Le MBR Rootkit comme son nom l'indique est un rootkit qui se place dans le secteur d'amorce du disque dur (MBR - Master Boot Record, voir : http://fr.wikipedia.org/wiki/Master_boot_record).
C'est un stealer qui a pour but de voler des identifiants de connexion au site de banque, mot de passe etc.
Les principaux avantages sont :
* Le rootkit peut se charger avant le système d'exploitation et donc bien avant les programmes de sécurité (antivirus etc..). Le premier programme chargé à un avantage sur celui qui tente de se charger (possibiliter de l'empécher de se charger etc.)
* Il est plus difficile à supprimer (surtout que la majorité des antivirus ne sont pas prévus pour le faire).
Une page explicative sur le fonctionne de ce rootkit par l'auteur du programme Gmer est disponible à cette adresse : http://www2.gmer.net/mbr/
Le dropper du MBR Rootkit est détecté en PSW-Sinowal, Backdoor.MaosBoot ou Trojan.Mebroot ex :
MBR Rootkit & Antivirus gratuitsFichier kl.exe reçu le 2008.03.21 00:41:30 (CET)
Situation actuelle: terminé
Résultat: 20/32 (62.50%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.3.20.2 2008.03.20 -
AntiVir 7.6.0.75 2008.03.20 BDS/Sinowal.AG
Authentium 4.93.8 2008.03.20 -
Avast 4.7.1098.0 2008.03.20 Win32:Sinowal-CR
AVG 7.5.0.516 2008.03.21 Small
BitDefender 7.2 2008.03.21 -
CAT-QuickHeal 9.50 2008.03.20 Backdoor.Sinowal.ag
ClamAV 0.92.1 2008.03.20 -
DrWeb 4.44.0.09170 2008.03.20 Trojan.Packed.370
eSafe 7.0.15.0 2008.03.18 Win32.Sinowal.ag
eTrust-Vet 31.3.5629 2008.03.20 Win32/Mebroot.F
Ewido 4.0 2008.03.20 Backdoor.Sinowal.ag
F-Prot 4.4.2.54 2008.03.20 -
F-Secure 6.70.13260.0 2008.03.20 Backdoor.Win32.Sinowal.ag
FileAdvisor 1 2008.03.21 -
Fortinet 3.14.0.0 2008.03.20 W32/Sinowa.A!tr.bdr
Ikarus T3.1.1.20 2008.03.20 Trojan-PWS.Win32.Sinowal.gc
Kaspersky 7.0.0.125 2008.03.20 Backdoor.Win32.Sinowal.ag
McAfee 5256 2008.03.20 Generic Packed.g
Microsoft 1.3301 2008.03.21 PWS:Win32/Sinowal.gen!G
NOD32v2 2965 2008.03.20 Win32/Mebroot.D
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.20 Suspicious file
Prevx1 V2 2008.03.21 -
Rising 20.36.32.00 2008.03.20 -
Sophos 4.27.0 2008.03.20 Mal/Sinowa-A
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.21 Trojan.Mebroot
TheHacker 6.2.92.250 2008.03.19 -
VBA32 3.12.6.3 2008.03.17 -
VirusBuster 4.3.26:9 2008.03.20 Backdoor.Sinowal.KU
Webwasher-Gateway 6.6.2 2008.03.20 Trojan.Backdoor.Sinowal.AG
Information additionnelle
File size: 307664 bytes
MD5: 0715ecf6b6284b133a563117c4099081
SHA1: 86b67548d4decc00998a7d11e6c2a7f8bc5a819b
J'ai testé les trois antivirus gratuits les plus répandus :
A l'heure où est écrit cette page :
Pour Antivir tout va pour le mieux et le secteur d'amorce n'est pas infecté.
Pour AVG, même chose tout va bien, seul des fichiers restants sur le disque sont détectés (ce qui peut mettre la puce à l'oreille quant à la présence du rootkit) :
C'est Avast! qui s'en tire le mieux puisqu'il détecte lui la présence du rootkit en MBR: \\.\PHYSICALDRIVE0.
Il est alors possible de nettoyer le secteur d'amorce.
De ce que j'ai pu voir, Avast! nettoye la partie rootkit mais une partie du code malicieux du rootkit semble rester dans le secteur d'amorce.
Le nettoyage semble donc incomplet. Je ne suis pas en mesure de dire si le code malicieux est encore chargé ou non après nettoyage.
Ce qui est sûr, c'est qu'Avast! une fois le nettoyage effectué ne fait plus d'alerte.
Cette page le confirme aussi : http://forum.telecharger.01net.com/tele ... ges-1.html
Il aurait été interressant de tester chaque antivirus de marché pour voir leur réaction mais je n'ai malheureusement pas le temps de faire cela.
Supprimer le rootkit MBR
il existe deux méthodes à ma connaissance pour supprimer le rootkit MBR.
Supprimer le Rootkit MBR avec la console de récupération et fixmbr
La première méthode consiste à reconstruire le secteur d'amorce, pour cela vous devez avoir en votre possession le CD de Windows.
- Démarrez sur le CD de Windows.
- Démarrez sur la console de récupération (voir la page Booter sur la console de récupération Windows
- Une fois sur la console de récupération, saisissez la commande fixmbr \device\harddisk0 puis valider par Entrée.
Supprimer le Rootkit MBR avec mbr.exe de Gmer
Gmer a sorti un programme qui détecte et permet de supprimer le rootkit MBR.
Vous pouvez télécharger le programme à l'adresse : http://www2.gmer.net/mbr/mbr.exe
Placez le fichier sur votre bureau
- Désactiver tous les programmes de protection (antivirus, antispyware etc.)
- Double-cliquez sur mbr.exe.. une fenêtre noire va s'ouvrir et se refermer.
- Un rapport sera généré mbr.log, voici un extrait de log en cas d'infection :
Si vous êtes infecté, le message MBR rootkit code detected apparaît.Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
MBR rootkit code detected !
malicious code @ sector 0x365340 size 0x1e8 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
Pour supprimer le rootkit :
- Menu Démarrer / exécuter et tapez la commande : "%userprofile%\Bureau\mbr" -f
(veuillez à bien respecter les guillemets) - dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully !
- Supprimer le fichier mbr.log
- Relancez mbr.exe et revisualiser mbr.log, si vous n'êtes plus infecté, vous devez avoir un rapport disant qu'aucune infection n'a été détectée, comme ceci :
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK