Le rootkit W32/TDSS c'est quoi?

Un rootkit est un « kit » pour devenir "root" (administrateur) d'une machine. C'est un code malicieux vraiment complexe qui se greffe sur une machine, et parfois le noyau même du système d'exploitation. Il est ainsi capable de prendre le contrôle total d'un PC sans laisser de trace. Sa détection est difficile, parfois même impossible tant que le système fonctionne. Autrement dit, c'est une série de programmes qui permettent aux pirates de s'installer sur une machine ( déjà infectée ou exploitant une faille de sécurité ) et d'empêcher sa détection. Une fois en place, le rootkit est véritablement le maître du système. À ce titre tous les programmes, y compris les antivirus et anti-spywares , doivent passer par lui avant de faire quoi que ce soit. Ils ne peuvent donc se fier à aucune information collectée sur le système. La croissance des rootkit est favorisée par le fait que la majorité des utilisateurs de système d'exploitation Windows travaillent sous les droits d'un administrateur, ce qui facilite grandement l'installation de rootkit dans les ordinateurs.

Exemple : redirections Google...

Liste non exhaustive de Rootkit TDSSserv :

C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssservers.da
C:\WINDOWS\system32\drivers\tdssserv.sys
c:\windows\system32\TDSSblat.dat
c:\windows\system32\TDSSqoaa.log

Voici une étude sur le Rootkit TDSS.

Les dernières variantes , reconnaissable avec leurs série de lettres kizeuiqjdjqklmhehujdk > (aléatoire) ...

c:\windows\system32\drivers\kbiwkm(aléatoire).sys
c:\windows\system32\kbiwkm(aléatoire).dat
c:\windows\system32\kbiwkm(aléatoire).dll

c:\windows\system32\drivers\UAC(aléatoire).sys
c:\windows\system32\UAC(aléatoire).dll
c:\windows\system32\UAC(aléatoire).dat

c:\windows\system32\drivers\seneka.sys
c:\windows\system32\seneka(aléatoire).dll
c:\windows\system32\seneka(aléatoire).dat

c:\windows\system32\drivers\ESQUL(aléatoire).sys
c:\windows\system32\ESQUL(aléatoire).dll
c:\windows\system32\ESQUL(aléatoire).dat

c:\windows\system32\drivers\geyek(aléatoire).sys
c:\windows\system32\geyek(aléatoire).dll
c:\windows\system32\geyek(aléatoire).dat

C:\windows\system32\drivers\hjgrui(aléatoire).sys
c:\windows\system32\hjgrui(aléatoire).dll
c:\windows\system32\hjgrui(aléatoire).dat

c:\windows\system32\drivers\gxvxc(aléatoire).sys
c:\windowssystem32\gxvxc(aléatoire).dll
c:\windowssystem32\gxvxc(aléatoire).dat

c:\windows\system32\drivers\MSIVX(aléatoire).sys
c:\windows\system32\MSIVX(aléatoire).dll
c:\windows\system32\MSIVX(aléatoire).dat

c:\windows\system32\drivers\SKYNET(aléatoire).sys
c:\windows\system32\SKYNET(aléatoire).dll
c:\windows\system32\SKYNET(aléatoire).dat

c:\windows\system32\drivers\kungsf(aléatoire).sys
c:\windows\system32\kungsf(aléatoire).dll
c:\windows\system32\kungsf(aléatoire).dat

Malheureusement la liste serait trop longue à énumérer ici, mais voilà, une bonne partie de Rootkits les plus répandus à ce jour et les dernières variantes connues ...

Plus d'information ici

Préliminaire

Désactiver le résident de Spybot

• Important : si vous avez TeaTimer (le résident de Spybot), désactivez-le sinon il va gêner la désinfection en empêchant la modification des BHO et la réparation du registre.
  • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé
  • A gauche, cliquez sur Outils, puis sur Résident
  • Décochez la case devant Résident "TeaTimer" puis quittez Spybot :

Note importante :
Une fois la désinfection terminée ( et pas avant ), réactivez le " TeaTimer " .
/!\ Mais attention : à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection ) -> il faudra alors les accepter toutes sans exception !

Puis par la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si l'on en connait la provenance .

Méthodes de détection

Sous VISTA : Désactiver l'UAC


L'outil Hijackthis ne détecte pas l'infection TDSS.

Il faut utiliser un outil de diagnostic comme Random's System Information Tool (RSIT) ou utiliser Gmer.

Téléchargez Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

• Double-cliquez sur RSIT.exe afin de lancer le programme (Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur).
• Cliquez sur Continue à l'écran Disclaimer.
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autoriser l'accès dans le pare-feu, si demandé) et vous devrez accepter la licence.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poster le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que vous verrez dans la barre de tâches) sur le forum Virus/Sécurité de CCM

Téléchargez Gmer. (Przemyslaw Gmerek) sur ton bureau.

• Dézippez-le dans un dossier dédié ou sur votre Bureau.
• Déconnectez vous d'Internet puis fermez tous les programmes.
• Double-cliquez sur Gmer.exe.
• Cliquez sur l'onglet Rootkit.
• A droite, cochez seulement Files, Services & Registry.
• Cliquez maintenant sur Scan.
• Lorsque le scan est terminé, cliquez sur Copy.
• Ouvrez le Bloc-notes puis cliquez sur le Menu Édition / Coller.
• Le rapport doit alors apparaître.
• Enregistrez le fichier sur votre Bureau et postez le contenu sur le forum forum Virus/Sécurité de CCM

D'autres outils de diagnostic peuvent être utilisés pour dénicher cette infection...

Méthodes de désinfection

Plusieurs outils prennent en charge cette infection.Il est aussi recommandé de passer au minimum deux outils et de revérifier par un outils de diagnostic si l'infection et toujours présente.
Il est également possible que vous ne puissiez pas télécharger directement les outils chez vous....
Pour ce faire il vous suffit de renommer au téléchargement les outils .Si vous ne parvenez pas a le faire , je vous recommande de demander de l'aide sur le forum Virus/Sécurité

Première outil : Combofix

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• /!\Désactive temporairement toute protection résidente /!\ (Antivirus , Antispywares..)
• Double clique sur ComboFix.exe.(Sous Vista , il faut cliquer droit sur Combofix.exe et choisir Exécuter en tant qu'administrateur).
• Accepte la licence en cliquant sur Oui.
• Le programme va vous demander si vous souhaitez installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne.Je vous conseille donc de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir !
• Lorsque l'opération sera terminée, un rapport apparaîtra. Postez ce rapport dans votre prochaine réponse.
• Le rapport ce trouve ici : %SystemDrive%ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C: en général)
• Aide :Comment utiliser ComboFix.

Deuxième outil : Malwarebytes'Anti-Malware

• Téléchargez MalwareBytes' Anti-Malware (by RubbeR DuckY) sur votre Bureau.
• Installez le logiciel.
  • S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici.
• Faîtes les mises à jour (Clic sur Mises à jour puis Recherche de mises à jour).
• Lancez MalwareBytes' Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous vos disques durs.
• Une fois le scan terminé, une fenêtre s'ouvre, cliquez sur Ok
• Si MalwareByte's n'a rien détecté, cliquez sur Ok Un rapport va apparaître fermez-le.
• Si MalwareByte's à détecté des infections, cliquez sur Afficher les résultats ensuite sur Supprimer la sélection.
• Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, acceptez en cliquant sur Ok.

Vérification

Il est conseillé de faire un scan en ligne pour vérifier qu'il ne reste pas des applications infectées.

• Allez sur le site du scan en ligne Kaspersky (Avec Internet Explorer).
• En bas à droite, cliquez sur Démarrer Online-scanner.
• Dans la nouvelle fenêtre qui s'affiche, cliquez sur J'accepte.
• Acceptez les Contrôles ActiveX.
• Choisissez Poste de travail pour le scan.
• Celui-ci terminé, sauvegardez (Choisissez fichier texte) le rapport sur votre Bureau.

Utilisation du scan en ligne : Aide

Note : Si vous recevez le message La licence de Kaspersky On-line Scanner est périmée, allez dans Ajout/Suppression de programmes puis désinstallez On-Line Scanner, reconnectez-vous sur le site de Kaspersky pour retenter le scan en ligne.

Désactivation/Réactivation de la restauration système

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :

• Pour XP.
• Pour Vista.

Bon surf ;)