Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

WinIK.sys

ipl_001

Par ipl_001
dans Analyses et éradication malwares

 Partager

Messages recommandés

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonsoir à tous,

 

Je voudrais reproduire et traduire ci-dessous, un message que je viens de trouver sur Wilders et qui me semble très, très important : infection même en mode sans échec !!! Rien que çà !

 

-> http://www.wilderssecurity.com/showthread.php?t=64316

 

JacobSteelsmith

 

winik.sys

 

01/25/2005

 

New Piece of spyware discovered. This piece of software is difficult to remove in that it mimicks haxdoor by embeding itself into the user's system. It seems to cause popups and record users behavior as well as uniquely identifying the user with a generated uid.

 

Indications of infection.

 

Program installs a legacy driver called winik.sys which is loaded on reboot. This action allows it to run in safe mode, infecting even the administrator account on Windows XP (infected computer showed signs of infection in Administrator account when only being run in safe mode). The observer may notice the winik.sys being loaded as part of the driver list during safe mode startup. After one or two reboots into safe mode, auto start entries were added for the generated executables described below.

 

winik.sys on this infected system (xp home) was found in windows\system32\drivers. The file is unique in that it has a forged Microsoft copyright for the company, but the file system verification utility lists it as not signed.

 

The malware then adds one or more directories in the program files folder composed of random numbers and letters. The infected system I encountered had two. Each folder had similar items in them. Several data files and several executables as well as a copy of the winik.sys file. All of the data files and executables were named with the same random alphanumeric pattern. One folder did have a web page which was not named in the same random fashion.

 

The folders were unable to be moved or deleted in real or safe mode. The executables were not able to be renamed, moved or deleted. I had to use a windows cd to boot to the recovery console to remove the directories.

 

The malware adds several registry entries. Auto start entries for the generated executables are added by the legacy driver. In hklm/localmachine/software there are entries for the random directories. These registry folders contain keys with settings for the popups, userid and other program settings.

 

The legacy driver key is added in one or more control sets. A search of the registry for winik found these entries.

 

If the winik.sys in the windows\system32\drivers directory is renamed and the copy in one or more generated folders is renamed, the program seems to cease working. This may be contingent on the other programs that auto start being disabled.

 

Jacob Steelsmith

 

... je reviens avec la traduction !

punkie93250 Member

punkie93250

Posté(e)
Posté(e) (modifié)

Le nouveau morceau de spyware est découvert. Il est difficile enlever ce morceau de logiciel parce qu'il haxdoor de mimicks par embeding dans le système de l'utilisateur. Il semble causer des popups et identifier les comportements des utilisateurs avec un uid produit.

Indications de l'infection.

Le programme installe un conducteur de legs appelé le winik.sys qui est chargé sur la réinitialisation. Cette action lui permet de fonctionner en mode sans echec, infectant même le compte d'administrateur sur Windows XP (l'ordinateur infecté a montré des signes de l'infection dans le compte d'administrateur seulement en étant en mode sans echec). L'observateur peut noter le winik.sys étant chargé en tant qu'élément de la liste de drivers pendant le démarrage en mode sans echec. Après qu'un ou deux réinitialisations dans le mode sans echec, les entrées automatiques de début aient été ajoutées pour lesprogrammes décrits ci-dessous. winik.sys sur ce système infecté (home de xp) a été trouvé dans windows \ system32 \ drivers. Le dossier est unique parce qu'il a copyright forgé de Microsoft pour la compagnie, mais les listes de service de vérification de système de fichiers sont non signé. Le malware ajoute alors un ou plusieurs annuaires dans le programme files composée de nombres aléatoires et de lettres. Le système infecté que j'ai rencontré en a eu deux. Chaque dossier a eu les articles semblables dans eux. Plusieurs fichiers de données et plusieurs executables aussi bien qu'une copie du winik.sys s'y classent. Tous les fichiers de données et executables ont été appelés avec le même modèle alphanumérique aléatoire. un dossier a eu une page Web qui n'a pas été appelée de la même mode aléatoire. Les chemises ne pouvaient pas être déplacé ou supprimé en mode normal ou sans echec. Les executables ne pouvaient pas être renommés, déplacé ou supprimé. J'ai dû employer un Cd de windows pour initialiserla console et enlever les annuaires. Le malware ajoute plusieurs entrées d'enregistrement. Des entrées automatiques de début pour les executables produits sont ajoutées par le conducteur de legs. Dans hklm/localmachine/software il y a des entrées pour les annuaires aléatoires. Ces dossiers d'enregistrement contiennent des clefs avec des arrangements pour les popups, identification de l'utilisateur et d'autres arrangements de programme. La clef de conducteur de legs est ajoutée dans un ou plusieurs des ensembles de commande. Une recherche de l'enregistrement pour le winik a trouvé ces entrées. Si le winik.sys dans windows \ system32 \ drivers l'annuaire est retitré et la copie dans une ou plusieurs dossierss produites est retitrée, le programme semble cesser de fonctionner.

 

voici la traduction a peu pres ce que j'ai laisser en anglais je ne sais pas ce que ca veu dire. j'ai traduit en gros comme je e connai pas trop le language informatique jespere que ca pourra vous aider.

Modifié par punkie93250
ipl_001 Devil Member !

ipl_001

Posté(e)
  • Auteur
Posté(e)

en Français...

 

Bonsoir à tous,

 

Je voudrais reproduire et traduire ci-dessous, un message que je viens de trouver sur Wilders et qui me semble très, très important : infection même en mode sans échec !!! Rien que çà !

 

-> http://www.wilderssecurity.com/showthread.php?t=64316

 

JacobSteelsmith

 

winik.sys

 

25 janvier 2005

 

Nouvel exemplaire de spyware découvert. Ce malware est difficile à éliminer en ce qu'il imite les haxdoors en s'intégrant dans le système de l'utilisateur. Il semble causer des popups et enregistrer le comportement des utilisateurs et aussi identifier l'utilisateur de manière unique avec un uid généré.

 

Indications de l'infection.

 

Le programme installe un pilote "legacy" nommé winik.sys qui est chargé au démarrage. Cette action lui permet de fonctionner en mode sans échec, infectant même le compte administrateur sur Windows XP (un ordinateur infecté a montré des signes d'infection dans le compte Administrateur seulement en mode sans échec). L'observateur peut remarquer le winik.sys chargé dans la liste des pilotes pendant le démarrage en mode sans échec. Après un ou deux redémarrages en mode sans échec, des entrées RUN ont été ajoutées pour les exécutables généré comme décrit ci-dessous.

 

winik.sys dans ce système infecté (xp home) a été trouvé dans windows\system32\drivers. Ce fichier est unique en ce qu'il a un copyright Microsoft truqué pour la companie mais l'utilitaire de vérification du système de fichiers le liste comme non signé.

 

Ensuite le malware ajoute un ou plusieurs répertoires dans le dossier Program Files composé de nombres et lettres aléatoires. Le système infecté que j'ai rencontré en avait 2. Chaque dossier contenait des éléments similaires. Plusiers fichiers de données et plusieurs exécutables ainsi qu'une copie du fichier winik.sys. Tous le sfichiers de données et exécutables étaient nommés avec le même modèle alphanumérique aléatoire. Un dossier avait une page Web qui n'était pas nommé de la même façon aléatoire.

 

Les dossiers n'ont pas pu être déplacés ou en mode normal ou sans échec. Les exécutables n'ont pas pu être renommés, déplacés ou supprimés. j'ai eu à employer un CD Windows avec la console de récupératon pour déplacer les répertoires.

 

Le malware ajoute plusieurs entrées dans la base de registres. Des entrées RUN pour les exécutables générés sont ajoutées par le pilote "legacy". Dans hklm/localmachine/software il y a des entrées pour les dossiers aléatoires. Ces clés de registre contiennent des données avec un paramétrage pour les popups, userid et autres paramétrages de programmes.

 

Le pilote "legacy" est ajouté dans un ou plusieurs control sets. Une recherche dans la base de registres pour winik a trouvé ces entrées.

 

Si le winik.sys dans le répertoire windows\system32\drivers est renommé et la copie dans un ou plusieurs dossiers générés est renommée, le programme semble cesser de fonctionner. Ceci peut être identique pour les autres programmes désactivés an démarrage automatique.

 

Jacob Steelsmith

ipl_001 Devil Member !

ipl_001

Posté(e)
  • Auteur
Posté(e)

Bonsoir adams.familly,

 

Oui, les temps à venir seront passionnants si on aime la castagne ! :P

adams.familly Mega Power Member

adams.familly

Posté(e)
Posté(e)

Et bien heureusement qu'on a des personnes comme toi qui se battent pour les autres!!!

Car je t'avoue que par moment c'est un peu décourageant de découvrir toutes ces nouvelles menaces...

D'un autre côté, un homme averti en vaut deux...

:P

ipl_001 Devil Member !

ipl_001

Posté(e)
  • Auteur
Posté(e)

Rebonsoir adams.familly,

 

On a besoin de toi ! On a besoin de toutes les forces vives ! :P

 

-> http://forum.zebulon.fr/index.php?showtopic=71597 (alerte et "Formation de base : Base de registres et Dos")

adams.familly Mega Power Member

adams.familly

Posté(e)
Posté(e)

C'est gentil ipl_001,

j'avais vu le sujet et m'y suis abonné...

 

On a besoin de toi ! On a besoin de toutes les forces vives !

Mais je crois que tu me surestimes, je suis incapable d'analyser un rapport HijackThis,

 

Je trouve qu'on en est ramené aux temps de l'avant HijackThis lorsque le nettoyage était un art et qu'on essayait un peu tout et n'importe quoi !

et je n'ai pas connu les temps de l'avant HijackThis...

 

Mais j'éssaye de rester informé...

Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e)

Salut tous,

 

c'est la qu'il devient important d'utiliser les autres outils à notre disposition :

 

pour la base de registre : Vilma Registry

il a l'avantage de répertorier l'ensemble d'une recherche, de revenir en arriere sur une clé supprimé, trés pratique pour le ménage

http://www.vsft.com/products.htm

http://speedweb1.free.fr/frames2.php?page=outils2#edit

 

 

vilma1.png

 

 

 

 

ProcessExplorer --> permet de vérifier les threads sur les services obligatoires ou de tuer les processus (Winlogon, services, explorer, etc..)

indique les entrées TCP/IP du service , etc

http://www.sysinternals.com/Utilities/ProcessExplorer.html

outils qui s'execute sans installation, travaille en mode sans echec ou en mode normal

 

ProcessExplorer.gif

 

 

 

Autoruns --> permet de lister toutes les entrées d'un seul coup d'oeil pour :

logon, services, explorer, sheduler , boot execute image Hijacks, Applnit, winsock winlogon,

http://www.sysinternals.com/ntw2k/freeware/autoruns.shtml

outils qui s'execute sans installation, travaille en mode sans echec ou en mode normal

 

Autoruns.gif

 

 

si j'ai le temps, je ferais un petit topo de la façon de les utiliser pour traquer le malware :P

ipl_001 Devil Member !

ipl_001

Posté(e)
  • Auteur
Posté(e)

Bonjour adams.familly, bonjour à tous,

C'est gentil ipl_001,

j'avais vu le sujet et m'y suis abonné...

Attention que, j'édite mes posts... je veux dire que je complète mon laïus sur la base de registres et lors de mes modifcations, tu ne reçois pas de message électronique.
Mais je crois que tu me surestimes, je suis incapable d'analyser un rapport HijackThis,

et je n'ai pas connu les temps de l'avant HijackThis...

 

Mais j'éssaye de rester informé...

544247[/snapback]

Tu sais bien que, la lutte antimalware a besoin de bien d'autres "corps de métiers" que les analyseurs de rapports HijackThis !

Parmi les experts, tous ne sont pas informaticiens, à commencer par BudFred (ma signature), l'Américain qui m'a patiemment informé !

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...