[Résolu] Infestation par rootkit suspectée

[Patrick St P. Bosguerard]

Re,

 

J'ai désactivé ESET (pare-feu et anti-malware), avant de lancer.

 

Voici les 2 rapports de Rogue Killer :

 

 

========== 1er rapport ==========================

 

RogueKiller V6.1.9 [16/11/2011] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/37)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Administrateur [Droits d'admin]

Mode: Recherche -- Date : 18/11/2011 13:58:35

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 3 ¤¤¤

[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND

[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [LOADED] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

========== Fin du 1er rapport ==========================

 

 

 

 

 

 

Voici le 2è rapport :

 

========== 2è rapport ==========================

 

RogueKiller V6.1.9 [16/11/2011] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/37)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Administrateur [Droits d'admin]

Mode: Suppression -- Date : 18/11/2011 14:00:49

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 3 ¤¤¤

[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)

[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [LOADED] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

========== Fin du 2è rapport ==========================

 

 

Bien que non-connaisseur de la chose, il me semble comprendre que les malicieux potentiels ont pris peur,

devant la contre-attaque de la super équipe de ZEBULON, et ont pris la fuite,

ou alors, ils ont échafaudé un plan encore plus diabolique, pour bien se cacher.

 

Y voit-on clair maintenant, ou la contre-attaque doit elle s'affiner ?

 

 

 

Merci encore pour ce suivi, autant pour le contenu, que pour les efforts de présentation,

qui confinent à un véritable tuto, sous forme de cours particulier

(je n'en méritais pas tant !).

[Patrick St P. Bosguerard]

Re,

 

Pas de chance, nos messages se sont croisé :

j'avais déjà démarré, et ai été jusqu'au bout, puis ai posté mon message, avant de voir le vôtre.

 

Je reprends donc l'analyse du fichier, que vous me demandez.

 

A plus tard.

[Patrick St P. Bosguerard]

Re,

 

 

Voici le résultat chez JOTTI : Compte-rendu-d'analyse

 

 

Il semble donc être resté intègre, après son téléchargement.

 

 

A plus tard.

[pear]

Il y a maldone !

 

Analysé :Nom du fichier: fz5hu7c4.exe

 

Demandé:C:\Documents and Settings\Administrateur\Bureau\ybl8fpqc.exe

 

[Patrick St P. Bosguerard]

Je soumets le bon fichier : il répond "ce fichier a déjà été scanné",

et il donne le lien concernant le fichier identique, de clé différente.

 

Je viens de recommencer : idem.

 

J'ai dupliqué alors, le fichier sous un autre nom et lui ai soumis, pensant pouvoir le leurer !

 

Il répond de même, qu'il a déjà été scanné.

Je pense qu'il doivent identifier les fichiers par leur contenu et non par leur clé :

une sorte de hash-coding calculant une valeur unique pour un fichier, le rendant unique par sa valeur calculée

(sa valeur calculée étant une suite de symboles, comme la clé d'un produit Microsoft, par exemple).

 

Je pense donc que c'est vrai, qu'il a déjà scanné le même et que l'on peut considérer ce résultat comme valide,

mais c'est vous le connaisseur : dois-je insister, et aller chez un autre scanneur en ligne ?

[pear]

Vous avez tout à fait raison.

Je n'avais pas vérifié le Hash.

Hash MD5: FF72056739C31E4CC920FBDFF4F9A8E5 de Seaf

MD5: ff72056739c31e4cc920fbdff4f9a8e5 de Jotti.

 

Ce qui éteint ma dernière piste.

 

Encore quelque souci ?

[Patrick St P. Bosguerard]

Re,

 

Est-ce que le verdict final est : pas de rootkit ?

 

Si oui, c'est rassurant.

 

Mais si oui, c'est aussi inquiétant, car les anomalies sont inexpliquées et ... demeurent.

 

Exemple : en plus de celles citées en ouverture de post :

 

• à chaque ouverture de session, mon navigateur par défaut est ré-inialisé , au profit de IE
  
• pendant la saisie, le pointeur se mue en sablier, et clique tout seul, ailleurs (en déplaçant le point d'insertion)
  

 

J'attends donc confirmation du verdict final.

 

Merci, encore pour ce suivi individualisé.

[pear]

Je suis désolé, mais je n'ai jamais été confronté à un problème de ce ce type.

Je n'en ai pas la moindre idée.

Peut-être trouverez de l'aide sue le forum "Internet & réseaux" de ce site.

[Patrick St P. Bosguerard]

Re,

 

Je vais soumettre le disque à la boutique qui me l'a vendu (ici, chez moi, à Rouen).

 

Ils sont assez compétents, et font du dépannage varié, dont nettoyage après infestation.

Je ne pense pas qu'ils vont trouver un intrus, car vous n'avez rien vu et car depuis mon grand nettoyage,

toutes les alertes et manifestations intentionnelles ont disparu :

il n'y a plus aucun message, aucune casse visible, aucun blocage (j'ai accès à tout),

aucun processus louche (sauf IEPLORER.EXE qui tourne sans fenêtre de navigateur).

 

Il ne reste que des anomalies mineures et marginales.

 

Mais je vais leur soumettre quand même, sait-on jamais.

Je donnerai demain les dernières nouvelles, suite à leur inspection.

[Patrick St P. Bosguerard]

Evolution importante,

 

La situation a beaucoup évolué, dont une aggravation des symptômes, puis,

l'environnement devenant trop dangereux pour y faire le moindre travail,

une indisponibilité totale du PC (je me suis alors rabattu sur mon laptop).

 

Débordé par les problèmes et ne trouvant aucune solution, je n'ai pu continuer ce post.

Finalement, j'en suis sorti, et je peux reprendre le post … pour le clôturer.

 

Je résume donc la chronologie , en 3 étapes et donc, 3 messages (1 par jour, dont le 1er, ci-dessous),

comme si je les avais publiés en direct.

 

En fait, chaque

é

tape, fut longue car demandant foule de manipulation

s

, longue

s

, de

s

urcro

î

t :

 

• 
  
   
  
  
• re
  s
  tauration
  s
  Gho
  s
  t
  ,
  
  
• arr
  ê
  t
  s
  machine (pour changer/ajouter/
  ô
  ter un di
  s
  que),
  
  
• boot
  s
  s
  ur live-cd
  Gho
  s
  t
  ou
  Partition Wizard
  ,
  
  
• manipulation
  s
  de partition
  s
  dan
  s
  Partition Wizard
  :
  
  
  de
  s
  truction, redimen
  s
  ionnement, copie de partition tr
  è
  s
  -tr
  è
  s
  -tr
  è
  s
  lon
  …
  on
  …
  ongue, formatage
  
  
• r
  é
  p
  é
  tition
  s
  nombreu
  s
  e
  s
  de manip
  s
  , due
  s
  à
  mon incompr
  é
  hen
  s
  ion et aux incoh
  é
  rence
  s
  à
  priori impo
  s
  s
  ible
  s
  , m'impo
  s
  ant un comportement type "
  S
  aint Thoma
  s
  ".
  
  

Chaque op

é

ration impo

s

ant plu

s

ieur

s

boot : avec 1 di

s

que, avec 2 di

s

que

s

, avec 3 di

s

que

s

,

afin de r

é

u

s

s

ir le

s

bonne

s

affectation

s

de lettre

s

-unit

é

s

aux partition

s

s

ou

s

Window

s

.

Inutile donc, de répondre aux 2 premiers messages (puisqu'ils ne sont plus d'actualité).

 

Rappel sur ma config.

 

J'ai 3 disques fixes, extractibles (5 partitions, chacun), et des images Ghost à diverses étapes de l'installation du PC.

 

Le disque 1 est celui opérationnel.

Le disque 2 est la sauvegarde du 1, en faisant :

• des sauvegardes de dossiers par Synchronizer,
  
• des images Ghost de partitions,
  
• des copies directes de partitions par Partition Wizard.

Le disque 3 sert aux tests tous azimuths.

 

________________________________________________________________________

 

VOICI LE 1er DES 3 MESSAGES.

________________________________________________________________________

 

1ERE ETAPE : être sûr de la bonne santé ou de la contamination.

 

Pendant cette étape, sans être persuadé de l'infection, je continue les tests,

entre des séquences de travail, sur le même PC (restaurations Ghost, permutation de disque …).

 

D'abord en "dilettante", car, même si les symptômes de départ n'ont pas disparu, ils ont peu d'impact.

 

Comme prévu, j'amène d'abord le Pc à mon vendeur.

Le vendeur confirme les précédentes constatations : le Pc n'est pas infecté !

 

Puis, le lendemain, un nouveau symptôme apparaît :

messages de Windows à propos des scripts à autoriser ou interdire dans Internet Explorer.

 

Nota :

je rappelle qu'un proce

s

s

u

s

s

auvage tourne tout

s

eul (

s

an

s

fen

ê

tre) : IEXPLORE.EXE ;

s

i on l'arr

ê

te par le ge

s

tionnaire de t

â

che

s

, il r

é

appara

î

t rapidement.

Puis la situation s'aggrave :

 

• La connexion Adsl ralentit d'heure en heure.
   
  Le 1er jour, j'avais remarqué un ralentissement, pas assez manifeste, pour penser à une anomalie.
  Le lendemain, je vois le sablier du téléchargement (ce qui n'arrive jamais) : le débit est alors 1 Kbits/s !!!!!
  (il devient impossible de travailler).
   
  
• Certains sites de sécurité sont inaccessibles : parce que mon débit est trop faible ou par ciblage intentionnel ?

Conclusion : Il devient évident qu'un intrus contrôle le PC.

 

Je décide d'entreprendre une action exhaustive, pour assainir la situation (2è et 3è étape).

 

 

A demain ...

Modifié le 5 décembre 2011 par Patrick St P. Bosguerard