rootkit microsoft ?

Dans le message : 4979fe68$0$5241$426a74cc@news.free.fr,
Az Sam a écrit :

[Xpost : fr.comp.os.ms-windows, fr.comp.securite.virus
FU2 fr :.comp.securite.virus ]


Bonjour,

Microsoft Windows XP [version 5.1.2600] (SP3)


ma clef HKEY_LOCAL_MACHINESYSTEMCurrentControlSet contient une
entrée pointant vers un drivers curieux :
http://cjoint.com/?bzslw0pNMq
Comme on le voit il est décrit comme drivers SCSI.

De fait, si j'affiche la totalité des périphériques cachés, je le
trouve dans la partie SCSI/RAID:
http://cjoint.com/?bzsqGJVl1k

Le fichier relatif, a9vzw9qj.SYS est situé dans
C:WINDOWSSystem32Drivers, il est invisible de l'API
(RootkitRevealer). Avg antirootkit le voit également.

Ce drivers semble être signé par Microsoft.
http://cjoint.com/?bzslTeg1ZL
propriétés du fichier : http://cjoint.com/?bzszHoUwXk


A chaque suppression, il revient avec un nom différent.


Qu'est ce qu'il fait, qu'est ce qu'il a, qui c'est celui là ?

o)

Bonjour.
N'aurais-tu pas installé un programme de copie-extraction de CD ou DVD qui
t'installerait un DVDROM virtuel ??
Vérifies. Si ce n'est pas çà, je n'ai pas d'autre idée!!

--
/olegna/
/qui préfère utiliser le groupe sans communiquer son adresse email/

olegna wrote:

Dans le message : 4979fe68$0$5241$426a74cc@news.free.fr,
Az Sam a écrit :

[Xpost : fr.comp.os.ms-windows, fr.comp.securite.virus
FU2 fr :.comp.securite.virus ]


Bonjour,

Microsoft Windows XP [version 5.1.2600] (SP3)


ma clef HKEY_LOCAL_MACHINESYSTEMCurrentControlSet contient une
entrée pointant vers un drivers curieux :
http://cjoint.com/?bzslw0pNMq
Comme on le voit il est décrit comme drivers SCSI.

De fait, si j'affiche la totalité des périphériques cachés, je le
trouve dans la partie SCSI/RAID:
http://cjoint.com/?bzsqGJVl1k

Le fichier relatif, a9vzw9qj.SYS est situé dans
C:WINDOWSSystem32Drivers, il est invisible de l'API
(RootkitRevealer). Avg antirootkit le voit également.

Ce drivers semble être signé par Microsoft.
http://cjoint.com/?bzslTeg1ZL
propriétés du fichier : http://cjoint.com/?bzszHoUwXk


A chaque suppression, il revient avec un nom différent.


Qu'est ce qu'il fait, qu'est ce qu'il a, qui c'est celui là ?

o)

Bonjour.
N'aurais-tu pas installé un programme de copie-extraction de CD ou DVD qui
t'installerait un DVDROM virtuel ??
Vérifies. Si ce n'est pas çà, je n'ai pas d'autre idée!!

Avant que Ludo ne balance son lien à tout faire :

Caractéristique effectivement de DaemonTools, ou Alcolhol qui change le
nom à chaque démarrage.

Donc pas de danger

Le driver de daemon Tools et Alcohol120% n'est il pas sptd.sys ?
http://forum.daemon-tools.cc/f13/daemon-tools-lite-version-4-30-3-released-22915/
http://support.alcohol-soft.com/en/changelog.php
http://support.alcohol-soft.com/en/knowledgebase.php?postid%207&title=Method+for+removing+Alcohol+120%25+manually+SPTD

je me souvenais meme de a347scsi pour A120% ou encore xmasscsi.sys
http://support.alcohol-soft.com/en/knowledgebase.php?postid029&title=Error+25002


Ce fichier est signé Microsoft, quel serait le lien avec ces 2 applications
?
et pourquoi est ce le seul qui soit dissimulé ?

MD5 du fichier : 9F3A2F5AA6875C72BF062C712CFA2674

--
Cordialement,
Az Sam.


"Depassage" <monadresseamoi@hotmail.com> a écrit dans le message de news:
497a1bf2$0$28674$7a628cd7@news.club-internet.fr...

olegna wrote:

Dans le message : 4979fe68$0$5241$426a74cc@news.free.fr,
Az Sam a écrit :

[Xpost : fr.comp.os.ms-windows, fr.comp.securite.virus
FU2 fr :.comp.securite.virus ]


Bonjour,

Microsoft Windows XP [version 5.1.2600] (SP3)


ma clef HKEY_LOCAL_MACHINESYSTEMCurrentControlSet contient une
entrée pointant vers un drivers curieux :
http://cjoint.com/?bzslw0pNMq
Comme on le voit il est décrit comme drivers SCSI.

De fait, si j'affiche la totalité des périphériques cachés, je le
trouve dans la partie SCSI/RAID:
http://cjoint.com/?bzsqGJVl1k

Le fichier relatif, a9vzw9qj.SYS est situé dans
C:WINDOWSSystem32Drivers, il est invisible de l'API
(RootkitRevealer). Avg antirootkit le voit également.

Ce drivers semble être signé par Microsoft.
http://cjoint.com/?bzslTeg1ZL
propriétés du fichier : http://cjoint.com/?bzszHoUwXk


A chaque suppression, il revient avec un nom différent.


Qu'est ce qu'il fait, qu'est ce qu'il a, qui c'est celui là ?

o)

Bonjour.
N'aurais-tu pas installé un programme de copie-extraction de CD ou DVD
qui
t'installerait un DVDROM virtuel ??
Vérifies. Si ce n'est pas çà, je n'ai pas d'autre idée!!

Avant que Ludo ne balance son lien à tout faire :

Caractéristique effectivement de DaemonTools, ou Alcolhol qui change le
nom à chaque démarrage.

Donc pas de danger

Az Sam wrote:

Le driver de daemon Tools et Alcohol120% n'est il pas sptd.sys ?
http://forum.daemon-tools.cc/f13/daemon-tools-lite-version-4-30-3-released-22915/

http://support.alcohol-soft.com/en/changelog.php
http://support.alcohol-soft.com/en/knowledgebase.php?postid%207&title=Method+for+removing+Alcohol+120%25+manually+SPTD


je me souvenais meme de a347scsi pour A120% ou encore xmasscsi.sys
http://support.alcohol-soft.com/en/knowledgebase.php?postid029&title=Error+25002



Ce fichier est signé Microsoft, quel serait le lien avec ces 2
applications ?
et pourquoi est ce le seul qui soit dissimulé ?

MD5 du fichier : 9F3A2F5AA6875C72BF062C712CFA2674

Je t'en trouve d'autres :

"bonjour
suis infecte par un rootkit detecté par avg antirootkit
c:windowssystem32driversadw4b7ez.sys"

-----------> Daemon Tools


"AVG détecte pour le moment :
C:WindowsSystem32Driversas16vkm0.SYS
Mais le nom du fichier change constamment."

------------> Idem

Tiens sur un scan :

Certains anti rootkit détectent... un rootkit (fonction liée à spd)

Là le fichier incriminé est : aot95mpe.SYS (fichier Alcohol)


---- Kernel code sections - GMER 1.0.14 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2C7C
80504518 12 Bytes [
10, 05, 6F, 9F, 70, 68, 6F, ... ]

B9A318AC 5 Bytes JMP 89DDC4E0
.text aot95mpe.SYS
B992A384 1 Byte [ 20 ]
.text aot95mpe.SYS
B992A386 35 Bytes [
00, 68, 00, 00, 00, 00, 00, ... ]
.text aot95mpe.SYS
B992A3AA 24 Bytes [
00, 00, 20, 00, 00, E0, 00, ... ]
.text aot95mpe.SYS
B992A3C4 3 Bytes [ 00,
00, 00 ]
.text aot95mpe.SYS
B992A3C9 1 Byte [ 00 ]
.text ...

.text win32k.sys!EngCreateBitmap + D973
BF8457BB 5 Bytes JMP
88B33610
.text win32k.sys!EngMultiByteToWideChar + 2F22
BF852729 5 Bytes JMP
88B33750
.text win32k.sys!EngFillPath + 3B8D
BF8F0327 5 Bytes JMP
88B337F0
______________________________________

---- Kernel IAT/EAT - GMER 1.0.14 ----
IAT
SystemRootSystem32Driversaot95mpe.SYS[HAL.dll!KfAcquireSpinLock]

je passe la suite (y en a 15 lignes) mais c'est du meme tonneau

"Depassage" <monadresseamoi@hotmail.com> a écrit dans le message de news:
497a3609$0$28670$7a628cd7@news.club-internet.fr...

Je t'en trouve d'autres :

oui c'est possible que ce soit cela. Je suppose que c'ets la mise a jour de
Daemon tools Lite v4.30.1 faite en decembre qui en ets l'origine car avant
je n'en avais pas.
quoique le trouver ailleurs ne me confirme pas que ce soit sans "danger".

Ce qui me surprend c'est la signature Microsoft et la dissimulation.
des drivers virtuels j'en ai d'autres mais habituelement ils ne sont pas
signés et pas rootkités.


--
Cordialement,
Az Sam.

Az Sam wrote:

"Depassage" <monadresseamoi@hotmail.com> a écrit dans le message de
news: 497a3609$0$28670$7a628cd7@news.club-internet.fr...

Je t'en trouve d'autres :

oui c'est possible que ce soit cela. Je suppose que c'ets la mise a jour
de Daemon tools Lite v4.30.1 faite en decembre qui en ets l'origine car
avant je n'en avais pas.

Tout a fait

En fait certains jeux s'assuraient que les drivers de Daemon Tools
n'étaient pas présent avant de s'installer (sinon l'installation était
impossible)
Depuis décembre et la version 4.06, ces drivers sont "randomisés" pour
éviter d'etre détectés.

quoique le trouver ailleurs ne me confirme pas que ce soit sans "danger".

"Daemon Tools currently uses rootkit technology to hide from other
applications and the operating system itself. This often leads to false
reports by antivirus and anti-rootkit software (such as RootkitRevealer).

Ce qui me surprend c'est la signature Microsoft et la dissimulation.
des drivers virtuels j'en ai d'autres mais habituelement ils ne sont pas
signés et pas rootkités.

Mesures et contre mesures entre éditeurs de jeux et d'utilitaires :-)
La signature est là pour éviter justement que les programmes de
détection s'affolent... Mais tout comme l'heuristique qui détectent des
faux positifs par ex à chaque nouvelle version majeure du programme
Divx, les programmes anti-rootkits ne sont pas tous conçus pour avoir
une base de signature à jour

je pense que tu auras réponse ici :

http://blogs.technet.com/markrussinovich/archive/2006/02/06/using-rootkits-to-defeat-digital-rights-management.aspx

Bonjour,

Az Sam a écrit :

[Xpost : fr.comp.os.ms-windows, fr.comp.securite.virus
FU2 fr :.comp.securite.virus ]


Bonjour,

Microsoft Windows XP [version 5.1.2600] (SP3)


ma clef HKEY_LOCAL_MACHINESYSTEMCurrentControlSet contient une entrée
pointant vers un drivers curieux :
http://cjoint.com/?bzslw0pNMq
Comme on le voit il est décrit comme drivers SCSI.

De fait, si j'affiche la totalité des périphériques cachés, je le trouve
dans la partie SCSI/RAID:
http://cjoint.com/?bzsqGJVl1k

Le fichier relatif, a9vzw9qj.SYS est situé dans
C:WINDOWSSystem32Drivers, il est invisible de l'API (RootkitRevealer).
Avg antirootkit le voit également.

Ce drivers semble être signé par Microsoft.
http://cjoint.com/?bzslTeg1ZL
propriétés du fichier : http://cjoint.com/?bzszHoUwXk


A chaque suppression, il revient avec un nom différent.

Vérifie si tu as un doute

http://technet.microsoft.com/fr-fr/sysinternals/bb897445(en-us).aspx

"Depassage" <monadresseamoi@hotmail.com> a écrit dans le message de news:
497ad2b7$0$28671$7a628cd7@news.club-internet.fr...

"Daemon Tools currently uses rootkit technology to hide from other
applications and the operating system itself. This often leads to false
reports by antivirus and anti-rootkit software (such as RootkitRevealer).

Mince j'avais pas trouver ca. Tu as le lien ?

Mesures et contre mesures entre éditeurs de jeux et d'utilitaires :-)
La signature est là pour éviter justement que les programmes de détection
s'affolent... Mais tout comme l'heuristique qui détectent des faux
positifs par ex à chaque nouvelle version majeure du programme Divx, les
programmes anti-rootkits ne sont pas tous conçus pour avoir une base de
signature à jour

Merci ;-)


--
Cordialement,
Az Sam.

Az Sam wrote:

"Depassage" <monadresseamoi@hotmail.com> a écrit dans le message de
news: 497ad2b7$0$28671$7a628cd7@news.club-internet.fr...

"Daemon Tools currently uses rootkit technology to hide from other
applications and the operating system itself. This often leads to
false reports by antivirus and anti-rootkit software (such as
RootkitRevealer).

Mince j'avais pas trouver ca. Tu as le lien ?

Gloups... non

Un coup de google et hop :-)

http://en.wikipedia.org/wiki/Daemon_Tools

"Depassage" <monadresseamoi@hotmail.com> a écrit dans le message de news:
497c6358$0$28676$7a628cd7@news.club-internet.fr...

http://en.wikipedia.org/wiki/Daemon_Tools

j'avais pas cherché dans les wiki il est vrai. Daemon tools à pourtant droit
a un traitement detaillé là.



--
Cordialement,
Az Sam.