Advanced PC Shield 2012 : protection rootkit

hier un nouveau rogue,  Advanced PC Shield 2012, a vu le jour..

Advanced_PC_Shield_2012Ce dernier affiche des alertes et se charge par une clef Run au démarrage avec un nom de fichiers aléatoires :

O4 - HKCU\..\Run: [ec4f3609ff57e5bb.exe] C:\Documents and Settings\Mak\Local Settings\Application Data\ec4f3609ff57e5bb.exe

La détection du dropper d’hier http://www3.malekal.com/malwares/index.php?&hash=562906319036ee1a0355b49d775b9c02 :

Submission date: 2011-09-29 00:01:26 (UTC)
Current status: finished
Result: 4 /43 (9.3%)	VT Community

Compact
Print results  Antivirus	Version	Last Update	Result
AhnLab-V3	2011.09.28.02	2011.09.28	-
AntiVir	7.11.15.64	2011.09.28	-
Antiy-AVL	2.0.3.7	2011.09.28	-
Avast	6.0.1289.0	2011.09.28	-
AVG	10.0.0.1190	2011.09.28	-
BitDefender	7.2	2011.09.29	-
ByteHero	1.0.0.1	2011.09.23	-
CAT-QuickHeal	11.00	2011.09.28	-
ClamAV	0.97.0.0	2011.09.29	-
Commtouch	5.3.2.6	2011.09.28	-
Comodo	10277	2011.09.29	-
DrWeb	5.0.2.03300	2011.09.29	Trojan.FakeAV.10201
Emsisoft	5.1.0.11	2011.09.29	-
eSafe	7.0.17.0	2011.09.27	-
eTrust-Vet	36.1.8587	2011.09.28	-
F-Prot	4.6.2.117	2011.09.28	-
F-Secure	9.0.16440.0	2011.09.29	-
Fortinet	4.3.370.0	2011.09.28	-
GData	22	2011.09.29	-
Ikarus	T3.1.1.107.0	2011.09.28	-
Jiangmin	13.0.900	2011.09.28	-
K7AntiVirus	9.113.5210	2011.09.28	-
Kaspersky	9.0.0.837	2011.09.28	-
McAfee	5.400.0.1158	2011.09.29	-
McAfee-GW-Edition	2010.1D	2011.09.28	-
Microsoft	1.7702	2011.09.28	Trojan:WinNT/Necurs.A
NOD32	6501	2011.09.29	-
Norman	6.07.11	2011.09.28	W32/Kryptik.AJN
nProtect	2011-09-28.02	2011.09.28	-
Panda	10.0.3.5	2011.09.28	Adware/ResDecA
PCTools	8.0.0.5	2011.09.29	-
Prevx	3.0	2011.09.29	-
Rising	23.77.01.04	2011.09.28	-
Sophos	4.69.0	2011.09.29	-
SUPERAntiSpyware	4.40.0.1006	2011.09.29	-
Symantec	20111.2.0.82	2011.09.29	-
TheHacker	6.7.0.1.312	2011.09.28	-
TrendMicro	9.500.0.1008	2011.09.28	-
TrendMicro-HouseCall	9.500.0.1008	2011.09.29	-
VBA32	3.12.16.4	2011.09.28	-
VIPRE	10608	2011.09.28	-
ViRobot	2011.9.28.4693	2011.09.28	-
VirusBuster	14.0.238.0	2011.09.28	-
Additional information
Show all
MD5   : 562906319036ee1a0355b49d775b9c02
SHA1  : c418867558a50220f275eb48bb403f35ce0973c3
SHA256: 7d5ea317f2d1248386b904301bb19bbde44df3e1c3d8d08cd0644fed24362e2a

Jusque là rien d’extraordinaire – la différence avec les autres rogues et que ce dernier installe un rootkit maison (pas un rootkit d’une autre famille, des rogues pouvant installer des rootkits du moment, TDSS ou ZAccess).

Le driver est aléatoire avec une suite de chiffres.

Comme on peux le voir ci-dessus, Process Explorer ne parfois pas à liste l’emplacement du fichier.
Le rootkit protège le fichier (lecture / suppression) ainsi que la clef Run.

En vidéo :

Supprimer Advanced PC Shield 2012

Contrairement aux autres rogues, Advanced PC Shield 2012 ne tue pas les processus des autres programmes. Il est donc possible de lancer n’importe quel autre programme ce qui facilite sa suppression.

Pour le moment, Malwarebyte Anti-Malware ne gère pas l’infection.

Combofix le gère :

  • Désactiver la protection de votre Antivirus
  • Télécharger et lancer Combofix (Tutoriel Combofix)
  • Installer la console de récupération et laissez vous guider

Un rapport est généré avec les éléments supprimés :

Manuellement

Vous pouvez supprimer l’infection manuellement comme ceci :

  • Télécharger GMER (Tutorial GMER)
  • Télécharger HijackThis (Tutorial HijackThis) sur votre bureau.
  • Lancer GMER, ce dernier devrait faire une alerte. Notez le nom du fichier, c’est le rootkit
  • Allez dans l’onglet files et naviguer dans le dossier Windows puis System32 et enfin Driver.
  • Rechercher le fichier du rootkit et cliquez dessus puis Kill à droite : Redémarrez l’ordinateur.
  • Lancer un scan HijackThis et cocher la ligne Run relatif aux rogues – fichier avec nom aléatoire dans Application Data / AppData – exemple  O4 – HKCU\..\Run: [ec4f3609ff57e5bb.exe] C:\Documents and Settings\Mak\Local Settings\Application Data\ec4f3609ff57e5bb.exe
  • Redémarrer l’ordinateur – ce dernier ne devrait plus se lancer.
  • Eventuellement supprimer le fichier en question – exemple :  C:\Documents and Settings\Mak\Local Settings\Application Data\ec4f3609ff57e5bb.exe
(Visité 70 fois, 1 visites ce jour)

Vous pouvez aussi lire...