patch driver système : Rootkit.TDSS TDL 3

[Malekal_morte]

Pour supprimer le malware, utilisez TDSSKiller de Kaspersky : http://forum.malekal.com/tdsskiller-kas ... 28637.html

Une autre variante TDSS qui se répand depuis début Décembre, ce post sera séparé des autres posts relatifs à Trojan.TDSS/Trojan.Alureon étant donné qu'il n'y a pas de drivers habituels.

Cette variante a pour aussi pour but de générer des redirections lors des recherches Google.


Au moment où sont écrites ces lignes, cette variante utilise divers mode de propagation qui laisse à penser qu'elle doit être assez répandu, à savoir :

• exploits sur des sites WEB
• Dans un pack contenant le malware Bredolab par exemple avec le rogue Internet Security 2010
  voir : http://forum.malekal.com/internet-secur ... ml#p188793
• via de faux codec de type PornTube, comme on a eu précédemment, voir : http://forum.malekal.com/fake-codec-fau ... ml#p156102
• via des cracks, exactement les faux sites de cracks qui proposaient il y a qq semaines, le malware Virut / Virtob
• P2P avec par exemple LimeWire Trojan.Download.Agent
• Les infections par disques amovibles
• et surement d'autres

Cette variante se caractérise par la présente de fichier temporaire .tmp avec des noms plus ou moins aléatoires de la forme x.tmp ou CX.tmp où X est un chiffre - exemple :

%Temp%\4.tmp
%System%\spool\prtprocs\w32x86\1.tmp

ou

%Temp%\C3.tmp
%System%\spool\prtprocs\w32x86\C3.tmp

ou un mélange ex :

C:\Windows\System32\spool\prtprocs\w32x86\3997.tmp
C:\Windows\System32\spool\prtprocs\w32x86\53FA.tmp

Le malware se copie dans %TEMP% puis dans %System%\spool\prtprocs\w32x86\

Détection du dropper :

File C425B421002C6031FA78002EAA792300D256C6DF.exe received on 2010.01.02 08:57:01 (UTC)
Current status: finished
Result: 10/39 (25.64%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.43 2010.01.02 Packed.Win32.Tdss!IK
AhnLab-V3 5.0.0.2 2010.01.01 -
AntiVir 7.9.1.122 2009.12.31 -
Antiy-AVL 2.0.3.7 2009.12.31 -
Authentium 5.2.0.5 2010.01.02 -
Avast 4.8.1351.0 2009.12.31 -
AVG 8.5.0.430 2010.01.01 -
BitDefender 7.2 2010.01.02 -
CAT-QuickHeal 10.00 2010.01.02 -
ClamAV 0.94.1 2010.01.01 -
Comodo 3445 2010.01.02 -
DrWeb 5.0.1.12222 2010.01.02 Trojan.Packed.2936
eSafe 7.0.17.0 2009.12.31 -
eTrust-Vet 35.1.7210 2010.01.01 -
F-Prot 4.5.1.85 2010.01.02 -
F-Secure 9.0.15370.0 2010.01.02 -
Fortinet 4.0.14.0 2010.01.02 -
GData 19 2010.01.02 -
Ikarus T3.1.1.79.0 2009.12.31 Packed.Win32.Tdss
Jiangmin 13.0.900 2010.01.02 -
K7AntiVirus 7.10.935 2009.12.31 -
Kaspersky 7.0.0.125 2010.01.02 Packed.Win32.TDSS.aa
McAfee 5848 2009.12.31 -
McAfee+Artemis 5848 2009.12.31 -
McAfee-GW-Edition 6.8.5 2010.01.01 Heuristic.LooksLike.Trojan.PCK.Tdss.A
Microsoft 1.5302 2010.01.02 Trojan:Win32/Alureon.CT
NOD32 4736 2010.01.01 a variant of Win32/Kryptik.BOS
Norman 6.04.03 2009.12.31 -
nProtect 2009.1.8.0 2009.12.31 -
Panda 10.0.2.2 2010.01.01 -
PCTools 7.0.3.5 2010.01.02 -
Rising 22.28.03.04 2009.12.31 -
Sophos 4.49.0 2010.01.02 Sus/UnkPack-C
Sunbelt 3.2.1858.2 2010.01.01 -
TheHacker 6.5.0.3.125 2010.01.02 -
TrendMicro 9.120.0.1004 2010.01.02 Mal_TDSS-11
VBA32 3.12.12.1 2010.01.01 BScope.Rootkit-Dropper.TDSL
ViRobot 2009.12.31.2118 2009.12.31 -
VirusBuster 5.0.21.0 2010.01.01 -
Additional information
File size: 64000 bytes
MD5 : 26c15ff69f130ba2c6ee7fa180923966
SHA1 : 7076b25c4d9cfc2cd1446b54ec495c0851c79484

En bien détecté, on obtient ceci comme détection :

File Update-25.12.2009_Packed.TDSS_Fak received on 2010.01.01 15:41:36 (UTC)
Current status: finished
Result: 26/40 (65.00%)
Compact Compact
Print results Print results
Antivirus Version Last Update Result
a-squared 4.5.0.43 2010.01.01 Packed.Win32.Tdss!IK
AhnLab-V3 5.0.0.2 2010.01.01 -
AntiVir 7.9.1.122 2009.12.31 TR/PCK.Tdss.AA.2989
Antiy-AVL 2.0.3.7 2009.12.31 -
Authentium 5.2.0.5 2009.12.31 -
Avast 4.8.1351.0 2009.12.31 -
AVG 8.5.0.430 2009.12.31 Generic16.KOL
BitDefender 7.2 2010.01.01 Trojan.Generic.2911847
CAT-QuickHeal 10.00 2009.12.31 Win32.Packed.TDSS.aa.5
ClamAV 0.94.1 2010.01.01 -
Comodo 3439 2010.01.01 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.1.12222 2010.01.01 Trojan.Packed.2936
eSafe 7.0.17.0 2009.12.31 Win32.FakeAlert.Ejb
eTrust-Vet 35.1.7210 2010.01.01 -
F-Prot 4.5.1.85 2009.12.31 -
F-Secure 9.0.15370.0 2010.01.01 Trojan.Generic.2911847
Fortinet 4.0.14.0 2010.01.01 W32/TDSS.AA
GData 19 2010.01.01 Trojan.Generic.2911847
Ikarus T3.1.1.79.0 2009.12.31 Packed.Win32.Tdss
Jiangmin 13.0.900 2010.01.01 Packed.Tdss.aqzp
K7AntiVirus 7.10.935 2009.12.31 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2010.01.01 Packed.Win32.TDSS.aa
McAfee 5848 2009.12.31 FakeAlert-EJB
McAfee+Artemis 5848 2009.12.31 FakeAlert-EJB
McAfee-GW-Edition 6.8.5 2010.01.01 Heuristic.LooksLike.Trojan.PCK.Tdss.A
Microsoft 1.5302 2010.01.01 Trojan:Win32/Alureon.CT
NOD32 4735 2010.01.01 a variant of Win32/Kryptik.BIM
Norman 6.04.03 2009.12.31 W32/TDSSServ.AY
nProtect 2009.1.8.0 2009.12.31 -
Panda 10.0.2.2 2010.01.01 Trj/CI.A
PCTools 7.0.3.5 2010.01.01 -
Prevx 3.0 2010.01.01 -
Rising 22.28.03.04 2009.12.31 -
Sophos 4.49.0 2010.01.01 Mal/Generic-A
Sunbelt 3.2.1858.2 2010.01.01 Trojan.Win32.Generic!SB.0
TheHacker 6.5.0.3.124 2010.01.01 -
TrendMicro 9.120.0.1004 2010.01.01 Mal_TDSS-11
VBA32 3.12.12.1 2009.12.31 BScope.Rootkit-Dropper.TDSL
ViRobot 2009.12.31.2118 2009.12.31 -
VirusBuster 5.0.21.0 2009.12.31 -
Additional information
File size: 60928 bytes
MD5 : 362f7c7157038b4abfb9385f9bfa09db
SHA1 : 4a247d63609ac37dbeaa8b412533367e76910296

Ce dernier créé un service qui sera par la suite supprimé :

Process:
Path: C:\WINDOWS\system32\spoolsv.exe
PID: 1592
Information: Spooler SubSystem App (Microsoft Corporation)
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\vstbvgnmvtixqvp



Process:
Path: C:\WINDOWS\system32\spoolsv.exe
PID: 1592
Information: Spooler SubSystem App (Microsoft Corporation)
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\vstbvgnmvtixqvp
Registry value: imagepath
Type: REG_EXPAND_SZ
Value: \??\C:\WINDOWS\TEMP\C2.tmp



Process:
Path: C:\WINDOWS\system32\spoolsv.exe
PID: 1592
Information: Spooler SubSystem App (Microsoft Corporation)
Registry Group: Services
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Services\vstbvgnmvtixqvp
Registry value: type
Type: REG_DWORD
Value: 00000001



Process:
Path: C:\WINDOWS\system32\spoolsv.exe
PID: 1592
Information: Spooler SubSystem App (Microsoft Corporation)
Driver:
Path: C:\WINDOWS\Temp\C2.tmp

La copie se fait par les PendingFileRenameOperations

Process:
Path: C:\Documents and Settings\Malekal_morte\Desktop\Update-31[1].12.2009.exe
PID: 1980
Registry Group: System Critical
Object:
Registry key: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
Registry value: PendingFileRenameOperations
New value:
Type: REG_MULTI_SZ
Value: \??\C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\VMwareDnD\00002f0d\

\??\C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\VMwareDnD\00006523\

\??\C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\~nsu.tmp\Au_.exe

\??\C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\~nsu.tmp

\??\C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\C3.tmp

Previous value:
Type: REG_MULTI_SZ
Value: \??\C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\VMwareDnD\00002f0d\

\??\C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\VMwareDnD\00006523\

\??\C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\~nsu.tmp\Au_.exe

\??\C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\~nsu.tmp

Le fichier Système c:\Windows\system32\drivers\atapi.sys est patché.
Combofix est capable de le restaurer.
load_tdsskiller permet de contourner ce patch, une connexion internet est nécessaire (oubliez donc le MSE "normal", il faut aussi que la connexion vers les serveurs Kaspersky soit possible - donc qu'elle ne soit pas bloquée par un autre malware).


La détection par Malware-Byte AntiMalware

C:\WINDOWS\system32\foso.lvo (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\Temp\4B.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\4C.tmp (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\spool\prtprocs\w32x86\3.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.

ou

C:\Windows\System32\spool\prtprocs\w32x86\3997.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\spool\prtprocs\w32x86\53FA.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\spool\prtprocs\w32x86\6FF1.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\spool\prtprocs\w32x86\9932.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\spool\prtprocs\w32x86\9C7E.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\spool\prtprocs\w32x86\C851.tmp (Trojan.TDSS) -> Quarantined and deleted successfully.

Enfin, un scan GMER donne ceci :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-04 09:45:24
Windows 5.1.2600 Service Pack 2
Running: x2e3v29c.exe; Driver: C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\fwrcyaog.sys


---- Devices - GMER 1.0.15 ----

Device -> \Driver\atapi \Device\Harddisk0\DR0 80E64826

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----

MBR peut montrer les lignes suivantes :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll >>UNKNOWN [0x84341856]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
IoDeviceObjectType -> DumpProcedure -> 0xd46a624f
SecurityProcedure -> 0x8370a9d8
QueryNameProcedure -> 0x8370ab68
user & kernel MBR OK

Les symptômes

Les des redirections lors des recherches Google se font vers des urls en .cn plus avec des chiffres sur les IPS 78.47.249.230 / 188.40.164.210 :
b11335599.cn
c36996639.cn
m2121212.cn
m3131313.cn
rle822x.cn
r9237242.cn

Exemple :

Code : Tout sélectionner

1262538704.445     93 192.168.1.26 TCP_MISS/204 349 GET http://www.google.fr/url?sa=T&source=web&ct=res&cd=2&ved=0CBUQFjAB&url=http%3A%2F%2Fwww.01net.com%2Ftelecharger%2Fwindows%2FSecurite%2Fanti-spyware%2F&ei=5a9AS4n9DcSNjAeg2KWtDQ - DIRECT/209.85.227.105 text/html
1262538704.578      0 192.168.1.26 TCP_MISS/000 0 GET http://www.01net.com/telecharger/windows/Securite/anti-spyware/ - DIRECT/www.01net.com -
1262538704.930     41 192.168.1.26 TCP_MISS/000 0 GET http://wichitafallscraigslist.com/result.php?Keywords=spyware&r=49fea4077eee00cd6705f14c8117a11da3ab0a205738679010861b1e58eae69645001c724f0e7d99a84e9cd12cafacba&Submit=Go - DIRECT/wichitafallscraigslist.com -
1262538704.985    552 192.168.1.26 TCP_MISS/200 253 GET http://m2121212.cn/DKIPG4nCf9zgULMCWzzwQlm5vNj1stA8IVhtqWHZlYgeeGT1VZHZUuK+g26I5ajSP6qQsl2WL89auo0gwo9JZJCoF2u2uAnHAKt/gORKL0UHUKvqGvh92t5/yHRO1v7wFWO+brynRFd/Sx7whQCsVrtSVMR64Ni+kg6dd/ofoJgFhGEXEEbX6u90BRl4kx2wEw== - DIRECT/78.47.248.115 text/html
1262538706.043    558 192.168.1.26 TCP_MISS/301 1789 GET http://rle822x.cn/QaS1ADuX8k6qsnO6c7427428722326678634034f865c4dfb18h - DIRECT/188.40.164.209 text/html
1262538706.472    392 192.168.1.26 TCP_MISS/302 3495 GET http://64.111.196.114/c.php?s=eNpFlMvOgsoWhB-IRLppLt2DfyA3QUAREITJDlcFFAHlGh5-ewYnO6lUJZUarDX5yg0Shuc3luc2y1PWU3X528AOAI78PxgAwU8IEI5D7JYikcsYdYkuf38bEVKcpylBRBBwlmU5BAJLQMpxOBF4jv-H4WOYCTkvJDHMCwTZFAIMCElSUPws3hC_wS0_tZl_-i7v9X6hoy_n7S8M1Mr-po69FUmXy_chxXd1nCrRNK2XE66JSI-dk5inNc-XckD-4HnY4jpamymSwZVNmb54hEX-0lDRZW5qy3yICkTG52PVHZwGtODbUWmDtSTsJH-fXa3bp5D2vqyeHA1TrX1piS9s3ZosFxr1oa9T8dZ1vYu71RWZEXNmlEeWQUZfiiOI8tehk6hQ8q0XPAqZvnZdRKVVOD2cZ7WoUrS0c9mA9PTIsZLOqTFUq2kLCEmObLyEkU0FeMXy3XHt5laqF0U3Gcc6XZfDtT88Resohc2tWprOAILausr8NhX8WbhhwE0yUnM9wCN_qKyFC0Ksee55jSmmlfSbW16YU6BqzdmNDhlv7R2tGa72vjyu79a8V4ayxkc7GT9yQCI0ig_ThJQwnpTnMgz9Q2mptGghoN4quU3BtU4eqk6GoLhEjibGVi-LiaZrB7_CY2P337F3nMyXCdynZrsUfbms4tU7959pUo-TQEoiz1coSAatahX_odByq6Vr9_4IUMqO6Pwhdwxmk5nPpEl0xjM_ysfADOXK7Jj0_HFVZKBbpdUc-rBq0WHFIIZkXb5ezSr-fS5nbB5T7NlDMj0DJ3gXEcHtN6SfMe07oQo7wiQ0sDuD5FmvRojqxjePPO8eBze2p9fpvNAPzp1cJo_fpBDNvnGDdKhQ01_gtaETVrROXnc_EIp4i9Fyb85WDKRfocWUps1KuaqHLFnucGgRcPumVIpe2O-DizPenrjJ469V03voRvJiFkSbji5PBmI-f1_k1NURZM6m-VZEGb-YjRkRY_8qSq3qaJ-dSlqYv9TiZTMlhM9QPNq0bl5w81F9Q-ntGqsZDSjk8UlDnYP5a2OKvuby8lVHuyeEFlT6FNEcT9Uws81HAsw6XBB9GoWEaL6NcltoPmUhm_vL9ZW0RH7x8S1I0yc1p5RUHwNS3HCCzoJGXQvFoydmxqxtOMq4xq2nPkgmOabfUgOxBlonkeQZYteO7rkReS2kS8LoMKsRrAnT-2nxegVMUnCREL0mJ19Xm4vMBu9t_CrP-x9fMNoxgNkxkN0xCGwbxHjHgh3mfjW7_QrmPx65cIkCOGYvfzFfpzH5H58Qj3iwQcDyvzHY0JYxzyo-PEEYRI_kMK8hOj7iIFuTw3PNJK5KGPC35VzB_iACOMz8ruNzQeBhzMdxxiLEJST5F5Aqq0M - DIRECT/64.111.196.114 text/html

Ces adresses changeront bien entendu au court du temps.

La vidéo suivante montre les problèmes occasionnées et les redirections Google générées :


Le patch atapi.sys provoque des alertes xxx.tmp/svchost.exe, voir exemples :
http://forum.malekal.com/infecte-par-ve ... 22782.html
http://forum.malekal.com/delphi-gen-tem ... 23341.html
http://forum.malekal.com/besoin-aide-vi ... 22986.html
http://forum.malekal.com/windows-temp-x ... 22787.html



Le fichier est téléchargé à l'adresse :

Code : Tout sélectionner

1266433916.282    494 192.168.1.26 TCP_MISS/200 7463 GET http://91.212.226.182/inst_n82.exe - DIRECT/91.212.226.182 application/octet-stream

Done !
MD5 : 62f57a8cfd04a137e0cb45faf7239579
Date : 2010.02.17 17:03:06 (UTC)
Results : 31/40
Virus Names : Downloader Heuristic.LooksLike.Win32.Suspicious.L Generic.Malware.FBdld!!.60A90DA6
Permalink : http://www.virustotal.com/analisis/7f20 ... 1266426186

The results for inst_n82.exe are :
F-Secure 9.0.15370.0 2010.02.17 Generic.Malware.FBdld!!.60A90DA6
eSafe 7.0.17.0 2010.02.16 Win32.Malware.FBdld
McAfee-GW-Edition 6.8.5 2010.02.17 Heuristic.LooksLike.Win32.Suspicious.L
K7AntiVirus 7.10.974 2010.02.15 Trojan.Win32.Malware.1
VBA32 3.12.12.2 2010.02.16 Trojan-Downloader.Win32.Small.kke
AVG 9.0.0.730 2010.02.17 Downloader.Generic9.ASLD
DrWeb 5.0.1.12222 2010.02.17 Trojan.DownLoad1.41867
Symantec 20091.2.0.41 2010.02.17 Downloader
Sunbelt 5682 2010.02.17 BehavesLike.Win32.Malware (v)
Sophos 4.50.0 2010.02.17 Mal/Behav-116
McAfee+Artemis 5894 2010.02.16 Generic Downloader.x!czf
GData 19 2010.02.17 Generic.Malware.FBdld!!.60A90DA6
McAfee 5894 2010.02.16 Generic Downloader.x!czf
BitDefender 7.2 2010.02.17 Generic.Malware.FBdld!!.60A90DA6
PCTools 7.0.3.5 2010.02.17 Downloader.Generic
Kaspersky 7.0.0.125 2010.02.17 Trojan-Downloader.Win32.Small.kke
Panda 10.0.2.2 2010.02.16 Trj/Downloader.XJP
NOD32 4874 2010.02.17 Win32/TrojanDownloader.Small.OUX
Comodo 3969 2010.02.17 UnclassifiedMalware
a-squared 4.5.0.50 2010.02.17 Trojan-Downloader.Win32.Small!IK
VirusBuster 5.0.21.0 2010.02.17 Trojan.DL.Small.CYHF
ViRobot 2010.2.17.2190 2010.02.17 Trojan.Win32.Downloader.7168.PW
F-Prot 4.5.1.85 2010.02.16 W32/Threat-HLLSI-based!Maximus
Avast 4.8.1351.0 2010.02.17 Win32:Malware-gen
Ikarus T3.1.1.80.0 2010.02.17 Trojan-Downloader.Win32.Small
AntiVir 8.2.1.170 2010.02.17 TR/Agent.7168.69
Authentium 5.2.0.5 2010.02.17 W32/Threat-HLLSI-based!Maximus
TrendMicro 9.120.0.1004 2010.02.17 WORM_AUTORUN.MCS
Fortinet 4.0.14.0 2010.02.15 PossibleThreat
CAT-QuickHeal 10.00 2010.02.17 TrojanDownloader.Small.kke
Prevx 3.0 2010.02.17 High Risk Cloaked Malware

Se connecte ensuite à une de ces url :

Code : Tout sélectionner

http://www.straks.fr/dl.php
http://212.170.219.37/dl.php
http://cuadrillasdetudela.com/dl.php
http://alexsio88.al.funpic.org/dl.php
http://fabiotratti.it/dl.php
http://biz344-91958.innterhost.net/dl.php
http://asiapiemonte.it/dl.php
http://maceha.ru/dl.php
http://amazonmotors.com.pe/dl.php
http://tauceramiche.com/dl.php
http://og-solar.de/dl.php
http://pil-poil.fr/dl.php
http://foto-stendel.de/dl.php
http://enjoy-every-day.com/dl.php
http://agrinuova.com/dl.php

En outre, des fichiers temporaire sont copiés dans C:\Documents and Settings\NetworkService\Application Data\AVDir\dwn


EDIT : Avril 2010

Les patch des drivers sont maintenant vraiment aléatoires.
Au moment où les lignes sont écrites Combofix et TDSSKiller ne parviennent plus à désinfecter les PC.

Voici un exemple de rapport GMER :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-17 10:10:54
Windows 5.1.2600 Service Pack 2
Running: ulb62ofq.exe; Driver: C:\DOCUME~1\Mak\LOCALS~1\Temp\uxtdypoc.sys


---- Kernel code sections - GMER 1.0.15 ----

.rsrc C:\WINDOWS\system32\drivers\pci.sys entry point in ".rsrc" section [0xF8567994]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\System32\svchost.exe[1044] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 0177000A
.text C:\WINDOWS\System32\svchost.exe[1044] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 0200000A
.text C:\WINDOWS\System32\svchost.exe[1044] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 00AE000C

---- Devices - GMER 1.0.15 ----

Device -> \Driver\atapi \Device\Harddisk0\DR0 81E8AAC8

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\drivers\pci.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----

GMER affiche deux lignes suspicious modification or en réalité seul le driver pci.sys est patché sur le disque.
La ligne importante est .rsrc dans Kernel code sections indique que la section .rsrc a été patché au niveau du driver pci.sys
Il n'y a pas de ligne .rsrc pour atapi.sys, le driver n'est donc pas patché sur le disque.

En recopiant le driver original, on obtient ceci :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-17 10:17:07
Windows 5.1.2600 Service Pack 2
Running: ulb62ofq.exe; Driver: C:\DOCUME~1\Mak\LOCALS~1\Temp\uxtdypoc.sys


---- Kernel code sections - GMER 1.0.15 ----

? bsolajgq.sys Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\System32\svchost.exe[1044] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 0071000A
.text C:\WINDOWS\System32\svchost.exe[1044] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 0072000A
.text C:\WINDOWS\System32\svchost.exe[1044] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 0070000C
.text C:\WINDOWS\Explorer.EXE[1500] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 009B000A
.text C:\WINDOWS\Explorer.EXE[1500] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 009C000A
.text C:\WINDOWS\Explorer.EXE[1500] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 009A000C
.text C:\WINDOWS\system32\wuauclt.exe[1788] ntdll.dll!NtProtectVirtualMemory 7C91DEB6 5 Bytes JMP 00F9000A
.text C:\WINDOWS\system32\wuauclt.exe[1788] ntdll.dll!NtWriteVirtualMemory 7C91EA32 5 Bytes JMP 00FA000A
.text C:\WINDOWS\system32\wuauclt.exe[1788] ntdll.dll!KiUserExceptionDispatcher 7C91EAEC 5 Bytes JMP 00F8000C

---- Devices - GMER 1.0.15 ----

Device -> \Driver\atapi \Device\Harddisk0\DR0 82311AC8

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----

GMER indique toujours suspicious modification sur atapi.sys mais le driver n'est pas patché.
L'infection n'est plus chargé et actif (plus aucune des redirections lors des recherches Google).

NOTE : pour faire disparaître ces warning, il faut recopier un atapi.sys "sain" mais ce n'est pas obligatoire pour désactiver l'infection.

mbr lui donne ceci :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x82311AC8]<<
kernel: MBR read successfully
user & kernel MBR OK

~~~~


Un autre exemple avec une infection par Les infections par disques amovibles.

L'infection installe TDSS/Alueron patch atapi.sys et msa.exe b.exe et msxml71.dll : Trojan.Renos/Trojan.FakeAlert

Sur cette variante, le dropper initial est bien détecté.... le reste un peu moins.

File yeazel.exe received on 2010.04.24 09:33:58 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.04.24 Virus.Worm.Win32.VBNA!IK
AhnLab-V3 5.0.0.2 2010.04.23 -
AntiVir 8.2.1.224 2010.04.23 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.04.23 Worm/Win32.VBNA.gen
Authentium 5.2.0.5 2010.04.24 W32/VB.X.gen!Eldorado
Avast 4.8.1351.0 2010.04.23 Win32:VB-NIE
Avast5 5.0.332.0 2010.04.23 Win32:VB-NIE
AVG 9.0.0.787 2010.04.23 Worm/AutoRun.HV
BitDefender 7.2 2010.04.24 Gen:Trojan.Chinky.2
CAT-QuickHeal 10.00 2010.04.23 Trojan.Vobfus.gen
ClamAV 0.96.0.3-git 2010.04.24 Trojan.Chinky-1
Comodo 4675 2010.04.24 Worm.Win32.Autorun.VB_GJ0
DrWeb 5.0.2.03300 2010.04.24 Win32.HLLW.Autoruner.8325
eTrust-Vet 35.2.7448 2010.04.24 Win32/Vobfus.N
F-Prot 4.5.1.85 2010.04.24 W32/VB.X.gen!Eldorado
F-Secure 9.0.15370.0 2010.04.24 Worm:W32/Vinkus.gen!A
Fortinet 4.0.14.0 2010.04.21 W32/VBNA.IXO!worm
GData 21 2010.04.24 Gen:Trojan.Chinky.2
Ikarus T3.1.1.80.0 2010.04.24 Virus.Worm.Win32.VBNA
Jiangmin 13.0.900 2010.04.24 Worm/VBNA.oox
Kaspersky 7.0.0.125 2010.04.24 Worm.Win32.VBNA.ixo
McAfee 5.400.0.1158 2010.04.24 W32/VBNA.worm
McAfee-GW-Edition 6.8.5 2010.04.23 Trojan.Dropper.Gen
Microsoft 1.5703 2010.04.24 Worm:Win32/Vobfus.F
NOD32 5054 2010.04.23 Win32/AutoRun.VB.GJ
Norman 6.04.11 2010.04.24 VBWorm.XPH
nProtect 2010-04-24.01 2010.04.24 Trojan/W32.Agent.57344.ZY
Panda 10.0.2.7 2010.04.23 W32/Autorun.JND
PCTools 7.0.3.5 2010.04.24 Malware.Changeup
Prevx 3.0 2010.04.24 -
Rising 22.44.05.04 2010.04.24 Trojan.Win32.Generic.51FA38E5
Sophos 4.53.0 2010.04.24 Mal/AutoRun-J
Sunbelt 6215 2010.04.24 Worm.Win32.Vobfus.gen (v)
Symantec 20091.2.0.41 2010.04.24 W32.Changeup!gen
TheHacker 6.5.2.0.268 2010.04.23 Trojan/Vobfus.gen
TrendMicro 9.120.0.1004 2010.04.24 WORM_VBNA.SMB
TrendMicro-HouseCall 9.120.0.1004 2010.04.24 WORM_VBNA.SMB
VBA32 3.12.12.4 2010.04.23 SScope.Trojan.VB.Svchorse.027
ViRobot 2010.4.24.2293 2010.04.24 Worm.Win32.VBNA.57344.AIH
VirusBuster 5.0.27.0 2010.04.23 Worm.VBNA.Gen
Additional information
File size: 57344 bytes
MD5...: 80fa25854c1768dd1169d2bea4968ac7
SHA1..: f403ef2973045aef716aeca428a770ded2f29703
SHA256: 796d6211f99458951808c58182f5579295b9b36493c831c69922ead95e3f65ed

File iCqtvI.exe received on 2010.04.24 09:36:11 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 5/41 (12.2%)

Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.04.24 -
AhnLab-V3 5.0.0.2 2010.04.23 -
AntiVir 8.2.1.224 2010.04.23 -
Antiy-AVL 2.0.3.7 2010.04.23 -
Authentium 5.2.0.5 2010.04.24 -
Avast 4.8.1351.0 2010.04.23 -
Avast5 5.0.332.0 2010.04.23 -
AVG 9.0.0.787 2010.04.23 -
BitDefender 7.2 2010.04.24 Gen:Variant.Renos.12
CAT-QuickHeal 10.00 2010.04.23 -
ClamAV 0.96.0.3-git 2010.04.24 -
Comodo 4675 2010.04.24 -
DrWeb 5.0.2.03300 2010.04.24 -
eSafe 7.0.17.0 2010.04.22 -
eTrust-Vet 35.2.7448 2010.04.24 -
F-Prot 4.5.1.85 2010.04.24 -
F-Secure 9.0.15370.0 2010.04.24 Gen:Variant.Renos.12
Fortinet 4.0.14.0 2010.04.21 -
GData 21 2010.04.24 Gen:Variant.Renos.12
Ikarus T3.1.1.80.0 2010.04.24 -
Jiangmin 13.0.900 2010.04.24 -
Kaspersky 7.0.0.125 2010.04.24 -
McAfee 5.400.0.1158 2010.04.24 -
McAfee-GW-Edition 6.8.5 2010.04.23 -
Microsoft 1.5703 2010.04.24 -
NOD32 5054 2010.04.23 -
Norman 6.04.11 2010.04.24 -
nProtect 2010-04-24.01 2010.04.24 Gen:Variant.Renos.12
Panda 10.0.2.7 2010.04.23 -
PCTools 7.0.3.5 2010.04.24 -
Prevx 3.0 2010.04.24 -
Rising 22.44.05.04 2010.04.24 -
Sophos 4.53.0 2010.04.24 Mal/FakeAV-CX
Sunbelt 6215 2010.04.24 -
Symantec 20091.2.0.41 2010.04.24 -
TheHacker 6.5.2.0.268 2010.04.23 -
TrendMicro 9.120.0.1004 2010.04.24 -
TrendMicro-HouseCall 9.120.0.1004 2010.04.24 -
VBA32 3.12.12.4 2010.04.23 -
ViRobot 2010.4.24.2293 2010.04.24 -
VirusBuster 5.0.27.0 2010.04.23 -
Additional information
File size: 97280 bytes
MD5...: 6a1750a4c699b0c6a33bc52e48aa7969
SHA1..: 7114dc49afb5ff02b0be201c07b616c5d5b5004c

File 9d755601c1c5a723611094066cad6f4b. received on 2010.04.23 13:33:49 (UTC)
Current status: finished

Result: 10/40 (25.00%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.04.23 -
AhnLab-V3 5.0.0.2 2010.04.23 -
AntiVir 8.2.1.220 2010.04.23 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2010.04.23 -
Authentium 5.2.0.5 2010.04.23 -
Avast 4.8.1351.0 2010.04.23 Win32:Malware-gen
Avast5 5.0.332.0 2010.04.23 Win32:Malware-gen
AVG 9.0.0.787 2010.04.23 -
BitDefender 7.2 2010.04.23 -
CAT-QuickHeal 10.00 2010.04.23 Win32.Worm.VBNA.a.3
ClamAV 0.96.0.3-git 2010.04.23 -
Comodo 4670 2010.04.23 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.2.03300 2010.04.23 Trojan.MulDrop1.15396
eSafe 7.0.17.0 2010.04.22 -
eTrust-Vet 35.2.7445 2010.04.23 -
F-Prot 4.5.1.85 2010.04.23 -
F-Secure 9.0.15370.0 2010.04.23 -
Fortinet 4.0.14.0 2010.04.21 -
GData 21 2010.04.23 Win32:Malware-gen
Ikarus T3.1.1.80.0 2010.04.23 -
Jiangmin 13.0.900 2010.04.23 -
Kaspersky 7.0.0.125 2010.04.23 -
McAfee 5.400.0.1158 2010.04.23 -
McAfee-GW-Edition 6.8.5 2010.04.23 Trojan.Dropper.Gen
Microsoft 1.5703 2010.04.23 -
NOD32 5052 2010.04.23 a variant of Win32/Injector.BJE
Norman 6.04.11 2010.04.23 -
nProtect 2010-04-23.01 2010.04.23 -
Panda 10.0.2.7 2010.04.22 Suspicious file
PCTools 7.0.3.5 2010.04.23 -
Prevx 3.0 2010.04.23 -
Rising 22.44.04.03 2010.04.23 -
Sophos 4.53.0 2010.04.23 -
Sunbelt 6212 2010.04.23 -
Symantec 20091.2.0.41 2010.04.23 -
TheHacker 6.5.2.0.267 2010.04.22 -
TrendMicro 9.120.0.1004 2010.04.23 -
VBA32 3.12.12.4 2010.04.23 -
ViRobot 2010.4.23.2291 2010.04.23 -
VirusBuster 5.0.27.0 2010.04.23 -
Additional information
File size: 65536 bytes
MD5 : 9d755601c1c5a723611094066cad6f4b
SHA1 : 5928ab47cb1aa88fba4046c3992245f5af6f8496

Le malware ajoute cette clef sur HijackThis :

O4 - HKCU\..\Run: [diefioh] C:\Documents and Settings\Mak\diefioh.exe

et se connecte à l'URL :

Code : Tout sélectionner

1272103009.388    724 192.168.1.27 TCP_MISS/200 459107 GET http://deadhi.com/1 - DIRECT/85.12.60.35 application/octet-stream

On notera l'icone enveloppe qui est au moment où ces lignes sont écrites, l'icone caractéristiques du dropper TDSS/Alueron.



On retrouve d'ailleurs cette icone sur les droppers TDSS/Alueron qui sur les faux sites de cracks où ce malware y est distribué depuis quelques mois.



Depuis quelques mois, une nouvelle variante de ce malware a vu le jour : Rootkit.TDSS TDL 4

[Malekal_morte]

Pour aller plus loin que ce que l'on voit dans la vidéo ci-dessus.

Le hash, la taille et la date du fichier renvoyé (à gauche) est celui d'un atapi.sys non infectieux, le patch du fichier est donc masqué pour le système (ce que l'on voyait sur la vidéo).
Un scan sur VirusTotal ne donnera donc rien.

A droite, on voit aussi que les résultats sont faussés si on tente de vérifier le hash par le réseau.



Depuis la console de récupération, le fichier est infectieux :

File atapi.sys received on 2010.01.04 20:23:53 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 3/41 (7.32%)

Antivirus Version Last Update Result
a-squared 4.5.0.46 2010.01.04 -
AhnLab-V3 5.0.0.2 2010.01.04 -
AntiVir 7.9.1.122 2009.12.31 RKit/TDss.Y.212
Antiy-AVL 2.0.3.7 2010.01.04 -
Authentium 5.2.0.5 2010.01.04 -
Avast 4.8.1351.0 2010.01.04 -
AVG 8.5.0.430 2010.01.04 -
BitDefender 7.2 2010.01.04 -
CAT-QuickHeal 10.00 2010.01.04 -
ClamAV 0.94.1 2010.01.04 -
Comodo 3468 2010.01.04 -
DrWeb 5.0.1.12222 2010.01.04 -
eSafe 7.0.17.0 2010.01.04 -
eTrust-Vet 35.1.7215 2010.01.04 -
F-Prot 4.5.1.85 2010.01.04 -
F-Secure 9.0.15370.0 2010.01.04 -
Fortinet 4.0.14.0 2010.01.04 -
GData 19 2010.01.04 -
Ikarus T3.1.1.79.0 2009.12.31 -
Jiangmin 13.0.900 2010.01.04 -
K7AntiVirus 7.10.937 2010.01.04 -
Kaspersky 7.0.0.125 2010.01.04 -
McAfee 5851 2010.01.04 -
McAfee+Artemis 5851 2010.01.04 -
McAfee-GW-Edition 6.8.5 2010.01.04 Rootkit.TDss.Y.212
Microsoft 1.5302 2010.01.04 -
NOD32 4743 2010.01.04 -
Norman 6.04.03 2010.01.04 -
nProtect 2009.1.8.0 2010.01.04 Trojan/W32.Rootkit.95360.C
Panda 10.0.2.2 2010.01.04 -
PCTools 7.0.3.5 2010.01.04 -
Prevx 3.0 2010.01.04 -
Rising 22.29.00.04 2010.01.04 -
Sophos 4.49.0 2010.01.04 -
Sunbelt 3.2.1858.2 2010.01.04 -
Symantec 20091.2.0.41 2010.01.04 -
TheHacker 6.5.0.3.131 2010.01.04 -
TrendMicro 9.120.0.1004 2010.01.04 -
VBA32 3.12.12.1 2010.01.04 -
ViRobot 2010.1.4.2120 2010.01.04 -
VirusBuster 5.0.21.0 2010.01.04 -
Additional information
File size: 95360 bytes
MD5...: 6895ff2d55cafb1d1380937582c64263
SHA1..: 1eed2478a504f233ca7dd7ddab6e0457cf3fb14b
SHA256: 45a048b137af884b5cb1b5053849dfd6420188e0429e22aadbe07cd7ee5be9de
ssdeep: 1536:jVzXEOXUOyD8HT6OhAVJqNoQrPs2W7IDdXBoDZYkvR5:jVL/Eiz6OhrNoQz
snwBoDjR5

(noté le HASH différent)

~~

Depuis un CD Live le son de cloche est différent puisque le fichier n'est pas chargé et donc la partie rootkit inactif :

Le hash, la date est différente :


Le scan VirusTotal donne autre chose :





Le hash est aussi différent de celui obtenu par la console de récupération.

Je vous laisse imaginer ce que cela donne si on scanne le PC avec un CD Live Antivirus, on voit les limites des antivirus sur les patchs de fichiers systèmes.

[Malekal_morte]

Un très bon papier sur l'infection atapi.sys et notamment la partie II 4.1 et 4.2 qui nous apprend que c'est la section .rsrc du fichier atapi.sys qui est remplacé (et donc que la taille ne change pas), que les données du rootkit ne sont pas stockés sur le systèmes de fichiers mais sur les derniers secteurs du disque.

Voir le papier : http://blog.cmclab.net/wordpress/?p=37#more-37

Merci Curson pour le lien

[Malekal_morte]

Un petit mot pour ajouter que Combofix ne restaure pas le fichier dans le cas de Windows Vista/Seven, voir les exemples sur les sujets suivants :
http://forum.malekal.com/svchost-exe-cr ... 22831.html
http://forum.malekal.com/probleme-svcho ... 22817.html

Le mieux pour le moment est de restaurer le fichier depuis la console de récupération.

[Curson]

Un nouvel article sur TDL3 par l'équipe de Dr.WEB. Peut-être plus accessible que celui de Nguyen Pho Son (CMC Information Security LAB).

BackDoor.Tdss.565 and its modifications (aka TDL3).

Version Française : BackDoor.Tdss.565

[Curson]

La méthode d'installation du rootkit a été améliorée. Le dropper est maintenant capable de forcer le lancement de spoolsv.exe, même si le service a été préalablement désactivé, en utilisant la fonction AddPrintProcessorW().



Un grand merci à bootsect (Sysinternals) pour le reverse engineering du dropper.

[Malekal_morte]

Juste pour signaler que le nom du dropper atapi.sys patcher se nomme Win32:Jifas chez Avast!

File exe_5_.exe received on 2010.02.08 20:10:22 (UTC)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 10/40 (25%)


Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.08 Trojan.Win32.Alureon!IK
AhnLab-V3 5.0.0.2 2010.02.08 -
AntiVir 7.9.1.160 2010.02.08 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2010.02.08 -
Authentium 5.2.0.5 2010.02.08 -
Avast 4.8.1351.0 2010.02.08 Win32:Jifas-DM
AVG 9.0.0.730 2010.02.08 -
BitDefender 7.2 2010.02.08 -
CAT-QuickHeal 10.00 2010.02.08 -
ClamAV 0.96.0.0-git 2010.02.08 -
Comodo 3865 2010.02.08 -
DrWeb 5.0.1.12222 2010.02.08 Trojan.Packed.2936
eSafe 7.0.17.0 2010.02.07 -
eTrust-Vet 35.2.7290 2010.02.08 Win32/TDSS!packed
F-Prot 4.5.1.85 2010.02.08 -
F-Secure 9.0.15370.0 2010.02.08 -
Fortinet 4.0.14.0 2010.02.08 -
GData 19 2010.02.08 Win32:Jifas-DM
Ikarus T3.1.1.80.0 2010.02.08 Trojan.Win32.Alureon
Jiangmin 13.0.900 2010.02.08 -
K7AntiVirus 7.10.969 2010.02.08 -
Kaspersky 7.0.0.125 2010.02.08 -
McAfee 5886 2010.02.08 -
McAfee+Artemis 5886 2010.02.08 -
McAfee-GW-Edition 6.8.5 2010.02.08 Heuristic.LooksLike.Win32.Suspicious.B
Microsoft 1.5406 2010.02.08 Trojan:Win32/Alureon.CT
NOD32 4849 2010.02.08 -
Norman 6.04.03 2010.02.08 -
nProtect 2009.1.8.0 2010.02.08 -
Panda 10.0.2.2 2010.02.07 -
PCTools 7.0.3.5 2010.02.08 -
Prevx 3.0 2010.02.08 -
Rising 22.34.00.04 2010.02.08 -
Sophos 4.50.0 2010.02.08 Sus/UnkPack-C
Sunbelt 3.2.1858.2 2010.02.07 -
TheHacker 6.5.1.1.183 2010.02.08 -
TrendMicro 9.120.0.1004 2010.02.08 -
VBA32 3.12.12.1 2010.02.08 -
ViRobot 2010.2.8.2176 2010.02.08 -
VirusBuster 5.0.21.0 2010.02.08 -
Additional information
File size: 69120 bytes
MD5...: debcd50cc0d12ee382f84efcbaa46ba2
SHA1..: 5a1d4e7fb88552c851285d30e135f77a820d9c56

[Malekal_morte]

Edition du topic original pour dire que alertes xxx.tmp/svchost.exe sont provoqués par cette infection.

[Curson]

L'application de la mise à jour de sécurité KB977165 (vulnérabilité MS10-015) peut provoquer des BSOD sur les machines infectées par TDL3. En modifiant certains modules du noyau, ce patche empêche le chargement du driver infecté et, par conséquent le lancement de la machine.

In our continuing investigation in to the restart issues related to MS10-015 that a limited number of customers are experiencing, we have determined that malware on the system can cause the behavior.

Plus d'informations : Tidserv and MS10-015

[Curson]

L'analyse de Dr.WEB traduite en français :
BackDoor.Tdss.565

[Malekal_morte]

Editition du post original avec la variante d'Avril.

[Malekal_morte]

Réédition les infos donnaient étaient erronées!

[Malekal_morte]

Edition du post initial avec une infection par disques amovibles distribuant TDSS/Alueron.

[Malekal_morte]

TDSS serait maintenant fonctionnel sur du Windows 64 bits : http://www.prevx.com/blog/154/TDSL-root ... -wild.html

[Curson]

Un papier de Symantec sur cette nouvelle variante : Tidserv 64-bit Goes Into Hiding

Tidserv is now infecting the Master Boot Record (MBR) of the compromised computer, allowing it to gain control before the operating system is loaded.
[...]
In our analysis so far, when infecting a 64-bit Edition of Windows, we found that it causes the computer to reboot during infection. On reboot it will load Backdoor.Tidserv.L from the MBR boot sector.

Cordialement.