Supprimer le rootkit : W32/TDSS - Alureon

Décembre 2016

Le rootkit W32/TDSS c'est quoi?

Un rootkit est un "kit" pour devenir "root" (administrateur) d'une machine. C'est un code malicieux vraiment complexe qui se greffe sur une machine, et parfois le noyau même du système d'exploitation. Il est ainsi capable de prendre le contrôle total d'un PC sans laisser de trace. Sa détection est difficile, parfois même impossible tant que le système fonctionne. Autrement dit, c'est une série de programmes qui permettent aux pirates de s'installer sur une machine (déjà infectée ou exploitant une faille de sécurité) et d'empêcher sa détection. Une fois en place, le rootkit est véritablement le maître du système. À ce titre tous les programmes, y compris les antivirus et anti-spywares, doivent passer par lui avant de faire quoi que ce soit. Ils ne peuvent donc se fier à aucune information collectée sur le système. La croissance des rootkit est favorisée par le fait que la majorité des utilisateurs de système d'exploitation Windows travaillent sous les droits d'un administrateur, ce qui facilite grandement l'installation de rootkit dans les ordinateurs.

Ce rootkit est parfois nommé Tidserv, TDSServ, Alureon, TDL3, TDL4,...

Exemples de symptômes : Redirections Google, logiciels de sécurité bloqués, ...

Liste non exhaustive de Rootkit TDSSserv :

C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssservers.da
C:\WINDOWS\system32\drivers\tdssserv.sys
c:\windows\system32\TDSSblat.dat
c:\windows\system32\TDSSqoaa.log

Voici une étude sur le Rootkit TDSS.

Les dernières variantes , reconnaissables avec leur série de lettres kizeuiqjdjqklmhehujdk > (aléatoire) ...

c:\windows\system32\drivers\kbiwkm(aléatoire).sys
c:\windows\system32\kbiwkm(aléatoire).dat
c:\windows\system32\kbiwkm(aléatoire).dll

c:\windows\system32\drivers\UAC(aléatoire).sys
c:\windows\system32\UAC(aléatoire).dll
c:\windows\system32\UAC(aléatoire).dat

c:\windows\system32\drivers\seneka.sys
c:\windows\system32\seneka(aléatoire).dll
c:\windows\system32\seneka(aléatoire).dat

c:\windows\system32\drivers\ESQUL(aléatoire).sys
c:\windows\system32\ESQUL(aléatoire).dll
c:\windows\system32\ESQUL(aléatoire).dat

c:\windows\system32\drivers\geyek(aléatoire).sys
c:\windows\system32\geyek(aléatoire).dll
c:\windows\system32\geyek(aléatoire).dat

C:\windows\system32\drivers\hjgrui(aléatoire).sys
c:\windows\system32\hjgrui(aléatoire).dll
c:\windows\system32\hjgrui(aléatoire).dat

c:\windows\system32\drivers\gxvxc(aléatoire).sys
c:\windowssystem32\gxvxc(aléatoire).dll
c:\windowssystem32\gxvxc(aléatoire).dat

c:\windows\system32\drivers\MSIVX(aléatoire).sys
c:\windows\system32\MSIVX(aléatoire).dll
c:\windows\system32\MSIVX(aléatoire).dat

c:\windows\system32\drivers\SKYNET(aléatoire).sys
c:\windows\system32\SKYNET(aléatoire).dll
c:\windows\system32\SKYNET(aléatoire).dat

c:\windows\system32\drivers\kungsf(aléatoire).sys
c:\windows\system32\kungsf(aléatoire).dll
c:\windows\system32\kungsf(aléatoire).dat

Malheureusement la liste serait trop longue à énumérer ici, mais voilà, une bonne partie de Rootkits les plus répandus à ce jour et les dernières variantes connues...

Plus d'information ici



Préliminaire


1) Désactiver le résident de Spybot.
  • Important : Si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il va gêner la désinfection en empêchant la modification des BHO et la réparation du registre.
    • Démarrez Spybot, cliquez sur "Mode", cochez "Mode avancé"
    • A gauche, cliquez sur "Outils", puis sur "Résident"
    • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :




Note importante :
Une fois la désinfection terminée (et pas avant ), réactivez le " TeaTimer ".
Mais attention : à ce moment là, le "TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre (survenues lors de la désinfection) => il faudra alors les accepter toutes sans exception !

Puis par la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si l'on en connait la provenance.

2) Désactiver l'User Account Control pour les utilisateurs de Windows Vista ou Seven (UAC).
désactiver l'UAC ?
Réactivez-le en fin de désinfection (et pas avant).

Méthodes de détection


L'outil de diagnostic Hijackthis ne détecte pas l'infection TDSS.

Il faut utiliser un outil de diagnostic comme Random's System Information Tool (RSIT), ZHPDiag ou utiliser Gmer.
Gmer n'est pas compatible sous 7 à l'heure actuelle. (Compatibilité des outils).

Avec RSIT :
Téléchargez Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
  • Double-cliquez sur RSIT.exe afin de lancer le programme (Sous Vista et Seven, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur).
  • Cliquez sur Continue à l'écran Disclaimer.
  • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autoriser l'accès dans le pare-feu, si demandé) et vous devrez accepter la licence.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poster le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que vous verrez dans la barre de tâches) sur le forum Virus/Sécurité de CCM


Avec Gmer :

Téléchargez Gmer. (Przemyslaw Gmerek) sur votre bureau.

  • Dézippez-le dans un dossier dédié ou sur votre Bureau.
  • Déconnectez vous d'Internet puis fermez tous les programmes.
  • Double-cliquez sur Gmer.exe (ou clic droit > "Exécuter en tant qu'administrateur" pour Vista).
  • Cliquez sur l'onglet "Rootkit".
  • A droite, cochez seulement Files, Services & Registry.
  • Cliquez maintenant sur "Scan".
  • Lorsque le scan est terminé, cliquez sur "Copy".
  • Ouvrez le Bloc-notes puis cliquez sur le Menu Édition / Coller.
  • Le rapport doit alors apparaitre.
  • Enregistrez le fichier sur votre Bureau et postez le contenu sur le forum forum Virus/Sécurité de CCM


Avec ZHPDiag :
Avec ZHPDiag, l'infection se repère généralement simplement, grâce aux modules 080 et 081 :

---\\ Internet Feature Controls (O81)  
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe  

---\\ Recherche Master Boot Record Infection (MBR)(O80)  
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net  
Run by Holbecq Ludovic at 08/05/2011 13:35:08  

device: opened successfully  
user: MBR read successfully  

Disk trace:  
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x86AB36F0]<<   
1 nt!IofCallDriver[0x804E13B9] -> \Device\Harddisk0\DR0[0x86B83198]  
3 CLASSPNP[0xF7536FD7] -> nt!IofCallDriver[0x804E13B9] -> \Device\00000080[0x86B479E8]  
5 ACPI[0xF748C620] -> nt!IofCallDriver[0x804E13B9] -> [0x86B01940]  
\Driver\atapi[0x86AF7270] -> IRP_MJ_CREATE -> 0x86AB36F0  
error: Read  Un périphérique attaché au système ne fonctionne pas correctement.  
kernel: MBR read successfully  
detected disk devices:  
detected hooks:  
\Driver\atapi DriverStartIo -> 0x86AB353B  
user & kernel MBR OK   
Warning: possible TDL3 rootkit infection !

D'autres outils de diagnostic peuvent être utilisés pour dénicher cette infection.

Méthodes de désinfection


Plusieurs outils prennent en charge cette infection. Il est aussi recommandé de passer au minimum deux outils et de revérifier par un outils de diagnostic si l'infection et toujours présente.
Il est également possible que vous ne puissiez pas télécharger directement les outils chez vous.
Pour ce faire il vous suffit de renommer les outils lors du téléchargement. Si vous ne parvenez pas à le faire, je vous recommande de demander de l'aide sur le forum Virus/Sécurité

Premier outil : TDSSKiller de Kaspersky

  • Téléchargez TDSSKiller sur votre bureau

http://support.kaspersky.com/downloads/utils/tdsskiller.zip
  • Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
  • Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

Cochez les et cliquez sur "Delete/Repair Selected".
  • Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").


Informations complémentaires sur cet outil :
http://support.kaspersky.com/viruses/solutions?qid=208280684

Deuxième outil :Combofix

  • Télécharge ComboFix (de sUBs) sur ton Bureau.
  • Désactive temporairement toute protection résidente (Antivirus, Antispywares...)
  • Double clique sur ComboFix.exe. (Sous Vista et Seven, il faut cliquer droit sur Combofix.exe et choisir "Exécuter en tant qu'administrateur").
  • Accepte la licence en cliquant sur "Oui".
  • Le programme va vous demander si vous souhaitez installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne. Je vous conseille donc très fortement de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !
  • Lorsque l'opération sera terminée, un rapport apparaîtra. Postez ce rapport dans votre prochaine réponse sur le forum.
  • Le rapport se trouve ici : %SystemDrive%ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C: en général)
  • Aide :Comment utiliser ComboFix.

Troisième outil : TDSS Remover

  • Téléchargez TDSS Remover sur votre bureau

http://www.esagelab.com/files/tdss_remover_latest.rar
  • Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans.
  • Lancez le programme en cliquant sur "Remover.exe", l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

Cochez les et cliquez sur "Delete/Repair Selected".
  • Un message ensuite apparait demandant de redémarrer le pc (reboot) pour finir le nettoyage, appuyez sur "YES".

Quatrième outil : Malwarebytes'Anti-Malware

  • Téléchargez MalwareBytes' Anti-Malware (by RubbeR DuckY) sur votre Bureau.
  • Installez le logiciel.
    • S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici.
  • Faites les mises à jour (Clic sur "Mise à jour" puis "Recherche de mises à jour").
  • Lancez MalwareBytes' Anti-Malware, cliquez sur "Exécuter un examen complet" puis "Rechercher" et sélectionnez tous vos disques.
  • Une fois l'analyse terminée, une fenêtre s'ouvre, cliquez sur "Ok".
  • Si MalwareByte's n'a rien détecté, cliquez sur Ok Un rapport va apparaître fermez-le.
  • Si MalwareByte's a détecté des infections, cliquez sur Afficher les résultats ensuite sur Supprimer la sélection.
  • Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, acceptez en cliquant sur "Ok".

Cinquième outil: Norman TDSS Cleaner

  • Téléchargez Norman Tdss Cleaner depuis ce lien:

http://download.norman.no/public/Norman_TDSS_Cleaner.exe
  • Lancez le logiciel qui va effectuer automatiquement la désinfection
  • Redemarrez le pc pour finir la désinfection si cela vous est demandé

ESET


ESETpropose deux logiciels permettant d'éradiquer TDSS

Pour la version TDL 4:

Pour la version TDL3:

Bitdefender


BitDefender propose un outil gratuit de désinfection contre le rootkit TDL4/ TDSS:

FixTDSS de Symanec


Autre méthode


L'infection peut remplacer des fichiers légitimes par des fichiers infectieux, la réparation de Windows peut réparer cela et remettre les fichiers légitimes en place :

http://www.commentcamarche.net/faq/3427-reparer-windows-xp
http://www.commentcamarche.net/faq/16211-vista-reparer-le-demarrage-de-vista

Vérification


Il est conseillé de faire un scan en ligne pour vérifier qu'il ne reste pas des applications infectées.
  • Allez sur le site du scan en ligne Kaspersky (Avec Internet Explorer).
  • En bas à droite, cliquez sur Démarrer Online-scanner.
  • Dans la nouvelle fenêtre qui s'affiche, cliquez sur "J'accepte".
  • Acceptez les Contrôles ActiveX.
  • Choisissez "Poste de travail" pour le scan.
  • Celui-ci terminé, sauvegardez (choisissez "Fichier texte") le rapport sur votre Bureau.


Utilisation du scan en ligne : Aide

Note : Si vous recevez le message "La licence de Kaspersky On-line Scanner est périmée", allez dans Ajout/Suppression de programmes puis désinstallez On-Line Scanner, reconnectez-vous sur le site de Kaspersky pour retenter le scan en ligne.

Si le scan en ligne de kaspersky est indisponible utilisez panda en ligne ou BitDefender :
Panda
BitDefender

Désactivation/Réactivation de la restauration système


Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :

Autres informations:
http://forum.malekal.com/trojan-alureon-trojan-tdss-t21456.html
http://www.drweb.com/...
http://www.sophos.fr/support/knowledgebase/article/55430.html
http://www.malekal.com/TDSS_patch_atapi_tdlcmd.dll.php

Bon surf ;-)

A voir également :

Ce document intitulé «  Supprimer le rootkit : W32/TDSS - Alureon  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.