Une nouvelle version de TDSS est maintenant en circulation depuis quelques mois.
Pour rappel TDSS/Alureon est une famille de malware très sophistiquées qui provoque des redirections lors des recherches Google.
Cette variante s'attaque au MBR qui juste là était réservé à Sinowal/mebroot et Whistler Bookit.
Ceci permet de rendre l'infection fonctionnelle sur des Windows Vista/Seven 64 bits - voir : http://forum.malekal.com/les-rootkits-b ... ml#p224970
Un petit tour d'horizon :
GMER et MBR de GMER
Rapport GMER :
La restauration du MBR ne semble pas fonctionner avec GMER.GMER 1.0.15.15477 - http://www.gmer.net
Rootkit quick scan 2010-11-05 17:44:44
Windows 5.1.2600 Service Pack 2
Running: ptc3yc0j.exe; Driver: C:\DOCUME~1\Mak\LOCALS~1\Temp\uxtdypoc.sys
---- Disk sectors - GMER 1.0.15 ----
Disk \Device\Harddisk0\DR0 sector 00 (MBR): rootkit-like behavior; TDL4 <-- ROOTKIT !!!
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior;
Disk \Device\Harddisk0\DR0 sectors 16777006 (+209): rootkit-like behavior;
---- Devices - GMER 1.0.15 ----
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort0 8231A292
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdePort1 8231A292
Device \Driver\atapi -> DriverStartIo \Device\Ide\IdeDeviceP1T0L0-e 8231A292
Device \Device\Ide\IdeDeviceP0T0L0-3 -> \??\IDE#DiskVMware_Virtual_IDE_Hard_Drive___________00000001#3030303030303030303030303030303030303130#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
---- EOF - GMER 1.0.15 ----
Ce dernier indique que le MBR a été restauré mais la détection du Rootkit perdure.

Rapport : http://www2.gmer.net/mbr/mbr.exe
mbr de GMER détecte bien l'infection.Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: VMware_Virtual_IDE_Hard_Drive rev.00000001 -> \Device\Ide\IdePort0
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected disk devices:
\Device\Ide\IdeDeviceP0T0L0-3 -> \??\IDE#DiskVMware_Virtual_IDE_Hard_Drive___________00000001#3030303030303030303030303030303030303130#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
\Driver\atapi DriverStartIo -> 0x8231A292
user != kernel MBR !!!
sectors 16777214 (+208): user != kernel
Warning: possible TDL4 rootkit infection !
TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix.
La désinfection est possible par mbr -f qui semble effectivement faire le job puisqu'après redémarrage TDSS n'est plus détecté.

MBRCheck
MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 2 (build 2600)
Logical Drives Mask: 0x0200000d
Kernel Drivers (total 115):
0x804D7000 \WINDOWS\system32\ntkrnlpa.exe
0x806CE000 \WINDOWS\system32\hal.dll
0x82385000 \WINDOWS\system32\KDCOM.DLL
0xF8AAE000 \WINDOWS\system32\BOOTVID.dll
0xF856A000 ACPI.sys
0xF8B9A000 \WINDOWS\System32\DRIVERS\WMILIB.SYS
0xF8559000 pci.sys
0xF869A000 isapnp.sys
0xF8AB2000 compbatt.sys
0xF8AB6000 \WINDOWS\System32\DRIVERS\BATTC.SYS
0xF8B9C000 intelide.sys
0xF891A000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
0xF86AA000 MountMgr.sys
0xF853A000 ftdisk.sys
0xF8B9E000 dmload.sys
0xF8514000 dmio.sys
0xF8922000 PartMgr.sys
0xF86BA000 VolSnap.sys
0xF84FC000 atapi.sys
0xF8ABA000 vmscsi.sys
0xF84E4000 \WINDOWS\System32\DRIVERS\SCSIPORT.SYS
0xF86CA000 disk.sys
0xF86DA000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
0xF84C5000 fltmgr.sys
0xF84B3000 sr.sys
0xF849C000 KSecDD.sys
0xF840F000 Ntfs.sys
0xF83E2000 NDIS.sys
0xF83C7000 Mup.sys
0xF86EA000 agp440.sys
0xF87BA000 \SystemRoot\System32\DRIVERS\i8042prt.sys
0xF8952000 \SystemRoot\System32\DRIVERS\kbdclass.sys
0xF8BBE000 \SystemRoot\System32\DRIVERS\vmmouse.sys
0xF895A000 \SystemRoot\System32\DRIVERS\mouclass.sys
0xF7D9A000 \SystemRoot\System32\DRIVERS\parport.sys
0xF7D89000 \SystemRoot\System32\DRIVERS\serial.sys
0xF8B82000 \SystemRoot\System32\DRIVERS\serenum.sys
0xF8962000 \SystemRoot\System32\DRIVERS\fdc.sys
0xF87CA000 \SystemRoot\System32\DRIVERS\cdrom.sys
0xF87DA000 \SystemRoot\System32\DRIVERS\redbook.sys
0xF7D66000 \SystemRoot\System32\DRIVERS\ks.sys
0xF896A000 \SystemRoot\System32\DRIVERS\usbuhci.sys
0xF7D43000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
0xF8972000 \SystemRoot\System32\DRIVERS\vmx_svga.sys
0xF751A000 \SystemRoot\System32\DRIVERS\VIDEOPRT.SYS
0xF89D2000 \SystemRoot\System32\DRIVERS\vmxnet.sys
0xF8376000 \SystemRoot\System32\DRIVERS\CmBatt.sys
0xF8115000 \SystemRoot\System32\DRIVERS\intelppm.sys
0xF8D88000 \SystemRoot\System32\DRIVERS\audstub.sys
0xF8105000 \SystemRoot\System32\DRIVERS\rasl2tp.sys
0xF8372000 \SystemRoot\System32\DRIVERS\ndistapi.sys
0xF7503000 \SystemRoot\System32\DRIVERS\ndiswan.sys
0xF80F5000 \SystemRoot\System32\DRIVERS\raspppoe.sys
0xF80E5000 \SystemRoot\System32\DRIVERS\raspptp.sys
0xF89DA000 \SystemRoot\System32\DRIVERS\TDI.SYS
0xF7452000 \SystemRoot\System32\DRIVERS\psched.sys
0xF880A000 \SystemRoot\System32\DRIVERS\msgpc.sys
0xF44C6000 \SystemRoot\System32\DRIVERS\ptilink.sys
0xF44BE000 \SystemRoot\System32\DRIVERS\raspti.sys
0xF367A000 \SystemRoot\System32\DRIVERS\rdpdr.sys
0xF3F62000 \SystemRoot\System32\DRIVERS\termdd.sys
0xF8BCE000 \SystemRoot\System32\DRIVERS\swenum.sys
0xF3646000 \SystemRoot\System32\DRIVERS\update.sys
0xF448A000 \SystemRoot\System32\DRIVERS\mssmbios.sys
0xF3F52000 \SystemRoot\System32\Drivers\NDProxy.SYS
0xF44B6000 \SystemRoot\System32\DRIVERS\flpydisk.sys
0xF3F32000 \SystemRoot\System32\DRIVERS\usbhub.sys
0xF8BD0000 \SystemRoot\System32\DRIVERS\USBD.SYS
0xF44AE000 \SystemRoot\System32\DRIVERS\usbccgp.sys
0xF8BD2000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
0xF3DE5000 \SystemRoot\System32\Drivers\Null.SYS
0xF8BD4000 \SystemRoot\System32\Drivers\Beep.SYS
0xF449E000 \SystemRoot\System32\drivers\vga.sys
0xF8BD6000 \SystemRoot\System32\Drivers\mnmdd.SYS
0xF8BFC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
0xF4496000 \SystemRoot\System32\Drivers\Msfs.SYS
0xF448E000 \SystemRoot\System32\Drivers\Npfs.SYS
0xF3F8E000 \SystemRoot\System32\DRIVERS\rasacd.sys
0xF234B000 \SystemRoot\System32\DRIVERS\ipsec.sys
0xF22F3000 \SystemRoot\System32\DRIVERS\tcpip.sys
0xF22CB000 \SystemRoot\System32\DRIVERS\netbt.sys
0xF3F8A000 \SystemRoot\System32\drivers\ws2ifsl.sys
0xF22A9000 \SystemRoot\System32\drivers\afd.sys
0xF3F22000 \SystemRoot\System32\DRIVERS\netbios.sys
0xF228B000 \SystemRoot\System32\DRIVERS\vmhgfs.sys
0xF225F000 \SystemRoot\System32\DRIVERS\rdbss.sys
0xF21F0000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
0xF3EE2000 \SystemRoot\System32\Drivers\Fips.SYS
0xF21CF000 \SystemRoot\System32\DRIVERS\ipnat.sys
0xF3ED2000 \SystemRoot\System32\DRIVERS\wanarp.sys
0xF3F76000 \SystemRoot\System32\DRIVERS\hidusb.sys
0xF38D2000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
0xF4103000 \SystemRoot\System32\DRIVERS\HIDPARSE.SYS
0xF3F72000 \SystemRoot\System32\DRIVERS\mouhid.sys
0xF38A2000 \SystemRoot\System32\Drivers\Cdfs.SYS
0xF21B7000 \SystemRoot\System32\Drivers\dump_atapi.sys
0xF8BE0000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
0xBF800000 \SystemRoot\System32\win32k.sys
0xF40DB000 \SystemRoot\System32\watchdog.sys
0xF37EA000 \SystemRoot\System32\drivers\Dxapi.sys
0xBF9C1000 \SystemRoot\System32\drivers\dxg.sys
0xF6908000 \SystemRoot\System32\drivers\dxgthk.sys
0xBF9D3000 \SystemRoot\System32\vmx_fb.dll
0xF8256000 \SystemRoot\System32\DRIVERS\ndisuio.sys
0xF209A000 \SystemRoot\System32\DRIVERS\mrxdav.sys
0xF4017000 \SystemRoot\System32\Drivers\ParVdm.SYS
0xF4015000 \??\C:\Program Files\VMware\VMware Tools\Drivers\memctl\vmmemctl.sys
0xF40C3000 \SystemRoot\system32\drivers\npf.sys
0xF1FF7000 \SystemRoot\System32\DRIVERS\srv.sys
0xF1EC6000 \SystemRoot\System32\Drivers\HTTP.sys
0xF8C34000 \??\C:\WINDOWS\system32\Drivers\PROCEXP113.SYS
0xF1CC3000 \SystemRoot\System32\Drivers\Fastfat.SYS
0xF1CAC000 \??\C:\DOCUME~1\Mak\LOCALS~1\Temp\uxtdypoc.sys
0xF40F3000 \??\C:\DOCUME~1\Mak\LOCALS~1\Temp\mbr.sys
0x7C910000 \WINDOWS\system32\ntdll.dll
Processes (total 29):
0 System Idle Process
4 System
564 C:\WINDOWS\system32\smss.exe
628 csrss.exe
652 C:\WINDOWS\system32\winlogon.exe
696 C:\WINDOWS\system32\services.exe
708 C:\WINDOWS\system32\lsass.exe
860 C:\Program Files\VMware\VMware Tools\vmacthlp.exe
876 C:\WINDOWS\system32\svchost.exe
956 svchost.exe
1044 C:\WINDOWS\system32\svchost.exe
1096 svchost.exe
1180 svchost.exe
1476 C:\WINDOWS\system32\spoolsv.exe
1592 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
1760 C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
1852 C:\Program Files\VMware\VMware Tools\VMUpgradeHelper.exe
340 C:\WINDOWS\explorer.exe
396 alg.exe
480 C:\WINDOWS\system32\wscntfy.exe
1120 C:\Program Files\VMware\VMware Tools\VMwareTray.exe
1132 C:\Program Files\VMware\VMware Tools\VMwareUser.exe
1152 C:\WINDOWS\system32\ctfmon.exe
1172 C:\Program Files\Messenger\msmsgs.exe
1264 C:\Documents and Settings\Mak\Bureau\procexp.exe
712 C:\Documents and Settings\Mak\trdozx.exe
2020 C:\Program Files\Internet Explorer\iexplore.exe
1908 C:\Program Files\WinSCP\WinSCP.exe
1448 C:\Documents and Settings\Mak\Bureau\MBRCheck.exe
\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)
PhysicalDrive0 Model Number: VMwareVirtualIDEHardDrive, Rev: 00000001
Size Device Name MBR Status
--------------------------------------------
7 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: 8637A6CD1F8DC55758E12C0B860CDE1133CA5719
Done!
MBRCheck ne détecte pas cette variante.
(Cela ne signifie pas forcément que MBRCheck ne soit pas en mesure de NE PAS détecter toutes les variantes TDSS TDL 4).
BootKit Remover
Lien du tool : http://esagelab.com/resources.php?s=bootkit_remover
Le tool détecte le code malicieux :

Le nettoyage se fait sans souci - au redémarrage TDSS n'est plus actif :

TDSSKiller de Kaspersky
Enfin TDSSKiller de Kaspersky, fait vraiment bien le boulot.
C'est à mon avis la solution à privilégier, du fait que l'outil est vraiment simple d'utilisation.


EDIT Mi-2011 : ajout des removal tool des éditeurs d'antivirus
- TDSSKiller de Kaspersky : tdsskiller-kaspersky-t28637.html
- Aswmbr d'Avast! : aswmbr-fix-mbr-t31619.html
- Esent Olmarik Fixer : esent-olmarik-tdss-remover-t33409.html
- TDSS BitDefender Removal Tool : tdss-bitdefender-removal-tool-t33617.html
- Symantec TDSSFixer : symantec-fixtdss-t33630.html