Rootkit MBR (Bootkit) : comment détecter et supprimer

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Malekal_morte
Messages : 117057
Inscription : 10 sept. 2005 13:57

Rootkit MBR (Bootkit) : comment détecter et supprimer

par Malekal_morte »

Une page concernant les infections MBR (Bootkits) qui ont sévi autour de 2010.

Il est conseille de lire la page Wikipedia relatif au MBR pour mieux comprendre cette page : http://fr.wikipedia.org/wiki/Master_boot_record

Rappel rapide: le MBR se compose du boostrap et d'une table des partitions.
Le but du bootkit est de modifier le boostrap afin d'y ajouter son code pour se charger avant l'OS (et donc avoir la main avec les antivirus en autre).
Éventuellement, certains bootkits peuvent ajouter une partition cachée où se trouve le code malicieux.

Tour d'horizon

La première infection utilisant le MBR était Sinowal/mebroot.
Est arrivé ensuite Whistler Bootkit
Et enfin depuis quelques mois TDSS s'y est mis avec la nouvelle variante baptisée : TDSS TDL 4 suivi ensuite de la famille Rootkit BookCidox (Rovnix).

Détection générique avec MBR-BackBoot [Rtk] / Rootkit.Boot.Backboot.

Image

Voici une liste des outils capables de détecter les infections MBR/Rootkit.

DISLAIMER : avant de partir dans la paranoïa habituelle, je vais lancer un des outils pour voir si je ne suis pas infecté blalbla...
Ces infections ont des conséquences sur le système et pour certains provoquent certains symptômes. D'autre part, certains de ces outils peuvent générer des faux positifs comme les scanneurs rootkits.
Cela ne sert à rien de poster ici avec j'ai vu le sujet... j'ai lancé cet outil, ça me dit que... qu'en pensez-vous ? : Vous n'aurez pas de réponse !

Les outils sont donc : Vous avez une petite présentation des outils dans les liens infectieux.

A noter que Bootkit Remover semble détecter les MBR infectieux autre que Whistler Bootkit, notamment TDSS TLD 4 :

Image

Dumper le MBR

Le but étant de Dumper le code malicieux qui se trouve en général sur le secteur 0.
Le fichier que l'on récupère doit avoir une taille de 512 bytes.

L'intérêt de dumper le MBR est de vérifier (dans le cas d'un doute) si ce dernier est malicieux ou éventuellement si le PC est tatoué.
A noter que si une infection est active, le programme qui dump le MBR peut dumper un MBR sain si ce dernier ne voit pas l'infection.

Ici, un dump de mbr de GMER et de Bootkit Remover

Image

mbr de GMER doit être sur le bureau : http://www2.gmer.net/mbr/mbr.exe
  • Ouvrir le Bloc-Notes et copie / colle ce qu'il y a ci-dessous :
@ECHO OFF
mbr -c 0 1 copy_mbr
EXIT
  • Enregistre le fichier sur ton bureau sous le nom dump.cmd (le .cmd à la fin est important)
  • Double clic sur dump.cmd, ça doit ouvrir une fenêtre noir qui va se refermer.
Cela va créer un fichier copy_mbr sur votre bureau.
Vous pouvez alors le scanner sur VirusTotal.


Avec RogueKiller : roguekiller-t29444.html
Ce dernier créé un fichier PhysicalDrive0_User.dat dans la quarantaine, ce dernier est un dump du MBR.

avec Bootkit Remover :

remover doit être présent sur le bureau.
  • Ouvrir le Bloc-Note et copie/colle ce qu'il y a ci-dessous :
@ECHO OFF
remover dump \\.\PhysicalDrive0 copy_mbr
EXIT
  • Enregistre le fichier sur ton bureau sous le nom dump.cmd (le .cmd à la fin est important)
  • Double clic sur dump.cmd , ça doit ouvrir une fenêtre noir qui va se refermer.
Cela va créer un fichier copy_mbr sur votre bureau.
Vous pouvez alors le scanner sur VirusTotal.

Image

Les deux fichiers sont identiques et un scan sur VirusTotal donne bien infectieux :

Image
File name: tdss
Submission date: 2010-11-06 20:11:19 (UTC)
Current status: queued (#9) queued analysing finished
Result: 13/ 43 (30.2%)

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.06.01 2010.11.06 -
AntiVir 7.10.13.145 2010.11.05 BOO/Alureon.A
Antiy-AVL 2.0.3.7 2010.11.06 -
Authentium 5.2.0.5 2010.11.05 -
Avast 4.8.1351.0 2010.11.06 -
Avast5 5.0.594.0 2010.11.06 -
AVG 9.0.0.851 2010.11.06 Win32/Alureon.MBR
BitDefender 7.2 2010.11.06 Rootkit.Tdss.AW
CAT-QuickHeal 11.00 2010.11.04 -
ClamAV 0.96.2.0-git 2010.11.06 -
Comodo 6632 2010.11.06 -
DrWeb 5.0.2.03300 2010.11.06 BackDoor.Tdss.4005
Emsisoft 5.0.0.50 2010.11.06 Rootkit.Win32.TDSS!IK
eSafe 7.0.17.0 2010.11.04 -
eTrust-Vet 36.1.7958 2010.11.05 -
F-Prot 4.6.2.117 2010.11.05 -
F-Secure 9.0.16160.0 2010.11.06 Rootkit.Tdss.AW
Fortinet 4.2.249.0 2010.11.06 -
GData 21 2010.11.06 Rootkit.Tdss.AW
Ikarus T3.1.1.90.0 2010.11.06 Rootkit.Win32.TDSS
Jiangmin 13.0.900 2010.11.06 -
K7AntiVirus 9.67.2903 2010.11.03 -
Kaspersky 7.0.0.125 2010.11.06 Rootkit.Win32.TDSS.bj
McAfee 5.400.0.1158 2010.11.06 -
McAfee-GW-Edition 2010.1C 2010.11.06 -
Microsoft 1.6301 2010.11.06 Trojan:DOS/Alureon.A
NOD32 5597 2010.11.06 -
Norman 6.06.10 2010.11.06 -
nProtect 2010-11-06.01 2010.11.06 -
Panda 10.0.2.7 2010.11.06 -
PCTools 7.0.3.5 2010.11.06 -
Prevx 3.0 2010.11.06 -
Rising 22.72.04.00 2010.11.06 -
Sophos 4.59.0 2010.11.06 Troj/TdlMbr-A
Sunbelt 7235 2010.11.06 Trojan.Boot.Alureon.a (v)
SUPERAntiSpyware 4.40.0.1006 2010.11.06 -
Symantec 20101.2.0.161 2010.11.06 -
TheHacker 6.7.0.1.076 2010.11.05 -
TrendMicro 9.120.0.1004 2010.11.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.11.06 -
VBA32 3.12.14.1 2010.11.05 Rootkit.Win32.TDSS.bj
ViRobot 2010.10.4.4074 2010.11.06 -
VirusBuster 12.71.8.0 2010.11.06 -
Additional informationShow all
MD5 : 4c4b002cb59eb510c90899c7059a324f
SHA1 : 2a604055734457af6f974d77f6116526a8b64782
SHA256: 7373941a5d54601d928aa982c9099c61ff99b5f45c2f6221e20d0dcbf471b0e9
Il est aussi possible, si on veux vraiment être certains, de faire un dump depuis un CD Live GNU/Linux :
dd if=/dev/hda of=boot.mbr bs=512 count=1

ou /dev/hda est le disque dur où se trouve le MBR à dumper.
Ca peux donc être /dev/sda

Nettoyer le MBR

Noter que réécrire le MBR si le PC est tatoué peut provoquer des soucis.

AntiRootkit

Voici quelques programmes Anti-Rootkits qui sont capables de détecter (et parfois nettoyer) les MBR infectés.
Avec mbr de GMER :

Il faut passer la commande mbr -f

Ce qui donne :
  • Menu Démarrer / exécuter et tapez la commande : "%userprofile%\Bureau\mbr" -f
    (veuillez à bien respecter les guillemets)
  • dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully !
Pour Bootkit Remover :

Pour supprimer, il faut passer la commande : remover.exe fix \\.\PhysicalDrive0

\\.\PhysicalDrive0 étant le mbr du disque infecté (souvent donc le premier disque dur).
  • Ouvrir le Bloc-Note et copie/colle ce qu'il y a ci-dessous :
@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
EXIT
  • Enregistre le fichier sur ton bureau sous le nom fixi.bat (le .bat à la fin est important)
  • Double clic sur fix.Bat, ça doit ouvrir une fenetre noir qui va se refermer.

avec RogueKiller :

RogueKiller : roguekiller-t29444.html
Tutorial : http://tigzyrk.blogspot.fr/2012/10/fr-r ... iciel.html

Sur les rapports la détection de MBR infecté donne :

maxSST + partition cachée :
¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HDS721032CLA362 +++++
--- User ---
[MBR] a1e2c1a0c1fb3db806dcbb65fdbf8384
[BSP] 0dc0d942fc9152dc059c7e021d2ad3db : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305129 Mo
User != LL1 ... KO!
--- LL1 ---
[MBR] 501fcd9f60449033a7b892d424337896
[BSP] 0dc0d942fc9152dc059c7e021d2ad3db : Windows 7 MBR Code [possible maxSST in 2!]
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305129 Mo
2 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 625113088 | Size: 10 Mo
¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: ST9500325AS +++++
--- User ---
[MBR] 318e94ac5cf893f8e2ed0643494e740e
[BSP] 07a9005ccf77d28c668138e4d4a42d65 : MaxSS MBR Code!
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 13000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 26626048 | Size: 119235 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 270819328 | Size: 344703 Mo
User = LL1 ... OK!
User = LL2 ... OK!
RogueKiller est capable de restaurer le MBR d'origine, si une copie est présente :
RogueKiller_mbr1.PNG
Si aucune restauration n'est possible, on peux réécrire un MBR d'origine qui diffèrent selon la version de l'OS :
RogueKiller_mbr1.PNG
fixmbr depuis la console de récupération

Il est possible de booter sur la console de récupération et faire un fixmbr pour réécrire un MBR sain.
(voir la page suivante pour booter sur la console de récupération : https://www.malekal.com/console_recuperation.php ).

Attention dans le cas d'un PC tatoué, cette solution peut poser souci.

Image
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 117057
Inscription : 10 sept. 2005 13:57

Re: Rootkit MBR (Bootkit) : comment détecter et supprimer

par Malekal_morte »

Le vieux BIOS en MBR est remplacé par la nouvelle norme : UEFI.
L'article suivant présente ces BIOS UEFI : Le BIOS UEFI

De plus le démarrage en UEFI est totalement différent.
Des protections et vérifications ont été ajoutés notamment à travers le Secure Boot.
De plus, Windows charge d'abord l'antivirus puis les pilotes et drivers tiers.
Enfin il n'est plus possible de charger un pilote non signé.
Ainsi les pilotes malveillant ou la modification sont plus difficiles.
L'article suivant décrit le processus du démarrage : Le processus de démarrage UEFI sur Windows

Enfin la vidéo suivante donne dans les grandes lignes les changements du UEFI.



Ainsi les bookits et rootkits sont beaucoup moins présents.
Toutefois, les premières versions du UEFI ont été mal implémentés sur certains PC et possèdent des vulnérabilités.
Cela a permis la création d'un rootkit : Lojax : le premier rootkit UEFI.
Cela reste assez limité comparés aux grandes vagues de rootkit en 2017-2014.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »