Infection de 3 de mes serveurs

[ipl_001]

Bonsoir à tous,

 

Je me suis régalé quelques heures aujourd'hui, à dénouer l'organisation de RBot et je voudrais vous en parler !

 

Je veux vous en parler parce qu'en fait, j'ai eu à travailler dans de mauvaises conditions :

- pas moyen d'appliquer la méthode Zeb'Sécurité ! Pas question de redémarrer en mode sans échec et de tranquillement scanner avec Antivir, etc.

- RBot est un de ses malwares qui tisse sa toile et met en place un système bien protégé comme on va le voir

- les 3 serveurs en question sont ceux d'une filiale rachetée de fraîche date

- pas d'antivirus installé !!!

- ces serveurs sont utilisés de tous les points du monde et il est hors de question de les arrêter sauf catastrophe... du reste, avant de les arrêter ou de faire quoi que ce soit d'important, il me faut réunir (par Internet) tous les experts du groupe pour obtenir l'aval... ce qui est maintenant fait pour l'installation de Norton AV Corporate !

 

Dans les jours à venir, çà va chauffer et je vais bousculer les mauvaises habitudes d'aussi mal protéger un système aussi important !

 

Bref, je vais voir si je peux reproduire ci-dessous, le compte rendu fait dans une de nos bases techniques !

 

 

 

Tout d'abord, j'ai été content de constater que c'est Sophos, AV installé sur mon serveur de sauvegarde, qui m'a signalé ces 3 malwares grace à BrightStor, mon logiciel de sauvegarde... Le système d'exploitation du serveur infecté a refusé à BrightStor, la sauvegarde d'un fichier et Sophos a analysé et détecté l'infection puis m'a envoyé un e-mail !

 

Le système d'infection de mon RBot comprenait :

- 5 processus dont un difficile à stopper et capable de remettre l'infection en place de manière dynamique

- un fichier infectieux difficile à supprimer

- 9 implantations de l'infection dans la base de registres dont 6 sont remises en place lors dynamiquement après suppression.

[megataupe]

Bonsoir IPL . Je pense que tu devais être tout excité de pouvoir "flinguer" un cafard sur les serveurs de ta propre boite.

 

Ca doit changer du log HJT de Monsieur lambda .

[ipl_001]

Rebonsoir à tous,

 

Ci-dessous, un document technique de ma boîte.

Travail effectué dans la matinée même si le Compte-Rendu en a été fait plus tard !

Je n'ai rien changé à ce CR et je suis désolé pour les codes -nom des serveurs- peu compréhensibles pour vous !

Infection FRSWPAR082 malware W32/Rbot-Fam

--------------------------------------------------------------------------------------------------

Sweep@frswpar061

31/08/2005 21:38

A

[email protected]

 

Objet

Sweep ALERTE VIRUS de frswpar061

 

Virus :  'W32/Rbot-Fam' détecté(s) dans \\FRSWPAR082\C$\WINNT\system32\wssock.exe

  L'accès au fichier infecté est refusé

--------------------------------------------------------------------------------------------------

01/09/2005 10:42:13

 

Scan Sophos manuel à partir de FRSWPAR061 avec destruction du fichier

 

Sweep@frswpar061

01/09/2005 10:42

A

[email protected]

 

Objet

Sweep Rapport :ALERTE VIRUS de frswpar061

 

Sophos Anti-Virus notifie de l'ordinateur frswpar061

Immédiat tâche terminée - voir l'en-tête du mail pour l'heure et la date.

1 Virus, 0 Erreurs rencontrées.

 

Copie du ficher de rapport C:\Program Files\Sophos SWEEP for NT\REPORTS\Administrator.REP suit :

Sophos Anti-Virus

Version 3.96.0, Moteur 2.30.12, Données virales 3.96

Inclut la détection de 108397 virus, chevaux de Troie et vers

Copyright © 1989-2005 Sophos Plc, www.sophos.com

 

Info :  Tâche Immédiat démarrée par Administrator à 10:38 le jeudi 1 septembre 2005

 

Eléments à vérifier :

  \\FRSWPAR082\system32\*.* et tous les sous-répertoires

 

Scanning options :

  Mode Total ,

  incluant dynamiquement les fichiers compressés,

  exclusion des fichiers hors-ligne

Virus :  'W32/Rbot-Fam' détecté(s) dans \\FRSWPAR082\SYSTEM32\wssock.exe

  Erreur de purge d'un fichier

 

Info :  Tâche Immédiat terminée à 10:42 le jeudi 1 septembre 2005

  2976 éléments vérifié(s), 1 virus détecté(s), 27 erreurs

--------------------------------------------------------------------------------------------------

01/09/2005 16:31:01

Sophos n'est pas parvenu à éradiquer le malware malgré les options de destruction (erreur de purge d'un fichier).

 

- Fichier infecté C:\WinNT\System32\wssock.exe 48 Ko 30/08/2005

--- impossible de le supprimer (pris par un autre utilisateur)

--- changement de nom de wssock.exe en wssock-old.txt

 

- Processus wssock.exe

--- au nombre de 5

--- 4 supprimés par "Fin processus"

--- 5ème impossible à supprimer

--- copie de kill.exe dans le dossier System32

--- kill PID -> OK (c'est mort pour le 5ème)

 

- retour sur la suppression du fichier sur disque sans passer par la corbeille

--- Okay

 

- Base de registres : suppression des clés :

--- HKCU\Software\Microsoft\Windows\Current Version\Policies\Explorer\Run

(valeur *Wssock = wssock.exe)

--- HKCU\Software\Microsoft\Windows\Current Version\Run (même valeur même donnée)

--- HKLM\Software\Microsoft\Windows\Current Version\Policies\Explorer\Run (même valeur même donnée)

--- HKLM\Software\Microsoft\Windows\Current Version\Run (même valeur même donnée)

--- HKLM\Software\Microsoft\Windows\Current Version\RunServices (même valeur même donnée)

--- HKU\.DEFAULT\Microsoft\Windows\Current Version\Policies\Explorer\Run (même valeur même donnée)

--- HKU\.DEFAULT\Microsoft\Windows\Current Version\RunServices (même valeur même donnée)

 

Okay

[ipl_001]

Bonsoir megataupe,

Bonsoir IPL . Je pense que tu devais être tout excité de pouvoir "flinguer" un cafard sur les serveurs de ta propre boite.

 

Ca doit changer du log HJT de Monsieur lambda

563623[/snapback]

Il est rare qu'il y ait des malwares sur les serveurs bien que -je l'ai souvent rapporté ici- les protections ne sont pas ce qu'elles devraient être !

 

Ce qui m'a bien plu a été de désinfecter tout çà à la main sans les outils dont on parle ici et sans rebooter le serveur !

 

---

 

En cas de problème, j'aurais obtenu l'arrêt du serveur et l'autorisation d'utilisation des outils qui me plaisaient... je me demande si je n'aurais pas du faire plus de bruit... maintenant que tout est nettoyé, on va revenir dans la routine insécuritaire et j'aurai plus de mal à convaincre qu'on pourrait avoir une catastrophe !

 

- pas d'antivirus (mais autorisation obtenue pour NAV Corporate)

- W2K Server pas à jour de ses mises à jour critiques

[ipl_001]

Rebonsoir à tous,

 

Quelques enseignements tirés de mon régal du jour :

 

- BrightStor a signalé l'infection, à sa manière... en ne sauvegardant pas le fichier infecté avec l'aide de l'OS et de Sophos

 

J'ai eu quelques difficultés :

- pour supprimer le fichier infecté : je l'ai renommé dans un premier temps.

- pour supprimer le 5ème processus wssock.exe. 4 ont été facilement supprimés et ne sont pas revenus mais le 5ème que j'ai mis du temps à supprimer a été capable de remettre en place 7 des clés de BdR que j'avais supprimées (mais comme j'avais pu modifier le nom du fichier, il n'y aurait pas eu réinfection en cas de reboot)

Pour supprimer ce 5ème processus, je n'ai pas employé ProcExp mais Kill.exe qui est fourni dans le Development ToolKit. J'ai mis du temps à le récupérer car je travaillais depuis mon poste de travail -sans descendre auprès du serveur' à partir d'un Domaine réseau différent

La suppression du processus se fait immédiatement et efficacement par

Start / Run / Kill numéro-de-PID (vu dans le gestionnaire des taches)

Ce Kill.exe est en téléchargement sur mon site Web (depuis longtemps)

- il fallait bien sûr, faire les choses dans l'ordre.

Dans un premier temps, j'ai :

--- tenté de supprimer le fichier infecté (pour seulement de renommer)

--- tenté d'arrêter les 5 processus (1 que j'ai laissé)

--- supprimé les 9 clés de BdR (en recherchant manuellement "wssock")

Je n'ai rien rebooté.

Il y a eu remise en place de 7 des 9 clés de BdR (les HKCU ne sont pas revenues) par le processus subsistant en mémoire.

Je me suis procuré Kill.exe et j'ai recommencé dans le bon ordre :

--- suppression du processus wssock.exe

--- suppression du fichier

--- suppression des 7 clés de BdR.

 

 

 

---édition

Une chose que j'ai faite mais oublié dans mon CR : je me suis aidé de la date d'entrée de ce fichier dans le système pour tenter de trouver d'autres fichiers à suprimer car accompagnant le ficheir infectieux détecté.

Si le système de RBot a été démonté et éliminé (j'espère et je le saurai demain... tiens, je pourrais, de chez moi, aller voir ce serveur et en particulier le scan vers 21 h), je n'ai pas encore mis le doigt sur la faille qui a permis au malware d'entrer. Cà ne devrait pas être trop difficile vu les anomalies que je connais déjà (Windows Update non effectués, pas d'antivirus).

Cà va chauffer !