Infection Sinowal/ Mebroot/ Rootkit MBR/Bootkit

Septembre 2016


C'est une infection de type Rootkit.

Ce malware dérobe les informations confidentielles, en particulier mots de passe et données bancaires.
Il sera nécessaire de changer les mots de passe suite à la désinfection et de vérifier auprès de votre banque que rien d'anormal ne s'est passé.
  • Note importante pour les machines Dell : une réparation du MBR peut retirer l'accès à l'utilitaire de restauration d'usine, qui permet une restauration à l'état d'origine via une touche du clavier, au démarrage. Il existe quelques méthodes pour y remédier, mais celles-ci sont quelque peu complexes. Si le risque te semble trop important, il est alors déconseillé de laisser l'outil exécuter la commande "mbr -f" ou d'exécuter cette dernière manuellement ; si c'est la cas, tu devras alors restaurer la machine à son état d'origine (ce qui correspond à un formatage), ou bien ne rien faire et conserver un Master Boot Record infecté (non recommandé). (Helper Mark de Zebulon)

Il peut en être de même pour d'autres marques de pc contenant une partition de restauration qui risque de ne plus pouvoir fonctionner après la resauration du MRB, il est donc préférable de sauvegarder ses données et effectuer une restauration d'usine via les DVD de restauration.
  • Note importante: Il faut donc dans tous les cas créer un DVD de réinstallation de son ordinateur en suivant le manuel du constructeur!

Désinfection

Gmer

  • Téléchargez mbr.exe de Gmer sur le Bureau : mbr.exe
  • Désactivez vos protections et coupez la connexion.
  • Sous Windows XP : double-cliquez sur mbr.exe / Sous Windows Vista ou Seven, faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'administrateur"
  • Un rapport sera généré : mbr.log
  • En cas d'infection, le message MBR rootkit code detected va apparaître dans le rapport. Si c'est le cas, cliquez sur le Menu démarrer --> Exécuter, et tapez la commande suivante :
    • Sous XP : "%userprofile%\Bureau\mbr" -f
    • Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
  • Dans le mbr.log cette ligne apparaîtra : original MBR restored successfully !
  • Postez le rapport si cela vous a été demandé par un helpeur dans le Forum Virus / Sécurité.


Relancez mbr.exe pour vérifier que l'infection n'est plus présente et le nouveau rapport ne devrait plus trouver de rootkit.

Exemple de rapport non infecté :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net                      

device: opened successfully                      
user: MBR read successfully                      
kernel: MBR read successfully                      
user & kernel MBR OK 


Sous Vista et Seven, ne pas oublier de lancer mbr.exe par clic droit et "Exécuter en tant qu'administrateur."

antiboot de Kaspersky


Toute la procédure sur le lien suivant:

Combofix


Pour tous les lecteurs :

-- Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
-- Ne pas utiliser en dehors de ce cas de figure :dangereux !
  • Faire un clic droit ici.
  • Choisir : Enregistrer la cible du lien sous
  • Choisir le Bureau comme destination.
  • Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
  • Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inutile et inefficace.
  • Déconnectez-vous d'Internet et fermez toutes les applications et programmes en cours d'exécution.
  • Double-cliquez sur CCM.exe pour lancer le fix (Sous Vista et Seven, il faut cliquer droit sur CCM.exe et choisir "Exécuter en tant qu'administrateur").
  • Acceptez le message d'avertissement et acceptez l'installation de la Console de récupération (Sous XP).
  • Le rapport sera créé sous la racine : C:\Combofix.txt




Exemple d'infection retrouvée par Combofix :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net                      

device: opened successfully                      
user: MBR read successfully                      
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys PCTCore.sys ACPI.sys hal.dll atapi.sys spzt.sys >>UNKNOWN [0x86F80938]<<                      
kernel: MBR read successfully                      
detected MBR rootkit hooks:                      
\Driver\Disk -> CLASSPNP.SYS @ 0xf7749f28                      
\Driver\ACPI -> ACPI.sys @ 0xf7422cb8                      
\Driver\atapi -> atapi.sys @ 0xf739fb40                      
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8                      
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8                      
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8                      
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8                      
NDIS: Broadcom NetLink (TM) Gigabit Ethernet -> SendCompleteHandler -> NDIS.sys @ 0xf72b5bb0                      
PacketIndicateHandler -> NDIS.sys @ 0xf72a4a0d                      
SendHandler -> NDIS.sys @ 0xf72b8b40                      
user & kernel MBR OK


Ou bien:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net                      
device: opened successfully                      
user: MBR read successfully                      
kernel: MBR read successfully                      
MBR rootkit code detected !                      
malicious code @ sector 0x12a14c0 size 0x1ad !                      
copy of MBR has been found in sector 62 !                      
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.



exemple de rapport de désinfection:


(((((((((((((((((((((((((((((((((( Andere Verwijderingen
Autres effacements )))))))))))))))))))))))))))))))))))))))))))))))))
.
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
\\.\PhysicalDrive0 - Bootkit Sinowal was found and disinfected
.
(((((((((((((((((((( Bestanden Gemaakt van 2010-11-18 to 2010-12-18
Fichiers créés entre le 2010-11-18 et le 2010-12-18 ))))))))))))))))))))))))))))))

MBRCheck

  • Téléchargez MBRCheck sur le bureau.
  • Fermez toutes les applications.
  • Lancez MBRCheck (pour les utilisateurs de Vista et Seven Faire un clic droit sur l'exécutable puis choisir Exécuter en tant qu'administrateur pour le lancer.)
  • Si vous avez ceci :

Found non-standard or infected MBR.


Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Tapez la lettre Y puis validez avec la touche [Entrée]
  • Ensuite, vous aurez ceci :


Options:

[1] Dump the MBR of a physical disk to file.

[2] Restore the MBR of a physical disk with a standard boot code.

[3] Exit.

Choisissez l'option 2 (tapez le chiffre) et appuie sur [Entrée]
  • Ensuite, vous verrez ceci :


Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):

Tapez le chiffre 0 puis valide avec [Entrée]
  • Vous aurez maintenant un choix à faire, avec des codes de MBR :


Available MBR codes:

[ 0] Default (Windows XP)

[ 1] Windows XP

[ 2] Windows Server 2003

[ 3] Windows Vista

[ 4] Windows 2008

[ 5] Windows 7

[-1] Cancel

Tapez le chiffre correspondant à votre système d'exploitation puis validez avec [Entrée]
  • Ensuite, vous aurez ceci :


Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue:

tapez YES puis valide avec [Entrée]
  • En principe, vous devriez maintenant voir ceci (ajouté au bout de la ligne) :


Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!
...suivi de "Please reboot your computer to complete the fix."
  • A la suite de ça, redémarrez votre ordinateur
  • Postez le rapport obtenu si vous vous faîtes aider

Logiciel d'Avast


Téléchargez aswMBR.exe sur votre Bureau ici:
http://public.avast.com/~gmerek/aswMBR.exe

Double-cliquez sur aswMBR.exe pour l'exécuter
Double-cliquez sur aswMBR.exe présent sur votre bureau.(Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA / SEVEN)

Cliquez sur le bouton «Scan»

Cliquez sur le bouton "Fix" en cas d'infection

Cliquez sur save log ,Enregistrez le rapport sur le bureau
Postez le rapport dans votre prochaine réponse sur le forum si vous vous faites aider.

ZhpFix

  • Si vous avez utilisé ZhpDiag et que une infection de ce type est retrouvée comme le montre le rapport suivant:


---\\ Recherche d'infection Master Boot Record (O80)
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
Run by Sabrina at 28/06/2010 18:29:00
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8410A328]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x8410a328
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x05D267C0
malicious code @ sector 0x05D267C3 !
PE file found in sector at 0x05D267D9 !

MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
Use "ZHPFix" command "MBRFix" to clear infection !
  • Lancez ZHPFix depuis le raccourci du Bureau (en mode administrateur si Vista/W7) ou depuis ZhpDiag qui contient le raccourci vers ZhpFix dans un icône situé en haut,
  • Cliquez sur le bouton MBRfix situé dans la partie droite de l'écran (encadré en rouge sur l'image),
  • Cliquez sur 'Non' au message qui s'affiche à l'écran,
  • Laissez travailler l'outil,
  • A la fin du traitement, un rapport s'affiche
  • Copiez ce rapport si cela vous l'a été demandé sur le forum
  • Redémarrez le pc pour prendre en compte les modifications et vérifiez avec Zhpdiag que l'infection n'est plus retrouvée.

Console de récupération et fixmbr


Vous devez avoir en votre possession le CD de Windows.
Démarrez sur le CD de Windows.
Démarrez sur la console de récupération comme cela est expliqué ici : http://support.microsoft.com/kb/307654/fr

Une fois sur la console de récupération, saisissez la commande suivante :
fixmbr \device\harddisk0 puis valider par la touche [Entrée] de votre clavier.
si cela ne parche pas tapez fixmbr c:

Tapez exit pour sortir
Retirez le Cd de windows
Redémarrez le PC

MBR Repair

  • Désactivez vos protections
  • Téléchargez : MBR_Repair (par gen-hackman) ici: http://dl.dropbox.com/u/21363431/Mbr_Repair.exe
  • Enregistrez-le sur ton bureau ,
  • Lancez-le , choisissez "Repair"
  • Choisissez votre système d'exploitation : "Windows Vista ou Seven"
  • Votre pc va redémarrer
  • Relancez MBR_Repair puis faites l'option "Verify"
  • MBR_Verify.txt se mettra sur votre bureau, postez le rapport sur le forum si vous vous faîtes aider.

Avira AntiVir Boot Sector Repair Tool


MBR_Repair


MBR_Repair permet de restaurer le MBR sous Vista et Seven 32/64 bits uniquement

c'est en quelque sortes un "Upgrader" de MBR , et qui , le cas echéant permet de le desinsfecter

l'architecture 32/64 est detectée automatiquement

ATTENTION AUX PC DE MARQUE !! LA REPARATION DU MBR PEUT PROVOQUER LA PERTE DE LA PARTITION RECOVERY SI EXISTANTE

NE PAS UTILISER SANS L'AVIS D'UN HELPER CONFIRME!!


téléchargez ici :

http://dl.dropbox.com/u/21363431/Mbr_Repair.exe

enregistrez-le sur ton bureau ,

lancez-le , choisis "Repair"

choisissez "Windows Vista ou windows 7"

votre pc va redémarrer

au retour du bureau, relancez MBR_Repair puis faîtes l'option "Verify"

MBR_Verify.txt se mettra sur votre bureau, postez son contenu pour que la personne qui vous aide puisse en vérifier le contenu.

Hitman pro


Trend Micro RootkitBuster


Autres méthodes


Les logiciels suivants ne sont pas tous mis à jour mais peuvent être efficaces.

1- MacAfee antirootkit
http://www.commentcamarche.net/...

2- Sophos Anti rootkit
Sophos Anti-Rootkit

3- F Secure Black Light Rootkit Eliminator
http://www.f-secure.com/...

4- Avira AntiRootkit
http://www.free-av.com/fr/outils/4/avira_antirootkit_tool.html

5- Vba32 AntiRootkit
http://www.anti-virus.by/en/vba32arkit.shtml

6- G Data Remover
G Data Remover

7- Panda AntiRootkit
Panda Anti-Rootkit

Après nettoyage ou formatage

  • Pour vérifier qu'il ne reste rien,ensuite il est préférable de passer un antivirus en ligne ou vérifier avec votre antivirus que rien n'est détécté.
  • Si après formatage l'infection resiste c'est probablement que vous avez utilisé la restauration présente dans une partition de votre disque et pas le DVD de restauration du PC (à créer à l'achat d'un PC si il n'est pas fourrni.

Sauvegarder son MBR


Informations supplémentaires


http://www.symantec.com/...
http://www.sophos.com/support/disinfection/mbrvir.html
http://www.commentcamarche.net/...
http://teodulle.blogspot.com/2009/04/supprimer-le-virusrootkit-sinowal.html
http://forum.malekal.com/viewtopic.php?f=58&t=10139
http://www.commentcamarche.net/faq/14963-supprimer-les-rootkits

A voir également :

Ce document intitulé «  Infection Sinowal/ Mebroot/ Rootkit MBR/Bootkit  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.