rootkit possible ? pas de port svchost 135! - aucun utilisateur dans gestionaire tache!... une idée ?????

Le
elarifr
Bonjour

J'ai depuis quelques jours un soucis qui semble être un rootkit possible
avec comme symptome :
- Aucune connection ouverte/visible par svchost sur le port EPMAP (135). je
n'ai
pas bloque volontairement l'utilisation de ce port sur ce pc. svchost est
bien en memoire.
- Les connections SVCHOST sont visibles lors des maj win update
- Le gestionnaire de tache ne montre AUCUN utilisateur/session ouverte alors
que j'ai bien ouvert une session
- Les processus tournent sous aucun nom d'utilisateur/system/auth.nt ou
autre. Seul NULL (processus inactif) tourne sous SYSTEME.

Config : XP SP2 + maj Firewall : Kerio 4.3.744 - Antivirus : AOL Antivirus
(moteur Kaspersky) - Spybot S&D - AVG AntiSpy ..

je ne trouve aucun process bizarre
les rapport hjackthis2 / a2hijack / codestuff / autorun sysinternals sont
clean

Gmer / Darkspy / Seem / Icesword ne trouvent que les hook normaux de klif
(kaspersky) ; fwdr/khips (kerio) et guard (Avg AntiSpyware)
les autres rootkit blacklight/panda/mcafee/ ne voient rien

seul Rku trouve une injection inline [unknown_code_page] :
ndis.sys-->NdisMIndicateStatus, Type: Inline - DirectJump at address
0xF83C9A5F hook handler located in [fwdrv.sys]
ntoskrnl.exe-->FsRtlCheckLockForReadAccess, Type: Inline - RelativeJump at
address 0x80503C29 hook handler located in [klif.sys]
ntoskrnl.exe-->IoCreateDevice, Type: EAT modification at address 0x806818F4
hook handler located in [unknown_code_page]
ntoskrnl.exe-->IoIsOperationSynchronous, Type: Inline - RelativeJump at
address 0x804E8752 hook handler located in [klif.sys]
ntoskrnl.exe-->SwapContext, Type: Inline - RelativeJump at address
0x804DB92E hook handler located in [klif.sys]
tcpip.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address
0xF42AFF28 hook handler located in [fwdrv.sys]
tcpip.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address
0xF42AFF54 hook handler located in [fwdrv.sys]
tcpip.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at
address 0xF42AFF60 hook handler located in [fwdrv.sys]
tcpip.sys-->ntoskrnl.exe-->IoCreateDevice, Type: IAT modification at address
0xF42AFF88 hook handler located in [unknown_code_page]
wanarp.sys-->ndis.sys-->NdisCloseAdapter, Type: IAT modification at address
0xF86BBB4C hook handler located in [fwdrv.sys]
wanarp.sys-->ndis.sys-->NdisDeregisterProtocol, Type: IAT modification at
address 0xF86BBB1C hook handler located in [fwdrv.sys]
wanarp.sys-->ndis.sys-->NdisOpenAdapter, Type: IAT modification at address
0xF86BBB3C hook handler located in [fwdrv.sys]
wanarp.sys-->ndis.sys-->NdisRegisterProtocol, Type: IAT modification at
address 0xF86BBB28 hook handler located in [fwdrv.sys]
wanarp.sys-->ntoskrnl.exe-->IoCreateDevice, Type: IAT modification at
address 0xF86BBC08 hook handler located in [unknown_code_page]


Une probable modif de kernel32 ?
ListDLLs v2.25 - DLL lister for Win9x/NT
Copyright (C) 1997-2004 Mark Russinovich
Sysinternals - www.sysinternals.com
explorer.exe pid: 620
Command line: C:WINDOWSExplorer.EXE
Base Size Version Path
*** Loaded C:WINDOWSsystem32kernel32.dll differs from file image:
*** File timestamp: Wed Jul 05 12:56:38 2006
*** Loaded image timestamp: Wed Jul 05 12:56:39 2006
*** 0x7c800000 0x104000 5.01.2600.2945 C:WINDOWSsystem32kernel32.dll

si quelqu'un a cette version de kernel32
version : 5.1.2600.2945 (xpsp_sp2_gdr.060704-2349)
merci de verifier que les hash correspondent :
Md5 =: CE4AF1FA47A29ADF97CB107775CE395C
Sha1 = 9101E33663A168326921A0325E7FC0ED9C0F50E7

un sniff du reseau ne trouve rien de particulier !

merci pour toute suggestion .


elarifr
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
NM
Le #1276514
hello elarifr you wrote

Bonjour

J'ai depuis quelques jours un soucis qui semble être un rootkit
possible avec comme symptome :
- Aucune connection ouverte/visible par svchost sur le port EPMAP
(135). je n'ai
pas bloque volontairement l'utilisation de ce port sur ce pc. svchost
est bien en memoire.



________

Si tu veux analyser toi même c'est bien...Alors pourquoi poster :-D

Si tu veux de l'aide alors postes donc un HJT complet, car là si tu veux
faire de l'auto-médicamentation c'est bien parti.

Si c'etait juste pour dire , c'est fait .

Si tu penses n'avoir besoin de rien ni de personne, alors tes
élucubrations ne servent à rien, sauf te conforter toi- même.

Je veux bien aider, mais inutile de me souffler la réponse,

En toute amitié,

--
bob

Nina Popravka
Le #1276512
On Sun, 8 Apr 2007 21:20:12 +0200, "elarifr" wrote:

si quelqu'un a cette version de kernel32
version : 5.1.2600.2945 (xpsp_sp2_gdr.060704-2349)
merci de verifier que les hash correspondent :
Md5 =: CE4AF1FA47A29ADF97CB107775CE395C


Lol...
CE4AF1FA47A29ADF97CB107775CE395C pour le mien aussi, et désolée je
n'ai pas de quoi calculer le SHA1 sous la main.
Sur le fond, je pense que vous cherchez midi à quatorze heures.
Modifier des trucs de genre, c'est un fonctionnement de rootkit *nix,
pas Win. Ca me paraît dur de modifier et conserver opérationnel un
truc dont on n'a pas les sources :-)
--
Nina

elarifr
Le #1276475
Bonjour
Merci Nina pour le md5
info : pour ma part- j'utilise hashtab freeware dispo sur
http://www.beeblebrox.org/hashtab/
qui permet d'avoir un onglet md5/sha1 dans les propiétés et de comparer les
valeurs

sur le fond: les rootkits ne sont plus l'apanage des *nix mais de plein pied
dans le monde win :(
Modifier des trucs de genre, c'est un fonctionnement de rootkit *nix,
pas Win. Ca me paraît dur de modifier et conserver opérationnel un
truc dont on n'a pas les sources :-)
"on" ne modifie pas le kernel à la sauce nix mais on modifie les tables de

hook ssdt / iat des api windows
et certains nouveaux rk sont difficilement detectables.
je te propose de faire un tour sur http://rootkit.com/
bonne journée
elarifr

PS je cherche toujours quelqu'un connaissant le fonctionnement de RkUnhooker
ayant deja vu dans l'onglet Code Hook Detector des hook de type
Inline-Relative Jump [unknown_code_page] ....
http://www.open-files.com/forum/index.php?showtopic0269
le site offi http://www.rku.xell.ru semble innaccessible actuellement ?





"Nina Popravka" a écrit dans le message de news:

On Sun, 8 Apr 2007 21:20:12 +0200, "elarifr" wrote:

si quelqu'un a cette version de kernel32
version : 5.1.2600.2945 (xpsp_sp2_gdr.060704-2349)
merci de verifier que les hash correspondent :
Md5 =: CE4AF1FA47A29ADF97CB107775CE395C


Lol...
CE4AF1FA47A29ADF97CB107775CE395C pour le mien aussi, et désolée je
n'ai pas de quoi calculer le SHA1 sous la main.
Sur le fond, je pense que vous cherchez midi à quatorze heures.
Modifier des trucs de genre, c'est un fonctionnement de rootkit *nix,
pas Win. Ca me paraît dur de modifier et conserver opérationnel un
truc dont on n'a pas les sources :-)
--
Nina




Publicité
Poster une réponse
Anonyme