Rootkit MBR : PSW-Sinowal, Backdoor.MaosBoot Trojan.Mebroot

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86867
Inscription : 10 sept. 2005 13:57
Contact :

Rootkit MBR : PSW-Sinowal, Backdoor.MaosBoot Trojan.Mebroot

Message par Malekal_morte » 09 avr. 2008 14:54

Pour une vision plus globale des infections touchant le MBR se reporter à la page suivante : mbr-malwares-comment-detecter-supprimer-t29519.html

Le MBR Rootkit comme son nom l'indique est un rootkit qui se place dans le secteur d'amorce du disque dur (MBR - Master Boot Record, voir : http://fr.wikipedia.org/wiki/Master_boot_record).

C'est un stealer qui a pour but de voler des identifiants de connexion au site de banque, mot de passe etc.

Les principaux avantages sont :
* Le rootkit peut se charger avant le système d'exploitation et donc bien avant les programmes de sécurité (antivirus etc..). Le premier programme chargé à un avantage sur celui qui tente de se charger (possibiliter de l'empécher de se charger etc.)
* Il est plus difficile à supprimer (surtout que la majorité des antivirus ne sont pas prévus pour le faire).

Une page explicative sur le fonctionne de ce rootkit par l'auteur du programme Gmer est disponible à cette adresse : http://www2.gmer.net/mbr/

Le dropper du MBR Rootkit est détecté en PSW-Sinowal, Backdoor.MaosBoot ou Trojan.Mebroot ex :
Fichier kl.exe reçu le 2008.03.21 00:41:30 (CET)
Situation actuelle: terminé
Résultat: 20/32 (62.50%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.3.20.2 2008.03.20 -
AntiVir 7.6.0.75 2008.03.20 BDS/Sinowal.AG
Authentium 4.93.8 2008.03.20 -
Avast 4.7.1098.0 2008.03.20 Win32:Sinowal-CR
AVG 7.5.0.516 2008.03.21 Small
BitDefender 7.2 2008.03.21 -
CAT-QuickHeal 9.50 2008.03.20 Backdoor.Sinowal.ag
ClamAV 0.92.1 2008.03.20 -
DrWeb 4.44.0.09170 2008.03.20 Trojan.Packed.370
eSafe 7.0.15.0 2008.03.18 Win32.Sinowal.ag
eTrust-Vet 31.3.5629 2008.03.20 Win32/Mebroot.F
Ewido 4.0 2008.03.20 Backdoor.Sinowal.ag
F-Prot 4.4.2.54 2008.03.20 -
F-Secure 6.70.13260.0 2008.03.20 Backdoor.Win32.Sinowal.ag
FileAdvisor 1 2008.03.21 -
Fortinet 3.14.0.0 2008.03.20 W32/Sinowa.A!tr.bdr
Ikarus T3.1.1.20 2008.03.20 Trojan-PWS.Win32.Sinowal.gc
Kaspersky 7.0.0.125 2008.03.20 Backdoor.Win32.Sinowal.ag
McAfee 5256 2008.03.20 Generic Packed.g
Microsoft 1.3301 2008.03.21 PWS:Win32/Sinowal.gen!G
NOD32v2 2965 2008.03.20 Win32/Mebroot.D
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.20 Suspicious file
Prevx1 V2 2008.03.21 -
Rising 20.36.32.00 2008.03.20 -
Sophos 4.27.0 2008.03.20 Mal/Sinowa-A
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.21 Trojan.Mebroot
TheHacker 6.2.92.250 2008.03.19 -
VBA32 3.12.6.3 2008.03.17 -
VirusBuster 4.3.26:9 2008.03.20 Backdoor.Sinowal.KU
Webwasher-Gateway 6.6.2 2008.03.20 Trojan.Backdoor.Sinowal.AG
Information additionnelle
File size: 307664 bytes
MD5: 0715ecf6b6284b133a563117c4099081
SHA1: 86b67548d4decc00998a7d11e6c2a7f8bc5a819b
MBR Rootkit & Antivirus gratuits
J'ai testé les trois antivirus gratuits les plus répandus :


A l'heure où est écrit cette page :

Pour Antivir tout va pour le mieux et le secteur d'amorce n'est pas infecté.
Image

Pour AVG, même chose tout va bien, seul des fichiers restants sur le disque sont détectés (ce qui peut mettre la puce à l'oreille quant à la présence du rootkit) :
Image

C'est Avast! qui s'en tire le mieux puisqu'il détecte lui la présence du rootkit en MBR: \\.\PHYSICALDRIVE0.
Il est alors possible de nettoyer le secteur d'amorce.
Image

De ce que j'ai pu voir, Avast! nettoye la partie rootkit mais une partie du code malicieux du rootkit semble rester dans le secteur d'amorce.
Le nettoyage semble donc incomplet. Je ne suis pas en mesure de dire si le code malicieux est encore chargé ou non après nettoyage.
Ce qui est sûr, c'est qu'Avast! une fois le nettoyage effectué ne fait plus d'alerte.
Cette page le confirme aussi : http://forum.telecharger.01net.com/tele ... ges-1.html

Il aurait été interressant de tester chaque antivirus de marché pour voir leur réaction mais je n'ai malheureusement pas le temps de faire cela.

Supprimer le rootkit MBR

il existe deux méthodes à ma connaissance pour supprimer le rootkit MBR.

Supprimer le Rootkit MBR avec la console de récupération et fixmbr
La première méthode consiste à reconstruire le secteur d'amorce, pour cela vous devez avoir en votre possession le CD de Windows.
  • Démarrez sur le CD de Windows.
  • Démarrez sur la console de récupération (voir la page Booter sur la console de récupération Windows
  • Une fois sur la console de récupération, saisissez la commande fixmbr \device\harddisk0 puis valider par Entrée.
Une page explicative sur le fonctionne de ce rootkit par l'auteur du programme Gmer

Supprimer le Rootkit MBR avec mbr.exe de Gmer

Gmer a sorti un programme qui détecte et permet de supprimer le rootkit MBR.
Vous pouvez télécharger le programme à l'adresse : http://www2.gmer.net/mbr/mbr.exe
Placez le fichier sur votre bureau
  • Désactiver tous les programmes de protection (antivirus, antispyware etc.)
  • Double-cliquez sur mbr.exe.. une fenêtre noire va s'ouvrir et se refermer.
  • Un rapport sera généré mbr.log, voici un extrait de log en cas d'infection :
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0x365340 size 0x1e8 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
Si vous êtes infecté, le message MBR rootkit code detected apparaît.

Pour supprimer le rootkit :
  • Menu Démarrer / exécuter et tapez la commande : "%userprofile%\Bureau\mbr" -f
    (veuillez à bien respecter les guillemets)
  • dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully !
  • Supprimer le fichier mbr.log
  • Relancez mbr.exe et revisualiser mbr.log, si vous n'êtes plus infecté, vous devez avoir un rapport disant qu'aucune infection n'a été détectée, comme ceci :
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86867
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rootkit MBR : PSW-Sinowal, Backdoor.MaosBoot Trojan.Mebroot

Message par Malekal_morte » 18 déc. 2009 19:56

Dans ce sujet, vous trouverez un rapport MBR et GMER avec le MBR rootkit actif : maxdomzhit-com-file-exe-mbr-rootkit-mebroot-t22322.html

Pour que les choses soient bien claires - voici un rapport MBR avec le rootkit actif :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x80f5a168
NDIS: VMware Accelerated AMD PCNet Adapter -> SendCompleteHandler -> 0xffab4530
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0365340
malicious code @ sector 0x0365343 !
PE file found in sector at 0x0365359 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
~~

Rapport MBR après un fixmbr en console de récup - Rootkit non actif :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x0365340
malicious code @ sector 0x0365343 !
PE file found in sector at 0x0365359 !
Le unknown montre plutôt lui un patch du fichier atapi.sys :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x84341856]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
IoDeviceObjectType -> DumpProcedure -> 0xd46a624f
SecurityProcedure -> 0x8370a9d8
QueryNameProcedure -> 0x8370ab68
user & kernel MBR OK
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86867
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rootkit MBR : PSW-Sinowal, Backdoor.MaosBoot Trojan.Mebroot

Message par Malekal_morte » 17 févr. 2010 21:18

Grosse campagne MBR rootkit depuis 1 mois : ajnuocfdrukv-com-mbr-rootkit-mebroot-t22329.html

Fast Flux DNS :
neptune:/tmp# host pfgeeeepdve.com
pfgeeeepdve.com has address 190.120.228.44
pfgeeeepdve.com has address 69.174.245.145
neptune:/tmp# host pfgeeeepdve.com
pfgeeeepdve.com has address 69.174.245.145
pfgeeeepdve.com has address 190.120.228.44

et d'autres domaines sur les IP 83.222.232.198 / 69.174.245.145
aawzcamdfcgl.com
acdbxybadve.com
aczgefrmpzpw.com
aczgefrmzw.com
ajirfmradve.com
aqxqiloqdsqc.com
auvmuxyycoqz.com
bbeockzxdvy.com
bfqcffdxwxve.com
bguwoxufefxl.com
btnqvbosimbc.com
dbzpncuddwfz.com
dhjgjwgddve.com
dhjvnvvddve.com
dwvginbxs.com
eabeejeedve.com
ehwozbkikztw.com
eliyisgkaj.com
eliyisgtkaj.com
eovtjkibdinj.com
ewozbkikzw.com
fejxwacusgxx.com
gidllzcebzzi.com
gmkfizxevhcy.com
gsyldfdnvs.com
gxlyzdioass.com
gyppmyoabhrx.com
hdewptwhdve.com
hfgtiithdve.com
hhjgjnghdve.com
hiadcddhdve.com
hkhdhbhmgrjc.com
jseaiulmbha.com
jxlywtdhcjq.com
kdbmgrjc.com
kencqcsmiyuv.com
krgtrppbvzg.com
mcybnjvdcqp.com
neexhqssgys.com
nzlvcxrqflpw.com
nzlvcxrqflw.com
oclscthrpl.com
ozsgyjkqdjyl.com
pfgeeeepdve.com
phpqcnxtoboy.com
pianwenpdve.com
qefshhsqdve.com
qghkqfkqdve.com
qghulfuqdve.com
qnllpceowcbf.com
rafwkwtannrq.com
rcykjdwjqs.com
rencigmar.com
retnchigmapr.com
rilsgzhmhlxs.com
rilsgzmlxs.com
rsqkszbnwqe.com
rsvqcnkdlv.com
rsvqcnpkdlv.com
rtvzgunyick.com
rvzgunyick.com
sjafjcaqqedm.com
ssuqlqnrswze.com
tbckqcktdve.com
tdwvginbxps.com
tgsytldfdnvs.com
thjgjcgtdve.com
tlkcygahyqv.com
uefxrwxudve.com
uqpwefvxqeo.com
vjwxcjmjgmvd.com
vjxzzqobsyz.com
vquvmkzmsiyn.com
wbvdeeflnbz.com
wbvdeetflnbz.com
wdxbnajic.com
wdxbntajicth.com
wrtalqnzgdl.com
wsjnsicg.com
wsjnsitcgh.com
eliyisgtkaj.com
xaxijfaqbvfk.com
xdfkycaiij.com
xdfkycpaiij.com
xgzkuqgudcb.com
xjhmogzfprb.com
xlgjewczfjqx.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités