Le FBI, le Service d’enquête criminelle de la Défense et le Bureau de l’application des exportations du Département du Commerce ont publié un avis de service public destiné aux particuliers et aux entreprises pour mieux comprendre et se protéger contre le service de proxy résidentiel et le botnet 911 S5.
Le service 911 S5, opérationnel depuis mai 2014 et mis hors ligne par son administrateur en juillet 2022, a été reconstitué sous le nom de Cloudrouter en octobre 2023. Ce botnet, qui compte plus de 19 millions d’adresses IP compromises dans plus de 190 pays, a causé des pertes financières confirmées se chiffrant en milliards de dollars.
Parmi les applications VPN gratuites et illégitimes créées pour se connecter au service 911 S5 figurent : MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN et ShineVPN. Les utilisateurs de ces applications, sans être conscients de la porte dérobée du proxy, sont devenus malgré eux des victimes du botnet 911 S5. Cette porte dérobée permettait aux utilisateurs de 911 S5 de rerouter leurs appareils à travers ceux des victimes, facilitant la commission de crimes tels que les menaces de bombes, la fraude financière, le vol d’identité, l’exploitation d’enfants et le courtage d’accès initial. En utilisant une porte dérobée de proxy, les criminels faisaient en sorte que leurs activités illégales semblent provenir des appareils des victimes.
Voici des informations utiles pour identifier et supprimer les applications VPN du 911 S5 de vos appareils ou machines :
1- Vérification des services en cours
- Appuyez sur Control+Alt+Delete et sélectionnez l’option « Gestionnaire de tâches » ou cliquez-droit sur le menu Démarrer (icône Windows) et sélectionnez « Gestionnaire de tâches ».
2- Sous l’onglet « Processus », recherchez les applications suivantes :
- MaskVPN (mask_svc.exe)
- DewVPN (dew_svc.exe)
- PaladinVPN (pldsvc.exe)
- ProxyGate (proxygate.exe, cloud.exe)
- ShieldVPN (shieldsvc.exe)
- ShineVPN (shsvc.exe)
3– Recherche via le menu Démarrer
- Cliquez sur le bouton « Démarrer » (icône Windows) généralement situé dans le coin inférieur gauche de l’écran et recherchez les noms identifiés des applications malveillantes : MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.
4- Désinstallation des applications
- Si l’une des applications VPN est trouvée, utilisez parfois l’option de désinstallation située sous le menu Démarrer de l’application VPN.
- Si l’application ne contient pas d’option de désinstallation, cliquez sur le menu Démarrer (bouton Windows) et tapez « Ajouter ou supprimer des programmes » pour ouvrir le menu correspondant. Recherchez le nom de l’application malveillante, sélectionnez-le dans la liste, puis choisissez l’option « Désinstaller ».
5- Suppression manuelle des dossiers et des fichiers
- Après la désinstallation, vous pouvez vérifier que l’application a été supprimée en cliquant sur « Démarrer » (icône Windows) et en tapant « Explorateur de fichiers ».
- Cliquez sur la lettre de lecteur « C: » et naviguez jusqu’à « Program Files(x86) ». Recherchez les noms des applications malveillantes dans la liste des fichiers et des dossiers. Pour ProxyGate, naviguez vers « C:\users\[Profilutilisateur]\AppData\Roaming\ProxyGate ».
En suivant ces étapes, vous pouvez aider à sécuriser vos appareils contre les activités malveillantes associées au botnet 911 S5
