L'infection se caractérise par la présence d'un service Pe386 rootkité, c'est à dire masqué pour l'utilisateur et les outils "classiques" de Windows. Le service ne peut donc pas être visualisé dans la console des services des outils d'administration.
Le dropper (programme qui installe l'infection) est détecté par Kaspersky sous le nom : Trojan-Dropper.Win32Small.APE
Le driver du rootkit (fichier pe386.sys) est détecté sous le nom : SpamTool.Win32.Mailbot.AZ
Ce rootkit peut être détecté (cela dépend de la variante) par les outils classiques : gmer, F-Secure BlackLight, rootkitrevaler, DarkSpy, IceSword
Dans la capture ci-dessous, on peut voir dans la partie haute que le service pe386 n'existe pas et n'est pas listé.
Dans la partie dessous, le programme IceSword permet de visualiser la clef HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pe386 démontrant que le service pe386 existe bien.
On en conclus donc que le service est bien masqué, qu'il est rootkité.
Dans la capture ci-dessous, on peut visualiser l'ADS du service détecté par F-Secure Blacklight
Une vidéo est disponible sur le site de gmer montrant les diverses détections par cette infection : http://www.gmer.net/pe386.wmv
Ce rootkit génère aussi des erreurs AUTORITE NT / SYSTEM sur le processus services.exe
" Arrêt système initié par AUTORITE NT / SYSTEM c:\windows\system32\services.exe s'est arrêté de manière innatendue avec le code d'état. 204 / 203 ou -1073741815 " mais ce n'est pas spécifique à ce rootkit puisque l'erreur peut se présenter avec le rootkit Haxdoor.
ex : http://forum.telecharger.com/telecharge ... ges-1.html
Fevrier 2007
D'autres variantes sont apparues.. depuis.
Ajoute de deux pages :
* Supprimer le rootkit Rustock
* Une description détaillée de l'infection ljpvbhqw.exe - fnhoje (Rustock rootkit), Trojan-Downloader.Win32.Agent.ind sur Bluetack
