Possible nouvelle variante Wisthler.Bootkit et Rogue.Agent/Gen–o[DLL]

Un sujet intéressant sur CCM : http://www.commentcamarche.net/forum/affich-20670125-ouverture-intempestive-fenetre
La personne se plaint de popup Google (dont Google Chrome),  gogoel, dream-mariage etc. Les popups semblent être surtout au lancement du PC.

Un passage de TDSSKiller, GMER, Combofix et OTL ne montrent rien à part des DLL dans sytem32 qui reviennent :

O44 – LFC:[MD5.B4DD33BEAD5AF42028102819A2E4634F] – 04/12/2010 – 00:21:38 —A- . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\System32\23213896841.dll [24983]
O44 – LFC:[MD5.B4DD33BEAD5AF42028102819A2E4634F] – 03/12/2010 – 14:07:41 —A- . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\System32\1374168741.dll [24983]
O44 – LFC:[MD5.B4DD33BEAD5AF42028102819A2E4634F] – 02/12/2010 – 17:33:35 —A- . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\System32\16333520341.dll [24983]
O44 – LFC:[MD5.B4DD33BEAD5AF42028102819A2E4634F] – 01/12/2010 – 23:55:24 —A- . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\System32\22552415641.dll [24983]
O44 – LFC:[MD5.B4DD33BEAD5AF42028102819A2E4634F] – 01/12/2010 – 23:47:36 —A- . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\System32\22473625041.dll [24983]
O44 – LFC:[MD5.B4DD33BEAD5AF42028102819A2E4634F] – 01/12/2010 – 22:55:47 —A- . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\System32\21554781241.dll [24983]
O44 – LFC:[MD5.B4DD33BEAD5AF42028102819A2E4634F] – 01/12/2010 – 20:21:17 —A- . (.Pas de propriétaire – Pas de description.) — C:\WINDOWS\System32\1921174641.dll [24983]
Le nom de ces DLL est aléatoire, la taille et le hash est fixe, ce ne sont pas des exécutables. Le scan virustotal ne révèle aucune détection spécial : http://www.virustotal.com/file-scan/report.html?id=c38d5b644fcc0884f485ad324928885b34685837c319e1cad6b44ba70c84c808-1296249411
File name:

14223465641.dll

Submission date:

2011-01-28 21:16:51 (UTC)

Current status:

finished

Result:

1 /43 (2.3%)

VT Community


not reviewed
Safety score: –

AntivirusVersionLast UpdateResult
AhnLab-V32011.01.27.012011.01.27
AntiVir7.11.2.312011.01.28
Antiy-AVL2.0.3.72011.01.28
Avast4.8.1351.02011.01.28
Avast55.0.677.02011.01.28
AVG10.0.0.11902011.01.28
BitDefender7.22011.01.28
CAT-QuickHeal11.002011.01.28
ClamAV0.96.4.02011.01.28
Commtouch5.2.11.52011.01.28
Comodo75272011.01.28
DrWeb5.0.2.033002011.01.28
Emsisoft5.1.0.12011.01.28
eSafe7.0.17.02011.01.27
eTrust-Vet36.1.81242011.01.28
F-Prot4.6.2.1172011.01.28
F-Secure9.0.16160.02011.01.28
Fortinet4.2.254.02011.01.28
GData212011.01.28
IkarusT3.1.1.97.02011.01.28
Jiangmin13.0.9002011.01.28
K7AntiVirus9.78.36752011.01.28
Kaspersky7.0.0.1252011.01.28
McAfee5.400.0.11582011.01.28
McAfee-GW-Edition2010.1C2011.01.28
Microsoft1.65022011.01.28
NOD3258282011.01.28
Norman6.06.122011.01.28
nProtect2011-01-18.012011.01.18
Panda10.0.3.52011.01.28
PCTools7.0.3.52011.01.27
Prevx3.02011.01.28
Rising23.42.04.062011.01.28
Sophos4.61.02011.01.28
SUPERAntiSpyware4.40.0.10062011.01.28Rogue.Agent/Gen–o[DLL]
Symantec20101.3.0.1032011.01.28
TheHacker6.7.0.1.1202011.01.26
TrendMicro9.120.0.10042011.01.28
TrendMicro-HouseCall9.120.0.10042011.01.28
VBA323.12.14.32011.01.26
VIPRE82302011.01.28
ViRobot2011.1.28.42802011.01.28
VirusBuster13.6.170.32011.01.28
Additional information
MD5   : b4dd33bead5af42028102819a2e4634f
SHA1  : c13e61dd26757a5fd76e0c76ebf343f95d26f929
SHA256: c38d5b644fcc0884f485ad324928885b34685837c319e1cad6b44ba70c84c808
Le peu de sujet sur avec ces DLL montrent surtout la précense de Bubnix ;

Un passage de Bootkit Remover donne ceci :

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.comProgram version: 1.2.0.0
OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000’00007e00
ATA_Read(): DeviceIoControl() ERROR 1
Boot sector MD5 is: 580e12b06e588182236319551a05ba37

Size Device Name MBR Status
——————————————–
76 GB \\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>

Le hash retourné est inconnu.
Du coup, on tente un dump du MBR pour le scanner sur VirusTotal – et là chose étonnant le hash retourné est différent et sain : http://www.virustotal.com/file-scan/report.html?id=b2e485050b95efd39319859b1b47f76ca1b11eff60d50e62e802378cce7143ea-1296219248

Au final, on fait un fixmbr à partir de la console de récupération depuis le CD Windows et cela corrige le problème d’ouverture de popups de pub.
Je soupçonne une variante de Whistler Bootkit, au final TDSSKiller ne le détecte pas et surtout GMER / MBR ne montrent rien !
La création des DLL peut être un indicateur de la présence de cette infection !

PrintFriendly and PDFImprimer l'article en PDF

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 6 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *