Rootkit.TDSS TDL 4 (Trojan.Alureon)

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Rootkit.TDSS TDL 4 (Trojan.Alureon)

Message par Malekal_morte » 05 nov. 2010 19:36

Pour une vision plus globale des infections touchant le MBR se reporter à la page suivante : mbr-malwares-comment-detecter-supprimer-t29519.html

Une nouvelle version de TDSS est maintenant en circulation depuis quelques mois.

Pour rappel TDSS/Alureon est une famille de malware très sophistiquées qui provoque des redirections lors des recherches Google.
Cette variante s'attaque au MBR qui juste là était réservé à Sinowal/mebroot et Whistler Bookit.

Ceci permet de rendre l'infection fonctionnelle sur des Windows Vista/Seven 64 bits - voir : les-rootkits-bits-t26440.html#p224970

Un petit tour d'horizon :

GMER et MBR de GMER
Rapport GMER :
GMER 1.0.15.15477 - http://www.gmer.net
Rootkit quick scan 2010-11-05 17:44:44
Windows 5.1.2600 Service Pack 2
Running: ptc3yc0j.exe; Driver: C:\DOCUME~1\Mak\LOCALS~1\Temp\uxtdypoc.sys


---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 00 (MBR): rootkit-like behavior; TDL4 <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sectors 16777006 (+209): rootkit-like behavior;

---- Devices - GMER 1.0.15 ----

Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort0 8231A292
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort1 8231A292
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP1T0L0-e 8231A292
Device \Device\Ide\IdeDeviceP0T0L0-3 -> \??\IDE#DiskVMware_Virtual_IDE_Hard_Drive___________00000001#3030303030303030303030303030303030303130#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found

---- EOF - GMER 1.0.15 ----
La restauration du MBR ne semble pas fonctionner avec GMER.
Ce dernier indique que le MBR a été restauré mais la détection du Rootkit perdure.

Image


Rapport : http://www2.gmer.net/mbr/mbr.exe
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: VMware_Virtual_IDE_Hard_Drive rev.00000001 -> \Device\Ide\IdePort0

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected disk devices:
\Device\Ide\IdeDeviceP0T0L0-3 -> \??\IDE#DiskVMware_Virtual_IDE_Hard_Drive___________00000001#3030303030303030303030303030303030303130#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
\Driver\atapi DriverStartIo -> 0x8231A292
user != kernel MBR !!!
sectors 16777214 (+208): user != kernel
Warning: possible TDL4 rootkit infection !
TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.
mbr de GMER détecte bien l'infection.
La désinfection est possible par mbr -f qui semble effectivement faire le job puisqu'après redémarrage TDSS n'est plus détecté.

Image

MBRCheck
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0200000d

Kernel Drivers (total 115):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806CE000 \WINDOWS\system32\hal.dll
0x82385000 \WINDOWS\system32\KDCOM.DLL
0xF8AAE000 \WINDOWS\system32\BOOTVID.dll
0xF856A000 ACPI.sys
0xF8B9A000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF8559000 pci.sys
0xF869A000 isapnp.sys
0xF8AB2000 compbatt.sys
0xF8AB6000 \WINDOWS\System32\DRIVERS\BATTC.SYS
0xF8B9C000 intelide.sys
0xF891A000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF86AA000 MountMgr.sys
0xF853A000 ftdisk.sys
0xF8B9E000 dmload.sys
0xF8514000 dmio.sys
0xF8922000 PartMgr.sys
0xF86BA000 VolSnap.sys
0xF84FC000 atapi.sys
0xF8ABA000 vmscsi.sys
0xF84E4000 \WINDOWS\System32\DRIVERS\SCSIPORT.SYS
0xF86CA000 disk.sys
0xF86DA000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF84C5000 fltmgr.sys
0xF84B3000 sr.sys
0xF849C000 KSecDD.sys
0xF840F000 Ntfs.sys
0xF83E2000 NDIS.sys
0xF83C7000 Mup.sys
0xF86EA000 agp440.sys
0xF87BA000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF8952000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF8BBE000 \SystemRoot\System32\DRIVERS\vmmouse.sys
0xF895A000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF7D9A000 \SystemRoot\System32\DRIVERS\parport.sys
0xF7D89000 \SystemRoot\System32\DRIVERS\serial.sys
0xF8B82000 \SystemRoot\System32\DRIVERS\serenum.sys
0xF8962000 \SystemRoot\System32\DRIVERS\fdc.sys
0xF87CA000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF87DA000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF7D66000 \SystemRoot\System32\DRIVERS\ks.sys
0xF896A000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xF7D43000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF8972000 \SystemRoot\System32\DRIVERS\vmx_svga.sys
0xF751A000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xF89D2000 \SystemRoot\System32\DRIVERS\vmxnet.sys
0xF8376000 \SystemRoot\System32\DRIVERS\CmBatt.sys
0xF8115000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xF8D88000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF8105000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF8372000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xF7503000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF80F5000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF80E5000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF89DA000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xF7452000 \SystemRoot\System32\DRIVERS\psched.sys
0xF880A000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF44C6000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF44BE000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF367A000 \SystemRoot\System32\DRIVERS\rdpdr.sys
0xF3F62000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF8BCE000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF3646000 \SystemRoot\System32\DRIVERS\update.sys
0xF448A000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF3F52000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF44B6000 \SystemRoot\System32\DRIVERS\flpydisk.sys
0xF3F32000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF8BD0000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF44AE000 \SystemRoot\System32\DRIVERS\usbccgp.sys
0xF8BD2000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF3DE5000 \SystemRoot\System32\Drivers\Null.SYS
0xF8BD4000 \SystemRoot\System32\Drivers\Beep.SYS
0xF449E000 \SystemRoot\System32\drivers\vga.sys
0xF8BD6000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF8BFC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF4496000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF448E000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF3F8E000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xF234B000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xF22F3000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xF22CB000 \SystemRoot\System32\DRIVERS\netbt.sys
0xF3F8A000 \SystemRoot\System32\drivers\ws2ifsl.sys
0xF22A9000 \SystemRoot\System32\drivers\afd.sys
0xF3F22000 \SystemRoot\System32\DRIVERS\netbios.sys
0xF228B000 \SystemRoot\System32\DRIVERS\vmhgfs.sys
0xF225F000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xF21F0000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xF3EE2000 \SystemRoot\System32\Drivers\Fips.SYS
0xF21CF000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xF3ED2000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xF3F76000 \SystemRoot\System32\DRIVERS\hidusb.sys
0xF38D2000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
0xF4103000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
0xF3F72000 \SystemRoot\System32\DRIVERS\mouhid.sys
0xF38A2000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF21B7000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF8BE0000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF40DB000 \SystemRoot\System32\watchdog.sys
0xF37EA000 \SystemRoot\System32\drivers\Dxapi.sys
0xBF9C1000 \SystemRoot\System32\drivers\dxg.sys
0xF6908000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF9D3000 \SystemRoot\System32\vmx_fb.dll
0xF8256000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xF209A000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xF4017000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xF4015000 \??\C:\Program Files\VMware\VMware Tools\Drivers\memctl\vmmemctl.sys
0xF40C3000 \SystemRoot\system32\drivers\npf.sys
0xF1FF7000 \SystemRoot\System32\DRIVERS\srv.sys
0xF1EC6000 \SystemRoot\System32\Drivers\HTTP.sys
0xF8C34000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
0xF1CC3000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xF1CAC000 \??\C:\DOCUME~1\Mak\LOCALS~1\Temp\uxtdypoc.sys
0xF40F3000 \??\C:\DOCUME~1\Mak\LOCALS~1\Temp\mbr.sys
0x7C910000 \WINDOWS\system32\ntdll.dll

Processes (total 29):
0 System Idle Process
4 System
564 C:\WINDOWS\system32\smss.exe
628 csrss.exe
652 C:\WINDOWS\system32\winlogon.exe
696 C:\WINDOWS\system32\services.exe
708 C:\WINDOWS\system32\lsass.exe
860 C:\Program Files\VMware\VMware Tools\vmacthlp.exe
876 C:\WINDOWS\system32\svchost.exe
956 svchost.exe
1044 C:\WINDOWS\system32\svchost.exe
1096 svchost.exe
1180 svchost.exe
1476 C:\WINDOWS\system32\spoolsv.exe
1592 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
1760 C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
1852 C:\Program Files\VMware\VMware Tools\VMUpgradeHelper.exe
340 C:\WINDOWS\explorer.exe
396 alg.exe
480 C:\WINDOWS\system32\wscntfy.exe
1120 C:\Program Files\VMware\VMware Tools\VMwareTray.exe
1132 C:\Program Files\VMware\VMware Tools\VMwareUser.exe
1152 C:\WINDOWS\system32\ctfmon.exe
1172 C:\Program Files\Messenger\msmsgs.exe
1264 C:\Documents and Settings\Mak\Bureau\procexp.exe
712 C:\Documents and Settings\Mak\trdozx.exe
2020 C:\Program Files\Internet Explorer\iexplore.exe
1908 C:\Program Files\WinSCP\WinSCP.exe
1448 C:\Documents and Settings\Mak\Bureau\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: VMwareVirtualIDEHardDrive, Rev: 00000001

Size Device Name MBR Status
--------------------------------------------
7 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: 8637A6CD1F8DC55758E12C0B860CDE1133CA5719


Done!

MBRCheck ne détecte pas cette variante.
(Cela ne signifie pas forcément que MBRCheck ne soit pas en mesure de NE PAS détecter toutes les variantes TDSS TDL 4).

BootKit Remover

Lien du tool : http://esagelab.com/resources.php?s=bootkit_remover

Le tool détecte le code malicieux :
Image

Le nettoyage se fait sans souci - au redémarrage TDSS n'est plus actif :
Image


TDSSKiller de Kaspersky

Enfin TDSSKiller de Kaspersky, fait vraiment bien le boulot.
C'est à mon avis la solution à privilégier, du fait que l'outil est vraiment simple d'utilisation.

Image

Image

EDIT Mi-2011 : ajout des removal tool des éditeurs d'antivirus
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rootkit.TDSS TDL 4 (Trojan.Alureon)

Message par Malekal_morte » 05 nov. 2010 23:26

Le malware rend le système instable et provoque des erreurs Generic Host Process.
Application défaillante svchost.exe, version 5.1.2600.2180, module défaillant ntdll.dll, version 5.1.2600.2180, adresse de défaillance 0x00021260.

Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp.
Image

S'ensuit que le thème de Windows est à moitié déchargé et provoque donc des problèmes d'affichage.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rootkit.TDSS TDL 4 (Trojan.Alureon)

Message par Malekal_morte » 28 avr. 2011 17:31

Mise à jour du malware depuis quelques jours qui le rend plus difficile à détecter.
Les antivirus génèrent tout de même des alertes sur l'activité de l'infection.
Notamment AVG qui génère des alertes Agent_r.XJ
Image

Avast! lui génère des alertes Win32:Agent-AKRS [Drp] :
Image

ou sur des connexions WEB URL:MAL :
Image

Voir le post pour plus d'informations : https://www.malekal.com/2011/04/28/rootk ... -variante/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rootkit.TDSS TDL 4 (Trojan.Alureon)

Message par Malekal_morte » 01 mai 2011 21:29

Trois liens issu d'un article explicatif sur le fonctionnement du malware :
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rootkit.TDSS TDL 4 (Trojan.Alureon)

Message par Malekal_morte » 27 juin 2011 13:58

Une autre page concernant TDSS sur securelist.com (Kaspersky) : http://www.securelist.com/en/analysis/2 ... L4_Top_Bot
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rootkit.TDSS TDL 4 (Trojan.Alureon)

Message par Malekal_morte » 11 juil. 2011 18:41

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rootkit.TDSS TDL 4 (Trojan.Alureon)

Message par Malekal_morte » 25 juil. 2011 11:03

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87321
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rootkit.TDSS TDL 4 (Trojan.Alureon)

Message par Malekal_morte » 30 janv. 2016 12:26

2016, Alueron/TDSS encore actif avec une détection Avast! Win32:Aluroot-B Rtk dans le fichier csrsrv.dll

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités