Supprimer le rootkit : W32/TDSS – Alureon

0 5

Dernière mise à jour le par noctambule28
.

Le rootkit W32/TDSS c’est quoi?


Un rootkit est un « kit » pour devenir « root » (administrateur) d’une machine. C’est un code malicieux vraiment complexe qui se greffe sur une machine, et parfois le noyau même du système d’exploitation. Il est ainsi capable de prendre le contrôle total d’un PC sans laisser de trace. Sa détection est difficile, parfois même impossible tant que le système fonctionne. Autrement dit, c’est une série de programmes qui permettent aux pirates de s’installer sur une machine (déjà infectée ou exploitant une faille de sécurité) et d’empêcher sa détection. Une fois en place, le rootkit est véritablement le maître du système. À ce titre tous les programmes, y compris les antivirus et anti-spywares, doivent passer par lui avant de faire quoi que ce soit. Ils ne peuvent donc se fier à aucune information collectée sur le système. La croissance des rootkit est favorisée par le fait que la majorité des utilisateurs de système d’exploitation Windows travaillent sous les droits d’un administrateur, ce qui facilite grandement l’installation de rootkit dans les ordinateurs.

Ce rootkit est parfois nommé Tidserv, TDSServ, Alureon, TDL3, TDL4,…

Exemples de symptômes : Redirections Google, logiciels de sécurité bloqués, …

Liste non exhaustive de Rootkit TDSSserv :

C:WINDOWSsystem32tdssadw.dll

C:WINDOWSsystem32tdssinit.dll

C:WINDOWSsystem32tdssl.dll

C:WINDOWSsystem32tdsslog.dll

C:WINDOWSsystem32tdssmain.dll

C:WINDOWSsystem32tdssservers.da

C:WINDOWSsystem32driverstdssserv.sys

c:windowssystem32TDSSblat.dat

c:windowssystem32TDSSqoaa.log

Voici une étude sur le Rootkit TDSS.

Les dernières variantes , reconnaissables avec leur série de lettres kizeuiqjdjqklmhehujdk > (aléatoire)

c:windowssystem32driverskbiwkm(aléatoire).sys

c:windowssystem32kbiwkm(aléatoire).dat

c:windowssystem32kbiwkm(aléatoire).dll

c:windowssystem32driversUAC(aléatoire).sys

c:windowssystem32UAC(aléatoire).dll

c:windowssystem32UAC(aléatoire).dat

c:windowssystem32driversseneka.sys

c:windowssystem32seneka(aléatoire).dll

c:windowssystem32seneka(aléatoire).dat

c:windowssystem32driversESQUL(aléatoire).sys

c:windowssystem32ESQUL(aléatoire).dll

c:windowssystem32ESQUL(aléatoire).dat

c:windowssystem32driversgeyek(aléatoire).sys

c:windowssystem32geyek(aléatoire).dll

c:windowssystem32geyek(aléatoire).dat

C:windowssystem32drivershjgrui(aléatoire).sys

c:windowssystem32hjgrui(aléatoire).dll

c:windowssystem32hjgrui(aléatoire).dat

c:windowssystem32driversgxvxc(aléatoire).sys

c:windowssystem32gxvxc(aléatoire).dll

c:windowssystem32gxvxc(aléatoire).dat

c:windowssystem32driversMSIVX(aléatoire).sys

c:windowssystem32MSIVX(aléatoire).dll

c:windowssystem32MSIVX(aléatoire).dat

c:windowssystem32driversSKYNET(aléatoire).sys

c:windowssystem32SKYNET(aléatoire).dll

c:windowssystem32SKYNET(aléatoire).dat

c:windowssystem32driverskungsf(aléatoire).sys

c:windowssystem32kungsf(aléatoire).dll

c:windowssystem32kungsf(aléatoire).dat

Malheureusement la liste serait trop longue à énumérer ici, mais voilà, une bonne partie de Rootkits les plus répandus à ce jour et les dernières variantes connues…

Préliminaire

1) Désactiver le résident de Spybot.

  • Important : Si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il va gêner la désinfection en empêchant la modification des BHO et la réparation du registre.
    • Démarrez Spybot, cliquez sur « Mode », cochez « Mode avancé »
    • A gauche, cliquez sur « Outils », puis sur « Résident »
    • Décochez la case devant Résident « TeaTimer » puis quittez Spybot :

Note importante :

Une fois la désinfection terminée (et pas avant ), réactivez le  » TeaTimer « .

Mais attention : à ce moment là, le « TeaTimer  » de Spybot proposera, par le biais de plusieurs pop-up, d’accepter ou non des modifications de registre (survenues lors de la désinfection) => il faudra alors les accepter toutes sans exception !

Puis par la suite , il faudra rester vigilant lorsque le « TeaTimer » donnera des alertes : accepter une modification uniquement si l’on en connait la provenance.

2) Désactiver l’User Account Control pour les utilisateurs de Windows Vista ou Seven (UAC).

désactiver l’UAC ?

Réactivez-le en fin de désinfection (et pas avant).

Méthodes de détection

L’outil de diagnostic Hijackthis ne détecte pas l’infection TDSS.

Il faut utiliser un outil de diagnostic comme Random’s System Information Tool (RSIT), ZHPDiag ou utiliser Gmer.

Gmer n’est pas compatible sous 7 à l’heure actuelle. (Compatibilité des outils).

Avec RSIT :

Téléchargez
Random’s System Information Tool (RSIT) (par random/random) sur ton Bureau.

  • Double-cliquez sur RSIT.exe afin de lancer le programme (Sous Vista et Seven, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu’administrateur).
  • Cliquez sur Continue à l’écran Disclaimer.
  • Si l’outil HijackThis (version à jour) n’est pas présent ou non détecté sur l’ordinateur, RSIT le téléchargera (autoriser l’accès dans le pare-feu, si demandé) et vous devrez accepter la licence.
  • Lorsque l’analyse sera terminée, deux fichiers texte s’ouvriront. Poster le contenu de log.txt (c’est celui qui apparaît à l’écran) ainsi que de info.txt (que vous verrez dans la barre de tâches) sur le forum Virus/Sécurité de CCM

Avec Gmer :

Téléchargez Gmer. (Przemyslaw Gmerek) sur votre bureau.

  • Dézippez-le dans un dossier dédié ou sur votre Bureau.
  • Déconnectez vous d’Internet puis fermez tous les programmes.
  • Double-cliquez sur Gmer.exe (ou clic droit > « Exécuter en tant qu’administrateur » pour Vista).
  • Cliquez sur l’onglet « Rootkit ».
  • A droite, cochez seulement Files, Services & Registry.
  • Cliquez maintenant sur « Scan ».
  • Lorsque le scan est terminé, cliquez sur « Copy ».
  • Ouvrez le Bloc-notes puis cliquez sur le Menu Édition / Coller.
  • Le rapport doit alors apparaitre.
  • Enregistrez le fichier sur votre Bureau et postez le contenu sur le forum forum Virus/Sécurité de CCM

Avec ZHPDiag :

Avec ZHPDiag, l’infection se repère généralement simplement, grâce aux modules 080 et 081 :

---\ Internet Feature Controls (O81)  
O81 - IFC: Internet Feature Controls [HKUS.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUSS-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe

---\ Recherche Master Boot Record Infection (MBR)(O80)
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Run by Holbecq Ludovic at 08/05/2011 13:35:08

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86AB36F0]<<
1 nt!IofCallDriver[0x804E13B9] -> DeviceHarddisk0DR0[0x86B83198]
3 CLASSPNP[0xF7536FD7] -> nt!IofCallDriver[0x804E13B9] -> Device0000080[0x86B479E8]
5 ACPI[0xF748C620] -> nt!IofCallDriver[0x804E13B9] -> [0x86B01940]
Driveratapi[0x86AF7270] -> IRP_MJ_CREATE -> 0x86AB36F0
error: Read Un périphérique attaché au système ne fonctionne pas correctement.
kernel: MBR read successfully
detected disk devices:
detected hooks:
Driveratapi DriverStartIo -> 0x86AB353B
user & kernel MBR OK
Warning: possible TDL3 rootkit infection !

D’autres outils de diagnostic peuvent être utilisés pour dénicher cette infection.

Méthodes de désinfection

Plusieurs ou

Cet article est apparu en premier sur https://www.commentcamarche.net/faq/18103-supprimer-le-rootkit-w32-tdss-alureon

Laisser un commentaire