W32.Xpaj : un autre bootkit

Vu chez BitDefender et Symantec :

Le malware Xpaj est un virus au sens littéral du terme qui infectait (?) les executables qui a des fonctionnalités de Trojan-Clicker (génère des revenus via des clics sur les publicités).
Ce dernier est apparu courant 2009 et redevenu actif depuis Octobre 2011.

La dernière variante est de type Bootkit (Rootkit qui s’attache au MBR), il semblerait que cette variante n’infecte plus les executables, du moins pour ce que j’ai pu voir.
D’après Symantec ce dernier est actif en64 bits.

GMER affiche ceci :

aswmbr détecte le bootkit :

ainsi que TDSSKiller :

Ce dernier semble flinguer les AV (KillAV), ci-dessous Antivir est planté
J’ai aussi tenté d’installer Avast! mais non fonctionnel.

Les POSTS effectués par le malware :

TCP_MISS/302 893 POST http://nortiniolosto.com/tdhcp8nz?VhXKAPKeCJj=vvNBTdenqxBvLi – DIRECT/208.91.198.30 text/html
TCP_MISS/302 1013 POST http://nortiniolosto.com/xMAEhi7np?micqMVYUgogmxXGqO=wAMVTMOrPiMygl&wltxRpwBjKTXdspne=BCaCDRWvlhWuFmXP&WIABOqYdOXSDOd – DIRECT/208.91.198.30 text/html
TCP_MISS/302 947 POST http://nortiniolosto.com/6gpwx8?xnCrJqToxfmYjpP=yQXYIqNpswqqAiECb&erQQfcYQxyloiFlxg – DIRECT/208.91.198.30 text/html
TCP_MISS/302 973 POST http://nortiniolosto.com/Yn3Wpp?RhocuVoKtWecJuRb=lDDkPUYbkvhUSWfXM&jXPjVcFYQOTQQdnC=shSiXFeGPlJI – DIRECT/208.91.198.30 text/html
TCP_MISS/302 927 POST http://nortiniolosto.com/YGfHdu4rd?ITjrLEfbOFvYb=hKTBpfqsiboml&gAQecknhmQGul – DIRECT/208.91.198.30 text/html
TCP_MISS/200 314 POST http://zjdgrkry.com/bjHBs37ub?KDDMKeoHBh=LcTrNjqgYMVHSNAj&vMJSTVOukvQWleIcH – DIRECT/50.62.12.103 text/html

Le dropper est disponible ici si vous voulez jouer avec : http://www3.malekal.com/malwares/index.php?hash=d5c12fcfeebbe63f74026601c

Quelques mots sur les bootkits

Un petit mot sur les bootkits, ce sont de très vieilles infections mais qui sont revenus en force en 2007 avec le Trojan.Banker Sinowal/Mebroot.
Par la suite la version TDL 4 de TDSS est apparu courant 2010 : http://forum.malekal.com/rootkit-tdss-tdl-trojan-alureon-t29496.html
Par la suite un autre Trojan.Banker s’est attaqué au MBR, à savoir Carberp : http://www.malekal.com/2011/06/26/trojan-carberp-stealer-et-rootkit/

Ce billet du blog NOD32 rappelle les évolutions dans le temps : http://blog.eset.com/2012/01/03/bootkit-threat-evolution-in-2011-2


Non mentionné ici mais en février 2012, le premier ransomware/Trojan.Winlock en version MBR : http://www.malekal.com/2012/02/22/ransomware-ukash-bootkitlock2-gen32-votre-ordinateur-ne-peut-pas-etre-allume/

Ransomware MBR

Symantec identifie des variantes MBR.Locker  dès Novembre  2011 : http://www.symantec.com/security_response/writeup.jsp?docid=2010-120103-1

Un billet du blog de Symantec qui retrace aussi l’évolution et la sophistication de ces malwares avec une liste plus complète (Trojan.Smitnyl, Trojan.Fispboot, Trojan.Alworo, and Trojan.Cidox).
On voit une explosion de ce type de malware en 2011 : http://www.symantec.com/connect/blogs/are-mbr-infections-back-fashion

La dernière évolution étant d’utiliser NTFS loader au lieu du MBR, c’est le cas du Trojan.Cidox : http://www.securelist.com/en/blog/517/Cybercriminals_switch_from_MBR_to_NTFS

Le gros avantage est de permettre un chargement du code malicieux très tôt et donc avoir la main sur le système très tôt.
Cela permet aussi d’avoir une longueur d’avance sur les antivirus qui en général ont du mal à les détecter avec des scans classiques et encore plus pour la désinfection. Notamment par exemple, Malwarebyte Anti-Malware ne scanne pas le MBR et quand bien même la dernière version d’un antivirus le détecte, encore faut-il l’avoir, ce qui n’set pas le cas des payants.
Il faut faire appel à des programmes annexes comme ceux donnés ci-dessus.
Cela permet aussi d’infecter les systèmes 64 bits assez bas, ces derniers empéchants de charger des drivers non signés (voir http://www.malekal.com/2011/09/07/rootkit-et-patchguard-sur-windows-64-bits/) et donc des rootkits plus classiques.

Une réinstallation de Windows qui formate permet d’éradiquer le malware via un fdisk  ou bootsec : Reecriture MBR sur Windows Vista/Seven