

reyes666

l'Affirmé 🥈
Level 1

Torrents Stats

Messages
19
J'aime
6
Trophées
86
Inscrit
9 Décembre 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Taper "Registre" ou "regedit" dans la recherche windows et ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
énorme merci , je conseil également d'effectuer toutes ses installations de vst crack et autres logiciels cracks avec sa carte résau coupée
 

Asusprimezone

Membre 🏅
Level 1

Torrents Stats

Messages
25
J'aime
1
Trophées
21
Inscrit
4 Avril 2021
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Taper "Registre" ou "regedit" dans la recherche windows et ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
Extrêmement bien détaillé! Merci beaucoup 🙏🏻
 

zesltr

l'Affirmé 🥈
Level 1

Torrents Stats

Messages
125
J'aime
29
Trophées
111
Inscrit
8 Février 2021
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Taper "Registre" ou "regedit" dans la recherche windows et ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~

Putain , merci mec j'étais même pas au courant je suis tombé par hasard dessus mdr merci bg !
 

rahileyf

Master 🏆
Level 1

Torrents Stats

Messages
117
J'aime
31
Trophées
183
Inscrit
9 Août 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Taper "Registre" ou "regedit" dans la recherche windows et ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
merci bg
 

SEAAQZ

l'Actif 🥉
Level 1

Torrents Stats

Messages
35
J'aime
1
Trophées
75
Inscrit
14 Novembre 2020
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Taper "Registre" ou "regedit" dans la recherche windows et ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
superbe tuto, dommage de l'avoir découvert apres avoir formaté le pc mais je confirme ce site pu le hack a toute patate, sinon vous pouvez aussi vous amusez pendant 2H a supprimer tout les fichiers QEMU de votre pc
 
Dernière édition:

Mokety

l'Affirmé 🥈
Level 1

Torrents Stats

Messages
74
J'aime
18
Trophées
88
Inscrit
31 Mars 2021
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Taper "Registre" ou "regedit" dans la recherche windows et ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
Vraiment intéressant
 

King22

l'Actif 🥉
Level 2

Torrents Stats

Messages
13
J'aime
146
Trophées
68
Inscrit
21 Juin 2021
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Taper "Registre" ou "regedit" dans la recherche windows et ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
Interéssant
 

5SEleak

l'Affirmé 🥈
Level 2

Torrents Stats

Messages
18
J'aime
470
Trophées
95
Inscrit
2 Août 2021
J’ai supprimé tout les fichiers qemu et mon pc est quasiment inutilisable je suis dégoûté et je sais pas quoi faire ptn
 

grrkg

Membre 🏅

Torrents Stats

Messages
21
J'aime
0
Trophées
19
Inscrit
24 Mai 2021
Résumé du post : NE TÉLÉCHARGEZ PAS SUR vstcrack.com

~~~~~~

Vous avez forcément croisé son chemin si vous cherchez à télécharger des VST mais sachez que la totalité des vst sont infectés par un virus de type Loudminer.
(Testé semaine de 20 avril 2020: Ozone 9, DadaLife Pack, ModoBass, Neutron 3, Fabfilter total Bundle, Ableton Live 10, Spire, Antares Auto-tune, Manipulator, Nexus, Sylenth,
Waves 11,Halftime,RC-20 ---> Tous Infectés !!
)


Lors de l'installation, une machine virtuelle et un mineur de cryptomonnaies sont installés à votre insu sur votre machine.
On le remarque généralement car notre CPU est sur-utilisé par un processus du type "qemu" ou "system" ou "Host Services 64" qui consomme 20-30% (parfois plus) des capacités du CPU.
Vous remarquerez le caractère parfois insidieux du nom du processus qui laisse penser que c'est un élément essentiel ("system", "host service 64").

Cependant, si vous avez des bonnes configs, il peut passer inaperçu (15% d'utilisation du CPU ne déclenchera pas les ventilateurs à plein régime, nom de processus passe-partout).
Je vous conseille donc de vérifier votre système si vous avez déjà téléchargé sur ce site !

Le mineur se lance au démarrage de Windows. On peut remarquer un nouveau service ("Host Services x64","host Service","SystemService") dans l'onglet "démarrage" du gestionnaire de taches qui éxecute le virus au démarrage.

Le post est ordonné de la façon suivante :
(I) Description des 2 versions principales du virus (2019-2020)
(II) Marche à suivre pour les supprimer
(III) Ancienne version du virus (2019)
(IV) Quelques informations pour MacOS
(V) Sources



~~~~~~
I. Versions du Loudminer
~~~~~~


Version 1 : "qemu" Virtual Machine (via MS System Update)

Exemple ici avec "Manipulator" de Polyverse telechargé le 19/04/2020 depuis vstcrack. Idem pour "Modo Bass","DadaLife Pack","Halftime","RC-20"
Lorsque qu'on lance l'installation, il y a en fait 2 fichier .msi qui sont éxécutés en parallèle. Le premier installe le vst cracké, le second le Loudminer :
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\Infected Mushroom Manipulator.msi // Installeur Manipulator
  • ?\C:\Users\<USER>\AppData\Roaming\Polyverse\Infected Mushroom Manipulator 1.0.3.0\install\MS System Update.msi // Installeur Loudminer
Le loudminer est installé dans des dossiers cachés. Pour les révéler, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente. Il s’appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows Defender et les updates de windows. Cela permet au virus de persister sur le système
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC

Version 2 : "qemu" Virtual Machine (via App Deploy)

Exemple ici avec "Spire" de RevealSound téléchargé le 21/04/2020 depuis vstcrack. Idem pour "Melodyne","Antares Autotune","Fabfilter Bundle","Neutron 3","Waves 11"
Même processus, le Loudminer est installé en même temps que le vst cracké via le dossiers ?\C:\Program Files (x86)\App Deploy

Il est installé dans des dossiers cachés. Pour les voir, vous devez activer l'affichage des dossiers masqués dans l'onglet "Affichage" de l'explorateur de fichier.

Il y a 4 étapes clés :
  1. Installation d'une machine virtuelle : Elle sera utilisé pour exécuter le Loudmineur dessus
    • Dossier de la machine virtuelle : ?\C:\Program Files\qemu
    • Accélérateur pour la machine virtuelle : ?\C:\Program Files\Intel\HAXM (dossier temporaire d'installation : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM)
  2. Installation du LoudMineur : C'est fichier qui sera éxecuté sur la machine virtuelle précédente.Il s'appelle généralement "system" (130Mo ~)
    • Emplacement du mineur : ?\C:\Program Files\qemu\system
  3. Édition du registre pour la persistance : Des clés sont ajoutées au registre, elles désactivent l'antispyware de Windows defender et les updates de Windows. Cela permet au virus de persister sur le système. (Certaines versions de ce virus n'effectuent pas cette action)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\"DisableAntiSpyware"=dword:00000001
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate
  4. Ajout du Loudminer aux processus lancés au démarrage de Windows : Permet de lancer le Mineur au démarrage du PC


~~~~~~
II. Suppression du LoudMineur
~~~~~~

On va chercher à trouver et supprimer les dossiers contenant le virus. Vous pouvez soit naviguer depuis l'explorateur de fichier(/!\ Si votre Windows est en français, "Program Files" sera remplacé par "Programmes" et "Users" par "Utilisateurs" /!\), soit écrire directement les chemins d'accès dans la barre d'adresse :

  • Supprimer le dossier : ?\C:\Program Files\qemu
  • Supprimer le dossier (s'il existe): ?\C:\Users\<USER>\AppData\Roaming\IntelTools\system
  • Supprimer le dossier : ?\C:\Users\<USER>\AppData\Local\Temp\Intel\HAXM
  • Supprimer le dossier (s'il existe): ?\C:\Program Files\Intel\HAXM
  • Supprimer les clés de registre suivantes (si elles existent): /!\ Pensez à effectuer une sauvegarde du registre avant toute modification au cas où vous faites une erreur /!\
    Taper "Registre" ou "regedit" dans la recherche windows et ouvrir l’éditeur de registre, ensuite trouver les dossiers suivants et les supprimer :
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender
    - Supprimer le dossier : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    (ou HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Windows\WindowsUpdate\AU)

On a donc supprimé le Loudmineur et restauré la sécurité Windows. Tout est en ordre ! Le VST cracké continuera bien évidemment à fonctionner.
Si le dossier qemu n'existe pas, vous êtes probablement infecté par l’ancienne version du virus. Passez à la section III du post !

~~~~~~
NB : Pour certains utilisateurs, l'utilisation de Malwarebytes a aussi permis de détecter et supprimer le virus.
NB 2 : Parfois le dossier "qemu" n'est pas seulement un dossier caché, il obtient aussi l'attribut "system" qui le rend quasi invisible.
Le plus simple est de directement taper le chemin du dossier dans l'explorateur de fichier mais sinon pour l'afficher, il est nécessaire de révéler
les dossiers systèmes cachés en décochant la case "Masquer les fichiers protégés du système d'exploitation" dans l'outil de l'explorateur de fichier.
Veillez cependant à recocher cette case après la manipulation pour ne pas supprimer ensuite de véritables fichiers systèmes critiques.


Voir la pièce jointe 18598


~~~~~~
III. Ancienne version du LoudMineur
~~~~~~

Version 3 : "VirtualBox" Virtual Machine

Cette version du mineur est plus ancienne, je l'avais remarquée avec "Ableton Live 10" téléchargé en novembre 2019 depuis vstcrack.
Le principe est similaire, mais cette fois-ci, une autre machine virtuelle est utilisée : VirtualBox.

En plus des dossiers précédents (Section II), supprimer le dossier suivant (il remplace ?\C:\Program Files\qemu) :
  • ?\C:\vms


~~~~~~
IV. MacOS
~~~~~~

Ne possédant pas de Mac, je ne sais pas exactement comment le virus fonctionne pour MacOS.
Cependant, les VST MacOS sont vraisemblablement aussi infectés.

Vous pouvez toujours installer un logiciel du type Malwarebytes en espérant qu'il détecte le virus.
Sinon, cet article présente beaucoup d'informations, en particuliers les dossiers potentiels où le virus peut être installé.

PS : Si quelqu'un a déjà réussi à nettoyer son mac et souhaite contribuer à cet article pour enrichir cette section, contactez moi !


~~~~~~
V. Sources
~~~~~~

- Expérimentation perso sur un vieux pc en utilisant le logiciel "Mirekusoft Install Monitor" qui donne un récapitulatif complet de toutes les modifications apportés à votre ordinateur par une installation.
- Article intéressant sur le sujet : https://www.welivesecurity.com/fr/2019/06/21/loudminer-exploitation-miniere-vst/
- Site de test de dangerosité d'un fichier par 50 antivirus différents : https://www.virustotal.com/gui/home
- Merci à la contributions de jejjfefr qui a permis l'amélioration de ce post



~~~~~~


Pour toutes questions supplémentaires ou si certaines de mes informations vous semblent incomplètes, n’hésitez pas à m'envoyer un message perso !


~~~~
~~~ Cheers ~~~
~~~~
merci mon frere
 

BlackLoLO

Membre 🏅
Level 1

Torrents Stats

Messages
4
J'aime
0
Trophées
44
Inscrit
22 Juin 2020
Merci infiniment pour ces informations que je découvre en 2021 ! Je me méfiais déjà, mais là c'est catégorique. Comme on dit quand c'est gratuit... c'est nous le produit. 😉
 
Haut Bas