Bonjour,
Au menu du jour, quelques tests sur un rookit hébergé depuis près d'une semaine sur le site internet d'une société française d'informatique située à Mirebeau-sur-Bèze. Vous connaissez l'expression, les cordonniers sont les plus mal chaussés.. nous allons les recontacter afin qu'ils passent un bon coups de plumeau.
http://****-informatique.fr/infofactuur.zip
Last-Modified: Mon, 30 Nov 2015 19:49:21 GMT
Le fichier ZIP contient "infofactuur.pdf_________________________ ... _______________________ .exe" qui pèse environ ~185 Ko. Le moins que l'on puisse dire c'est que le rapport CAMAS associé n'est pas très bavard. La détection VT au moment de l'ajout sur MDB est à 5/56 (9%). En analyse manuelle, j'obtiens un PE d'environ 14Ko qui a été compilé le 21 mars 2015, il ne possède qu'une seule section de 13 824 octets et la signature de celle-ci est sur liste noire depuis plusieurs mois.
Le code malveillant est un petit rootkit, pour faire très simple, il se "charge" une première fois, assure sa survie et devient furtif. A chaque nouveau processus, il se place en mémoire ( occupe ~28 ko ) donc sous l'environnement de l'utilisateur tous les programmes comme HijackThis, FRST, RogueKiller, Autoruns,.. deviennent totalement inopérants car "invisible". C'est le principe du rootkit. Pour "lutter" à armes égales, l'utilisateur devra utiliser des anti-rootkits.
J'ai ressorti le bon vieux test de virginité écrit par Joanna R. il y a 10 ans.
L'outil est très léger, à peine 100 Ko, c'est propre. Le résultat est sans appel.
System Virginity Verifier
SYSTEM INFECTION LEVEL: 5
0 - BLUE
1 - GREEN
2 - YELLOW
3 - ORANGE
4 - RED
--> 5 - DEEPRED
SUSPECTED modifications detected. System is probably infected!
module ntdll.dll
(section .text) [NtCreateProcessEx()+0]
(section .text) [NtCreateThread()+0]
(section .text) [NtEnumerateValueKey()+0]
(section .text) [NtQueryDirectoryFile()+0]
(section .text) [NtResumeThread()+0]
Dans mes cartons, en poids plume avec 150 Ko je test catchme également créé il y a 10 ans.
detected NTDLL code modification:
ZwEnumerateValueKey, ZwQueryDirectoryFile
scanning hidden registry entries ...
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"D9EE93B4"="C:\Documents and Settings\Administrateur\Application Data\D9EE93B4\bin.exe"
Et puis pour plus de traitements, je test gmer avec ses 800Ko tout mouillé, idem. Je scan les "Sections", test depuis l'onglet Files si les fichiers masqués sont visibles et test l'onglet Registry pour vérifier si on accède bien à la clef Run.
.text C:\WINDOWS\Explorer.EXE[956] ntdll.dll!NtCreateProcessEx → JMP 00B318BB
.text C:\WINDOWS\Explorer.EXE[956] ntdll.dll!NtCreateThread → JMP 00B318FC
.text C:\WINDOWS\Explorer.EXE[956] ntdll.dll!NtEnumerateValueKey → JMP 00B322B9
.text C:\WINDOWS\Explorer.EXE[956] ntdll.dll!NtQueryDirectoryFile → JMP 00B3232B
.text C:\WINDOWS\Explorer.EXE[956] ntdll.dll!NtResumeThread → JMP 00B31945
Je test enfin Malwarebytes Anti-Rootit (MBAR) avec ses 16563352 Ko qui.. ne détecte absolument rien.. pour un anti-rootkit c'est réellement très décevant. Ne cherchez pas midi à quatorze heures, les vieux outils d'il y a 10 ans de quelques centaines de Ko n'ont rien perdus de leurs splendeurs et ont encore de beaux jours devant eux. En cas de doutes sur votre système : lenteurs, anomalies, crashes,... prenez donc la peine d'essayer plusieurs anti-rootkits.
anti-rootkits - la chasse aux fantômes
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
-
Impossible d'accéder aux paramètres de Windows 11
par ASUS2021 » » dans Windows : Résoudre les problèmes - 1 Réponses
- 79 Vues
-
Dernier message par Malekal_morte
-
-
- 15 Réponses
- 514 Vues
-
Dernier message par Malekal_morte
-
-
Pour les musiciens (AUDIO): Un Guide pour "optimiser" le PC (Peut servir aux gamers)
par Parisien_entraide » » dans Sites et liens utiles - 0 Réponses
- 76 Vues
-
Dernier message par Parisien_entraide
-
-
- 5 Réponses
- 136 Vues
-
Dernier message par Malekal_morte
-
- 1 Réponses
- 56 Vues
-
Dernier message par Parisien_entraide