Selon une annonce conjointe des autorités, le botnet 911 S5 a commencé à fonctionner en mai 2014 et a été démantelé en juillet 2022 avant de « renaître » sous le nom de Cloudrouter en octobre 2023.

911 S5 est peut-être le plus grand botnet et service proxy résidentiel au monde avec plus de 19 millions d'adresses IP compromises dans plus de 190 pays, causant des milliards de dollars de dégâts.

Les autorités ont identifié des applications VPN gratuites et illégales qui ont été créées pour se connecter au service 911 S5, notamment : MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN et ShineVPN.

Lorsque les utilisateurs téléchargent ces applications VPN, ils deviennent sans le vouloir victimes du botnet 911 S5. Ces portes dérobées proxy permettent aux criminels de commettre des crimes tels que des menaces à la bombe, des fraudes financières, des vols d'identité, l'exploitation d'enfants, etc. En utilisant des portes dérobées proxy, les actes illégaux semblent provenir de l'appareil de la victime.

Pour savoir si vous êtes victime du botnet 911 S5, les lecteurs peuvent suivre les instructions du FBI ci-dessous.

1. Appuyez sur Ctrl + Alt + Suppr sur le clavier et sélectionnez Gestionnaire des tâches ou cliquez avec le bouton droit sur le menu Démarrer et sélectionnez Gestionnaire des tâches.

2. Une fois le Gestionnaire des tâches lancé, sous l'onglet Processus, recherchez : MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

sx072zkg.png
Exemple de ShieldVPN et ShieldVPN Svc en action.

Si le Gestionnaire des tâches ne détecte aucun des services ci-dessus, vérifiez dans le menu Démarrer s'il existe des traces de logiciels intitulés « MaskVPN », « DewVPN », « ShieldVPN », « PaladinVPN », « ProxyGate » ou « ShineVPN ».

3. Cliquez sur le bouton Démarrer dans le coin inférieur gauche de l'écran, puis recherchez les noms suivants : MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Si vous détectez l’une des applications VPN, vous pouvez trouver l’outil de désinstallation situé ci-dessous. Cliquez sur Désinstaller.

wjftx1tp.png

5. Si l'application n'a pas d'option de désinstallation, suivez ces étapes :

un. Cliquez sur le menu Démarrer et tapez « Ajouter ou supprimer des programmes » pour ouvrir le menu « Ajouter et supprimer des programmes ».

b. Recherchez le nom de l’application malveillante. Une fois trouvée, cliquez sur le nom de l'application et sélectionnez Désinstaller.

c. Vous pouvez ensuite vérifier en cliquant sur Démarrer, en tapant Explorateur de fichiers.

d. Cliquez sur le lecteur C et sélectionnez Program Files (x86). Ici, recherchez le nom de l’application malveillante dans la liste des fichiers et dossiers répertoriés.

ve7wimy4.png

f. Avec ProxyGate, allez dans « C:\users\[Userprofile]\AppData\Roaming\ProxyGate ».

f. Si vous ne voyez aucun dossier intitulé « MaskVPN », « DewVPN », « ShineVPN », « ShieldVPN », « PaladinVPN » ou « Proxygate », ces applications ne sont peut-être pas installées.

g. Si un service est détecté comme étant en cours d'exécution mais n'est pas trouvé dans le menu Démarrer ou Ajouter et supprimer des programmes :

Accédez au répertoire décrit en 5d et 5e.

Ouvrez le Gestionnaire des tâches.

Sélectionnez le service lié à l’une des applications VPN malveillantes en cours d’exécution dans l’onglet Processus.

Sélectionnez Fin de tâche pour arrêter l’exécution de l’application. Ensuite, faites un clic droit sur le dossier nommé « MaskVPN », « DewVPN », « ShineVPN », « ShieldVPN », « PaladinVPN » ou « ProxyGate », sélectionnez Supprimer. Vous pouvez également sélectionner tous les fichiers du dossier, puis choisir Supprimer.

hucrau1l.png

Si vous voyez un message d’erreur lorsque vous essayez de supprimer le dossier ou tous les fichiers du dossier, assurez-vous d’avoir terminé tous les processus dans le Gestionnaire des tâches de Windows comme décrit à l’étape 5g.

(Selon le FBI)