Comment interpréter/utiliser l'outil Rootkit UnHooker?

[Alchimèriste]

Rebonjour.

Ce matin j'ai décidé d'utiliser l'outil Rootkit Unhooker (v3.7.300...) que l'on dit plus 'facile' à manipuler et à comprendre que RootkitRevealer .. dans ce domaine, malheureusement encore trop de choses m'échappent. Je sollicite donc une aide et pourquoi pas verser les résultats de cette aide dans un futur mini tuto dédié cet outil peut être.
Enfin, voilà j'ai passé, avant et après l'utilisation de cet outil, plusieurs heures à tenter de me documenter..les bases certainement mais surtout pour savoir m'en servir et d'autant plus pour interpréter correctement les analyses que celui-ci me ferait. En vain, les sites visités sont vagues pour un "novice" (je sais tout de même formater mon PC pour vider le cache du navigateur ..je plaisante..j'arrête..pardon) ou alors, et c'est souvent le cas, ne présentent que les fonctionnalités (de Rootkit Unhooker donc )sont pour autant vraiment détailler ce qu'il faut comprendre ou comment il faut agir en conséquence..


Donc en fin de compte me voilà à scanner pour obtenir des bilans que je n'arrive pas à analyser ou pour être plus précis je ne sais pas comment réagir face aux bilans établis par le logiciel en question.

• Je vais prendre un seul exemple en fait:
• un scan de crochetage des codes (onglet "Code Hooks") me donne une liste de tout de même 16 objets crochetés.. à ce stade soit je dois avoir peur soit je dois me trouver un bonnet d'âne mais si j'ai bien compris, ce n'est pas normal que l'outil me trouve des fichiers dont le code a été modifié n'est-ce pas?
  
  

Je voudrais préciser que je sais que ce n'est pas marqué 'Malekal's Burger' ici et loin de moi l'idée de venir consommer en libre service puis disparaitre et j'ai cherché par moi même avant de me résigner à demander ici, le seul endroit que je sentais apte à recevoir ce genre de question et surtout à m'expliquer comment comprendre..les tutos n'existent pas sur ce sujet, les guides ne nous disent pas comment savoir si une modification est légitime ou non etc..

Car j'aimerais surtout comprendre comment interpréter ça et pas simplement que quelqu'un résolve mon problème ou me dise que je suis infecté en fait.. j'aurais aimé ne pas surcharger le forum avec cette question, je ne vois pas oú m'adresser sinon.

Merci d'avance..
Je ne veux pas qu'on m'aide à désinfecter le PC, je veux juste un coup de pouce pour comprendre comment savoir, en utilisant cet outil, si le PC est ou n'est pas infecté..

• Notes: Quelques sites concernant le sujet..mais qui ne m'aident pas (ou alors je suis vraiment idiot)..je met que ceux-là, j'en ai consulté d'autres.
• http://www.securite-informatique.gouv.f ... le636.html (c'est le gvd...)
• http://infomars.fr/forum/index.php?showtopic=334 (support +/- officiel de Rootkit Unhooker je crois)
• + http://technet.microsoft.com/fr-fr/sysi ... s/bb897445 (un peu hors sujet avec le cousin RootkitRevealer mais là encore ça n'aide pas trop..)

[Alchimèriste]

[ ce n'est pas un double post, c'est pour mieux diviser le sujet]

Il est dit un peu partout et ici même que "Certains programmes de sécurité peuvent effectuer des hook comme vsdatant.sys (ZoneAlarm)" (dixit Malekal au sujet de Gmer).
Le rapport que je peux lire et qui se conclue "joyeusement" par cette phrase (notez le smiley à la fin du rapport...) : "!!POSSIBLE ROOTKIT ACTIVITY DETECTED!! =)" indique clairement aussi qu'un tas de truc sont modifiés par ce composant et dans le même temps on peut lire sur le net que des programmes malveillants peuvent se cacher sous cette forme surtout lorsque le fichier vsdatant.sys en question se trouve sur ..Windows\system2\ (ce qui est le cas) mais j'ai ceci ne me dit pas si c'est un faux positif ni de quelle façon ces modifications ont lieues..

[marcnoob]

 
Salut et merci de la nouvelle, j'ignorais que RU était réssuscité.

un scan de crochetage des codes (onglet "Code Hooks") me donne une liste de tout de même 16 objets crochetés.. à ce stade soit je dois avoir peur soit je dois me trouver un bonnet d'âne mais si j'ai bien compris, ce n'est pas normal que l'outil me trouve des fichiers dont le code a été modifié n'est-ce pas?

je te rassure, il est tout à fait normal de trouver des crochetages/hooks, c'est un fonctionnement normal de certains composants installés sur ton système.
Comme expliqué sur ton 2ème lien (infomars) :

L'utilisateur doit impérativement savoir quels logiciels installés sur son PC sont en fonction. En effet, RkUnhooker va détecter tous les logiciels actifs et surtout des crochetages « sains » et des fichiers cachés par bon nombre d'entre eux.
En cas de doute sur l'authenticité d'un des logiciels ou d'un 'service Windows', il faut effectuer des vérifications complémentaires avant d'agir, se méfier des fausses alertes.

En l'occurence, les tiens me paraissent légitimes.

De plus, je crois savoir (sauf erreur de ma part) que dans RU, les hooks illégitimes ou inconnus de l'auteur sont listés en rouge ?

@+

[Malekal_morte]

Salut,

Si on prend ta capture là :


Tu as tout à droite le type de hook (crochet).
Le hook est le crochetage qui permet de redirigé des appels vers des fonctions de Windows vers celle du rootkit et d'altérer le résultat attendu.
Exemple, on appel la fonction qui liste les processus en cours d'execution, Windows renvoie tous les processus dont ceux du rootkit.
Pour se cacher le rootkit crochète cette fonction et au lieu que ce soit Windows qui répond, c'est le rootkit, du coup, il liste tout sauf lui et donc il devient "invisible" pour tous les programmes où il arrive à placer le crochetage.

IAT Hookin est décrit là : http://xevia.webege.com/old/atoray/2010/06280.php
Ca c'est au niveau userland, au niveau des processus.
Tu as d'autres types crochetages plus bas (kernel), voir : http://forum.malekal.com/danger-fonctio ... t3500.html
il en existe d'autres.

Tout à gauche tu as les processus et leurs PID et l'API qui est crocheté
Tu as une liste là : http://docvb.free.fr/api.php

et la colonne du milieu je pense l'adresse de crochetage et vers quoi c'est redirigé ou par "qui" est fait le crochetage.
Si tu regardes les derniers, tu as des drivers TCPIP et wanarp.sys (driver qui gère le routage).
Je pense que vsdatant.sys (ZoneAlarm) pose un crochetage sur les fonctions NSDIS afin de pouvoir rediriger le traffic réseau sur lui même et éventuellement poser des filtres (un firewall quoi).
=> NdisOpenAdapter

Tu as la mm chose avec COMODO là : http://forum.malekal.com/program-exe-re ... ml#p264495

[Malekal_morte]

Je voudrais ajouter une remarque.
En fait, les types de hook et la première colonne à la limite tu t'en fous, sauf si l'aspect technique t'interresse (comment ça marche quoi) en ce qui concerne la détection de rookit.

Ce qui est important c'est surtout les drivers et autres qui sont retournés.
Sur ta capture, y a plein de lignes et au final si tu regardes t'as des noms de processus connous et vsdatant.sys - un coup de Google et hop tu sais que ZoneAlarm et OK.
Or un programme comme OTL sans antirootkit peux voir des drivers de rootkit avec des noms aléatoires qui puent à trois km le malware (en fait on dit rootkit car il hook mais souvent ce sont les API de suppression de fichiers ou pour locker le driver pas pour le rendre invisible sur le disque par exemple - un simple tour dans le dossier drivers permet de les voir).

Je voudrais aussi préciser que le rooktit complètement invisble n'existe pas dans les infections courantes que l'on viot.
J'entends le machin qu'on voit pas dans les processus, les scanneurs rootkits qui voient rien....
Le rootkit qui fait qu'on devient un peu parano, qu'on va scanner avec 50 antirootkits différents.

Si vous suiviez un peu les infections, les deux gros chiants balaises sont/étaients TDSS et ZAccess.
Dans la pratique ils sont invisibles (enfin plutôt discret on va dire) sauf que... sauf que.... ben comme ils sont là pour faire des thunes, les actions engendrés sont visibles à savoir par exemple des redirections Google lorsque l'on suf.
Donc là on sait clairement qu'on est infecté.
Pire pour Zaccess car il shoot les antivirus et certains programmes et empêche leurs executions.

Après y a aussi SpyeEye qui est relativement invisible dans les processus mais il ajoute une clef Run visible comme une crotte au milieu du trotoire : https://www.malekal.com/2011/06/26/troj ... t-rootkit/

Au final, avec les symptômes et si on connait les infections du moment, on sait ce que la personne a.
Passer un antirootkit pour trouver un rootkit, c'est pas vraiment utile de nos jours.

[Alchimèriste]

Merci pour vos réponses qui furent rapides mais surtout documentées, détaillées..
J'ai conscience que d'avoir pris le temps et le soin pour tous ces détails ne m'autorise pas à en abuser avec des questions qui feront tâche donc je ne vais pas tout de suite poser certaines questions car je suis toujours en train de les relire tout en faisant des aller et venus vers les liens indiqués et qui sont très utiles pour comprendre.
Je mentirais si je disais que c'est là un domaine évident mais peut être que ce sujet peut rester un peu ouvert le temps peut être d'en parler plus tard encore, lorsque j'aurais lu encore plus de documentations.

Je voudrais juste noter qu'il existe un fossé énorme entre la vulgarisation quasiment inutile sur internet et les explications complexes que vous fournissez à l'aise ^^ mais ce sont avec ce genre d'explications documentées qu'il est possible d'avancer, ce que je vais faire immédiatement et ce que j'ai déja fait d'ailleurs avec vos réponses. Merci encore.

[Malekal_morte]

yep c'est pas tjrs simple d'expliquer

[Alchimèriste]

Re-bonjour. Je suis toujours dans ma phase de lecture sur le sujet.. et j'en profite pour tester des outils non pas pour véritablement détecter quelque chose qui peut être n'existe pas mais pour comprendre en pratique plus qu'en théorie. (au passage merci pour cette page Savoir lire les rapports de scan).

Donc j'ai encore une question, même sujet un peu. Un conseil surtout à propos de la légitimité d'un fichier caché.
J'ai bien compris qu'en amont faire des recherches perso c'est le premier geste concernant un fichier spécifique mais je voulais vous demander si il existait une méthode et un comportement a avoir permettant de savoir si un fichier était ou non légitime (donc toujours dans l'idée du sujet original: savoir interpréter des résultats..).

Prenons un exemple d'une liste de fichiers cachés, je peux rechercher chacun d'eux sur internet mais est-ce que ceci sert à quelque chose puisqu'il est peut être légitimement caché mais tout de même être louche?
Et puis même, comment savoir si un fichier est légitimement caché? J'imagine qu'il n'existe pas de base de données répertoriant les fichiers cachés et ceux qui ne devraient pas l'être?

J'ai entre autres *.gif et trus suspects par exemple un exécutable, celui d'un jeu (légal et non cracké choppé dans un magasine, c'est XIII donc normalement pas de problèmes), c'est BGE_Trailer.exe bref ce n'est pas important mais celui-ci semble caché selon un outils de détection anti-rootkit. Bien entendu je ne m'inquiète pas à son sujet mais dans l'absolue j'aurais voulu savoir comment on doit réagir pour deviner qu'il ne s'agit ici pas d'un problème?
Je ne vais pas détruire tous les fichiers suspects mais alors pourquoi les garder et avec quels critères on peut commencer à séparer les dangers potentiels et ceux légitimement cachés?

Ma question c'est juste ça: existe t'il un processus a avoir dans sa tête pour "enquêter" et faire un choix sur la base d'un rapport de suspects ou bien on se la joue Police Nationale tout le monde au trou par délit de faciès?

Merci encore, pas urgent comme réponse et je m'excuse si je n'ai pas été clair. Je demande un conseil de comportement en fait ..pas une méthode avec des choses à faire, mais plutôt sur des choses à se dire..

[Malekal_morte]

Pas simple de répondre à ta question.

Pour évaluer un fichier, il y a plusieurs manières :

• Un scan en ligne : http://forum.malekal.com/virustotal-com ... t9828.html
• Un recherche du nom de fichiers sur Google ou Pjjoint : http://pjjoint.malekal.com/browse.php
• Une recherche du Hash (MD5) sur Google

Pour le nom de fichier, il faut voir avec l'emplacement ce que cela donne.
Exemple : svchost.exe tout seul ne veux rien dire, s'il est dans system32 c'est celui de Windows donc légitime.
Dans system, c'est un malware (il cherche à se faire passer pour celui de Windows qui est dans system32).

Pour les fichiers cachés, bha là, à part reconnaître le système et savoir que tel ou tel fichier est caché et/ou est légitime, pas d'autres solutions.
Après que tu en aies dans des applications, jeux spécifiques on s'en fout un peu.

De toute façon, si c'est un malware, il a un point de chargement qui est en général visible par OTL ou HijackThis (tu peux tjrs utiliser pjjoint).
Et souvent en plus, tu as des symptômes (lenteurs, lenteurs de surf), alertes antivirus.
Ou résultats positifs sur Malwarebyte par exemple.

Bref faut un peu mixer tout ça.

En général, quand on est infecté, on le sait.... si on l'est et qu'on fait rien, c'est qu'on s'en fout de ce qui se passe sur sa machine.