Bot IRC : Worm.Autorun
Nous allons prendre pour exemple l'infection MSN Worm.Autorun présenté souvent (car nouvelle variante chaque jour) dans la partie MSN de ce forum : http://forum.malekal.com/viewforum.php?f=57
Cette infection est aussi capable de se propager via des disques amovibles
Processus rootkité
L'infection se charge par une simple clef Run (O4 sur HijackThis)
Le processus est rootkité... ce qui signifie que le gestionnaire de tâches et Process Explorer ne sont pas capables de le lister...Gmer lui en est capable.
Lorsque l'on tue le processus, celui-ci se relance automatiquement afin d'assurer un fonctionnement permanent de l'infection.
Terminer des processus de protection/analyse
L'infection possède une liste de processus prédéfinie qui seront automatiquement tué.
Voici la liste : https://www.malekal.com/fichiers/forum/ ... lllist.txt
Celle-ci comprends des antivirus, logiciels de sécurité mais aussi des fix dont gmer, HijackThis, SDFix etc.
Ceci signifie que l'internaute infecté ne pourra démarré ces programmes (sauf en les renommant au préalable).
L'infection désactive donc les antivirus et empèche l'utilisation de fix.
Hijack fichier HOSTS
L'infection hijack le fichier HOSTS de Windows afin de faire pointer des adresses de sites vers localhost et empécher la connexion vers ces dernières.
Voici le fichier HOSTS : https://www.malekal.com/fichiers/forum/ ... _HOSTS.txt
Des adresses d'antivirus, de fix et de forum de sécurité sont donc ajoutés.
La mise à jour des antivirus et l'accès à certains fix ou forum de désinfection sont donc impossibles.
Empécher le redémarrage en mode sans échec
L'infection supprime ensuite la clef SafeBoot (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot) ce qui empèche le redémarrage en mode sans échec (erreur STOP).
Le programme SafeBootKeyRepair de sUBs permet de restaurer ces clefs afin de rendre valide à nouveau le redémarrage en mode sans échec.
Malheureusement l'infection track cette clef, dès qu'un changement est effectué, celle-ci supprime à nouveau les clefs SafeBoot pour assurer un non redémarrage en mode sans échec.
Il faut donc désactiver l'infection avant de pouvoir restaurer le mode sans échec.
Il n'est donc pas possible de redémarrage en mode sans échec pour supprimer le fichier et/ou utiliser un antivirus/fix.
Ajouter des restrictions systèmes via les policies
L'infection désactive aussi l'invite de commandes via les policies :
Il est possible de réactiver l'invite de commandes en remettant la valeur DisableCmd à 0, seulement encore une fois l'infection track la clef et redésactivera illico l'invite de commandes.[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
* DisableCMD = 0x00000002
En outre, si vous vous reportez au processus tué par l'infection, vous verrez que cmd.exe y est présent, restaurer la valeur ne suffit donc pas.
L'infection empèche donc l'utilisation de fix basé sur du batch tel que MSNFix, SDFix et Combofix.
A l'exécution vous obtenez le message : L'invite de commandes a été désactivée par votre administrateur.
L'infection ajoute d'autres restrictions notamment en désactivent l'éditeur de registre (regedit) et le gestionnaire de tâches (taskmgr)/
Et encore une fois, regedit.exe et taskmgr.exe sont présents dans la liste des processus à tuer.[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
* Disabletaskmgr = 0x00000001
* Disableregistrytools = 0x00000001
A l'exécution de l'éditeur du registre, vous obtenez le message message : La modification du registre a été désactivée par votre administrateur.
A l'exécution du gestionnaire de tâches, vous obtenez le message message : Le gestionnaire de tâches a été désactivée par votre administrateur.e
Enfin, la restauration système est désactivée :
Supprimer l'accès à des fonctionnalités de Windows en supprimant les menus# [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
* DisableConfig = 0x00000001
L'infection retire ensuite le menu "options des dossiers" du menu affichage afin que l'internaute ne puisse pas afficher les fichiers cachés/systèmes, ceci pour deux raisons :
- le fichier infectieux se trouve dans le dossier system32 et possède l'attribut caché, désactiver l'affichage des fichiers cachés/systèmes permet donc ne pas pouvoir le lister.
- l'infection se propageant par disques amovibles, elle créé des fichiers autorun.inf qui ne sont pas affichés par défaut. Ces derniers resteront donc masqués.
L'infection retire aussi l'option exécuter du menu Démarrer.
A noter que certains variantes suppriment aussi le bouton Arreter du menu Démarrer.
Ce n'est pas le cas de celles actuellement diffusé au moment où est écrit cet article.
Certaines restrictions et domaines blacklistés dans le fichier HOSTS ont été progressives. Ceci tend à dire que les auteurs de ce malwares surveillent les activités des fix et forums de sécurités.
Le fix SDFix incorpore actuellement un add-on DBFix qui permet de supprimer ces infections, se reporter au tutorial SDFix : https://www.malekal.com/tutorial_SDFix. ... ocId708380
Quelques autres exemples : Bagle, LinkOptimizer
Trojan Bagle
Bagle est un autre exemple de malwares se protégeant, ce dernier est un rootkit Kernel-Mode qui permet de se charger beaucoup plus bas dans le système (ce qui le rend plus dangereux que l'exemple précédent).
Bagle détruit les antivirus, les pare-feux ainsi qu'un bon nombre de fix (Combofix, SDFix etc.), j'ai bien dit détruit et non désactive.
Bagle détruit le PE header donnant l'erreur suivante à l'exécution du programme : "nomdufichierdelantivirus.exe n'est pas une application win32 valide" :
En outre, renommer le programme sert à rien, Bagle effectue des recherches de strings (séquences de textes) afin de reconnaître un des programmes sensibles qu'il souhaite détruire.
Bagle détruit aussi la clef SafeBoot afin d'empécher le redémarrage en mode sans échec.
LinkOptimizer
LinkOptimizer est une infection de 2006 très évoluée pour l'époque (et même de nos jours).
LinkOptimizer est un rootkit usermode qui incopore certaines protections comme :
- blacklister certains sites et forum de désinfection
- blacklister certains programmes (dumphive, The Avenger, Gmer, IceSword, certains scanner rootkit d'éditeur de sécurité).
- Les fichiers de l'infection ont des permissions spéciales, le rootkit hook les API utilisées pour modifier les permissions, si l'on tente de modifier les droits des fichiers du rootkit pour pouvoir ensuite les supprimer, on obtient des erreurs
Vous trouverez une description en anglais sur cette page : http://www.antirootkit.com/articles/gro ... Adware.htm
et la traduction en français sur cette page : http://xp.net.free.fr/articles/gromozon.php
Conclusion
Si l'infection Worm.Autorun présenté dans le premier paragraphe ne montre pas de réellement révolution en matière de protection des malwares puisque l'utilisation de restrictions, terminer des processus, hijack Hosts restent assez courants.
Le cooktail employé permet de présenter une bonne partie des méthodes de protection employé par les malwares de nos jours.