Il est conseille de lire la page Wikipedia relatif au MBR pour mieux comprendre cette page : http://fr.wikipedia.org/wiki/Master_boot_record
Rappel rapide: le MBR se compose du boostrap et d'une table des partitions.
Le but du bootkit est de modifier le boostrap afin d'y ajouter son code pour se charger avant l'OS (et donc avoir la main avec les antivirus en autre).
Éventuellement, certains bootkits peuvent ajouter une partition cachée où se trouve le code malicieux.
Tour d'horizon
La première infection utilisant le MBR était Sinowal/mebroot.
Est arrivé ensuite Whistler Bootkit
Et enfin depuis quelques mois TDSS s'y est mis avec la nouvelle variante baptisée : TDSS TDL 4 suivi ensuite de la famille Rootkit BookCidox (Rovnix).
Détection générique avec MBR-BackBoot [Rtk] / Rootkit.Boot.Backboot.
Voici une liste des outils capables de détecter les infections MBR/Rootkit.
DISLAIMER : avant de partir dans la paranoïa habituelle, je vais lancer un des outils pour voir si je ne suis pas infecté blalbla...
Ces infections ont des conséquences sur le système et pour certains provoquent certains symptômes. D'autre part, certains de ces outils peuvent générer des faux positifs comme les scanneurs rootkits.
Cela ne sert à rien de poster ici avec j'ai vu le sujet... j'ai lancé cet outil, ça me dit que... qu'en pensez-vous ? : Vous n'aurez pas de réponse !
Les outils sont donc :
- MBRCheck :
- mbr de GMER : http://www2.gmer.net/mbr/mbr.exe
- RogueKiller
- bootkit remover : https://www.malekal.com/download/bootkit_remover.zip
A noter que Bootkit Remover semble détecter les MBR infectieux autre que Whistler Bootkit, notamment TDSS TLD 4 :
Dumper le MBR
Le but étant de Dumper le code malicieux qui se trouve en général sur le secteur 0.
Le fichier que l'on récupère doit avoir une taille de 512 bytes.
L'intérêt de dumper le MBR est de vérifier (dans le cas d'un doute) si ce dernier est malicieux ou éventuellement si le PC est tatoué.
A noter que si une infection est active, le programme qui dump le MBR peut dumper un MBR sain si ce dernier ne voit pas l'infection.
Ici, un dump de mbr de GMER et de Bootkit Remover
mbr de GMER doit être sur le bureau : http://www2.gmer.net/mbr/mbr.exe
- Ouvrir le Bloc-Notes et copie / colle ce qu'il y a ci-dessous :
@ECHO OFF
mbr -c 0 1 copy_mbr
EXIT
- Enregistre le fichier sur ton bureau sous le nom dump.cmd (le .cmd à la fin est important)
- Double clic sur dump.cmd, ça doit ouvrir une fenêtre noir qui va se refermer.
Vous pouvez alors le scanner sur VirusTotal.
Avec RogueKiller : roguekiller-t29444.html
Ce dernier créé un fichier PhysicalDrive0_User.dat dans la quarantaine, ce dernier est un dump du MBR.
avec Bootkit Remover :
remover doit être présent sur le bureau.
- Ouvrir le Bloc-Note et copie/colle ce qu'il y a ci-dessous :
@ECHO OFF
remover dump \\.\PhysicalDrive0 copy_mbr
EXIT
- Enregistre le fichier sur ton bureau sous le nom dump.cmd (le .cmd à la fin est important)
- Double clic sur dump.cmd , ça doit ouvrir une fenêtre noir qui va se refermer.
Vous pouvez alors le scanner sur VirusTotal.
Les deux fichiers sont identiques et un scan sur VirusTotal donne bien infectieux :
Il est aussi possible, si on veux vraiment être certains, de faire un dump depuis un CD Live GNU/Linux :File name: tdss
Submission date: 2010-11-06 20:11:19 (UTC)
Current status: queued (#9) queued analysing finished
Result: 13/ 43 (30.2%)
Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.11.06.01 2010.11.06 -
AntiVir 7.10.13.145 2010.11.05 BOO/Alureon.A
Antiy-AVL 2.0.3.7 2010.11.06 -
Authentium 5.2.0.5 2010.11.05 -
Avast 4.8.1351.0 2010.11.06 -
Avast5 5.0.594.0 2010.11.06 -
AVG 9.0.0.851 2010.11.06 Win32/Alureon.MBR
BitDefender 7.2 2010.11.06 Rootkit.Tdss.AW
CAT-QuickHeal 11.00 2010.11.04 -
ClamAV 0.96.2.0-git 2010.11.06 -
Comodo 6632 2010.11.06 -
DrWeb 5.0.2.03300 2010.11.06 BackDoor.Tdss.4005
Emsisoft 5.0.0.50 2010.11.06 Rootkit.Win32.TDSS!IK
eSafe 7.0.17.0 2010.11.04 -
eTrust-Vet 36.1.7958 2010.11.05 -
F-Prot 4.6.2.117 2010.11.05 -
F-Secure 9.0.16160.0 2010.11.06 Rootkit.Tdss.AW
Fortinet 4.2.249.0 2010.11.06 -
GData 21 2010.11.06 Rootkit.Tdss.AW
Ikarus T3.1.1.90.0 2010.11.06 Rootkit.Win32.TDSS
Jiangmin 13.0.900 2010.11.06 -
K7AntiVirus 9.67.2903 2010.11.03 -
Kaspersky 7.0.0.125 2010.11.06 Rootkit.Win32.TDSS.bj
McAfee 5.400.0.1158 2010.11.06 -
McAfee-GW-Edition 2010.1C 2010.11.06 -
Microsoft 1.6301 2010.11.06 Trojan:DOS/Alureon.A
NOD32 5597 2010.11.06 -
Norman 6.06.10 2010.11.06 -
nProtect 2010-11-06.01 2010.11.06 -
Panda 10.0.2.7 2010.11.06 -
PCTools 7.0.3.5 2010.11.06 -
Prevx 3.0 2010.11.06 -
Rising 22.72.04.00 2010.11.06 -
Sophos 4.59.0 2010.11.06 Troj/TdlMbr-A
Sunbelt 7235 2010.11.06 Trojan.Boot.Alureon.a (v)
SUPERAntiSpyware 4.40.0.1006 2010.11.06 -
Symantec 20101.2.0.161 2010.11.06 -
TheHacker 6.7.0.1.076 2010.11.05 -
TrendMicro 9.120.0.1004 2010.11.06 -
TrendMicro-HouseCall 9.120.0.1004 2010.11.06 -
VBA32 3.12.14.1 2010.11.05 Rootkit.Win32.TDSS.bj
ViRobot 2010.10.4.4074 2010.11.06 -
VirusBuster 12.71.8.0 2010.11.06 -
Additional informationShow all
MD5 : 4c4b002cb59eb510c90899c7059a324f
SHA1 : 2a604055734457af6f974d77f6116526a8b64782
SHA256: 7373941a5d54601d928aa982c9099c61ff99b5f45c2f6221e20d0dcbf471b0e9
dd if=/dev/hda of=boot.mbr bs=512 count=1
ou /dev/hda est le disque dur où se trouve le MBR à dumper.
Ca peux donc être /dev/sda
Nettoyer le MBR
Noter que réécrire le MBR si le PC est tatoué peut provoquer des soucis.
AntiRootkit
Voici quelques programmes Anti-Rootkits qui sont capables de détecter (et parfois nettoyer) les MBR infectés.
- TDSSKiller : tdsskiller-kaspersky-t28637.html
- AswMBR : aswmbr-fix-mbr-t31619.html
- RogueKiller : roguekiller-t29444.html
- Malwarebytes Anti-Rootkit (MBAR) : https://www.malekal.com/2012/11/11/malwa ... mbar-beta/
- HitMan Pro : https://www.malekal.com/2011/10/17/hitma ... ues-tests/
Il faut passer la commande mbr -f
Ce qui donne :
- Menu Démarrer / exécuter et tapez la commande : "%userprofile%\Bureau\mbr" -f
(veuillez à bien respecter les guillemets) - dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully !
Pour supprimer, il faut passer la commande : remover.exe fix \\.\PhysicalDrive0
\\.\PhysicalDrive0 étant le mbr du disque infecté (souvent donc le premier disque dur).
- Ouvrir le Bloc-Note et copie/colle ce qu'il y a ci-dessous :
@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
EXIT
- Enregistre le fichier sur ton bureau sous le nom fixi.bat (le .bat à la fin est important)
- Double clic sur fix.Bat, ça doit ouvrir une fenetre noir qui va se refermer.
avec RogueKiller :
RogueKiller : roguekiller-t29444.html
Tutorial : http://tigzyrk.blogspot.fr/2012/10/fr-r ... iciel.html
Sur les rapports la détection de MBR infecté donne :
maxSST + partition cachée :
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721032CLA362 +++++
--- User ---
[MBR] a1e2c1a0c1fb3db806dcbb65fdbf8384
[BSP] 0dc0d942fc9152dc059c7e021d2ad3db : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305129 Mo
User != LL1 ... KO!
--- LL1 ---
[MBR] 501fcd9f60449033a7b892d424337896
[BSP] 0dc0d942fc9152dc059c7e021d2ad3db : Windows 7 MBR Code [possible maxSST in 2!]
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305129 Mo
2 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 625113088 | Size: 10 Mo
RogueKiller est capable de restaurer le MBR d'origine, si une copie est présente :¤¤¤ MBR Check: ¤¤¤
+++++ PhysicalDrive0: ST9500325AS +++++
--- User ---
[MBR] 318e94ac5cf893f8e2ed0643494e740e
[BSP] 07a9005ccf77d28c668138e4d4a42d65 : MaxSS MBR Code!
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 13000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 26626048 | Size: 119235 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 270819328 | Size: 344703 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Si aucune restauration n'est possible, on peux réécrire un MBR d'origine qui diffèrent selon la version de l'OS :
fixmbr depuis la console de récupération
Il est possible de booter sur la console de récupération et faire un fixmbr pour réécrire un MBR sain.
(voir la page suivante pour booter sur la console de récupération : https://www.malekal.com/console_recuperation.php ).
Attention dans le cas d'un PC tatoué, cette solution peut poser souci.