Attention, rootkit

Le
Michel MARTIN
Bonsoir,
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je
voudrai dénoncer un rootkit présent sur un logiciel que je trouvais
intéressant, WebMediaPlayer. Logiciel qui présente quelques centaines de
radio locales sur Internet. Dommage!
Après son installation, j'ai eu une alarme de Zone Alarm qui demandait
l'autorisation de passer, avec un logiciel dont le nom est aléatoire
(suite de consonnes, peu de voyelles) suivi du fatidique .EXE
Refusé, il y a eu plusieurs tentatives avortées. Inquiet de ce remue
ménage, j'ai installé Avastr Anti-rootkit qui me l'a trouvé (bien sûr,
il est invisible, même si on demande à voir tous les fichiers extensions
comprises). Tout désinstallé, je n'avais plus rien.
Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en
avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
J'en ai donc eu la certitude que c'était bien lui.
Attention, lors de la désinstallation, il réclame à corps et a cri le
branchement sur Internet, sinon il refuse de se désinstaller. sauf
si on clique plusieurs fois sur le bouton "reéssayer" . Accès refusé sur
le Net, désinstallation un peu à la cosaque. Puis passage de Ccleaner.
Et de plusieurs anti-spywares. et vérification finale par Avast
anti-rootkit.
Je ne sais pas s'il existe un site pour dénoncer ces saletés, ce serait
une bonne chose.
Ha, le programme de désinstallation s'appelle AU_.exe, qui est dans un
des fichiers temp du dossier Documents and settings/propriétaire/Local
settings/~nsu.tmp.
Le rootkit (invisible, sauf pour un anti-rootkit) est dans le dossier
Documents and settings/propriétaire/Local settings/Application data.
Amicalement, Michel
--
http://martin.michel47.free.fr/
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 8
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fabien LE LEZ
Le #883948
On 21 Oct 2007 18:41:08 GMT, Michel MARTIN
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je
voudrai dénoncer un rootkit présent sur un logiciel que je trouvais
intéressant, WebMediaPlayer.


Ah ben oui, faut pas installer sur son PC n'importe quelle cochonnerie
téléchargée sur Internet. De même, il est déconseiller de manger
quelque chose qui traîne par terre dans la rue.

En plus, en cherchant "WebMediaPlayer" dans Google, le deuxième lien
indique "WebMediaPlayer is a backdoor application that allows remote
access to the computer".


(bien sûr,
il est invisible, même si on demande à voir tous les fichiers extensions
comprises).


Même en décochant le bug "Masquer les fichiers protégés du système
d'exploitation" ?


Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en
avais installé 2 ou 3 le même jour), et le rootkit est réaparu.


J'espère que tu es bien conscient que ton PC est maintenant compromis,
et que tu dois réinstaller le système.

Michel MARTIN
Le #883947
Le 21 Oct 2007 19:00:41 GMT, Fabien LE LEZ a écrit dans

On 21 Oct 2007 18:41:08 GMT, Michel MARTIN
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je
voudrai dénoncer un rootkit présent sur un logiciel que je trouvais
intéressant, WebMediaPlayer.


Ah ben oui, faut pas installer sur son PC n'importe quelle cochonnerie
téléchargée sur Internet. De même, il est déconseiller de manger
quelque chose qui traîne par terre dans la rue.
Le problème est que j'ai dû, peut-être et comme beaucoup d'autres,

confondre le Web Mediaplayer (présenté par Clubic, et apparement
correct, avec le WebMediaPlayer apparement d'origine russe, et qui cause
problème.

En plus, en cherchant "WebMediaPlayer" dans Google, le deuxième lien
indique "WebMediaPlayer is a backdoor application that allows remote
access to the computer".
C'est vrai que je n'ai pas cherché sur google s'il lui était donné une

mauvaise note AVANT son installation. Je me rappelle que ce logiciel
avait été donné sur un forum de discussion, mais je ne me rappelle plus
lequel (je recherche ...). J'ai bien passé un anti-virus et un
anti-spyware AVANT d'installer, mais je n'avais pas pensé à
l'anti-rootkit. Heureusement que je regarde bien toutes les alarmes de
Zone Alarm. C'est lui qui m'a alerté qu'un fichier voulait aller voir
ailleurs!!! ET là, j'ai dis: STOP. Heureusement.


(bien sûr,
il est invisible, même si on demande à voir tous les fichiers extensions
comprises).


Même en décochant le bug "Masquer les fichiers protégés du système
d'exploitation" ?
OUI, tout est coché ou décoché suivant le cas, pour que je puisse

contrôler TOUS les fichiers, y compris les extensions LNK (même si ce
n'est pas très beau, en particulier sur le bureau).

Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en
avais installé 2 ou 3 le même jour), et le rootkit est réaparu.


J'espère que tu es bien conscient que ton PC est maintenant compromis,
et que tu dois réinstaller le système.



Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de
sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien (y
compris Secuser.com, ou plutôt Trend Micro, avec son AV en ligne).
Je viens encore, par sécurité, de (re)passer CCleaner, et toutes les
listes présentées ont été vérifiées au peigne fin, il ne reste
absolument aucune trace de quelque chose de bizarre.
Alors, que penser?
Amicalement, Michel
--
http://martin.michel47.free.fr/


Ewa (siostra Ani) N.
Le #883946
Le dimanche 21 octobre 2007 à 23:39:08, dans


J'espère que tu es bien conscient que ton PC est maintenant compromis,
et que tu dois réinstaller le système.




Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de
sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien (y
compris Secuser.com, ou plutôt Trend Micro, avec son AV en ligne).
Je viens encore, par sécurité, de (re)passer CCleaner, et toutes les
listes présentées ont été vérifiées au peigne fin, il ne reste
absolument aucune trace de quelque chose de bizarre.
Alors, que penser?
Amicalement, Michel



C'est bien à ton honneur, tout ce que tu as fait déjà. Seulement
personne ne sait ce que fait précisément un rootkit donné.

Autant réinstaller.



--
Niesz
http://www.krolestwa.com


Ludovic
Le #883945
On 21 Oct 2007 21:45:31 GMT, "Ewa (siostra Ani) N."

C'est bien à ton honneur, tout ce que tu as fait déjà. Seulement
personne ne sait ce que fait précisément un rootkit donné.

Autant réinstaller.



Bof, pour ma part, je fais cela :
http://inforadio.free.fr/nettoy.htm
puis
http://inforadio.free.fr/protect-virus.htm

Les collègues ne s'en plaignent pas.
Maintenant, si tu as du temps à perdre...

On n'arrête pas le progrès : Maintenant,
on ne te donne plus de réponse sur les
newsgroups, on te dit carrément de faire
un format c: ...

LoL...

Cordialement,
Ludovic.

mpg
Le #883944
Le (on) lundi 22 octobre 2007 00:30, Ludovic a écrit (wrote) :
Maintenant, si tu as du temps à perdre...

Bah il me semble qu'il y a une différence entre essayer de protéger une

machine propre, et vouloir faire confiance à une machine compromise pour se
tester elle-même. Dans l'absolu c'est pour le moins douteux de faire
confiance à une machine qui se prétend saine une fois qu'elle ne l'a pas
toujours été...

On n'arrête pas le progrès : Maintenant,
on ne te donne plus de réponse sur les
newsgroups, on te dit carrément de faire
un format c: ...

Il me semble que c'est justement une réponse, non ?


LoL...

Mdr : on est dans la hiérarchie francophone ;-p


Manuel.

Fabien LE LEZ
Le #883943
On 21 Oct 2007 22:30:56 GMT, Ludovic
on te dit carrément de faire
un format c: ...


Qué "format c:" ? On réinstalle un backup de son OS, ça prend cinq à
dix minutes.

Fabien LE LEZ
Le #883754
On 21 Oct 2007 21:39:08 GMT, Michel MARTIN
Le problème est que j'ai dû, peut-être et comme beaucoup d'autres,
confondre le Web Mediaplayer (présenté par Clubic, et apparement
correct, avec le WebMediaPlayer apparement d'origine russe, et qui cause
problème.


Tu noteras que sur la page de Clubic, ils indiquent le problème.
Et franchement, je conseille à l'éditeur du logiciel sans rootkit de
changer immédiatement le nom du logiciel. Diffuser un logiciel qui a
un nom de malware (quelle que soit l'antériorité), c'est pas bon du
tout.

Oulala, tu me fais peur. D'après toi, tous les passages de logiciels de
sécurité ne sont pas suffisants? Tous me répondent qu'il n'y a rien


Le rootkit en question a très bien pu modifier le système, pour qu'il
masque une partie des fichiers. Il est donc possible qu'il soit
toujours en partie là ; comme tes logiciels de sécurité tournent sur
l'OS en question, ils ne voient rien non plus.

À partir du moment où un malware a été exécuté sur un PC, on ne peut
plus faire confiance au système d'exploitation.

Ludovic
Le #883753
On 22 Oct 2007 01:34:40 GMT, Fabien LE LEZ

Qué "format c:" ? On réinstalle un backup de son OS, ça prend cinq à
dix minutes.



Là c'est mieux... Enfin... La majorité des gens ayant un backup d'origine,
ils ne verront pas trop la différence...

Maintenant voici ce que je viens de lire :
"même si vous n'avez jamais entendu parler de ce terme. Les rootkits, valeur
montante du hacking, développés initialement sous Unix, s'attaquent aujourd'hui
à Windows. Plus retors que les autres menaces, les rootkits présentent la
particularité d'être capables de se cacher ou de cacher d'autres programmes, de
masquer des clés de registre ou des connexions réseau. Un antispyware ne pourra
pas les détecter. Télécharger Seem (seem.about.free.fr) et le lancer
directement, sans installation. C'est la section SSDT (System Service Descriptor
Table) qui nous intéresse. Elle dresse la liste des appels système du noyau :
une ligne colorée en rouge est le signe d'une anomalie, éventuellement d'un
crochetage mis en place par un rootkit, c'est-à-dire le détournement d'un appel
système vers un exécutable malicieux. Cet exécutable, s'il existe, réside dans
le répertoire indiqué par Seem. Un clic droit sur la ligne suspecte vous permet
de faire une recherche sur Google afin d'en savoir plus et de faire le
nécessaire. Eventuellement, supprimer l'intrus, redémarrer et vérifier une
nouvelle fois."


http://www.indexel.net/1_6_4797__3_/2/12/1/Securite___reprendre_le_controle_de_son_PC.htm


Il ne parle pas de "format c:" (vu que certains n'ont pas de "Ghost"...).
Si tu as des sources Fabien, cela m'intéresse (Si cela peut faire gagner
du temps sur Google...).

A priori, il y a d'autres pistes :
http://www.google.fr/search?hl=fr&q=supprimer+un+rootkit+de+son+pc&btnG=Recherche+Google&meta Bref ne pas se précipiter trop vite vers le backup d'origine...

Cordialement,
Ludovic.

Fabien LE LEZ
Le #883752
On 22 Oct 2007 05:18:15 GMT, Ludovic
Télécharger Seem (seem.about.free.fr) et le lancer
directement, sans installation. C'est la section SSDT (System Service Descriptor
Table) qui nous intéresse.


Il suffit maintenant à l'auteur du rootkit d'intercepter les appels de
Seem au système, pour lui faire croire que tout va bien.

Par contre, en démarrant sur un live CD (Linux, Bart PE, etc.), il est
(en théorie au moins) possible d'analyser l'OS qui se trouve sur
disque dur. (Bien évidemment, il faut graver le CD en question sur un
PC sain.)

Mais bon, réinstaller le système est, de loin, la solution la plus
simple et la plus fiable.

http://www.indexel.net/1_6_4797__3_/2/12/1/Securite___reprendre_le_controle_de_son_PC.htm
Il ne parle pas de "format c:"


Ben non, cet article parle de ce qu'il faut faire pour éviter
d'attraper une cochonnerie, et, dans le pire des cas, la détecter le
plus vite possible. Il n'indique à peu près rien sur la réparation
proprement dite.

(vu que certains n'ont pas de "Ghost"...).


C'est triste à dire, mais personne ne semble comprendre l'utilité des
backups avant d'avoir perdu des données. Il ne reste plus qu'à
réinstaller l'OS à la dure, sans oublier, une fois que c'est fait, de
faire un backup -- pour la prochaine fois.
Il n'y a même pas d'objection financière, puisque Partimage est
gratuit.

Fabien LE LEZ
Le #883751
On 22 Oct 2007 05:18:15 GMT, Ludovic
Bref ne pas se précipiter trop vite vers le backup d'origine...


Accessoirement, rappelons que dès qu'une cochonnerie est détectée sur
un PC, il faut débrancher le câble réseau (pour éviter la propagation)
et, autant que possible, éteindre le PC (pour éviter la corruption des
données).

Publicité
Poster une réponse
Anonyme