Bootrootkit de eEye, comment faire?

black is beautiful · 19/10/2006, 20h57

Bonjour tout le monde,

Sur plusieurs pc du réseaux (Windows 2000), j'ai des petites têtes bleus au démarrage. Je me suis renseigné et c'est en fait un rootkit qui s'installe dans le MBR du disque...
Ma première question est:
Est-ce que l'on est obligé de formater le disque pour le supprimer?

Certaine machine sont sous windows xp et la tête bleu n'apparait pas, donc pour le reperer j'ai cherché dans la doc de eEye, apparament il réagit avec des paquet sur le réseau qui reponde au critère suivant:
Une signature eBR\xEE à l'offset 55h du paquet.

Il execute le code ensuite à l'offset 59h.
Donc j'ai pensé à reproduire ce paquet et fournir un code qui m'affiche une boite de dialogue sur les machines infectés:

En voulant mettre cette fameuse signature je passe l'offset 59h, est-ce que il y a un caractère à enlever?
Connaissez vous un programme pour ensuite envoyer ce fichier?

Merci d'avance

Jipété · 19/10/2006, 21h24

Citation:

Est-ce que l'on est obligé de formater le disque pour le supprimer?

Non si c'est juste un rootkit de mbr. Cherches l'équivalent de "fdisk /mbr" qui fonctionne bien sous Dos et les 9x. Sous 2K/WP je ne me rappelle plus, désolé.

Pour le reste je ne sais pas.
Mes 2 cts,
--
jp

Aramis · 20/10/2006, 11h04

Citation:

Envoyé par Jipété

Non si c'est juste un rootkit de mbr. Cherches l'équivalent de "fdisk /mbr" qui fonctionne bien sous Dos et les 9x. Sous 2K/WP je ne me rappelle plus, désolé.

Il y a plus simple je pense

. Utiliser SystemRescueCd! a la page de demarrage demander "free_dos" (NB: verifier la syntax). La version de free_dos de SystemRescueCd contient l'utilitaire "fdisk".

Comme Jp, pour le reste je ne sais pas.

Ar@mi$

black is beautiful · 22/10/2006, 09h05

J'essayerais ces solutions, et je vous redirais si ça marche.
En attendant j'ai reussi à reproduire la signature, en fait le eBR, il fallait le convertir en hexa, et le \xEE veut dire que les deux E sont déjà en hexadecimal.
Donc la signature est 65 42 52 EE.Ensuite on tombe juste sur l'offset 69h, donc il n'y a plus de problème.

Par contre il me faudrait maintenant un shellcode qui m'affiche une boite de dialogue pour m'informer de l'infection. Est-ce que quelqu'un pourrait m'aider à ce niveau là?

MErci pour les réponses

Jipété · 22/10/2006, 14h33

Salustre !

Bon, moi ça me dérange pas, mais es-tu sûr d'être dans le bon forum ? Me demande ce qu'une question sur un rootkit de Boot Sector a à faire ici, mis à part le vecteur d'infection ?

Mais, again, ça ne me dérange pas, je pense juste qu'ailleurs tu auras peut-être plus de réponses.

Mes 2 cts
--
jp

PS : si jamais tu déplaçais ta question, merci de dire où, la discute m'intéresse

19/10/2006, 20h57	#1
black is beautiful Membre habitué Inscription : juin 2004 Messages : 553 Détails du profil Informations personnelles : Localisation : France, Paris (Île de France) Informations forums : Inscription : juin 2004 Messages : 553 Points : 144 Points : 144	Bootrootkit de eEye, comment faire? Bonjour tout le monde, Sur plusieurs pc du réseaux (Windows 2000), j'ai des petites têtes bleus au démarrage. Je me suis renseigné et c'est en fait un rootkit qui s'installe dans le MBR du disque... Ma première question est: Est-ce que l'on est obligé de formater le disque pour le supprimer? Certaine machine sont sous windows xp et la tête bleu n'apparait pas, donc pour le reperer j'ai cherché dans la doc de eEye, apparament il réagit avec des paquet sur le réseau qui reponde au critère suivant: Une signature eBR\xEE à l'offset 55h du paquet. Il execute le code ensuite à l'offset 59h. Donc j'ai pensé à reproduire ce paquet et fournir un code qui m'affiche une boite de dialogue sur les machines infectés: En voulant mettre cette fameuse signature je passe l'offset 59h, est-ce que il y a un caractère à enlever? Connaissez vous un programme pour ensuite envoyer ce fichier? Merci d'avance
	00

22/10/2006, 09h05	#4
black is beautiful Membre habitué Inscription : juin 2004 Messages : 553 Détails du profil Informations personnelles : Localisation : France, Paris (Île de France) Informations forums : Inscription : juin 2004 Messages : 553 Points : 144 Points : 144	J'essayerais ces solutions, et je vous redirais si ça marche. En attendant j'ai reussi à reproduire la signature, en fait le eBR, il fallait le convertir en hexa, et le \xEE veut dire que les deux E sont déjà en hexadecimal. Donc la signature est 65 42 52 EE.Ensuite on tombe juste sur l'offset 69h, donc il n'y a plus de problème. Par contre il me faudrait maintenant un shellcode qui m'affiche une boite de dialogue pour m'informer de l'infection. Est-ce que quelqu'un pourrait m'aider à ce niveau là? MErci pour les réponses
	00

22/10/2006, 14h33	#5
Jipété Membre Expert Inscription : juillet 2006 Messages : 1 677 Détails du profil Informations personnelles : Localisation : France, Hérault (Languedoc Roussillon) Informations forums : Inscription : juillet 2006 Messages : 1 677 Points : 1 812 Points : 1 812	Salustre ! Bon, moi ça me dérange pas, mais es-tu sûr d'être dans le bon forum ? Me demande ce qu'une question sur un rootkit de Boot Sector a à faire ici, mis à part le vecteur d'infection ? Mais, again, ça ne me dérange pas, je pense juste qu'ailleurs tu auras peut-être plus de réponses. Mes 2 cts -- jp PS : si jamais tu déplaçais ta question, merci de dire où, la discute m'intéresse
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email