Selon une annonce conjointe des autorités, le botnet 911 S5 a commencé à fonctionner en mai 2014 et a été démantelé en juillet 2022 avant de « renaître » sous le nom de Cloudrouter en octobre 2023.

911 S5 pourrait être le plus grand service de proxy résidentiel et botnet au monde , avec plus de 19 millions d'adresses IP compromises dans plus de 190 pays, causant des milliards de dollars de dommages.

Les autorités ont identifié des applications VPN gratuites et illégales créées pour se connecter au service 911 S5, notamment : MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN et ShineVPN.

En téléchargeant ces applications VPN, les utilisateurs deviennent, à leur insu, victimes du botnet 911 S5. Ces portes dérobées de type proxy permettent aux criminels de commettre des délits tels que des alertes à la bombe, des fraudes financières, des vols d'identité, l'exploitation d'enfants, etc. Grâce à ces portes dérobées, les activités illégales semblent provenir de l'appareil de la victime.

Pour savoir si vous êtes victime du botnet 911 S5, les lecteurs peuvent suivre les instructions du FBI ci-dessous.

1. Appuyez sur les touches Ctrl + Alt + Suppr du clavier et sélectionnez Gestionnaire des tâches ou cliquez avec le bouton droit sur le menu Démarrer et sélectionnez Gestionnaire des tâches.

2. Une fois le Gestionnaire des tâches lancé, sous l'onglet Processus, recherchez : MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

sx072zkg.png
Exemple de ShieldVPN et du service ShieldVPN en action.

Si le Gestionnaire des tâches ne détecte aucun des services ci-dessus, vérifiez dans le menu Démarrer s'il y a des traces de logiciels portant les noms « MaskVPN », « DewVPN », « ShieldVPN », « PaladinVPN », « ProxyGate » ou « ShineVPN ».

3. Cliquez sur le bouton Démarrer dans le coin inférieur gauche de l'écran, puis recherchez les noms suivants : MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Si vous détectez une application VPN, vous trouverez l'outil de désinstallation ci-dessous. Cliquez sur Désinstaller.

wjftx1tp.png

5. Si l'application ne dispose pas d'une option de désinstallation, suivez ces étapes :

a. Cliquez sur le menu Démarrer et tapez « Ajouter ou supprimer des programmes » pour ouvrir le menu « Ajouter et supprimer des programmes ».

b. Trouvez le nom de l'application malveillante. Une fois trouvé, cliquez sur le nom de l'application et sélectionnez Désinstaller.

c. Vous pouvez ensuite vérifier en cliquant sur Démarrer, puis en tapant Explorateur de fichiers.

d. Cliquez sur le lecteur C et sélectionnez Program Files (x86). Recherchez ensuite le nom de l'application malveillante dans la liste des fichiers et dossiers.

ve7wimy4.png

e. Avec ProxyGate, accédez à « C:\users\[Userprofile]\AppData\Roaming\ProxyGate ».

f. Si vous ne voyez aucun dossier intitulé « MaskVPN », « DewVPN », « ShineVPN », « ShieldVPN », « PaladinVPN » ou « Proxygate », il se peut que ces applications ne soient pas installées.

g. Si un service est détecté comme étant en cours d'exécution, mais qu'il n'est pas trouvé dans le menu Démarrer ou dans Ajout/Suppression de programmes :

Allez dans le répertoire décrit en 5d et 5e.

Ouvrir le Gestionnaire des tâches.

Sélectionnez le service associé à l'une des applications VPN malveillantes exécutées dans l'onglet Processus.

Sélectionnez « Fin de tâche » pour arrêter l’application. Ensuite, cliquez avec le bouton droit sur le dossier nommé « MaskVPN », « DewVPN », « ShineVPN », « ShieldVPN », « PaladinVPN » ou « ProxyGate », puis sélectionnez « Supprimer ». Vous pouvez également sélectionner tous les fichiers du dossier et choisir « Supprimer ».

hucrau1l.png

Si vous voyez un message d'erreur lorsque vous essayez de supprimer un dossier ou tous les fichiers d'un dossier, assurez-vous d'avoir terminé tous les processus dans le Gestionnaire des tâches Windows comme décrit à l'étape 5g.

(Selon le FBI)