IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Comment se débarrasser du nouveau botnet "pratiquement indestructible" ?


Sujet :

Sécurité

  1. #1
    Rédacteur
    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Comment se débarrasser du nouveau botnet "pratiquement indestructible" ?
    Comment se débarrasser du nouveau botnet "pratiquement indestructible" ?
    Les conseils de Microsoft et de Symantec

    Microsoft met en garde contre Popureb, un nouveau Rootkit sophistiqué, capable d'écraser le MBR (Master Boot Record) et particulièrement difficile, voire impossible à détecter.

    Le centre de protection de Microsoft (Microsoft Malware Portection Center) affirme dans un billet de blog que si le système d'exploitation d'un utilisateur est infecté par le Trojan Win32/Popureb.E, il devra rétablir le MBR, et utiliser ensuite le CD de restauration pour restaurer son système à un état antérieur à l'infection.

    Microsoft fournie sur son site des instructions sur la façon d'utiliser la console de récupération pour les systèmes d'exploitation Windows XP, Vista et Windows 7.

    Pour Symantec, la restauration du système pour résoudre ce problème serait un peu exagérée. L'éditeur des solutions d'antivirus pense que répéraer le MBR à partir d'un disque externe pourra solutionner ce problème.

    Il propose à cet effet un outil "Norton Bootable Discovery Tool" disponible gratuitement, qui crée un disque de démarrage du PC sans accéder au disque dur, et donc sans avoir à charger le MBR infecté.

    Selon des chercheurs en sécurité, Popured serait l'une des menaces les plus avancées jamais découverte.


    Norton Bootable Discovery Tool est téléchargeable sur cette page

    Source : Microsoft Malware Portection Center

  2. #2
    Membre confirmé
    Inscrit en
    Février 2010
    Messages
    230
    Détails du profil
    Informations forums :
    Inscription : Février 2010
    Messages : 230
    Points : 581
    Points
    581
    Par défaut
    impossible à détecter
    C'est pas difficile à voir si le MBR est infecté. Un bon utilitaire de disque permet d'en afficher le contenu hexadécimal.

    A partir de là il suffit de recenser les modification apportées par ce rootkit et de créer un outil pour vérifier si ces dernière s'y trouve non?

    Evidemment ça marche pas si le rootkit est capable de simuler un MBR sain...

  3. #3
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2006
    Messages : 636
    Points : 752
    Points
    752
    Par défaut
    J'en connais déjà des logiciels qui écrivent dans le MBR sans que je ne le demande. Je pense que vous devinerez le nom du premier.
    Quant au deuxième, il s'agit de FlexNet, que je n'ai pas installé et que je ne veux pas.

  4. #4
    Membre confirmé Avatar de Se7h22
    Homme Profil pro
    Développeur Web
    Inscrit en
    Août 2010
    Messages
    155
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Août 2010
    Messages : 155
    Points : 465
    Points
    465
    Par défaut
    Citation Envoyé par ProgVal Voir le message
    J'en connais déjà des logiciels qui écrivent dans le MBR sans que je ne le demande. Je pense que vous devinerez le nom du premier.
    Quant au deuxième, il s'agit de FlexNet, que je n'ai pas installé et que je ne veux pas.
    Histoire d'être claire... Tu parlais bien de Windows ? Car c'est vrai que si tu veux installer Windows après un GNU/Linux, tu as le droit à la réinstallation du grub... Merci MS

    Sinon, pour Popureb, il faut se dire que c'est déjà pas mal qu'il ne fasse que supprimer le MBR. C'est chiant de remettre en place le MBR, mais bon...

  5. #5
    Expert confirmé
    Inscrit en
    Avril 2008
    Messages
    2 573
    Détails du profil
    Informations personnelles :
    Âge : 65

    Informations forums :
    Inscription : Avril 2008
    Messages : 2 573
    Points : 4 444
    Points
    4 444
    Par défaut histoire de mbr c'est quoi ca?
    bonjour
    C'est quoi cette histoire de MBR.
    Le Bios "boot" sur le secteur MBR(lit une adresse "physique" disque fixe) et charge son contenu à une adresse "haute" en memoire "fixe" non utilisee par le systeme (je me rappelle plus quelque chose comme 00FFH,quand je faisais en fac il y a 20 ans un secteur de boot disquette comme exercice )

    Le BIOS en fin de sequence fait un simple "jump" vers cette adresse "haute" et continue l'execution du programme MBR qui contient -helas-egalement une "adresse physique disque" du volume contenant la partition de demarrage(ceci fait que 2 MBR de 2 machines differentes ne sont pas interchangeable).

    Le programme MBR charge le "noyau" ou kernel,(ntdlr.dll) qui continue .... .

    La reparation du MBR peut se faire du moins sur Windows XP à ma connaissance ,en mode console grace à FixMbr ou bootrec.exe /fixmbr
    La reecriture ne concerne que le MBR,pas la partie "adresse physique" volume de partition Fat.
    Une 2eme copie du MBR est stocke sur le secteur MBR en fin de secteur mais
    il faut un utilitaire approprie pour la retrouver(DiskProbe).

    L'ennui du MBR est qu'il est stocke sur un secteur pratiquement à moitie vide et comme il y a de la place secteur ,ce trojan a pu reecrire le MBR .
    Mais la taille pourrait etre modifie ,et attirer l'attention.

    Parce aussi - les "pirates de logiciels" ont constate dans le passe- que certains editeurs de logiciels pour proteger leur produit ecrivait sur le MBR les informations sensibles(cles de logiciels,mot de passe et autres protections....).

    Microsoft considere comme une pratique commerciale deloyale d'ecrire d'ecrire quoi que ce soit sur cette partie,car il est reserve au besoin futur du system.
    Maintenant quel est le but d'un trojan ?Si ce n'est d'espionner les utilisateurs dans un but malveillant.
    Il va de soi comme l'ont remarque -certains camarades du forum- que l'objectif du trojan n'est pas necessairement la machine cible ,mais un objectif situe ailleurs qui depasse l'utilisateur lambda qui ne sert que de "noeud" de reseau.

    En tous cas le noir subsiste sur le "vecteur porteur" ,car un trojan aussi evolue soit -il doit avoir un moyen "autre" pour se propager et se repliquer et c'est la que les editeurs et microsoft sont avares d'information.
    Le talent d'Achille des "trojans et autres betes à virus" se situe toujours dans le logiciel "vecteur propagateur".
    bonne soiree.................

  6. #6
    Membre éclairé
    Avatar de ProgVal
    Homme Profil pro
    Étudiant
    Inscrit en
    Mai 2006
    Messages
    636
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 31
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mai 2006
    Messages : 636
    Points : 752
    Points
    752
    Par défaut
    Citation Envoyé par MABROUKI Voir le message
    C'est quoi cette histoire de MBR.
    Le Bios "boot" sur le secteur MBR(lit une adresse "physique" disque fixe) et charge son contenu à une adresse "haute" en memoire "fixe" non utilisee par le systeme (je me rappelle plus quelque chose comme 00FFH,quand je faisais en fac il y a 20 ans un secteur de boot disquette comme exercice )
    Je ne suis pas documenté sur ce sujet, mais peut-être que Popureb remplace le chargeur de démarrage par un autre, dont le but est de faire des opérations en plus de démarrer le noyau.
    Ça serait particulièrement bien conçu, car, quand Mme Michu constate qu'elle a un virus dans son ordi, elle le formatte, ce qui ne permet pas de détruire Popureb.
    De plus, les ordinateurs utilisant un autre chargeur de démarrage que Windows sont quand même relativement rares.

    Citation Envoyé par MABROUKI Voir le message
    Le BIOS en fin de sequence fait un simple "jump" vers cette adresse "haute" et continue l'execution du programme MBR qui contient -helas-egalement une "adresse physique disque" du volume contenant la partition de demarrage(ceci fait que 2 MBR de 2 machines differentes ne sont pas interchangeable).
    Il existe un chargeur de démarrage qui peut être entièrement contenu dans le MBR : http://gag.sourceforge.net/

    Citation Envoyé par MABROUKI Voir le message
    Parce aussi - les "pirates de logiciels" ont constate dans le passe- que certains editeurs de logiciels pour proteger leur produit ecrivait sur le MBR les informations sensibles(cles de logiciels,mot de passe et autres protections....).
    Pas seulement les pirates. Je me fais insulter par GRUB à chaque fois que je fais une opération parce que FlexNet est installé dans mon MBR.

    Citation Envoyé par MABROUKI Voir le message
    Microsoft considere comme une pratique commerciale deloyale d'ecrire d'ecrire quoi que ce soit sur cette partie,car il est reserve au besoin futur du system.
    Pour une fois, je suis d'accord avec Microsoft sur l'utilisation des ressources du système.

    Citation Envoyé par MABROUKI Voir le message
    Maintenant quel est le but d'un trojan ?Si ce n'est d'espionner les utilisateurs dans un but malveillant.
    Il va de soi comme l'ont remarque -certains camarades du forum- que l'objectif du trojan n'est pas necessairement la machine cible ,mais un objectif situe ailleurs qui depasse l'utilisateur lambda qui ne sert que de "noeud" de reseau.
    En général, le but d'un réseau de robots, c'est de permettre au propriétaires d'en faire ce qu'il veut, non ?

    Citation Envoyé par MABROUKI Voir le message
    Le talent d'Achille des "trojans et autres betes à virus" se situe toujours dans le logiciel "vecteur propagateur".
    C'est "talon d'Achille"
    Mais si mon hypothèse est exacte, les techniques traditionnelles (antivirus classiques et formattage de Windows) ne seraient pas suffisantes pour en venir à bout.

  7. #7
    Membre éclairé
    Profil pro
    Inscrit en
    Mars 2010
    Messages
    549
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2010
    Messages : 549
    Points : 704
    Points
    704
    Par défaut
    après on vient dire que windows s'est aisé......

  8. #8
    Expert confirmé
    Inscrit en
    Avril 2008
    Messages
    2 573
    Détails du profil
    Informations personnelles :
    Âge : 65

    Informations forums :
    Inscription : Avril 2008
    Messages : 2 573
    Points : 4 444
    Points
    4 444
    Par défaut impossibilite d'effacer le MBR contamine
    bonjour ProgVal
    D'apres un blog de un certain Chubg Fu de microsoft bootrec.exe/fixmbr.,devrait en reecrivant le contenu du MBR retablir la situation.
    Est -ce que la 2eme copie en fin de secteur est bien celle utilise par BootRec ,le sieur Chung ne le dit pas.

    Neanmoins il y a une petite contradiction dans son blog car il pretend par ailleurs que le botnet en question empeche le systeme d'ecrire quoi que ce soit car il "deroute la routine de driver d'access en ecriture au disque dur" pour toute tentative qui viserait à:
    - ecrire sur le MBR
    - ecrire par dessus ses fichiers "enfants" car il a des fichiers enfants
    Pour cela il simule "une ecriture" et nous informe que l'ecriture s'est bien passee,ce qui rend les anti-virus inoperants.
    Par ailleurs il demarre avant le chargement du systeme et peut donc modifier les fichiers sytemes (y compris bootrec) et introduire des failles dans windows.

    S'agissant de la reparation du MBR c'est encore plus problematique car dans un autre blog un certain Marc Giuliano explique egalement que le "botnet" prend soin de crypter le MBR existant et de stocker la copie sur le secteur "zero".
    A quelle fin ? Pour se retablir en cas d'ecrasement .La aussi mystere
    bonne soiree......

  9. #9
    Membre averti Avatar de tigzy
    Profil pro
    Inscrit en
    Mars 2010
    Messages
    285
    Détails du profil
    Informations personnelles :
    Âge : 38
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations forums :
    Inscription : Mars 2010
    Messages : 285
    Points : 365
    Points
    365
    Par défaut
    Pour le "C'est quoi cette histoire de MBR"

    Le programme MBR charge le "noyau" ou kernel,(ntdlr.dll) qui continue .... .
    C'est au moment justement de charger le noyau que se fait le truc.
    Le MBR qui été écrasé contient l'adresse mémoire d'un module (qui n'appartient pas au noyau) qui est en fait le driver du rootkit.

    A partir de là, vu que c'est chargé en même temps que le noyau...

    Pour ce qui est des logiciels qui lisent la MBR, ça ne marche pas non plus puisque ce rootkit doit probablement hooker les IRP.


    EDIt:

    Ahhhhh on parle en fait de TDL4 depuis le début?
    ça fait un an qu'il existe ce rootkit, et il est déjà très documenté!


    Mais si mon hypothèse est exacte, les techniques traditionnelles (antivirus classiques et formattage de Windows) ne seraient pas suffisantes pour en venir à bout.
    Non, il faut des utilitaires spéciaux comme:

    * aswMBR
    * TDSSKiller

  10. #10
    Nouveau membre du Club
    Inscrit en
    Juin 2008
    Messages
    36
    Détails du profil
    Informations forums :
    Inscription : Juin 2008
    Messages : 36
    Points : 38
    Points
    38
    Par défaut
    ou la méthode radicale ... changement de HDD .. mais pas la moins onéreuse

  11. #11
    Membre du Club
    Homme Profil pro
    Étudiant
    Inscrit en
    Juillet 2008
    Messages
    28
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juillet 2008
    Messages : 28
    Points : 62
    Points
    62
    Par défaut
    Pour le virer, il faudrait coder un petit programme lancé à partir d'une clé USB bootable qui efface le MBR et les secteurs voisins (il y a de l'espace entre le MBR et le boot sector d'un disque dur) et un driver pour empêcher la modification de ce MBR et dire quel programme essaie de réinfecter la machine. Ensuite on peut virer le driver.

    Ce genre de rootkits presque indétectables n'est pas nouveau mais ici il est infectieux c'est ça sa force ...

Discussions similaires

  1. Réponses: 28
    Dernier message: 11/07/2011, 11h40
  2. Découverte d'un nouveau botnet "pratiquement indestructible"
    Par Idelways dans le forum Actualités
    Réponses: 0
    Dernier message: 30/06/2011, 22h09
  3. Réponses: 4
    Dernier message: 03/11/2006, 17h21

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo