pimprenelle27 Administrateur
Messages : 1613 Points : 2268 Réputation : 51
| Sujet: Infection Rootkit Ven 1 Mar - 21:44 | |
| |
Infection Rootkit qu'est ce que c'est :
Le terme de rootkit est ancien et remonte aux débuts des systèmes d’exploitation développés sur une base UNIX. Pour les systèmes UNIX, les rootkits sont des programmes permettant l’attribution de droits correspondant au niveau root level pour certains utilisateurs (équivalent d’administrateur sous Windows).
Le terme de rootkits sous Windows (en Français : "kit de démarrage") fait référence à tout autre chose : il s’agit de logiciels malveillants qui tentent de se cacher afin de ne pas être repérés par les antivirus et dissimule la présence de programmes néfastes.
Les rootkits ne sont pas dangereux par eux-mêmes mais ils sont utilisés dans un but malveillant par des virus, des backdoors ou des logiciels espions. Un virus combiné à un rootkit peut alors agir de façon complètement transparente sur un ordinateur, même équipé d’un antivirus avec analyse en temps réel et à jour.
Contrairement aux virus ou bien aux vers, les rootkits ne sont pas capables de se dupliquer.
Pour installer un rootkit, il est nécessaire d'avoir les droits administrateurs de la machine. Détecter sa présence est plus compliqué que pour d'autres malwares.
Voici les principales actions des rootkits :
* Ils modifient le fonctionnement du système d'exploitation (et éventuellement son noyau). * Ils sont invisibles (processus cachés) ce qui les rend difficiles à désinfecter.
(Source CCM et Wikipédia)
Les différents types de rootkits
- Rootkit : Bagle - Rootkit : W32/TDSS - Rootkit : Tidserv - Rootkit : TDSServ - Rootkit : TDL 2 - Rootkit : TDL3 - Rootkit : TDL 4 - Rootkit : MBR Sinowal / Trojan.Mebroot - Rootkit : Banker - Sirefef.B / Rootkit.Win32.ZAccess
/!\ : Attention à la nouvelle variante de ZeroAccess! Elle neutralise l'antivirus MSE (Microsoft) en créant une jonction sur son répertoire. RogueKiller ne répare pas les dégâts, utilisez Malwarebytes AntiRootkit (MBAR)
Exemple de lignes issues d'un rapport ZHP diag démontrant l'infection :
- Citation :
C:\Windows\system32\drivers\SKYNETqvxnsomm.sys ==> Rootkit W32/TDSS c:\windows\system32\SKYNETqvxnsomm.dll ==> Rootkit W32/TDSS c:\windows\system32\SKYNETqvxnsomm.dat ==> Rootkit W32/TDSS C:\Windows\System32\drivers\srosa.sys ==> Rootkit.Bagle O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS) O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS) C:\WINDOWS\system32\tdssadw.dll ==> Rootkit TDSSserv (Source CCM) C:\WINDOWS\system32\tdssinit.dll ==> Rootkit TDSSserv (Source CCM) C:\WINDOWS\system32\tdssl.dll ==> Rootkit TDSSserv (Source CCM) C:\WINDOWS\system32\tdsslog.dll ==> Rootkit TDSSserv (Source CCM) C:\WINDOWS\system32\tdssmain.dll ==> Rootkit TDSSserv (Source CCM) C:\WINDOWS\system32\tdssservers.dat ==> Rootkit TDSSserv (Source CCM) C:\WINDOWS\system32\drivers\tdssserv.sys ==> Rootkit TDSSserv v c:\windows\system32\TDSSblat.dat ==> Rootkit TDSSserv (Source CCM) c:\windows\system32\TDSSqoaa.log ==> Rootkit TDSSserv (Source CCM)
Infection Rootkit MBR ( Master Boot Record qui permet de charger le système d'exploitation):
---\\ Recherche Master Boot Record Infection (MBR)(O80) Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net Run by Tifab at 22/03/2011 15:10:07
device: opened successfully user: MBR read successfully
Disk trace: called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x86458439]<< 1 nt!IofCallDriver[0x82846149] -> \Device\Harddisk0\DR0[0x858711A8] 3 CLASSPNP[0x88EC2745] -> nt!IofCallDriver[0x82846149] -> [0x85682850] 5 acpi[0x82F6D6A0] -> nt!IofCallDriver[0x82846149] -> [0x8567EBA0] \Driver\atapi[0x861B72E0] -> IRP_MJ_CREATE -> 0x86458439 kernel: MBR read successfully detected hooks: \Device\Ide\IdeDeviceP0T0L0-0 -> \??\IDE#DiskFUJITSU_MHV2160BT_PL____________________00000050#5&30feb803&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found \Driver\atapi -> 0x8561e1f8 user != kernel MBR !!! Warning: possible TDL4 rootkit infection ! TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.
Comment faire pour s'en débarrasser :
- Pour s'en débarrasser, il faut utiliser : - Gmer pour vérifier que l'infection est bien présente. - Ensuite passer TdssKiller qui permet de supprimer certains rootkits. - Puis si l'infection est toujours présente, passer Combofix pour supprimer complètement l'infection (mais attention si combofix détecte des fichiers patchés et ne les à pas remplacer, poster votre rapport sur le forum afin qu'un helper confirmé puisse remplacer le fichier) - Et pour finir passez cet outil généraliste MalwareBytes Anti-Malware afin de supprimer d'éventuels restes. - En toute dernière fin faire un rapport de diagnostic de l'ordinateur avec ZHP Diag afin de s'assurer que l'infection n'est plus présente.
Comment faire pour l'éviter :
- Tout simplement en faisant attention à ce que l'on fait sur Internet et son ordinateur, réfléchir avant d'agir afin de ne pas se faire infecter et surtout télécharger depuis les sites officiels et éviter le Peer to Peer
Si vous éprouvez des difficultés à retirer cette infection, nous vous invitons à venir nous demander conseil sur notre forum : => https://faei-entraide.forumactif.org/f4-virus-securite
|
| |
|