Gootkit : Forte suspicion de domaine vérolé.
Résolu/Fermé
atlan95
Messages postés
12
Date d'inscription
jeudi 16 avril 2015
Statut
Membre
Dernière intervention
19 mai 2015
-
16 avril 2015 à 11:33
vincsilver Messages postés 36 Date d'inscription lundi 5 décembre 2011 Statut Membre Dernière intervention 22 mai 2015 - 22 mai 2015 à 11:56
vincsilver Messages postés 36 Date d'inscription lundi 5 décembre 2011 Statut Membre Dernière intervention 22 mai 2015 - 22 mai 2015 à 11:56
7 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
16 avril 2015 à 11:36
16 avril 2015 à 11:36
Salut,
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
atlan95
Messages postés
12
Date d'inscription
jeudi 16 avril 2015
Statut
Membre
Dernière intervention
19 mai 2015
16 avril 2015 à 15:20
16 avril 2015 à 15:20
Salut Malekal_morte,
tout d'abord un grand merci pour la réponse. Voici les trois liens générés
comme dans le tuto que tu m'as fournis.
https://pjjoint.malekal.com/files.php?id=FRST_20150416_w6e7l12n10f7
https://pjjoint.malekal.com/files.php?id=20150416_b5j13y10z14q5
https://pjjoint.malekal.com/files.php?id=20150416_g12m12c14s12u5
J'espère que c'est pas trop grave.
Et encore merci pour tout.
tout d'abord un grand merci pour la réponse. Voici les trois liens générés
comme dans le tuto que tu m'as fournis.
https://pjjoint.malekal.com/files.php?id=FRST_20150416_w6e7l12n10f7
https://pjjoint.malekal.com/files.php?id=20150416_b5j13y10z14q5
https://pjjoint.malekal.com/files.php?id=20150416_g12m12c14s12u5
J'espère que c'est pas trop grave.
Et encore merci pour tout.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 16/04/2015 à 17:14
Modifié par Malekal_morte- le 16/04/2015 à 17:14
Ha Windows 2008 Serveur.
mouais mouais, les .sdb - ça me fait penser à ça : https://forum.malekal.com/viewtopic.php?t=51266&start=
mozilla.exe (HKLM\...\{5c50e42a-21fa-4964-b457-bb0dfb3caa57}.sdb) (Version: - )
msimn.exe (HKLM\...\{da7a9291-e161-48da-bfd5-3b23e5eef9f3}.sdb) (Version: - )
msmsgs.exe (HKLM\...\{4c0a5cd2-abb4-4e2c-b9d3-2a1de0739dbf}.sdb) (Version: - )
myie.exe (HKLM\...\{dfc8c995-2fee-434d-9050-9d35d2662b7d}.sdb) (Version: - )
navigator.exe (HKLM\...\{6473a1d3-c6a0-4c21-bdd3-8ed2c8517670}.sdb) (Version: - )
opera.exe (HKLM\...\{6acaad88-e146-4f62-a158-4d6bb3c14b05}.sdb) (Version: - )
mais pas de Gootkit.
Par contre, ça c'est suspicieux :
HKLM-x32\...\RunOnce: [{07FB1BD4-0A40-45FD-95A6-002D11A393CE}] => cmd.exe /C start /D C:\Users\ADMINI~1.DOM\AppData\Local\Temp\2 /B {07FB1BD4-0A40-45FD-95A6-002D11A393CE}.cmd <===== ATTENTION
Apparemment C:\Users\administrateur.DOM-SBS\AppData\Local\Temp\2 est un dossier, tu peux zipper le contenu et l'envoyer sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
mouais mouais, les .sdb - ça me fait penser à ça : https://forum.malekal.com/viewtopic.php?t=51266&start=
mozilla.exe (HKLM\...\{5c50e42a-21fa-4964-b457-bb0dfb3caa57}.sdb) (Version: - )
msimn.exe (HKLM\...\{da7a9291-e161-48da-bfd5-3b23e5eef9f3}.sdb) (Version: - )
msmsgs.exe (HKLM\...\{4c0a5cd2-abb4-4e2c-b9d3-2a1de0739dbf}.sdb) (Version: - )
myie.exe (HKLM\...\{dfc8c995-2fee-434d-9050-9d35d2662b7d}.sdb) (Version: - )
navigator.exe (HKLM\...\{6473a1d3-c6a0-4c21-bdd3-8ed2c8517670}.sdb) (Version: - )
opera.exe (HKLM\...\{6acaad88-e146-4f62-a158-4d6bb3c14b05}.sdb) (Version: - )
mais pas de Gootkit.
Par contre, ça c'est suspicieux :
HKLM-x32\...\RunOnce: [{07FB1BD4-0A40-45FD-95A6-002D11A393CE}] => cmd.exe /C start /D C:\Users\ADMINI~1.DOM\AppData\Local\Temp\2 /B {07FB1BD4-0A40-45FD-95A6-002D11A393CE}.cmd <===== ATTENTION
Apparemment C:\Users\administrateur.DOM-SBS\AppData\Local\Temp\2 est un dossier, tu peux zipper le contenu et l'envoyer sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
16 avril 2015 à 17:10
16 avril 2015 à 17:10
ca semble bien être Gootkit : http://blog.cert.societegenerale.com/2015/04/analyzing-gootkits-persistence-mechanism.html
(Merci Cerbere :p)
(Merci Cerbere :p)
atlan95
Messages postés
12
Date d'inscription
jeudi 16 avril 2015
Statut
Membre
Dernière intervention
19 mai 2015
16 avril 2015 à 20:12
16 avril 2015 à 20:12
Re malekal_morte-
Le fichier zippé fais 330 méga environ. Je peux te l'envoyer si tu veux avec 1fichier ou autre chose.
Un gros merci pour le tuto de nettoyage. J'avais une question bête sinon. Dois je éteindre les autres stations vérolé ou cela n'a aucune incidence?
Le fichier zippé fais 330 méga environ. Je peux te l'envoyer si tu veux avec 1fichier ou autre chose.
Un gros merci pour le tuto de nettoyage. J'avais une question bête sinon. Dois je éteindre les autres stations vérolé ou cela n'a aucune incidence?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
16 avril 2015 à 20:24
16 avril 2015 à 20:24
oula ok,
tu peux le supprimer ?
tu peux le supprimer ?
atlan95
Messages postés
12
Date d'inscription
jeudi 16 avril 2015
Statut
Membre
Dernière intervention
19 mai 2015
16 avril 2015 à 20:31
16 avril 2015 à 20:31
J'ai pu supprimer une grande parti mais y a des fichiers qui sont en cours d'utilisation.
Autre question qui découle de cette infection. Est ce que ca peut avoir une incidence sur le réseau? Je m'explique. Depuis qu'il y a eu cet infection,tout les pc lagues sur internet.
Autre question qui découle de cette infection. Est ce que ca peut avoir une incidence sur le réseau? Je m'explique. Depuis qu'il y a eu cet infection,tout les pc lagues sur internet.
atlan95
Messages postés
12
Date d'inscription
jeudi 16 avril 2015
Statut
Membre
Dernière intervention
19 mai 2015
16 avril 2015 à 20:38
16 avril 2015 à 20:38
Je m attribue les droits ntfs dessus et ce sera bon. Veux tu que je t envois ce qui reste?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
16 avril 2015 à 21:07
16 avril 2015 à 21:07
bha ça peut faire des requêtes.
Mais bon en général, ce malware a tendance à revenir.
Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
Mais bon en général, ce malware a tendance à revenir.
Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
atlan95
Messages postés
12
Date d'inscription
jeudi 16 avril 2015
Statut
Membre
Dernière intervention
19 mai 2015
20 avril 2015 à 09:34
20 avril 2015 à 09:34
Salut malekal_morte-,
Désolé pour le retard de la réponse,eset nod 32 ne s'installant pas et le réseau étant fortement ralenti, veut tout remonter sur du neuf.
En tout cas,gros,gros merci et si tu es paris,t'es le bienvenue pour boire un café ou une orangeade pressée. :)
Désolé pour le retard de la réponse,eset nod 32 ne s'installant pas et le réseau étant fortement ralenti, veut tout remonter sur du neuf.
En tout cas,gros,gros merci et si tu es paris,t'es le bienvenue pour boire un café ou une orangeade pressée. :)
vincsilver
Messages postés
36
Date d'inscription
lundi 5 décembre 2011
Statut
Membre
Dernière intervention
22 mai 2015
21
22 avril 2015 à 16:49
22 avril 2015 à 16:49
Bonjour,
Le Tr.Gootkit est très présent depuis la mi-mars 2015.
Il faut absolument faire attention à ne pas ouvrir les pièces jointes des emails suspicieux !
La méthode de contamination est souvent la même. Un email contenant une ou plusieurs pièces jointes au format Word, PDF, JPEG, etc.. embarque des Macro (code VBA malicieux) qui lorsque le système d'exploitation est à amoindri en sécurité (Désactivation de l'UAC, activation automatique des macro à l'ouverture de Word / Excel ou la désactivation du SafeMode d'Adobe Reader / Foxit Reader, droit d'administrateur local, etc..) facilite l'infection.
Le plus embêtant, c'est qu'à partir du moment ou l'utilisateur qui est infecté à les droits d'administrateur local sur son poste et sur les autres postes du domaine, le GootKit est capable de se propager sur les autres postes.
Jusqu'à maintenant TrendMicro WFB n'y voit que du feu.
Eset commence à le bloquer mais bien souvent il est trop tard.
Je ne sais pas ce qu'il en est pour Symantec, Kapersky, etc..
RogueKiller / ADWCleaner le détecte (voir logs ci-dessous) et le supprime facilement mais il faudrait avoir une analyse en temps réél afin d'être mieux protégé.
Dossier Trouvé : "C:\Users\XXXX\AppData\Local\Google\Chrome\User Data\Default\Extensions\ncffjdbbodifgldkcbhmiiljfcnbgjab"
[Tr.Gootkit] (X64) HKEY_USERS\.DEFAULT\Software\cxsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-21-682003330-152049171-725345543-1645\Software\cxsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-18\Software\cxsw -> Trouvé(e)
Backdoor.Bot, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\S-1-5-19\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\S-1-5-20\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\S-1-5-21-682003330-152049171-725345543-1645\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Une fois le GootKit supprimé, il suffit en général de faire du ménage depuis l'ajout et suppression de programmes.
Bon courage.
Vincent
Le Tr.Gootkit est très présent depuis la mi-mars 2015.
Il faut absolument faire attention à ne pas ouvrir les pièces jointes des emails suspicieux !
La méthode de contamination est souvent la même. Un email contenant une ou plusieurs pièces jointes au format Word, PDF, JPEG, etc.. embarque des Macro (code VBA malicieux) qui lorsque le système d'exploitation est à amoindri en sécurité (Désactivation de l'UAC, activation automatique des macro à l'ouverture de Word / Excel ou la désactivation du SafeMode d'Adobe Reader / Foxit Reader, droit d'administrateur local, etc..) facilite l'infection.
Le plus embêtant, c'est qu'à partir du moment ou l'utilisateur qui est infecté à les droits d'administrateur local sur son poste et sur les autres postes du domaine, le GootKit est capable de se propager sur les autres postes.
Jusqu'à maintenant TrendMicro WFB n'y voit que du feu.
Eset commence à le bloquer mais bien souvent il est trop tard.
Je ne sais pas ce qu'il en est pour Symantec, Kapersky, etc..
RogueKiller / ADWCleaner le détecte (voir logs ci-dessous) et le supprime facilement mais il faudrait avoir une analyse en temps réél afin d'être mieux protégé.
Dossier Trouvé : "C:\Users\XXXX\AppData\Local\Google\Chrome\User Data\Default\Extensions\ncffjdbbodifgldkcbhmiiljfcnbgjab"
[Tr.Gootkit] (X64) HKEY_USERS\.DEFAULT\Software\cxsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-21-682003330-152049171-725345543-1645\Software\cxsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-18\Software\cxsw -> Trouvé(e)
Backdoor.Bot, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\S-1-5-19\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\S-1-5-20\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\S-1-5-21-682003330-152049171-725345543-1645\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Une fois le GootKit supprimé, il suffit en général de faire du ménage depuis l'ajout et suppression de programmes.
Bon courage.
Vincent
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
22 avril 2015 à 19:23
22 avril 2015 à 19:23
=)
Tout ceci a été ajoutée dans la fiche plus haut, il y a quelques temps.
Tout ceci a été ajoutée dans la fiche plus haut, il y a quelques temps.
vincsilver
Messages postés
36
Date d'inscription
lundi 5 décembre 2011
Statut
Membre
Dernière intervention
22 mai 2015
21
>
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 avril 2015 à 14:38
23 avril 2015 à 14:38
Oups je n'avais pas lu entre les lignes ^^
En tout cas il est confirmé que ce Trojan n'est pas qu'un simple Loader.
Gootkit is a piece of banking malware that uses web-injects (just like ZeuS and its derivatives) to capture credentials and OTPs from infected users. It has other nifty features such as TLS interception using a local proxy and fake certificates, keylogging, library hooking, UAC bypass... you name it.
En tout cas il est confirmé que ce Trojan n'est pas qu'un simple Loader.
Gootkit is a piece of banking malware that uses web-injects (just like ZeuS and its derivatives) to capture credentials and OTPs from infected users. It has other nifty features such as TLS interception using a local proxy and fake certificates, keylogging, library hooking, UAC bypass... you name it.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 23/04/2015 à 14:41
Modifié par Malekal_morte- le 23/04/2015 à 14:41
Dans la dernière analyse trend-micro, il semble aussi qu'un module VNC a été ajouté qui permet de prendre la main à distance sur le poste infecté.
Bref du classique stealer pour monétiser, contrôle de la machine, installation d'autres malwares pour aussi mnétiser etc.
Après comme les vers, surtout Conficker, c'est pénible sur un réseau surtout quand ça joue avec le mot de passe admin du domaine.
Bref du classique stealer pour monétiser, contrôle de la machine, installation d'autres malwares pour aussi mnétiser etc.
Après comme les vers, surtout Conficker, c'est pénible sur un réseau surtout quand ça joue avec le mot de passe admin du domaine.
atlan95
Messages postés
12
Date d'inscription
jeudi 16 avril 2015
Statut
Membre
Dernière intervention
19 mai 2015
27 avril 2015 à 11:18
27 avril 2015 à 11:18
Salutation les amis. Merci beaucoup pour le temps passé sur mon problème. Mon chef ne s'inquiète pas trop du souci parce qu'il va remonter tout ses serveurs dans moins d'un mois. Par contre moi je suis super inquiet de savoir quels types de données ont pu être récupéré. Je vais me répéter mais encore un grand,grand merci à malekal pour les infos que tu m'as données et merci à toi aussi vincsilver.
Je réitère mon invitation à boire un café ou une orangeade si vous êtes (ou passez) sur paris.
Je réitère mon invitation à boire un café ou une orangeade si vous êtes (ou passez) sur paris.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
30 avril 2015 à 09:31
30 avril 2015 à 09:31
il est vivement conseillé d'installer le #KB3045645
https://forum.malekal.com/viewtopic.php?t=51266&start=#p397105
https://forum.malekal.com/viewtopic.php?t=51266&start=#p397105
atlan95
Messages postés
12
Date d'inscription
jeudi 16 avril 2015
Statut
Membre
Dernière intervention
19 mai 2015
18 mai 2015 à 17:21
18 mai 2015 à 17:21
Merci bcp malekal. J'ai un pote sur Nantes,j'y descend des fois. :) Tu vas pas échapper à ton orangeade pressée. :)
vincsilver
Messages postés
36
Date d'inscription
lundi 5 décembre 2011
Statut
Membre
Dernière intervention
22 mai 2015
21
>
atlan95
Messages postés
12
Date d'inscription
jeudi 16 avril 2015
Statut
Membre
Dernière intervention
19 mai 2015
22 mai 2015 à 11:56
22 mai 2015 à 11:56
@atlan95 : c'est moi qui est sur Nantes et pas Malekal ^^
