Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Sécurité Sécurité Sécurité Attention, rootkit

Attention, rootkit

74 réponses
Avatar
Michel MARTIN
Bonsoir,
je ne sais pas si ce forum est le meilleur pour ce sujet, mais je
voudrai dénoncer un rootkit présent sur un logiciel que je trouvais
intéressant, WebMediaPlayer. Logiciel qui présente quelques centaines de
radio locales sur Internet. Dommage!
Après son installation, j'ai eu une alarme de Zone Alarm qui demandait
l'autorisation de passer, avec un logiciel dont le nom est aléatoire
(suite de consonnes, peu de voyelles) suivi du fatidique .EXE
Refusé, il y a eu plusieurs tentatives avortées. Inquiet de ce remue
ménage, j'ai installé Avastr Anti-rootkit qui me l'a trouvé (bien sûr,
il est invisible, même si on demande à voir tous les fichiers extensions
comprises). Tout désinstallé, je n'avais plus rien.
Voulant en avoir le coeur net, j'ai réinstallé ce logiciel (car j'en
avais installé 2 ou 3 le même jour), et le rootkit est réaparu.
J'en ai donc eu la certitude que c'était bien lui.
Attention, lors de la désinstallation, il réclame à corps et a cri le
branchement sur Internet, sinon il refuse de se désinstaller. ... sauf
si on clique plusieurs fois sur le bouton "reéssayer" . Accès refusé sur
le Net, désinstallation un peu à la cosaque. Puis passage de Ccleaner.
Et de plusieurs anti-spywares. et vérification finale par Avast
anti-rootkit.
Je ne sais pas s'il existe un site pour dénoncer ces saletés, ce serait
une bonne chose.
Ha, le programme de désinstallation s'appelle AU_.exe, qui est dans un
des fichiers temp du dossier Documents and settings/propriétaire/Local
settings/~nsu.tmp.
Le rootkit (invisible, sauf pour un anti-rootkit) est dans le dossier
Documents and settings/propriétaire/Local settings/Application data.
Amicalement, Michel
--
http://martin.michel47.free.fr/
Signaler un problème avec ce contenu

4 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
4 5 6 7 8
Avatar
Ludovic
On 25 Oct 2007 11:58:23 GMT, "J.B." wrote:


Vas voir les nombreux posts sur fr.comp.securite.virus (ou une
recharche web) à propos
de machin détecte merdouille1&2 mais pas merdouille3 ou alienX alors que
bidule détecte même alien5 mais pas les merdouilles.


Toutes les désinfections ratées que j'ai pu lire sur ce forum
l'ont été suite à :
- non désactivation de la restauration de Windows ;
- non utilisation du mode sans échec de base.

Je n'ai eu qu'une fois à reformater un PC infecté : Un collègue
avait eu un virus qui lui avait vérollé tous les .exe de son PC...

Le reste du temps, un bon nettoyage et hop, c'est reparti.
Bref, formatage, bof...

Cordialement,
Ludovic.


Mais comment fais-tu ?



=> http://inforadio.free.fr

Je te laisse chercher la bonne rubrique...

Cordialement,
Ludovic



Avatar
Roland Garcia

Quant à l'adware changeant mais récurrent de Webmediaplayer ça
ressemblerait plutôt à une guéguerre entre l'éditeur qui essaye de caser
son adware (après tout y'a bien des gens qui aiment la pub, voire TF1)
et les éditeurs qui le détectent quand ils estiment que certains
critères ne sont pas respectés.


Tout ceci n'est pas si facile à comprendre:

Dans cette discussion, le machin NaviPromo semble considéré tantôt comme
simple adware utilisant des techniques de rootkit pour se cacher, tantôt
comme un rootkit compromettant suffisamment un ordi pour nécessiter une
réinstallation complète du système.

La première hypothèse, qui justifierait une absence de détection par la
plupart des antivirus, suppose que l'on sait assez précisément ce que
fait navipromo : il enverrais des pub, sans autre action néfaste, et
n'est qu'un peu plus difficile à virer qu'un adware plus classique. Dans
ce cas, une réinstallation du système semble superflu.

Pour la seconde hypothèse, le système est considéré comme compromis par
un rootkit. Dans ce cas, me semble t-il, les antivirus n'ont pas
d'excuse à ne pas détecter. Et la réinstallation du système semble utile
voir nécessaire.

Alors quid ?


Il n'y a là aucun rootkit !!!!

C'est un machin genre mediaplayer qui crée le répertoire: C:Program
FilesWebMediaPlayer contenant l'exécutable WebMediaPlayer.exe et celui
de désinstallation uninst.exe

Plus discutable, ce logiciel a tendance à verrouiller l'utilisateur
lambda:
http://www.web-mediaplayer.com/privacy.htm
http://www.pc-on-internet.com/uninstall.php

en installant à son insu et dans le répertoire caché (mais que si on le
veut bien):
C:Documents and Settings*****Local SettingsApplication
Datawfoxfpxhqy.exe

lancé par la clé:
HKCU..Run: [wfoxfpxhqy] c:documents and settingsrolandlocal
settingsapplication datawfoxfpxhqy.exe wfoxfpxhqy

le processus est parfaitement visible dans le gestionnaire des tâches
Windows et peut se tuer normalement. Cet exécutable se connecte à:

inetnum: 87.242.90.128 - 87.242.90.159
netname: FAVORIT-MASTER
descr: Favorit
country: RU
admin-c: AZ1583-RIPE
tech-c: AZ1583-RIPE
notify: ***@masterhost.ru
mnt-by: MASTERHOST-MNT
status: ASSIGNED PA
changed: *******@masterhost.ru 20060227
source: RIPE

person: Alexey Zvinchuk
address: Favorit
address: 9, Ascheulov pereulok
address: 107045, Moscow, Russia
e-mail: ***********@mail.ru
phone: +7 921 344 42 89
notify: ***@masterhost.ru
nic-hdl: AZ1583-RIPE
changed: *******@masterhost.ru 20060227
source: RIPE

Le problème est que la désinstallation forcée uninst.exe laisse
wfoxfpxhqy.exe en place, mais on peut la terminer facilement en tuant le
processus puis en effaçant l'EXE et sa référence dans la BDR.

L'aspect peu transparent ci-dessus fait que les éditeurs d'antivirus le
mettent régulièrement dans leur base, ici KAV:

cheval de Troie Trojan-Dropper.Win32.Agent.cjm
webmediaplayer_setup.exe//PE_Patch.UPX//UPX

indiquant que le programme procède à l'insu de l'utilisateur (trojan)
à l'installation (dropper) d'un logiciel publicitaire (adware):

logiciel publicitaire not-a-virus:AdWare.Win32.NaviPromo.bv
webmediaplayer_setup.exe//PE_Patch.UPX//UPX//EXE-file//stream//data0006//PE_Patch.UPX//UPX


--
Roland Garcia


Avatar
DePassage


Il n'y a là aucun rootkit !!!!


Il utilise des méthodes propre aux rootkits car il détourne les
procédures Windows afin d'interdire l'affichage de ses fichiers et
processus, ce qui les rend invisibles. Et l'ouverture de ports ?
Essaie une autre semaine avec une autre version de webmediaplayer

C'est un machin genre mediaplayer qui crée le répertoire: C:Program
FilesWebMediaPlayer contenant l'exécutable WebMediaPlayer.exe et celui
de désinstallation uninst.exe


Oui mais ca c'est la partie visible propre au programme

en installant à son insu et dans le répertoire caché (mais que si on le
veut bien):
C:Documents and Settings*****Local SettingsApplication
Datawfoxfpxhqy.exe


et qu'est ce que tu fais des
C:WINDOWSsystem32msclock32.dll
C:WINDOWSsystem32msplock32.dll

pour ne citer qu'eux ? (ca c'est dans la nouvelle variante de navipromo)


L'aspect peu transparent ci-dessus fait que les éditeurs d'antivirus le
mettent régulièrement dans leur base, ici KAV:

cheval de Troie Trojan-Dropper.Win32.Agent.cjm


Parfois il y a celui la, parfois pas, parfois un autre, parfois 2 Adware
différents

webmediaplayer_setup.exe//PE_Patch.UPX//UPX


Quant au PE c'est le bien connu PECompact (compresse et crypte)et UPX un
compresseur free. Du reste ils sont souvent détectés comme de possibles
infections par nombre de programme (meme SmitFraudFix y a eu droit à une
époque :-)

Avatar
th

[...]

Alors quid ?


Il n'y a là aucun rootkit !!!!

C'est un machin genre mediaplayer qui crée le répertoire: C:Program
FilesWebMediaPlayer contenant l'exécutable WebMediaPlayer.exe et celui
de désinstallation uninst.exe

Plus discutable, ce logiciel a tendance à verrouiller l'utilisateur
lambda:
http://www.web-mediaplayer.com/privacy.htm
http://www.pc-on-internet.com/uninstall.php

en installant à son insu et dans le répertoire caché (mais que si on le
veut bien):
C:Documents and Settings*****Local SettingsApplication
Datawfoxfpxhqy.exe


J'ai eu en effet ce fichier suite à l'installation de sudoplanet
( www.sudoplanet.com/fullpage5/?grpidY&tag_id4 - ATTENTION MALWARE)

L'installation a été faite par un utilisateur connecté comme simple
utilisateur (donc pas de droit administrateur).

L'exécutable était invisible en allant dans le dossier correspondant
depuis ce même compte utilisateur.

Il devenait visible depuis le compte administrateur (manip faite
plusieurs fois sur l'un et l'autre compte parce que ça n'étonnait).

Les options "afficher les dossiers caché" et "afficher les fichiers
systèmes" sont pourtant activées pour les deux comptes !

J'en ai déduit que le machin était effectivement capable de se cacher
par des procédés qui ressemblent bien aux techniques de rootkit.

Je me suis dit aussi que c'était une bonne idée de ne pas utiliser le
compte admin quand ce n'est pas nécessaire.


4 5 6 7 8