Enigme: Klez non conforme a description

Le
Jeff Mevel
Bonsoir à tous

Résumé: Klez.e est detecté par un moniteur (antivir PE) mais
impossible à localiser avec un scan (antivir, F-Prot) ou avec
des désinfectants (clrav Kaspersky, stinger Mac Afee,
fixklez Symantec).

Détails:
Tout d'abord ceci est plus une énigme qu'un problème. La
machine appartient à une amie qui m'a mandaté pour l'installer.
Je n'y ai donc qu'un accès épisodique.
Cette machine a été rachetée à une société avc les logiciels
installés. J'ai désinstallé certains logiciels, supprimé les partages
réseaux, installé une connexion internet, un pare-feu (look'n
stop lite) et antivir, puis mis à jour ce que je pouvais (antivir
et W98). L'usage de cette machine est principalement
ludique avec aucune données importantes dessus.

L'utilisatrice m'a rapportée l'activation du moniteur le 16 mars.
J'ai reproduit le lendemain cette activation: Klez.e détecté dans
8 fichiers .tmp situés dans c:/windows/temp . Suppression des
fichiers, redémarrage en mode sans échec, scan avec antivir: RAS.
Redémarrage sur disquette saine W98 et F-Prot à jour: RAS.
Le surlendemain je reviens avec 3 fix sur disquette protégée en
écriture (clrav Kaspersky, stinger Mac Afee, fixklez Symantec).
Je suis les procédures d'utilisation: RAS (Rien A Signaler). Je
redémarre en mode normal et après 5 minutes alerte du moniteur:
Klez.e sur toujours le même type de fichiers (.tmp). Je redémarre
en mode sans échec, regedit, je recherche les clés
HKEY_LOCAL_MACHINESoftwareMicrosoft
WindowsCurrent VersionRun de type wink : aucune occurence.
L'ordinateur ne contenant pas de données importantes, je décide
de supprimer le moniteur et de voir les effets après quelques jours
d'utilisation. Apres une semaine qui a comporté 5 démarrages, je
démarre normalement et je lance le fix Kaspersky quelques
minutes: il me supprime un fichier unique .tmp (Klez.e) dans
C:/windows/temp et ne me donne aucune autre information.
Je réactive le moniteur antivir et les mêmes symptômes
réapparaissent: détection et suppression de quelques fichiers .tmp
puis plus rien jusqu'à l'extinction de la machine.
Scans stériles (y compris avec AV en ligne: Trend).

Je me pose les questions suivantes:
* L'utilisatrice ne souvient pas avoir utilisé la machine entre le 13
et le 16 mars. Il me semble avoir lu que Klez s'activait le 13 mars
donc cela serait bien en faveur de Klez.
* Les fichiers .tmp possédant la signature Klez sont bien construits
par un executable et éventuellement un fichier de données: pourquoi
aucun fichier n'est détecté au scan ?
(options tous fichiers et décompression activées)
* Le mode de réplication documenté par Symantec ne fait pas état
de fichiers .tmp
* Le code détecté ne pourrait-il venir d'une autre base de signatures
virales: Norton AV était installé, j'ai désactivé le moniteur avant
l'installation d'antivir et il ne parait pas actif.
(je ne peux le desinstaller car la société vendeuse de la machine est
incapable de nous fournir le code nécessaire à la désinstallation.
Si quelqu'un peut me donner un lien ou une astuce, il me paraît logique
qu'elle ne soit pas dispo sur le site de l'éditeur car ce code est censé
prévenir une désinstallation sauvage par l'utilisateur)
* Peut-on trouver des infections "décapitées" comme dans le monde
biologique ? (par exemple avec un code de réplication actif et incorporé
à un éxecutable mais avec une payload altérée ou un code de réplication
altéré qui aboutit à une impasse)
* Peut-être n'ai-je rien compris à Klez-Elkern. Dans ce cas-là, veuillez
accepter mes humbles excuses pour la longue lecture que je vous ai
fournie.

Dans tous les cas, je suis ouvert à toute suggestions sur ce cas qui attise
ma curiosité mais qui est loin d'être critique (machine ludique isolée
sans données importantes).

Merci de m'avoir lu jusqu'ici

PS: je reposte car je ne retrouve pas mon post sur news.free.fr le
lendemain. J'ai néanmoins pu le lire sur news.club-internet.fr avec
slrn et un terminal 80 colonnes: pagination abominable.
Je ne suis pas habitué à poster depuis OE, j'ai essayé de corriger
le tir.
Vos réponses Page 2 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
joke0
Le #1112762
Salut,

Jeff Mevel:
Je vais faire le ménage. Mais comme ce n'est pas ma machine,
je n'ai pas encore ouvert OE. Si l'application OE n'est pas
lançée, comment des messages vérolés pourraient générer des
fichiers .tmp ?


Il ne peut pas.

Une autre possibilité serait qu'un Klez.e soit droppé
(largué) par un programme fréquemment utilisé.


Cela me parait le plus plausible, mais comment le trouver ?


Dans ce cas, une seule possibilité:
http://www.sysinternals.com/ntw2k/source/filemon.shtml
(fonctionne aussi sous win98, choisir le bon programme)

C'est un moniteur qui va surveiller tous les
accés/créations/etc. fichiers.

Tu laisses tourner le temps que tes tmp soient créés, puis tu
stoppes l'enregistrement de l' activité, tu sauvegardes
le log et tu cherches dedans la création des fichiers .tmp qui
seront apparus. Tu devrais facilement retrouver l'auteur de leur
création. Si tu patauges, fais-moi suivre le log (zippé!).

Bon courage.

--
joke0


Jeff Mevel
Le #1113453
"joke0" de news:
Salut,

Dans ce cas, une seule possibilité:
http://www.sysinternals.com/ntw2k/source/filemon.shtml
(fonctionne aussi sous win98, choisir le bon programme)


OK, téléchargé.
Je teste dès que possible et je vous tiens au courant.
Ah, la curiosité est un vilain défaut, mais enfin ... ;-)

Merci pour le lien

Jeff Mevel
Le #1115457
Bonsoir

OK, téléchargé.
Je teste dès que possible et je vous tiens au courant.
Ah, la curiosité est un vilain défaut, mais enfin ... ;-)


Testé:
Lorsque filemon est executé avant une détection du
moniteur antivir, une détection de .tmp provoque un
plantage qui ne permet pas de récupérer un quelconque
fichier de log.
Par contre j'ai pu visualiser les log en temps réel avant
les plantages. Il y a dans les secondes qui précèdent la
détection de nombreux accès (ouverture, lecture ou
autres, je ne peux lire cela va trop vite) à des fichiers
C:Program Files...NORTON... (je ne suis plus sûr
du chemin).
Alors que le moniteur Norton est désactivé, il me
paraît anormal que des accès continus aient lieu sur
ce répertoire.
J'ai l'intuition que le moniteur antivir détecte des
fragments de base virale Norton dans des fichiers
.TMP .
Je pensais qu'un éxecutable anti-virus utilisait une
base des signatures qui était encodée avec une clé
connue de lui seul (sur un média). Il me parait évident
que dans la mémoire vive (ou un fichier temporaire
si la mémoire est restreinte ou la base de signatures
trop grande) ces signatures peuvent apparaître en
clair, d'où la consigne générale de ne pas activer
deux moniteurs simultanément afin d'éviter la
détection de la base de l'un par l'autre.
Je desinstalle Norton à l'aide des liens d'Ascadix
et je poursuis.

Jeff

joke0
Le #1115455
Salut,

Jeff Mevel:
Je desinstalle Norton à l'aide des liens d'Ascadix
et je poursuis.


Je n'avais pas lu que tu avais 2 antivirus sur le même PC :-/
C'est très conseillé et encore plus qu'en l'un des 2 est Norton.

En même temps, si tu as un ver sur ton pc, il cherche le
répertoire de Norton pour le modifier ou l'arrêter en mémoire.
Ce qui expliquerait aussi pourquoi le moniteur planterait, le
ver pouvant posséder des protection contre ce genre d'outil.

Je ne sais plus où on en est, ce qui serait bien (si ça n'a pas
été déjà fait, c'est que tu fasses un scan avec hijackthis!
(majorgeeks.com). cet utilitaire fera un bilan des programmes
qui se lancent au démarrage, ce qui est toujours utile à savoir
;-)

--
joke0

Utilisateur_anonyme_et_non_membre_de_webatou.net
Le #1115037
Jeff Mevel wrote:

Bonsoir

OK, téléchargé.
Je teste dès que possible et je vous tiens au courant.
Ah, la curiosité est un vilain défaut, mais enfin ... ;-)


Testé:
Lorsque filemon est executé avant une détection du
moniteur antivir, une détection de .tmp provoque un
plantage qui ne permet pas de récupérer un quelconque
fichier de log.


La bonne technique consisterait peut-etre a desactiver Antivir
le temps que filemon vous permette de voir quand et comment
sont crees les .tmp

Alors que le moniteur Norton est désactivé, il me
paraît anormal que des accès continus aient lieu sur
ce répertoire.


Oui, ca ne semble pas tout a fait normal.

J'ai l'intuition que le moniteur antivir détecte des
fragments de base virale Norton dans des fichiers
..TMP .


Non, votre intuition est fausse : les fichiers .tmp que vous
m'avez envoye' contiennent bel et bien des Klez en parfait
etat de marche, et pas des residus de signature.

Klez est sense' creer un fichier

C:WINDOWSSYSTEMWink*.exe

Il affecte aussi des fichiers du repertoire C:WINDOWSTEMP,
l'extension .TMP ou .EXE (suppression, creation, ...).

On voit par ailleurs les chaines dummy.exe et
e:windowsSyStem32dLlcacheddd.exe dans le corps des executables (il y a
en fait
trois executables PE imbriques dans un .exe, l'un d'entre eux doit etre
le Elkern droppe' par Klez).

Apres avoir verifie' que vous affichez bien les fichiers caches et
les fichiers systemes, regardez aussi si le fichier suivant est
present (si oui, c'est Elkern) :
C:WINDOWSSYSTEMWQK.EXE

Je pensais qu'un éxecutable anti-virus utilisait une
base des signatures qui était encodée avec une clé
connue de lui seul (sur un média). Il me parait évident
que dans la mémoire vive (ou un fichier temporaire
si la mémoire est restreinte ou la base de signatures
trop grande) ces signatures peuvent apparaître en
clair, d'où la consigne générale de ne pas activer
deux moniteurs simultanément afin d'éviter la
détection de la base de l'un par l'autre.


Oui, mais ce raisonnement n'est valable que si plusieurs
moniteurs sont actives simultanement. Et ca n'est
vraissemblablement pas l'otigine de votre probleme.

Je desinstalle Norton à l'aide des liens d'Ascadix
et je poursuis.


Voui. Mais je doute que Norton soit coupable...

Vous avez des partages reseaux non proteges sur cette
machine ?

--
Tweakie



--
Posté via http://www.webatou.net/
Usenet dans votre navigateur !
Complaints-To:


Jeff Mevel
Le #1492560
"Anonyme de Webatou.net"
le message de news:c51ube$2n2hmp$

La bonne technique consisterait peut-etre a desactiver Antivir
le temps que filemon vous permette de voir quand et comment
sont crees les .tmp


J'y ai pensé, mais les fichiers temporaires ont comme destination
finale la disparition: comment savoir après coup quels étaient les
fichiers tmp infectés afin de déterminer le processus fautif ?

Apres avoir verifie' que vous affichez bien les fichiers caches et
les fichiers systemes, regardez aussi si le fichier suivant est
present (si oui, c'est Elkern) :
C:WINDOWSSYSTEMWQK.EXE


J'affiche les fichiers caches et systemes (et les extension aussi ;-) )
J'avais deja initialement les occurences wq* et wink* dans le
repertoire windows et sous-repertoires. Je vais recommencer.


Vous avez des partages reseaux non proteges sur cette
machine ?


Non, partages desactives des le rachat de la machine.
Pas de LAN, acces ADSL pppoe. Mais connexion
manuelle et deconnecte pendant toutes mes phases
d'investigation.

Des que j'en ai l'occasion je relance filemon avec le
moniteur antivir desactive. Apres quelques minutes
je lancerai un scan du repertoire c:/windows/temp .
Je devrais bien trouver un fichier tmp infecte et donc
le processus fautif dans les log.

NB: j'aimerais bien avoir acces plus souvent a cet
ordinateur, la resolution de cette enigme avancerait
plus vite !

Jeff Mevel
Le #1126560
Bonsoir a tous

Je me suis absente quelques jours, ce qui explique
le delai dans mes posts.
J'ai desinstalle Norton AV Corporate manuellement
grace aux liens Symantec (merci Ascadix).
Depuis aucune alerte du moniteur Antivir et comme
par le passe scans de tous les fichiers OK.
Malheureusement j'ai detruit tous les fichiers desinstalles.

Je vois donc deux explications au phenomene:
- Reperage par le moniteur antivir de signatures Norton
lors de l'activation de scans par un scheduler Norton
(ce qui expliquerait la latence entre le demarrage et la
premiere detection par le moniteur Antivir). Mais cette
hypothese est contredite par la présence de Klez en
parfait etat de marche dans les fichiers TMP (verifiee
par Tweakie).
- Infection ciblee et cryptee d'executables Norton par
Elkern ou un wrapper. Je n'ai jamais rien lu sur ce
genre d'infection.

L'enigme reste donc entiere et il ne reste que ce ces
fichiers TMP comme traces car les symptomes ont
disparus.

Encore merci a tous les contributeurs.
Jeff Mevel
Le #1127107
Bonsoir a tous

Je me suis absente quelques jours, ce qui explique
le delai dans mes posts.
J'ai desinstalle Norton AV Corporate manuellement
grace aux liens Symantec (merci Ascadix).
Depuis aucune alerte du moniteur Antivir et comme
par le passe scans de tous les fichiers OK.
Malheureusement j'ai detruit tous les fichiers desinstalles.

Je vois donc deux explications au phenomene:
- Reperage par le moniteur antivir de signatures Norton
lors de l'activation de scans par un scheduler Norton
(ce qui expliquerait la latence entre le demarrage et la
premiere detection par le moniteur Antivir). Mais cette
hypothese est contredite par la présence de Klez en
parfait etat de marche dans les fichiers TMP (verifiee
par Tweakie).
- Infection ciblee et cryptee d'executables Norton par
Elkern ou un wrapper. Je n'ai jamais rien lu sur ce
genre d'infection.

L'enigme reste donc entiere et il ne reste que ce ces
fichiers TMP comme traces car les symptomes ont
disparus.

Encore merci a tous les contributeurs.

NB: repost car post du 20/04/04 non apparu
sur news.free.fr
Publicité
Poster une réponse
Anonyme