Discussion :

[Hinault Romaric]

Comment se débarrasser du nouveau botnet "pratiquement indestructible" ?
Les conseils de Microsoft et de Symantec

Microsoft met en garde contre Popureb, un nouveau Rootkit sophistiqué, capable d'écraser le MBR (Master Boot Record) et particulièrement difficile, voire impossible à détecter.

Le centre de protection de Microsoft (Microsoft Malware Portection Center) affirme dans un billet de blog que si le système d'exploitation d'un utilisateur est infecté par le Trojan Win32/Popureb.E, il devra rétablir le MBR, et utiliser ensuite le CD de restauration pour restaurer son système à un état antérieur à l'infection.

Microsoft fournie sur son site des instructions sur la façon d'utiliser la console de récupération pour les systèmes d'exploitation Windows XP, Vista et Windows 7.

Pour Symantec, la restauration du système pour résoudre ce problème serait un peu exagérée. L'éditeur des solutions d'antivirus pense que répéraer le MBR à partir d'un disque externe pourra solutionner ce problème.

Il propose à cet effet un outil "Norton Bootable Discovery Tool" disponible gratuitement, qui crée un disque de démarrage du PC sans accéder au disque dur, et donc sans avoir à charger le MBR infecté.

Selon des chercheurs en sécurité, Popured serait l'une des menaces les plus avancées jamais découverte.


Norton Bootable Discovery Tool est téléchargeable sur cette page

Source : Microsoft Malware Portection Center

[GCSX_]

impossible à détecter

C'est pas difficile à voir si le MBR est infecté. Un bon utilitaire de disque permet d'en afficher le contenu hexadécimal.

A partir de là il suffit de recenser les modification apportées par ce rootkit et de créer un outil pour vérifier si ces dernière s'y trouve non?

Evidemment ça marche pas si le rootkit est capable de simuler un MBR sain...

[ProgVal]

J'en connais déjà des logiciels qui écrivent dans le MBR sans que je ne le demande. Je pense que vous devinerez le nom du premier.
Quant au deuxième, il s'agit de FlexNet, que je n'ai pas installé et que je ne veux pas.

[Se7h22]

J'en connais déjà des logiciels qui écrivent dans le MBR sans que je ne le demande. Je pense que vous devinerez le nom du premier.
Quant au deuxième, il s'agit de FlexNet, que je n'ai pas installé et que je ne veux pas.

Histoire d'être claire... Tu parlais bien de Windows ? Car c'est vrai que si tu veux installer Windows après un GNU/Linux, tu as le droit à la réinstallation du grub... Merci MS

Sinon, pour Popureb, il faut se dire que c'est déjà pas mal qu'il ne fasse que supprimer le MBR. C'est chiant de remettre en place le MBR, mais bon...

[MABROUKI]

bonjour
C'est quoi cette histoire de MBR.
Le Bios "boot" sur le secteur MBR(lit une adresse "physique" disque fixe) et charge son contenu à une adresse "haute" en memoire "fixe" non utilisee par le systeme (je me rappelle plus quelque chose comme 00FFH,quand je faisais en fac il y a 20 ans un secteur de boot disquette comme exercice )

Le BIOS en fin de sequence fait un simple "jump" vers cette adresse "haute" et continue l'execution du programme MBR qui contient -helas-egalement une "adresse physique disque" du volume contenant la partition de demarrage(ceci fait que 2 MBR de 2 machines differentes ne sont pas interchangeable).

Le programme MBR charge le "noyau" ou kernel,(ntdlr.dll) qui continue .... .

La reparation du MBR peut se faire du moins sur Windows XP à ma connaissance ,en mode console grace à FixMbr ou bootrec.exe /fixmbr
La reecriture ne concerne que le MBR,pas la partie "adresse physique" volume de partition Fat.
Une 2eme copie du MBR est stocke sur le secteur MBR en fin de secteur mais
il faut un utilitaire approprie pour la retrouver(DiskProbe).

L'ennui du MBR est qu'il est stocke sur un secteur pratiquement à moitie vide et comme il y a de la place secteur ,ce trojan a pu reecrire le MBR .
Mais la taille pourrait etre modifie ,et attirer l'attention.

Parce aussi - les "pirates de logiciels" ont constate dans le passe- que certains editeurs de logiciels pour proteger leur produit ecrivait sur le MBR les informations sensibles(cles de logiciels,mot de passe et autres protections....).

Microsoft considere comme une pratique commerciale deloyale d'ecrire d'ecrire quoi que ce soit sur cette partie,car il est reserve au besoin futur du system.
Maintenant quel est le but d'un trojan ?Si ce n'est d'espionner les utilisateurs dans un but malveillant.
Il va de soi comme l'ont remarque -certains camarades du forum- que l'objectif du trojan n'est pas necessairement la machine cible ,mais un objectif situe ailleurs qui depasse l'utilisateur lambda qui ne sert que de "noeud" de reseau.

En tous cas le noir subsiste sur le "vecteur porteur" ,car un trojan aussi evolue soit -il doit avoir un moyen "autre" pour se propager et se repliquer et c'est la que les editeurs et microsoft sont avares d'information.
Le talent d'Achille des "trojans et autres betes à virus" se situe toujours dans le logiciel "vecteur propagateur".
bonne soiree.................

[ProgVal]

C'est quoi cette histoire de MBR.
Le Bios "boot" sur le secteur MBR(lit une adresse "physique" disque fixe) et charge son contenu à une adresse "haute" en memoire "fixe" non utilisee par le systeme (je me rappelle plus quelque chose comme 00FFH,quand je faisais en fac il y a 20 ans un secteur de boot disquette comme exercice )

Je ne suis pas documenté sur ce sujet, mais peut-être que Popureb remplace le chargeur de démarrage par un autre, dont le but est de faire des opérations en plus de démarrer le noyau.
Ça serait particulièrement bien conçu, car, quand Mme Michu constate qu'elle a un virus dans son ordi, elle le formatte, ce qui ne permet pas de détruire Popureb.
De plus, les ordinateurs utilisant un autre chargeur de démarrage que Windows sont quand même relativement rares.

Le BIOS en fin de sequence fait un simple "jump" vers cette adresse "haute" et continue l'execution du programme MBR qui contient -helas-egalement une "adresse physique disque" du volume contenant la partition de demarrage(ceci fait que 2 MBR de 2 machines differentes ne sont pas interchangeable).

Il existe un chargeur de démarrage qui peut être entièrement contenu dans le MBR : http://gag.sourceforge.net/

Parce aussi - les "pirates de logiciels" ont constate dans le passe- que certains editeurs de logiciels pour proteger leur produit ecrivait sur le MBR les informations sensibles(cles de logiciels,mot de passe et autres protections....).

Pas seulement les pirates. Je me fais insulter par GRUB à chaque fois que je fais une opération parce que FlexNet est installé dans mon MBR.

Microsoft considere comme une pratique commerciale deloyale d'ecrire d'ecrire quoi que ce soit sur cette partie,car il est reserve au besoin futur du system.

Pour une fois, je suis d'accord avec Microsoft sur l'utilisation des ressources du système.

Maintenant quel est le but d'un trojan ?Si ce n'est d'espionner les utilisateurs dans un but malveillant.
Il va de soi comme l'ont remarque -certains camarades du forum- que l'objectif du trojan n'est pas necessairement la machine cible ,mais un objectif situe ailleurs qui depasse l'utilisateur lambda qui ne sert que de "noeud" de reseau.

En général, le but d'un réseau de robots, c'est de permettre au propriétaires d'en faire ce qu'il veut, non ?

Le talent d'Achille des "trojans et autres betes à virus" se situe toujours dans le logiciel "vecteur propagateur".

C'est "talon d'Achille"
Mais si mon hypothèse est exacte, les techniques traditionnelles (antivirus classiques et formattage de Windows) ne seraient pas suffisantes pour en venir à bout.

[lequebecois79]

après on vient dire que windows s'est aisé......

[MABROUKI]

bonjour ProgVal
D'apres un blog de un certain Chubg Fu de microsoft bootrec.exe/fixmbr.,devrait en reecrivant le contenu du MBR retablir la situation.
Est -ce que la 2eme copie en fin de secteur est bien celle utilise par BootRec ,le sieur Chung ne le dit pas.

Neanmoins il y a une petite contradiction dans son blog car il pretend par ailleurs que le botnet en question empeche le systeme d'ecrire quoi que ce soit car il "deroute la routine de driver d'access en ecriture au disque dur" pour toute tentative qui viserait à:
- ecrire sur le MBR
- ecrire par dessus ses fichiers "enfants" car il a des fichiers enfants
Pour cela il simule "une ecriture" et nous informe que l'ecriture s'est bien passee,ce qui rend les anti-virus inoperants.
Par ailleurs il demarre avant le chargement du systeme et peut donc modifier les fichiers sytemes (y compris bootrec) et introduire des failles dans windows.

S'agissant de la reparation du MBR c'est encore plus problematique car dans un autre blog un certain Marc Giuliano explique egalement que le "botnet" prend soin de crypter le MBR existant et de stocker la copie sur le secteur "zero".
A quelle fin ? Pour se retablir en cas d'ecrasement .La aussi mystere
bonne soiree......

[tigzy]

Pour le "C'est quoi cette histoire de MBR"

Le programme MBR charge le "noyau" ou kernel,(ntdlr.dll) qui continue .... .

C'est au moment justement de charger le noyau que se fait le truc.
Le MBR qui été écrasé contient l'adresse mémoire d'un module (qui n'appartient pas au noyau) qui est en fait le driver du rootkit.

A partir de là, vu que c'est chargé en même temps que le noyau...

Pour ce qui est des logiciels qui lisent la MBR, ça ne marche pas non plus puisque ce rootkit doit probablement hooker les IRP.


EDIt:

Ahhhhh on parle en fait de TDL4 depuis le début?
ça fait un an qu'il existe ce rootkit, et il est déjà très documenté!

Mais si mon hypothèse est exacte, les techniques traditionnelles (antivirus classiques et formattage de Windows) ne seraient pas suffisantes pour en venir à bout.

Non, il faut des utilitaires spéciaux comme:

* aswMBR
* TDSSKiller

[tMSun]

ou la méthode radicale ... changement de HDD .. mais pas la moins onéreuse

[ghuysmans99]

Pour le virer, il faudrait coder un petit programme lancé à partir d'une clé USB bootable qui efface le MBR et les secteurs voisins (il y a de l'espace entre le MBR et le boot sector d'un disque dur) et un driver pour empêcher la modification de ce MBR et dire quel programme essaie de réinfecter la machine. Ensuite on peut virer le driver.

Ce genre de rootkits presque indétectables n'est pas nouveau mais ici il est infectieux c'est ça sa force ...