Selon une déclaration conjointe des autorités, le botnet 911 S5 a commencé à fonctionner en mai 2014 et a été fermé en juillet 2022 avant de « réapparaître » sous le nom de Cloudrouter en octobre 2023.

911 S5 pourrait être le plus grand service de proxy résidentiel et botnet au monde , avec plus de 19 millions d'adresses IP compromises dans plus de 190 pays, causant des milliards de dollars de dommages.

Les autorités ont identifié plusieurs applications VPN gratuites et illégales conçues pour se connecter au service 911 S5, notamment MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN et ShineVPN.

En téléchargeant ces applications VPN, les utilisateurs deviennent involontairement victimes du botnet 911 S5. Ces portes dérobées de type proxy permettent aux criminels de commettre des délits tels que des alertes à la bombe, des fraudes financières, des usurpations d'identité et l'exploitation d'enfants. Grâce à ces portes dérobées, ces activités illégales semblent provenir de l'appareil de la victime.

Pour savoir si vous êtes victime du botnet 911 S5, les lecteurs peuvent suivre les instructions du FBI ci-dessous.

1. Appuyez sur les touches Control + Alt + Delete de votre clavier et sélectionnez Gestionnaire des tâches, ou cliquez avec le bouton droit sur le menu Démarrer et sélectionnez Gestionnaire des tâches.

2. Une fois le Gestionnaire des tâches lancé, sous l'onglet Processus, recherchez : MaskVPN (mask_svc.exe), DewVPN (dew_svc.exe), PaladinVPN (pldsvc.exe), ProxyGate (proxygate.exe, cloud.exe), ShieldVPN (shieldsvc.exe), ShineVPN (shsvc.exe).

sx072zkg.png
Exemples de ShieldVPN et de ShieldVPN SVC en action.

Si le Gestionnaire des tâches ne détecte aucun des services susmentionnés, vérifiez le menu Démarrer pour toute trace de logiciel portant l'étiquette « MaskVPN », « DewVPN », « ShieldVPN », « PaladinVPN », « ProxyGate » ou « ShineVPN ».

3. Cliquez sur le bouton Démarrer dans le coin inférieur gauche de l'écran, puis recherchez les noms suivants : MaskVPN, DewVPN, ShieldVPN, PaladinVPN, ShineVPN, ProxyGate.

4. Si vous détectez des applications VPN, vous trouverez l'outil de désinstallation ci-dessous. Cliquez sur Désinstaller.

wjftx1tp.png

5. Si l'application ne dispose pas d'une option de désinstallation, suivez ces étapes :

a. Cliquez sur le menu Démarrer et tapez « Ajouter ou supprimer des programmes » pour ouvrir le menu « Ajouter et supprimer des programmes ».

b. Trouvez le nom de l'application malveillante. Une fois trouvé, cliquez sur le nom de l'application et sélectionnez Désinstaller.

c. Vous pouvez ensuite vérifier en cliquant sur Démarrer et en tapant Explorateur de fichiers.

d. Cliquez sur le lecteur C et sélectionnez Program Files (x86). Recherchez ensuite le nom de l'application malveillante dans la liste des fichiers et dossiers.

ve7wimy4.png

e. Avec ProxyGate, accédez à « C:\users\[Userprofile]\AppData\Roaming\ProxyGate ».

f. Si vous ne voyez aucun dossier intitulé « MaskVPN », « DewVPN », « ShineVPN », « ShieldVPN », « PaladinVPN » ou « Proxygate », il se peut que ces applications ne soient pas installées.

g. Si un service est détecté comme étant en cours d'exécution, mais qu'il est introuvable dans le menu Démarrer ou dans Ajout/Suppression de programmes :

Allez dans le répertoire décrit dans les sections 5d et 5e.

Ouvrir le Gestionnaire des tâches.

Sélectionnez le service associé à l'une des applications VPN malveillantes exécutées dans l'onglet Processus.

Sélectionnez « Fin de tâche » pour arrêter l’application. Ensuite, cliquez avec le bouton droit sur le dossier nommé « MaskVPN », « DewVPN », « ShineVPN », « ShieldVPN », « PaladinVPN » ou « ProxyGate », puis sélectionnez « Supprimer ». Vous pouvez également sélectionner tous les fichiers du dossier et choisir « Supprimer ».

hucrau1l.png

Si vous voyez un message d'erreur lorsque vous essayez de supprimer un dossier ou tous les fichiers contenus dans un dossier, assurez-vous d'avoir terminé tous les processus dans le Gestionnaire des tâches Windows comme décrit à l'étape 5g.

(Selon le FBI)