Comment se débarrasser du nouveau botnet "pratiquement indestructible" ?

Hinault Romaric · 01/07/2011, 12h56

Comment se débarrasser du nouveau botnet "pratiquement indestructible" ?
Les conseils de Microsoft et de Symantec

Microsoft met en garde contre Popureb, un nouveau Rootkit sophistiqué, capable d'écraser le MBR (Master Boot Record) et particulièrement difficile, voire impossible à détecter.

Le centre de protection de Microsoft (Microsoft Malware Portection Center) affirme dans un billet de blog que si le système d'exploitation d'un utilisateur est infecté par le Trojan Win32/Popureb.E, il devra rétablir le MBR, et utiliser ensuite le CD de restauration pour restaurer son système à un état antérieur à l'infection.

Microsoft fournie sur son site des instructions sur la façon d'utiliser la console de récupération pour les systèmes d'exploitation Windows XP, Vista et Windows 7.

Pour Symantec, la restauration du système pour résoudre ce problème serait un peu exagérée. L'éditeur des solutions d'antivirus pense que répéraer le MBR à partir d'un disque externe pourra solutionner ce problème.

Il propose à cet effet un outil "Norton Bootable Discovery Tool" disponible gratuitement, qui crée un disque de démarrage du PC sans accéder au disque dur, et donc sans avoir à charger le MBR infecté.

Selon des chercheurs en sécurité, Popured serait l'une des menaces les plus avancées jamais découverte.

Norton Bootable Discovery Tool est téléchargeable sur cette page

Source : Microsoft Malware Portection Center

GCSX_ · 01/07/2011, 13h47

Citation:

impossible à détecter

C'est pas difficile à voir si le MBR est infecté. Un bon utilitaire de disque permet d'en afficher le contenu hexadécimal.

A partir de là il suffit de recenser les modification apportées par ce rootkit et de créer un outil pour vérifier si ces dernière s'y trouve non?

Evidemment ça marche pas si le rootkit est capable de simuler un MBR sain...

ProgVal · 01/07/2011, 14h12

J'en connais déjà des logiciels qui écrivent dans le MBR sans que je ne le demande. Je pense que vous devinerez le nom du premier.
Quant au deuxième, il s'agit de FlexNet, que je n'ai pas installé et que je ne veux pas.

Se7h22 · 01/07/2011, 14h21

Citation:

Envoyé par ProgVal

J'en connais déjà des logiciels qui écrivent dans le MBR sans que je ne le demande. Je pense que vous devinerez le nom du premier.
Quant au deuxième, il s'agit de FlexNet, que je n'ai pas installé et que je ne veux pas.

Histoire d'être claire... Tu parlais bien de Windows ? Car c'est vrai que si tu veux installer Windows après un GNU/Linux, tu as le droit à la réinstallation du grub... Merci MS

Sinon, pour Popureb, il faut se dire que c'est déjà pas mal qu'il ne fasse que supprimer le MBR. C'est chiant de remettre en place le MBR, mais bon...

MABROUKI · 02/07/2011, 03h08

bonjour
C'est quoi cette histoire de MBR.
Le Bios "boot" sur le secteur MBR(lit une adresse "physique" disque fixe) et charge son contenu à une adresse "haute" en memoire "fixe" non utilisee par le systeme (je me rappelle plus quelque chose comme 00FFH,quand je faisais en fac il y a 20 ans un secteur de boot disquette comme exercice )

Le BIOS en fin de sequence fait un simple "jump" vers cette adresse "haute" et continue l'execution du programme MBR qui contient -helas-egalement une "adresse physique disque" du volume contenant la partition de demarrage(ceci fait que 2 MBR de 2 machines differentes ne sont pas interchangeable).

Le programme MBR charge le "noyau" ou kernel,(ntdlr.dll) qui continue .... .

La reparation du MBR peut se faire du moins sur Windows XP à ma connaissance ,en mode console grace à FixMbr ou bootrec.exe /fixmbr
La reecriture ne concerne que le MBR,pas la partie "adresse physique" volume de partition Fat.
Une 2eme copie du MBR est stocke sur le secteur MBR en fin de secteur mais
il faut un utilitaire approprie pour la retrouver(DiskProbe).

L'ennui du MBR est qu'il est stocke sur un secteur pratiquement à moitie vide et comme il y a de la place secteur ,ce trojan a pu reecrire le MBR .
Mais la taille pourrait etre modifie ,et attirer l'attention.

Parce aussi - les "pirates de logiciels" ont constate dans le passe- que certains editeurs de logiciels pour proteger leur produit ecrivait sur le MBR les informations sensibles(cles de logiciels,mot de passe et autres protections....).

Microsoft considere comme une pratique commerciale deloyale d'ecrire d'ecrire quoi que ce soit sur cette partie,car il est reserve au besoin futur du system.
Maintenant quel est le but d'un trojan ?Si ce n'est d'espionner les utilisateurs dans un but malveillant.
Il va de soi comme l'ont remarque -certains camarades du forum- que l'objectif du trojan n'est pas necessairement la machine cible ,mais un objectif situe ailleurs qui depasse l'utilisateur lambda qui ne sert que de "noeud" de reseau.

En tous cas le noir subsiste sur le "vecteur porteur" ,car un trojan aussi evolue soit -il doit avoir un moyen "autre" pour se propager et se repliquer et c'est la que les editeurs et microsoft sont avares d'information.
Le talent d'Achille des "trojans et autres betes à virus" se situe toujours dans le logiciel "vecteur propagateur".
bonne soiree.................

ProgVal · 02/07/2011, 09h59

Citation:

Envoyé par MABROUKI

C'est quoi cette histoire de MBR.
Le Bios "boot" sur le secteur MBR(lit une adresse "physique" disque fixe) et charge son contenu à une adresse "haute" en memoire "fixe" non utilisee par le systeme (je me rappelle plus quelque chose comme 00FFH,quand je faisais en fac il y a 20 ans un secteur de boot disquette comme exercice )

Je ne suis pas documenté sur ce sujet, mais peut-être que Popureb remplace le chargeur de démarrage par un autre, dont le but est de faire des opérations en plus de démarrer le noyau.
Ça serait particulièrement bien conçu, car, quand Mme Michu constate qu'elle a un virus dans son ordi, elle le formatte, ce qui ne permet pas de détruire Popureb.
De plus, les ordinateurs utilisant un autre chargeur de démarrage que Windows sont quand même relativement rares.

Citation:

Envoyé par MABROUKI

Le BIOS en fin de sequence fait un simple "jump" vers cette adresse "haute" et continue l'execution du programme MBR qui contient -helas-egalement une "adresse physique disque" du volume contenant la partition de demarrage(ceci fait que 2 MBR de 2 machines differentes ne sont pas interchangeable).

Il existe un chargeur de démarrage qui peut être entièrement contenu dans le MBR : http://gag.sourceforge.net/

Citation:

Envoyé par MABROUKI

Parce aussi - les "pirates de logiciels" ont constate dans le passe- que certains editeurs de logiciels pour proteger leur produit ecrivait sur le MBR les informations sensibles(cles de logiciels,mot de passe et autres protections....).

Pas seulement les pirates. Je me fais insulter par GRUB à chaque fois que je fais une opération parce que FlexNet est installé dans mon MBR.

Citation:

Envoyé par MABROUKI

Microsoft considere comme une pratique commerciale deloyale d'ecrire d'ecrire quoi que ce soit sur cette partie,car il est reserve au besoin futur du system.

Pour une fois, je suis d'accord avec Microsoft sur l'utilisation des ressources du système.

Citation:

Envoyé par MABROUKI

Maintenant quel est le but d'un trojan ?Si ce n'est d'espionner les utilisateurs dans un but malveillant.
Il va de soi comme l'ont remarque -certains camarades du forum- que l'objectif du trojan n'est pas necessairement la machine cible ,mais un objectif situe ailleurs qui depasse l'utilisateur lambda qui ne sert que de "noeud" de reseau.

En général, le but d'un réseau de robots, c'est de permettre au propriétaires d'en faire ce qu'il veut, non ?

Citation:

Envoyé par MABROUKI

Le talent d'Achille des "trojans et autres betes à virus" se situe toujours dans le logiciel "vecteur propagateur".

C'est "talon d'Achille"

Mais si mon hypothèse est exacte, les techniques traditionnelles (antivirus classiques et formattage de Windows) ne seraient pas suffisantes pour en venir à bout.

lequebecois79 · 03/07/2011, 13h20

après on vient dire que windows s'est aisé......

MABROUKI · 04/07/2011, 06h58

bonjour ProgVal
D'apres un blog de un certain Chubg Fu de microsoft bootrec.exe/fixmbr.,devrait en reecrivant le contenu du MBR retablir la situation.
Est -ce que la 2eme copie en fin de secteur est bien celle utilise par BootRec ,le sieur Chung ne le dit pas.

Neanmoins il y a une petite contradiction dans son blog car il pretend par ailleurs que le botnet en question empeche le systeme d'ecrire quoi que ce soit car il "deroute la routine de driver d'access en ecriture au disque dur" pour toute tentative qui viserait à:
- ecrire sur le MBR
- ecrire par dessus ses fichiers "enfants" car il a des fichiers enfants
Pour cela il simule "une ecriture" et nous informe que l'ecriture s'est bien passee,ce qui rend les anti-virus inoperants.
Par ailleurs il demarre avant le chargement du systeme et peut donc modifier les fichiers sytemes (y compris bootrec) et introduire des failles dans windows.

S'agissant de la reparation du MBR c'est encore plus problematique car dans un autre blog un certain Marc Giuliano explique egalement que le "botnet" prend soin de crypter le MBR existant et de stocker la copie sur le secteur "zero".
A quelle fin ? Pour se retablir en cas d'ecrasement .La aussi mystere
bonne soiree......

tigzy · 04/07/2011, 12h20

Pour le "C'est quoi cette histoire de MBR"

Citation:

Le programme MBR charge le "noyau" ou kernel,(ntdlr.dll) qui continue .... .

C'est au moment justement de charger le noyau que se fait le truc.
Le MBR qui été écrasé contient l'adresse mémoire d'un module (qui n'appartient pas au noyau) qui est en fait le driver du rootkit.

A partir de là, vu que c'est chargé en même temps que le noyau...

Pour ce qui est des logiciels qui lisent la MBR, ça ne marche pas non plus puisque ce rootkit doit probablement hooker les IRP.

EDIt:

Ahhhhh on parle en fait de TDL4 depuis le début?
ça fait un an qu'il existe ce rootkit, et il est déjà très documenté!

Citation:

Mais si mon hypothèse est exacte, les techniques traditionnelles (antivirus classiques et formattage de Windows) ne seraient pas suffisantes pour en venir à bout.

Non, il faut des utilitaires spéciaux comme:

* aswMBR
* TDSSKiller

tMSun · 06/07/2011, 16h11

ou la méthode radicale ... changement de HDD .. mais pas la moins onéreuse

ghuysmans99 · 06/07/2011, 19h03

Pour le virer, il faudrait coder un petit programme lancé à partir d'une clé USB bootable qui efface le MBR et les secteurs voisins (il y a de l'espace entre le MBR et le boot sector d'un disque dur) et un driver pour empêcher la modification de ce MBR et dire quel programme essaie de réinfecter la machine. Ensuite on peut virer le driver.

Ce genre de rootkits presque indétectables n'est pas nouveau mais ici il est infectieux c'est ça sa force ...

01/07/2011, 12h56	#1
Hinault Romaric Chroniqueur Actualités Hinault Romaric Consultant Inscription : janvier 2007 Messages : 2 118 Détails du profil Informations personnelles : Nom : Hinault Romaric Localisation : Cameroun Informations professionnelles : Activité : Consultant Secteur : High Tech - Éditeur de logiciels Informations forums : Inscription : janvier 2007 Messages : 2 118 Points : 31 153 Points : 31 153	Comment se débarrasser du nouveau botnet "pratiquement indestructible" ? Comment se débarrasser du nouveau botnet "pratiquement indestructible" ? Les conseils de Microsoft et de Symantec Microsoft met en garde contre Popureb, un nouveau Rootkit sophistiqué, capable d'écraser le MBR (Master Boot Record) et particulièrement difficile, voire impossible à détecter. Le centre de protection de Microsoft (Microsoft Malware Portection Center) affirme dans un billet de blog que si le système d'exploitation d'un utilisateur est infecté par le Trojan Win32/Popureb.E, il devra rétablir le MBR, et utiliser ensuite le CD de restauration pour restaurer son système à un état antérieur à l'infection. Microsoft fournie sur son site des instructions sur la façon d'utiliser la console de récupération pour les systèmes d'exploitation Windows XP, Vista et Windows 7. Pour Symantec, la restauration du système pour résoudre ce problème serait un peu exagérée. L'éditeur des solutions d'antivirus pense que répéraer le MBR à partir d'un disque externe pourra solutionner ce problème. Il propose à cet effet un outil "Norton Bootable Discovery Tool" disponible gratuitement, qui crée un disque de démarrage du PC sans accéder au disque dur, et donc sans avoir à charger le MBR infecté. Selon des chercheurs en sécurité, Popured serait l'une des menaces les plus avancées jamais découverte. Norton Bootable Discovery Tool est téléchargeable sur cette page Source : Microsoft Malware Portection Center __________________ Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire Mon blog Mes articles En posant correctement votre problème, on trouve la moitié de la solution
	20

01/07/2011, 14h12	#3
ProgVal Membre chevronné Valentin Lorentz Étudiant Inscription : mai 2006 Messages : 624 Détails du profil Informations personnelles : Nom : Valentin Lorentz Âge : 18 Localisation : France, Moselle (Lorraine) Informations professionnelles : Activité : Étudiant Informations forums : Inscription : mai 2006 Messages : 624 Points : 644 Points : 644	J'en connais déjà des logiciels qui écrivent dans le MBR sans que je ne le demande. Je pense que vous devinerez le nom du premier. Quant au deuxième, il s'agit de FlexNet, que je n'ai pas installé et que je ne veux pas. __________________ Troll à temps plein.
	10

02/07/2011, 03h08	#5
MABROUKI Membre Expert mebarek Inscription : avril 2008 Messages : 826 Détails du profil Informations personnelles : Nom : mebarek Âge : 52 Informations forums : Inscription : avril 2008 Messages : 826 Points : 1 194 Points : 1 194	histoire de mbr c'est quoi ca? bonjour C'est quoi cette histoire de MBR. Le Bios "boot" sur le secteur MBR(lit une adresse "physique" disque fixe) et charge son contenu à une adresse "haute" en memoire "fixe" non utilisee par le systeme (je me rappelle plus quelque chose comme 00FFH,quand je faisais en fac il y a 20 ans un secteur de boot disquette comme exercice ) Le BIOS en fin de sequence fait un simple "jump" vers cette adresse "haute" et continue l'execution du programme MBR qui contient -helas-egalement une "adresse physique disque" du volume contenant la partition de demarrage(ceci fait que 2 MBR de 2 machines differentes ne sont pas interchangeable). Le programme MBR charge le "noyau" ou kernel,(ntdlr.dll) qui continue .... . La reparation du MBR peut se faire du moins sur Windows XP à ma connaissance ,en mode console grace à FixMbr ou bootrec.exe /fixmbr La reecriture ne concerne que le MBR,pas la partie "adresse physique" volume de partition Fat. Une 2eme copie du MBR est stocke sur le secteur MBR en fin de secteur mais il faut un utilitaire approprie pour la retrouver(DiskProbe). L'ennui du MBR est qu'il est stocke sur un secteur pratiquement à moitie vide et comme il y a de la place secteur ,ce trojan a pu reecrire le MBR . Mais la taille pourrait etre modifie ,et attirer l'attention. Parce aussi - les "pirates de logiciels" ont constate dans le passe- que certains editeurs de logiciels pour proteger leur produit ecrivait sur le MBR les informations sensibles(cles de logiciels,mot de passe et autres protections....). Microsoft considere comme une pratique commerciale deloyale d'ecrire d'ecrire quoi que ce soit sur cette partie,car il est reserve au besoin futur du system. Maintenant quel est le but d'un trojan ?Si ce n'est d'espionner les utilisateurs dans un but malveillant. Il va de soi comme l'ont remarque -certains camarades du forum- que l'objectif du trojan n'est pas necessairement la machine cible ,mais un objectif situe ailleurs qui depasse l'utilisateur lambda qui ne sert que de "noeud" de reseau. En tous cas le noir subsiste sur le "vecteur porteur" ,car un trojan aussi evolue soit -il doit avoir un moyen "autre" pour se propager et se repliquer et c'est la que les editeurs et microsoft sont avares d'information. Le talent d'Achille des "trojans et autres betes à virus" se situe toujours dans le logiciel "vecteur propagateur". bonne soiree.................
	00

04/07/2011, 06h58	#8
MABROUKI Membre Expert mebarek Inscription : avril 2008 Messages : 826 Détails du profil Informations personnelles : Nom : mebarek Âge : 52 Informations forums : Inscription : avril 2008 Messages : 826 Points : 1 194 Points : 1 194	impossibilite d'effacer le MBR contamine bonjour ProgVal D'apres un blog de un certain Chubg Fu de microsoft bootrec.exe/fixmbr.,devrait en reecrivant le contenu du MBR retablir la situation. Est -ce que la 2eme copie en fin de secteur est bien celle utilise par BootRec ,le sieur Chung ne le dit pas. Neanmoins il y a une petite contradiction dans son blog car il pretend par ailleurs que le botnet en question empeche le systeme d'ecrire quoi que ce soit car il "deroute la routine de driver d'access en ecriture au disque dur" pour toute tentative qui viserait à: - ecrire sur le MBR - ecrire par dessus ses fichiers "enfants" car il a des fichiers enfants Pour cela il simule "une ecriture" et nous informe que l'ecriture s'est bien passee,ce qui rend les anti-virus inoperants. Par ailleurs il demarre avant le chargement du systeme et peut donc modifier les fichiers sytemes (y compris bootrec) et introduire des failles dans windows. S'agissant de la reparation du MBR c'est encore plus problematique car dans un autre blog un certain Marc Giuliano explique egalement que le "botnet" prend soin de crypter le MBR existant et de stocker la copie sur le secteur "zero". A quelle fin ? Pour se retablir en cas d'ecrasement .La aussi mystere bonne soiree......
	00

03/07/2011, 13h20	#7
lequebecois79 Membre expérimenté Inscription : mars 2010 Messages : 531 Détails du profil Informations forums : Inscription : mars 2010 Messages : 531 Points : 534 Points : 534	après on vient dire que windows s'est aisé......
	03

06/07/2011, 16h11	#10
tMSun Nouveau Membre du Club Inscription : juin 2008 Messages : 33 Détails du profil Informations forums : Inscription : juin 2008 Messages : 33 Points : 28 Points : 28	ou la méthode radicale ... changement de HDD .. mais pas la moins onéreuse
	00

06/07/2011, 19h03	#11
ghuysmans99 Candidat au titre de Membre du Club Guillaume Étudiant Inscription : juillet 2008 Messages : 9 Détails du profil Informations personnelles : Nom : Guillaume Localisation : Belgique Informations professionnelles : Activité : Étudiant Informations forums : Inscription : juillet 2008 Messages : 9 Points : 12 Points : 12	Pour le virer, il faudrait coder un petit programme lancé à partir d'une clé USB bootable qui efface le MBR et les secteurs voisins (il y a de l'espace entre le MBR et le boot sector d'un disque dur) et un driver pour empêcher la modification de ce MBR et dire quel programme essaie de réinfecter la machine. Ensuite on peut virer le driver. Ce genre de rootkits presque indétectables n'est pas nouveau mais ici il est infectieux c'est ça sa force ...
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email