Possible nouvelle variante Wisthler.Bootkit et Rogue.Agent/Gen–o[DLL]

Un sujet intéressant sur CCM : http://www.commentcamarche.net/forum/affich-20670125-ouverture-intempestive-fenetre
La personne se plaint de popup Google (dont Google Chrome),  gogoel, dream-mariage etc. Les popups semblent être surtout au lancement du PC.

Un passage de TDSSKiller, GMER, Combofix et OTL ne montrent rien à part des DLL dans sytem32 qui reviennent :

O44 – LFC:[MD5.B4DD33BEAD5AF42028102819A2E4634F] – 04/12/2010 – 00:21:38 —A- . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\System32\23213896841.dll [24983]
O44 – LFC:[MD5.B4DD33BEAD5AF42028102819A2E4634F] – 03/12/2010 – 14:07:41 —A- . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\System32\1374168741.dll [24983]
O44 – LFC:[MD5.B4DD33BEAD5AF42028102819A2E4634F] – 02/12/2010 – 17:33:35 —A- . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\System32\16333520341.dll [24983]
O44 – LFC:[MD5.B4DD33BEAD5AF42028102819A2E4634F] – 01/12/2010 – 23:55:24 —A- . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\System32\22552415641.dll [24983]
O44 – LFC:[MD5.B4DD33BEAD5AF42028102819A2E4634F] – 01/12/2010 – 23:47:36 —A- . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\System32\22473625041.dll [24983]
O44 – LFC:[MD5.B4DD33BEAD5AF42028102819A2E4634F] – 01/12/2010 – 22:55:47 —A- . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\System32\21554781241.dll [24983]
O44 – LFC:[MD5.B4DD33BEAD5AF42028102819A2E4634F] – 01/12/2010 – 20:21:17 —A- . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\System32\1921174641.dll [24983]
Le nom de ces DLL est aléatoire, la taille et le hash est fixe, ce ne sont pas des exécutables. Le scan virustotal ne révèle aucune détection spécial : http://www.virustotal.com/file-scan/report.html?id=c38d5b644fcc0884f485ad324928885b34685837c319e1cad6b44ba70c84c808-1296249411
File name:

14223465641.dll

Submission date:

2011-01-28 21:16:51 (UTC)

Current status:

finished

Result:

1 /43 (2.3%)

VT Community


not reviewed
Safety score: –

Antivirus Version Last Update Result
AhnLab-V3 2011.01.27.01 2011.01.27
AntiVir 7.11.2.31 2011.01.28
Antiy-AVL 2.0.3.7 2011.01.28
Avast 4.8.1351.0 2011.01.28
Avast5 5.0.677.0 2011.01.28
AVG 10.0.0.1190 2011.01.28
BitDefender 7.2 2011.01.28
CAT-QuickHeal 11.00 2011.01.28
ClamAV 0.96.4.0 2011.01.28
Commtouch 5.2.11.5 2011.01.28
Comodo 7527 2011.01.28
DrWeb 5.0.2.03300 2011.01.28
Emsisoft 5.1.0.1 2011.01.28
eSafe 7.0.17.0 2011.01.27
eTrust-Vet 36.1.8124 2011.01.28
F-Prot 4.6.2.117 2011.01.28
F-Secure 9.0.16160.0 2011.01.28
Fortinet 4.2.254.0 2011.01.28
GData 21 2011.01.28
Ikarus T3.1.1.97.0 2011.01.28
Jiangmin 13.0.900 2011.01.28
K7AntiVirus 9.78.3675 2011.01.28
Kaspersky 7.0.0.125 2011.01.28
McAfee 5.400.0.1158 2011.01.28
McAfee-GW-Edition 2010.1C 2011.01.28
Microsoft 1.6502 2011.01.28
NOD32 5828 2011.01.28
Norman 6.06.12 2011.01.28
nProtect 2011-01-18.01 2011.01.18
Panda 10.0.3.5 2011.01.28
PCTools 7.0.3.5 2011.01.27
Prevx 3.0 2011.01.28
Rising 23.42.04.06 2011.01.28
Sophos 4.61.0 2011.01.28
SUPERAntiSpyware 4.40.0.1006 2011.01.28 Rogue.Agent/Gen–o[DLL]
Symantec 20101.3.0.103 2011.01.28
TheHacker 6.7.0.1.120 2011.01.26
TrendMicro 9.120.0.1004 2011.01.28
TrendMicro-HouseCall 9.120.0.1004 2011.01.28
VBA32 3.12.14.3 2011.01.26
VIPRE 8230 2011.01.28
ViRobot 2011.1.28.4280 2011.01.28
VirusBuster 13.6.170.3 2011.01.28
Additional information
MD5   : b4dd33bead5af42028102819a2e4634f
SHA1  : c13e61dd26757a5fd76e0c76ebf343f95d26f929
SHA256: c38d5b644fcc0884f485ad324928885b34685837c319e1cad6b44ba70c84c808
Le peu de sujet sur avec ces DLL montrent surtout la précense de Bubnix ;

Un passage de Bootkit Remover donne ceci :

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.comProgram version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000’00007e00
ATA_Read(): DeviceIoControl() ERROR 1
Boot sector MD5 is: 580e12b06e588182236319551a05ba37

Size Device Name MBR Status
——————————————–
76 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>

Le hash retourné est inconnu.
Du coup, on tente un dump du MBR pour le scanner sur VirusTotal – et là chose étonnant le hash retourné est différent et sain : http://www.virustotal.com/file-scan/report.html?id=b2e485050b95efd39319859b1b47f76ca1b11eff60d50e62e802378cce7143ea-1296219248

Au final, on fait un fixmbr à partir de la console de récupération depuis le CD Windows et cela corrige le problème d’ouverture de popups de pub.
Je soupçonne une variante de Whistler Bootkit, au final TDSSKiller ne le détecte pas et surtout GMER / MBR ne montrent rien !
La création des DLL peut être un indicateur de la présence de cette infection !

Print Friendly, PDF & Email
(Visité 30 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet