A l'aide, alerte au rootkit

Le
Gloops
Bonjour tout le monde,

Tout a commencé calmement, mon défragmenteur (Auslogics Diskdefrag) s=
'en
prenait souvent aux mêmes fichiers et j'ai fini par trouver ça louche=
.
Comme Firefox était concerné j'ai soulevé la question dans un newsg=
roup
Firefox, il s'est avéré qu'il y avait un point où j'en demandais
beaucoup, il fallait effacer un fichier d'historique, de ce côté les =

choses sont rentrées dans l'ordre.

J'ai aussi par ailleurs des vidéos qui ont tendance à se fragmenter d=
e
temps à autre alors que je ne les ouvre jamais.

Dans le newsgroup Firefox, quelqu'un m'a suggéré une analyse avec
http://dl.betanews.com/malwarebytes/mbam-setup.exe

On dirait que c'était une bonne idée. Je glisse sur deux trucs dans u=
n
programme que j'ai développé, je demanderai ensuite confirmation dans=
un
newsgroup de programmation.

Je glisse aussi sur
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExpl=
orer
qui contient une clef DWord StartMenuLogoff à 1, si j'en crois ce que
j'ai lu ailleurs ça supprime le bouton déconnecter dans le menu
démarrer, or j'ai tout ce qu'il faut pour fermer la session ou Windows,=

donc ça n'a pas l'air méchant.

Ce qui me tracasse davantage, ce sont deux fichiers dont les noms sont
des nombres à sept chiffres, avec l'extension exe, dans le répertoire=

Windows. MBAM me les signale comme Rootkit.Agent, et alors ça si je ne =

m'abuse, comme truc dangereux, ça se pose là.

Avec un peu de chance ils n'ont pas encore sévi et il suffira de les
effacer.

Bon, la première des choses à faire, je suppose, c'est de démarrer =
avec
mon CD BartPE (il va de soi que je n'ai pas commencé à réellement
utiliser la machine tant que je ne l'ai pas gravé, vu que maintenant le=
s
constructeurs ont la "décontraction" de ne pas fournir de CD de
démarrage avec les portables qu'ils vendent).

Alors une fois démarré sur le BartPE, je fais quoi ?
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Gloops
Le #23600251
En voilà, des noms de fichiers à la noix. MBAM ne m'en signale que de ux,
mais pour les autres ... Effacement sans vergogne, ou un peu plus de
prudence ?

23/07/2011 17:32 0 0.log
23/07/2010 15:34 4 1431312.dat
23/07/2010 15:34 7 680 1431312.exe
23/07/2010 21:25 4 316437.dat
23/07/2010 21:25 7 680 316437.exe
24/07/2010 12:37 4 388703.dat
24/07/2010 12:37 7 680 388703.exe
24/07/2010 12:29 4 8942531.dat
24/07/2010 12:29 7 680 8942531.exe
22/08/2010 02:31 4 9162031.dat
22/08/2010 02:31 7 680 9162031.exe
27/08/2010 00:33 4 93826656.dat
27/08/2010 00:33 7 680 93826656.exe
Bingo
Le #23600381
hello,
avant de les supprimer, tu peux déjà de les renommer, pour voir si ça
fonctionne toujours,
tu peux aussi en faire une sauvegarde sur un autre support,


"Gloops" j0hkf3$f3v$
En voilà, des noms de fichiers à la noix. MBAM ne m'en signale que deux,
mais pour les autres ... Effacement sans vergogne, ou un peu plus de
prudence ?

23/07/2011 17:32 0 0.log
23/07/2010 15:34 4 1431312.dat
23/07/2010 15:34 7 680 1431312.exe
23/07/2010 21:25 4 316437.dat
23/07/2010 21:25 7 680 316437.exe
24/07/2010 12:37 4 388703.dat
24/07/2010 12:37 7 680 388703.exe
24/07/2010 12:29 4 8942531.dat
24/07/2010 12:29 7 680 8942531.exe
22/08/2010 02:31 4 9162031.dat
22/08/2010 02:31 7 680 9162031.exe
27/08/2010 00:33 4 93826656.dat
27/08/2010 00:33 7 680 93826656.exe
Gloops
Le #23600471
Bon, d'accord.

Maintenant, j'attends avec impatience que quelqu'un puisse répondre sur
le rootkit, puisque comme tu imagines, ça me préoccupe nettement plus .


Bingo a écrit, le 24/07/2011 20:11 :
hello,
avant de les supprimer, tu peux déjà de les renommer, pour voir si ça
fonctionne toujours,
tu peux aussi en faire une sauvegarde sur un autre support,


"Gloops" j0hkf3$f3v$
En voilà, des noms de fichiers à la noix. MBAM ne m'en signale que deux,
mais pour les autres ... Effacement sans vergogne, ou un peu plus de
prudence ?

23/07/2011 17:32 0 0.log
23/07/2010 15:34 4 1431312.dat
23/07/2010 15:34 7 680 1431312.exe
23/07/2010 21:25 4 316437.dat
23/07/2010 21:25 7 680 316437.exe
24/07/2010 12:37 4 388703.dat
24/07/2010 12:37 7 680 388703.exe
24/07/2010 12:29 4 8942531.dat
24/07/2010 12:29 7 680 8942531.exe
22/08/2010 02:31 4 9162031.dat
22/08/2010 02:31 7 680 9162031.exe
27/08/2010 00:33 4 93826656.dat
27/08/2010 00:33 7 680 93826656.exe


Bernard Lempel
Le #23600961
J'ai fait une recherche avec Google et je n'ai rien trouvé.
Donc je ferai confiance à MBAM.
Efface les tous mais après les avoir sauvegardé. (Note bien leurs
emplacements).
Si dans les semaines tu constates une anomalie, remet les en place. Mais
cela m'étonnerai que tu sois amené à le faire.

B. Lempel

"Gloops" j0ho34$nrj$
Bon, d'accord.

Maintenant, j'attends avec impatience que quelqu'un puisse répondre sur
le rootkit, puisque comme tu imagines, ça me préoccupe nettement plus.


Bingo a écrit, le 24/07/2011 20:11 :
hello,
avant de les supprimer, tu peux déjà de les renommer, pour voir si ça
fonctionne toujours,
tu peux aussi en faire une sauvegarde sur un autre support,


"Gloops" j0hkf3$f3v$
En voilà, des noms de fichiers à la noix. MBAM ne m'en signale que deux,
mais pour les autres ... Effacement sans vergogne, ou un peu plus de
prudence ?

23/07/2011 17:32 0 0.log
23/07/2010 15:34 4 1431312.dat
23/07/2010 15:34 7 680 1431312.exe
23/07/2010 21:25 4 316437.dat
23/07/2010 21:25 7 680 316437.exe
24/07/2010 12:37 4 388703.dat
24/07/2010 12:37 7 680 388703.exe
24/07/2010 12:29 4 8942531.dat
24/07/2010 12:29 7 680 8942531.exe
22/08/2010 02:31 4 9162031.dat
22/08/2010 02:31 7 680 9162031.exe
27/08/2010 00:33 4 93826656.dat
27/08/2010 00:33 7 680 93826656.exe


Gloops
Le #23601171
Bernard Lempel a écrit, le 24/07/2011 23:03 :
J'ai fait une recherche avec Google et je n'ai rien trouvé.
Donc je ferai confiance à MBAM.
Efface les tous mais après les avoir sauvegardé. (Note bien leurs
emplacements).
Si dans les semaines tu constates une anomalie, remet les en place. Mai s
cela m'étonnerai que tu sois amené à le faire.



Oui, tu dis comme Bingo, et c'est bien ce que j'aurais fait, merci.

Crois-tu que je trouverai encore quelqu'un par ici qui puisse me
répondre sur le rootkit ?

C'est vrai qu'avec le fractionnement d'usenet (en tout cas la
disparition du principal serveur pour ce newsgroup), au-delà d'un
certain niveau on n'est plus guère assuré de contacter les gens qui
connaissent la réponse.

Parce qu'un rootkit, c'est quand même largement autre chose que la
présence de quelques fichiers de 7 Ko chacun.
La question, c'est : est-ce que je peux continuer à utiliser ma machine
(et en étant sûr de ne pas abreuver la planète entière de spams), si non
comment la rendre à nouveau utilisable, et surtout comment le savoir ?

Pour la deuxième question, la réparation, j'ai un peu une idée, pou r les
deux autres, le diagnostic, c'est le flou complet.
Si je dois analyser la structure de mon secteur de démarrage, je dois
dire qu'il me manque des billes, pour ne pas dire plus.

Donc là, j'ai trouvé une fiole de microbes qui peut tout anéantir, tu me
dis yaka la faire bouillir, oui ça d'accord. La question, maintenant,
est de savoir si la machine est contaminée ou pas. Parce que dans ce
cas, économiser 7 Ko de disque, même dix fois, ça n'est plus l'enje u.
Faire bouillir la fiole une fois que toute la contrée a des boutons, tu
comprends, ben c'est bien, mais ... il arrive que ça ne suffise pas.

Certes je vais lancer RootkitRevealer, après tout sinon à quoi bon qu e
Ducros (euh, SysInternals) il se décarcasse ?
Si il me dit, non, il n'y a aucun écart (entre les différents moyens de
connaître l'encombrement des fichiers), OK c'est bon signe. Enfin ça,
c'est rare. Si il me dit qu'il y a des écarts, après il faut voir si ils
signent effectivement la présence d'un rootkit, parce que la suite des
opérations n'est pas du tout la même selon la réponse.

Je me demande si il y a des moyens de savoir, quand on est en présence
d'une machine suspecte qu'on a démarrée depuis un CD, si elle est sai ne
ou si il faut effectivement tout remplacer.

Dans ce dernier cas, est-ce qu'il y a un moyen de savoir si la
sauvegarde d'image qu'on se propose de restaurer est saine ou si la
contamination a eu lieu avant la sauvegarde ?
Gloops
Le #23601211
Gloops a écrit, le 24/07/2011 19:16 :
Bonjour tout le monde,

Tout a commencé calmement, mon défragmenteur (Auslogics Diskdefrag) s'en
prenait souvent aux mêmes fichiers et j'ai fini par trouver ça louc he.
Comme Firefox était concerné j'ai soulevé la question dans un new sgroup
Firefox, il s'est avéré qu'il y avait un point où j'en demandais
beaucoup, il fallait effacer un fichier d'historique, de ce côté le s
choses sont rentrées dans l'ordre.

J'ai aussi par ailleurs des vidéos qui ont tendance à se fragmenter de
temps à autre alors que je ne les ouvre jamais.

Dans le newsgroup Firefox, quelqu'un m'a suggéré une analyse avec
http://dl.betanews.com/malwarebytes/mbam-setup.exe

On dirait que c'était une bonne idée. Je glisse sur deux trucs dans un
programme que j'ai développé, je demanderai ensuite confirmation da ns un
newsgroup de programmation.

Je glisse aussi sur
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesEx plorer
qui contient une clef DWord StartMenuLogoff à 1, si j'en crois ce que
j'ai lu ailleurs ça supprime le bouton déconnecter dans le menu
démarrer, or j'ai tout ce qu'il faut pour fermer la session ou Window s,
donc ça n'a pas l'air méchant.

Ce qui me tracasse davantage, ce sont deux fichiers dont les noms sont
des nombres à sept chiffres, avec l'extension exe, dans le répertoi re
Windows. MBAM me les signale comme Rootkit.Agent, et alors ça si je n e
m'abuse, comme truc dangereux, ça se pose là.

Avec un peu de chance ils n'ont pas encore sévi et il suffira de les
effacer.

Bon, la première des choses à faire, je suppose, c'est de démarre r avec
mon CD BartPE (il va de soi que je n'ai pas commencé à réellement
utiliser la machine tant que je ne l'ai pas gravé, vu que maintenant les
constructeurs ont la ... "décontraction" de ne pas fournir de CD de
démarrage avec les portables qu'ils vendent).

Alors une fois démarré sur le BartPE, je fais quoi ?




Bon, je crois qu'il va falloir aller aux sources pour avoir les infos.

Voici la page Microsoft sur RootkitRevealer (en Français en plus) :
http://technet.microsoft.com/fr-fr/sysinternals/bb897445.aspx

Ils y mentionnent la présence d'un forum dédié, donc là on va pou voir
aller plus loin.



Il me semble qu'il peut être bon de rappeler qu'un rootkit est un type
de virus qui modifie le démarrage de la machine, il peut être à la base
d'une machine-zombie, qui obéit aux ordres d'un pirate à distance, po ur
par exemple, envoyer des spams, ou déclencher des attaques "denial of
service", où toutes les machines infectées vont se connecter au mêm e
site à la fois (celui du concurrent du pirate, par exemple) pour
l'empêcher de fonctionner. Ce sont des exemples assez courants
d'utilisation d'un rootkit, mais pas nécessairement les seuls.

Donc, au même titre qu'on a l'obligation de se soigner quand on est
atteint du typhus ou de la coqueluche, même sans en avoir de symptôme ,
de même on est obligé de soigner sa machine si elle est atteinte d'un
rootkit.

Le rootkit peut réserver toutes les surprises dont sont capables les
virus, mais pas seulement, puisqu'il modifie le système d'exploitation,
entre autres pour le rendre plus difficilement détectable.


Donc là il va falloir que je découvre si les fichiers repérés par MBAM
sont les précurseurs du rootkit, c'est-à-dire ses programmes
d'installation, ou des accessoires auxquels il fait appel. Dans un cas
comme dans l'autre, si il n'y a pas de rootkit d'installé il suffira
probablement d'effacer ces fichiers. Dans le cas contraire je suppose
qu'il faudra réinstaller le système.


Merci pour avoir lu. Prenez soin de vous.
Jacques Perrocheau
Le #23602671
In article Gloops
Crois-tu que je trouverai encore quelqu'un par ici qui puisse me
répondre sur le rootkit ?



La plupart des anti-virus savent l'éliminer.

<http://www.mcafee.com/threat-intelligence/malware/default.aspx?id26224




--
Jacques PERROCHEAU
CNRS UMR 6226
Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France
Herser
Le #23602971
Gloops a écrit dans le message de news:j0i9gc$68r$
Donc là il va falloir que je découvre si les fichiers repérés par MBAM
sont les précurseurs du rootkit, c'est-à-dire ses programmes
d'installation, ou des accessoires auxquels il fait appel. Dans un cas
comme dans l'autre, si il n'y a pas de rootkit d'installé il suffira
probablement d'effacer ces fichiers. Dans le cas contraire je suppose
qu'il faudra réinstaller le système.





Non, pas nécessairement !
Rootkit, Bootkit, ça fait peur, mais ça se soigne, sauf exceptions rares.

Comme pour tout soin, c'est bien de faire d'abord un diagnostic aussi
complet que possible.
Quelques bons outils existent pour cela, dont le principe est de lister tous
les processus lancés sur le PC.
J'ai une préfrérence personnelle pour ZHPDiag dont tu as entendu parler sur
ces NG ponx.fr :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Tu télécharges, installes, mets à jour la base et scannes ton PC
Ce scan n'est qu'un diagnostic, pas un nettoyage : il donne un rapport
ZHPDiag.txt
Rapport que tu envoies en PJ, ici.
Lis le avant et si le rapport contient des données que tu juges
confidentielles (nom de session.......), effaces les du rapport
On verra suivant l'ananlyse du rapport, si ça suffit pour trouver les bons
outils ou s'il faut une analyse complémentaire.

A toi de voir pour la suite à donner

Herser
Gloops
Le #23603521
Herser a écrit, le 25/07/2011 15:52 :
Gloops a écrit dans le message de news:j0i9gc$68r$
Donc là il va falloir que je découvre si les fichiers repérés par MBAM
sont les précurseurs du rootkit, c'est-à-dire ses programmes
d'installation, ou des accessoires auxquels il fait appel. Dans un cas
comme dans l'autre, si il n'y a pas de rootkit d'installé il suffira
probablement d'effacer ces fichiers. Dans le cas contraire je suppose
qu'il faudra réinstaller le système.





Non, pas nécessairement !
Rootkit, Bootkit, ça fait peur, mais ça se soigne, sauf exceptions rares.

Comme pour tout soin, c'est bien de faire d'abord un diagnostic aussi
complet que possible.
Quelques bons outils existent pour cela, dont le principe est de lister
tous les processus lancés sur le PC.
J'ai une préfrérence personnelle pour ZHPDiag dont tu as entendu pa rler
sur ces NG ponx.fr :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Tu télécharges, installes, mets à jour la base et scannes ton PC
Ce scan n'est qu'un diagnostic, pas un nettoyage : il donne un rapport
ZHPDiag.txt
Rapport que tu envoies en PJ, ici.
Lis le avant et si le rapport contient des données que tu juges
confidentielles (nom de session.......), effaces les du rapport
On verra suivant l'ananlyse du rapport, si ça suffit pour trouver les
bons outils ou s'il faut une analyse complémentaire.

A toi de voir pour la suite à donner

Herser



Ah, ça fait plaisir de voir quelqu'un, sur le forum dédié je me sui s
heurté à une erreur 404 :(

C'est vrai qu'il existe une tripotée de types de rootkits, c'était dé jà
vrai pour les autres virus, alors il n'y a pas de raison ...

Là, il faut quand même savoir que RootkitRevealer, ouvert dans une
fenêtre, m'a trouvé 71 écarts, qu'il n'a pas pu sauvegarder dans un
fichier (la tentative se solde par le gel du programme, et le fichier
est créé mais reste de taille zéro). Si je le lance en mode ligne d e
commande, il m'enregistre les écarts dans un fichier, mais cette fois
n'en trouve que 39. ça, c'est bien signe qu'il y a du louche, pas vrai ?

A ce que j'ai cru comprendre, pour arriver à berner RootkitRevealer, il
faut déjà sérieusement mettre les mains dans le cambouis. Alors
quelqu'un aurait réussi à faire ça, mais on l'aurait avec un antivi rus
de base ?

Bon, je vais regarder ce que tu dis. Tu penses qu'on est susceptible d'y
passer combien de temps ? Restaurer le système à partir d'une
sauvegarde, à supposer que la dernière soit bonne, j'en ai pour la
journée. Plus réinstaller ce que j'ai installé depuis bien entendu.

Si en deux heures on arrive à extirper la bête, c'est génial. Si il faut
y passer trois jours, bien entendu, le bénéfice est déjà moins fl agrant.


Ah, pour faire la sauvegarde des données je me suis heurté à un pro blème
inattendu : sur le BartPE j'ai XCOPY bien entendu (un XCOPY un peu
particulier peut-être puisqu'il ne reconnaît pas l'option /C), mais p as
le XXCOPY que j'utilise d'habitude pour me faire un compte-rendu de
sauvegarde. Alors j'ai mis dans deux fichiers la liste des fichiers
source et celle de la sauvegarde, il y en a quelques milliers de
différence, alors j'ai voulu lister la différence ...

Ben si on veut programmer une petite moulinette dans ce contexte, il y a
intérêt à prendre son élan, vu qu'on n'a pas le kit .Net, ni je c rois
celui de VB. QBasic peut-être, mais il ne reconnaît pas les noms long s.
Avec un script, peut-être ... Du coup je me suis rendu compte que
j'étais moins autonome sur les scripts qu'en VB ou C#, quand il s'agit
de lire deux fichiers texte, et détecter la présence de fichiers.


Bon alors tu disais, ZPHdiag, trier un peu et mettre ici, et attendre la
réponse.

Et je m'interrogeais quant à savoir si on peut s'attendre à gagner
beaucoup de temps par rapport à une restauration du disque.
Gloops
Le #23603621
Jacques Perrocheau a écrit, le 25/07/2011 14:16 :
In article Gloops
Crois-tu que je trouverai encore quelqu'un par ici qui puisse me
répondre sur le rootkit ?



La plupart des anti-virus savent l'éliminer.

<http://www.mcafee.com/threat-intelligence/malware/default.aspx?id2 6224







J'espère que tu dis ça en ayant vu le nom du fichier signalé par MB AM,
et en te disant qu'il te rappelait quelque chose ?

Parce que ... Sur la page de RootkitRevealer, ce n'est pas UN rootkit,
qu'on présente ...

Et ces machins-là c'est un peu comme les autres virus : il y en a des
connus et assez simples, et d'autres plus sophistiqués et plus
dangereux. RootkitRevealer indique que pour le moment ils savent
détecter ce qui s'est déjà présenté comme rootkit, mais les niv eaux de
sophistication déjà observés laissent entendre que ça ne sera pas
forcément à tous les coups. Et encore RootkitRevealer, comme son nom
l'indique, ne parle que de détecter.

C'est assez désolant ces machins-là, il y a un paquet d'années je
m'étais retrouvé avec toute la panoplie de la machine zombie, mais ce tte
fois-là je me suis rappelé que j'avais ouvert un peu naïvement un
fichier présentation qui demandait le mot de passe administrateur :
genre de cancrerie à éviter. Mais maintenant j'ai retenu, et si j'ai un
bonnet d'âne à porter, franchement je me demande bien d'où. Et la
machine n'a pas un an. Alors un écran bleu, admettons, une bagarre entr e
pilotes ça arrive, mais un bonnet d'âne ...
Publicité
Poster une réponse
Anonyme