Selon une annonce conjointe des autorités, le botnet 911 S5 a commencé à fonctionner en mai 2014 et a été démantelé en juillet 2022 avant de « renaître » sous le nom de Cloudrouter en octobre 2023.

911 S5 est peut-être le plus grand service proxy résidentiel et botnet au monde avec plus de 19 millions d'adresses IP compromises dans plus de 190 pays, causant des milliards de dollars de dégâts.

Les autorités ont identifié des applications VPN gratuites et illégales qui ont été créées pour se connecter au service 911 S5, notamment : MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN et ShineVPN.

Lorsque les utilisateurs téléchargent ces applications VPN, ils deviennent involontairement victimes du botnet 911 S5. Ces portes dérobées proxy permettent aux criminels de commettre des crimes tels que des alertes à la bombe, des fraudes financières, des vols d'identité, l'exploitation d'enfants, etc. Grâce à ces portes dérobées proxy, les activités illégales semblent provenir de l'appareil de la victime.

Pour savoir si vous êtes victime du botnet 911 S5, les lecteurs peuvent suivre les instructions du FBI ci-dessous.

1. Appuyez sur Ctrl + Alt + Suppr sur le clavier et sélectionnez Gestionnaire des tâches ou cliquez avec le bouton droit sur le menu Démarrer et sélectionnez Gestionnaire des tâches.

2. Une fois le Gestionnaire des tâches lancé, sous l'onglet Processus, recherchez : MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

sx072zkg.png
Exemple de ShieldVPN et ShieldVPN Svc en action.

Si le Gestionnaire des tâches ne détecte aucun des services ci-dessus, recherchez dans le menu Démarrer toute trace de logiciel intitulé « MaskVPN », « DewVPN », « ShieldVPN », « PaladinVPN », « ProxyGate » ou « ShineVPN ».

3. Cliquez sur le bouton Démarrer dans le coin inférieur gauche de l'écran, puis recherchez les noms suivants : MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Si vous détectez l'une des applications VPN, vous trouverez l'outil de désinstallation ci-dessous. Cliquez sur « Désinstaller ».

wjftx1tp.png

5. Si l'application n'a pas d'option de désinstallation, suivez ces étapes :

a. Cliquez sur le menu Démarrer et tapez « Ajouter ou supprimer des programmes » pour ouvrir le menu « Ajouter et supprimer des programmes ».

b. Trouvez le nom de l'application malveillante. Une fois trouvée, cliquez dessus et sélectionnez « Désinstaller ».

c. Vous pouvez ensuite vérifier en cliquant sur Démarrer, en tapant Explorateur de fichiers.

d. Cliquez sur le lecteur C et sélectionnez « Program Files (x86) ». Recherchez le nom de l'application malveillante dans la liste des fichiers et dossiers.

ve7wimy4.png

e. Avec ProxyGate, accédez à « C:\users\[Userprofile]\AppData\Roaming\ProxyGate ».

f. Si vous ne voyez aucun dossier intitulé « MaskVPN », « DewVPN », « ShineVPN », « ShieldVPN », « PaladinVPN » ou « Proxygate », ces applications ne sont peut-être pas installées.

g. Si un service est détecté comme étant en cours d'exécution mais ne se trouve pas dans le menu Démarrer ou dans Ajouter et supprimer des programmes :

Allez dans le répertoire décrit en 5d et 5e.

Ouvrez le Gestionnaire des tâches.

Sélectionnez le service lié à l’une des applications VPN malveillantes en cours d’exécution dans l’onglet Processus.

Sélectionnez Terminer la tâche pour arrêter l'application. Ensuite, faites un clic droit sur le dossier « MaskVPN », « DewVPN », « ShineVPN », « ShieldVPN », « PaladinVPN » ou « ProxyGate » et sélectionnez Supprimer. Vous pouvez également sélectionner tous les fichiers du dossier et sélectionner Supprimer.

hucrau1l.png

Si vous voyez un message d’erreur lorsque vous essayez de supprimer un dossier ou tous les fichiers d’un dossier, assurez-vous d’avoir terminé tous les processus dans le Gestionnaire des tâches de Windows comme décrit à l’étape 5g.

(Selon le FBI)