Sujet Précédent Sujet Suivant

Infection GOOTKIT "étrange"

Fermé
spiderjn Messages postés 13 Date d'inscription samedi 14 février 2015 Statut Membre Dernière intervention 19 février 2015 - Modifié par spiderjn le 14/02/2015 à 09:13
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 30 avril 2015 à 09:31
Bonjour,

Je m'adresse à vous car j'ai du mal à comprendre le comportement et la diffusion d'un cheval de Troyes, nous avons eu du mal à l'identifier et à essayer de le stopper, mais j'ai pleins de question. Voici donc l'historique de mon "affaire" :

- vendredi dernier, nous avons constaté une augmentation anormale de la charge consommée sur nos serveurs virtuels. Un processus SvcHost.exe était à 100% de CPU, en se connectant sur les serveurs nous avions des messages demandant la validation d'ajout de certificats, nous avons pensé à un problème de déploiement d'une mise a jour par wsus.
- après un redémarrage complet, les serveurs se sont calmés.
- en même temps nous avons commencé à recevoir des messages d'utilisateur qui avaient perdu leur configuration Chrome et qui avaient des message d'erreur au lancement de certains programme. mais au second lancement cela passait.
je précise que nous avons MacAfe de déployé et qu'il n'a rien détecté.
- en cherchant nous avons trouvé des traces avec RogueKiller d'une infection à base d'un "fileless Gootckit", mais il peine à nettoyer certaine machine, dans la base registre "HKLU/default/Software/cxsw"
Je dis "à base" car je ne trouve pas d'explication cohérente à cette contamination ni a sa propagation.

Comment puis je analyser cette situation et m'en protéger si un pc portable en est la cause ?

Merci de votre aide.

16 réponses

Réponse 1 / 16
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
14 févr. 2015 à 11:46
Salut,

Mouais, pas certains que ce soit un problème de malware.

Pour voir :


Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.

0
Réponse 2 / 16
spiderjn Messages postés 13 Date d'inscription samedi 14 février 2015 Statut Membre Dernière intervention 19 février 2015
14 févr. 2015 à 11:56
j'ai joué l'outil sur un serveur virtuel 2008 infecté

voici le fichier TDDSKilleir :
https://pjjoint.malekal.com/files.php?id=20150214_z10e7s7i6f9
et le rapport RogueKiller :
https://pjjoint.malekal.com/files.php?id=20150214_m5p10u11m15l9

Merci
0
Réponse 3 / 16
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
14 févr. 2015 à 12:05
Il n'y a rien de malicieux sur le rappor RogueKiller.
0
Réponse 4 / 16
spiderjn Messages postés 13 Date d'inscription samedi 14 février 2015 Statut Membre Dernière intervention 19 février 2015
14 févr. 2015 à 12:16
Pourtant il m'affiche ce genre d'erreur lors du lancement:
[Tr.Gootkit] svchost.exe(3264) -- C:\Windows\SysWOW64\svchost.exe[x] -> [NoKill]
[Proc.Svchost] svchost.exe(3264) -- C:\Windows\SysWOW64\svchost.exe[7] -> Tué(e) [TermProc]

et il s'installe ce genre de truc dans la base de registre :

https://pjjoint.malekal.com/files.php?id=20150214_z10m15s13c7w10

qu'en penses tu ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 16
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
14 févr. 2015 à 12:25
Ca par contre, c'est malicieux.
C'est la même infection que sur ce sujet : https://forum.malekal.com/viewtopic.php?t=50097&start=

On peut tenter de la virer avec FRST mais je pense que ça va revenir.



Suis ce tutorial : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.



0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
14 févr. 2015 à 12:26
Ca ressemble à Trojan.Wonton http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~Wonton-KX/
0
spiderjn Messages postés 13 Date d'inscription samedi 14 février 2015 Statut Membre Dernière intervention 19 février 2015 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
14 févr. 2015 à 14:18
ca ressemble à plusieurs choses mais pas complètement et surtout je m'explique pas sa resistance.
0
Réponse 6 / 16
spiderjn Messages postés 13 Date d'inscription samedi 14 février 2015 Statut Membre Dernière intervention 19 février 2015
14 févr. 2015 à 14:11
la suite FRS :
addition.txt
https://pjjoint.malekal.com/files.php?id=20150214_o8l15l8l11l5
FRST.txt
https://pjjoint.malekal.com/files.php?id=FRST_20150214_w12s15j13w10m11
Shortcut.txt
https://pjjoint.malekal.com/files.php?id=20150214_f14n6f7o14m7

voila
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
Modifié par Malekal_morte- le 14/02/2015 à 14:19
C'est bien la même chose :
HKU\S-1-5-19\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
HKU\S-1-5-20\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
HKU\S-1-5-21-1343024091-1677128483-725345543-500\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
HKU\S-1-5-21-1343024091-1677128483-725345543-6772\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
HKU\S-1-5-18\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).

Ca charge le contenu de la clef : RegRead('HKCU\\Software\\ xsw\\loader'

Ce serait déjà bien de bloquer mshta.exe sur le serveur et via une GPO.
0
Réponse 7 / 16
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
14 févr. 2015 à 14:18
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

HKU\S-1-5-19\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
HKU\S-1-5-20\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
HKU\S-1-5-21-1343024091-1677128483-725345543-500\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
HKU\S-1-5-21-1343024091-1677128483-725345543-6772\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
HKU\S-1-5-18\...\Run: [rundll32] => mshta about:title </title>scriptmoveTo(-300,-300);resizeTo(0,0);</script><hta:application showintaskbar=no>scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\\Software\\ xsw\\loader')) (the data entry has 11 more characters).
C:\Users\adm\AppData\Local\Temp\2\dllnt_dump.dll
C:\Users\adm\AppData\Local\Temp\2\dynwrapx.dll
C:\Users\adm\AppData\Local\Temp\2\mshta.exe


Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur
0
Réponse 8 / 16
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
14 févr. 2015 à 14:43
C'est normal que vous n'aillez pas d'antivirus sur vos serveurs ?
0
spiderjn Messages postés 13 Date d'inscription samedi 14 février 2015 Statut Membre Dernière intervention 19 février 2015
14 févr. 2015 à 15:28
non ce n'est pas normal sur celui-là mais c'est une machine de test qui a été infectée sans avoir d'utilisateur de connecté, d'où ma curiosité pour essayer de comprendre comment il s'est propagé.
0
spiderjn Messages postés 13 Date d'inscription samedi 14 février 2015 Statut Membre Dernière intervention 19 février 2015
14 févr. 2015 à 15:38
j'ai exactement la même avec un antivirus à jour. je vais poster les FRS
0
Réponse 9 / 16
spiderjn Messages postés 13 Date d'inscription samedi 14 février 2015 Statut Membre Dernière intervention 19 février 2015
14 févr. 2015 à 14:52
ok procédure suivie sur un serveur. fix ok voici le log
https://pjjoint.malekal.com/files.php?id=20150214_r11d15g15z10b8

Reboot : et j'ai l'impression que c'est revenu
Nouveau FRST :

Addition.txt
https://pjjoint.malekal.com/files.php?id=20150214_n10w7c14z11q14
FRST.txt
https://pjjoint.malekal.com/files.php?id=FRST_20150214_y7r6y137d8
Shortcut.txt
https://pjjoint.malekal.com/files.php?id=20150214_v6w11h15s15n13

RogueKiller m'indique un filtre kernel
https://pjjoint.malekal.com/files.php?id=20150214_s10t13v13q58

Grave docteur ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
14 févr. 2015 à 14:57
Faudrait supprimer ces clefs :
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-21-1343024091-1677128483-725345543-6772\Software\ xsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-18\Software\ xsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-21-1343024091-1677128483-725345543-6772\Software\cxsw -> Trouvé(e)

Bloque bien mshta via des GPO.
0
spiderjn Messages postés 13 Date d'inscription samedi 14 février 2015 Statut Membre Dernière intervention 19 février 2015
14 févr. 2015 à 15:23
c'est bien le problème ca revient tout le temps et ca s'est multiplié sans que l'on trouve la facon
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
14 févr. 2015 à 16:04
Si ça revient, c'est que vous avez plusieurs machines sur le réseau infecté et ça doit se propager des vulnérabiltés distantes car les machines ne sont pas à jour.
Faut isoler les machines, mettre à jour et désinfecter pour chaque machine.
0
spiderjn Messages postés 13 Date d'inscription samedi 14 février 2015 Statut Membre Dernière intervention 19 février 2015
14 févr. 2015 à 18:05
C'est bien possible, mais j'ai eu des machines infectées alors que l'antivirus était actif et à jour, ce qui me gène aussi c'est que ensuite McAfee et les autres mécanismes en ligne ne détectait rien. C'est assez étonnant de ne pas trouver plus d'information sur cette infection surtout de ne pas comprendre son mode d'infection (la source) et sa propagation.
0
Réponse 10 / 16
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
14 févr. 2015 à 18:12
oui je comprends bien, je n'ai pas plus d'infos, je pense qu'il faudrait :
- bloquer mshta.exe sur les GPO, le lancement de l'application reposer sur ce programme, s'il ne peut se lancer, les infections ne pourront plus se lancer.
- isoler les machines, mettre à jour et désinfecter pour chaque machine.
Voir si la machine ne se réinfecte pas, alors c'est probablement une vulnérabilité à distance.

aussi :
C:\Users\adm\AppData\Local\Temp\2\dllnt_dump.dll
C:\Users\adm\AppData\Local\Temp\2\dynwrapx.dll
C:\Users\adm\AppData\Local\Temp\2\mshta.exe

Soumets les deux DLL sur https://www.virustotal.com/gui/ et vois les détections. Tu peux installer un antivirus qui les détectent, ça peut vous aider.
Eventuellement, fais moi parvenir les DLL, je peux les envoyer aux antivirus pour faire accélérer les choses.

Le malware étant actif sur le serveur, il peut aussi voler les mots de passe administrateur du réseau pour faire ce qu'il veut de manière automatiquent dont sauter d'une machine à l'autre.

0
spiderjn Messages postés 13 Date d'inscription samedi 14 février 2015 Statut Membre Dernière intervention 19 février 2015
15 févr. 2015 à 19:27
merci pour ces echanges.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
15 févr. 2015 à 21:07
De rien, en espérant que tu puisses nettoyer ton réseau =)
0
Réponse 11 / 16
Peliz71
19 févr. 2015 à 09:21
Bonjour,

Je voulais savoir si vous aviez avancé sur votre problème de virus. Nous avons également le même problème.
Ce que nous avons constaté :
Une machine infectée puis nettoyée (base de registre + fichier) RogueKiller + Sophos + Rkill +... . On la déconnecte du réseau. On crée un nouvel utilisateur local. On reboot la machine. Le virus est de retour.
Nous avons 5 serveurs de touchés et 60 PC environ. Soit 1/3 du parc. Aucune idée de comment il est arrivé ni comment il le propage.
Je suis preneur de toutes idées :)

Merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
19 févr. 2015 à 10:27
Le PC est à jour ?

A envisager :
Le malware étant actif sur le serveur, il peut aussi voler les mots de passe administrateur du réseau pour faire ce qu'il veut de manière automatiquent dont sauter d'une machine à l'autre.
0
Peliz71
19 févr. 2015 à 10:43
Oui le PC est à jour.
En ce qui concerne les serveurs, c'est hélas ma crainte. C'est pour cette raison que je fais les tests avec une machine non connectée pour essayer de comprendre comment le virus fonctionne. Je n'arrive pas à trouver le processus qui crée les données dans la base de registre.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
19 févr. 2015 à 10:58
Tu as mis une GPO pour bloquer mshta.exe ?
Ca doit limiter la casse.
0
spiderjn Messages postés 13 Date d'inscription samedi 14 février 2015 Statut Membre Dernière intervention 19 février 2015
19 févr. 2015 à 11:19
Oui nous commençons à cerner la bête, pas encore d'explication sur son arrivée ni sa propagation mais mon RSI a identifié comment il se met en sommeil sur le poste en attendant l'arrivée d'un nouvel utilisateur.
Le cheval de Troie réussi a cacher ses clefs dans le fichier Profilepath\Default User\Ntuser.dat (https://support2.microsoft.com/en-us/help/284193 qui ne se trouve pas chargé dans la ruche default lorsque on lance Regedit.
Pour son arrivée, nous avons trouvé dans des dossiers temporaire un exécutable WSXUPDATE.EXE, qui est détecté par McAfee comme Artemis!0AD8EB34A420.

Le point ouvert reste comment nettoyer sur toutes les machines cette ruche qui n'est pas chargée.

Voici ou nous en sommes.
A+
0
Peliz71
19 févr. 2015 à 11:37
Je n'ai pas fait de GPO car Sophos nous bloque mshta. Ca fait plus d'un mois que l'on travaille avec les gens de Sophos sur le sujet mais personne semble savoir comment les clés sont créées.
0
Réponse 12 / 16
spiderjn
24 févr. 2015 à 18:26
Salut,
De notre coté, un script qui tourne régulièrement afin de corriger les serveurs et détecter les pc portables lorsqu'ils arrivent sur le réseau.

Pas encore d'explication sur la source ni la dangerosité.
A+
0
Réponse 13 / 16
PELIZ71
25 févr. 2015 à 15:59
J'ai nettoyé les serveurs (base de registre : loader xsw, cxsw, binaryimage, ... dans toutes les ruches) ainsi que les fichiers dans temp et windows. J'ai bloqué l'accès au site : http://frostmayfair.org
Pour le moment les serveurs ne m'ont pas remonté d'erreur, de virus. Je vais attendre de voir avant de faire les PC.
Sinon je suis comme SpiderJN. Aucune trace de la manière dont le virus se propage, ni comment il est arrivé.
Les infos sont très limitées sur le Net.
Au niveau de sophos, nous continuons de travailler avec eux mais pas de solution pour le moment. L'antivirus bloque bien le virus mais seulement lorsqu'il a déjà infecté la base de registre.
La première détection s'est faite le 10/01/2015 mais j'ai retrouvé des traces du virus datant de début décembre.
Je vous tiens au courant.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
25 févr. 2015 à 17:48
Vous avez des TSE accessibles depuis internet ?
0
Réponse 14 / 16
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
1 avril 2015 à 12:06
il y a une campagne d'email malicieux qui vise la France et qui installe Gootkit : https://forum.malekal.com/viewtopic.php?t=51266&start=
0
Réponse 15 / 16
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
16 avril 2015 à 17:14
Mutation : https://forums.commentcamarche.net/forum/affich-31842283-gootkit-forte-suspicion-de-domaine-verole#3
0
Réponse 16 / 16
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
30 avril 2015 à 09:31
il est vivement conseillé d'installer le #KB3045645

https://forum.malekal.com/viewtopic.php?t=51266&start=#p397105
0

Discussions similaires

Infection d'une URL.blacklist
marina41 -
Malekal_morte- -

6 réponses
Infection ?
Tomy -
MisteryBean -

10 réponses
Infection ou pas ???
karissia -
helpcenter -

1 réponse
infection ou pas?
jpn1000 -
mcvivien2 -

5 réponses
url:blacklist
jp13013 -
Malekal_morte- -

11 réponses