Rootkit.TDSS/Alureon TDL 4 : nouvelle variante

Edition 05/05 :

TDSSkiller mis à jour en version 2.5 traite cette nouvelle variante TDSS/Alureon.

 

Edition 04/05 :

Après publication de l’article, GMER a mis en ligne le 29/04 une nouvelle version du programme GMER (1.0.15.15572) qui détecte cette variante – la détection étant TDL4@MBR :

Exemple de rapport :

GMER 1.0.15.15572 - http://www.gmer.net
Rootkit quick scan 2011-04-29 12:46:40
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
Running: gmer.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kwpdifoc.sys

---- Disk sectors - GMER 1.0.15 ----

Disk  \Device\Harddisk0\DR0  TDL4@MBR code has been found       <-- ROOTKIT !!!
Disk  \Device\Harddisk0\DR0  sector 00: rootkit-like behavior

---- EOF - GMER 1.0.15 ----

~~

Une nouvelle variante du Rootkit.TDSS TDL 4 (Trojan.Alureon) est actuellement en propagation.
Le fonctionne reste le même, la différence est que ce dernier utilise des tricks mémoires qui font que la détection (et donc l’éradication) est difficile.
McAfee en parle sur son blog : http://blogs.mcafee.com/mcafee-labs/memory-forging-attempt-by-a-rootkit

L’antivirus AVG va afficher des alertes de type Agent_r.XJ

Rootkit.TDSS/Alueron TDL 4 : nouvelle varianteLes alertes Avast! :

Rootkit.TDSS/Alueron TDL 4 : nouvelle variante

Rootkit.TDSS/Alueron TDL 4 : nouvelle varianteLe fameux Windows\temp\xxx\setup.exe ou Windows\temp\xxx\svchost.exe détecté en Win32:Agent-AKRS [Drp]
Le point de téléchargement :

1304001893.650    455 192.168.1.98 TCP_CLIENT_REFRESH_MISS/200 8530 GET http://flash-updater.com/i100.jpg – DIRECT/178.17.164.141 image/jpeg

La détection est bonne : http://forum.malekal.com/http-flash-updater-com-i100-jpg-t32754.html

Rootkit.TDSS/Alueron TDL 4 : nouvelle variante

Rootkit.TDSS/Alueron TDL 4 : nouvelle variante

Il en résulte que :

  • TDSSKiller ne voit rien ou plante à 80% du chargement
  • GMER et MBR ne voit rien
  • aswMBR ne détecte pas le MBR infecté, cependant il affiche des lignes rouges
Rootkit.TDSS/Alueron TDL 4 : nouvelle variante 

Exemple de rapport :

aswMBR version 0.9.4 Copyright(c) 2011 AVAST Software
Run date: 2011-04-28 12:34:56
—————————–
12:34:56.618    OS Version: Windows 5.1.2600 Service Pack 2
12:34:56.618    Number of processors: 1 586 0x1A05
12:34:56.618    ComputerName: MAKKK  UserName: Mak
12:34:56.649    Initialize success
12:34:57.868    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
12:34:57.868    Disk 0 Vendor: VMware_Virtual_IDE_Hard_Drive 00000001 Size: 8192MB BusType: 3
12:34:57.868    Device \Driver\atapi -> DriverStartIo 81e9257b
12:34:57.868    Disk 0 MBR read error
12:34:57.868    Disk 0 MBR scan
12:34:57.868    MBR BIOS signature not found 0
12:34:57.868    Disk 0 scanning sectors +16755795
12:34:57.868    Disk 0 scanning C:\WINDOWS\system32\drivers
12:34:58.212    Service scanning
12:34:59.024    Disk 0 trace – called modules:
12:34:59.024    ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x81e92730]<<
12:34:59.024    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x82375ab8]
12:34:59.024    3 CLASSPNP.SYS[f86eb05b] -> nt!IofCallDriver -> [0x81efa928]
12:34:59.024    \Driver\atapi[0x821482c0] -> IRP_MJ_CREATE -> 0x81e92730
12:34:59.353    Scan finished successfully

Actuellement donc, les dumps MBR retournés par aswMBR et mbr de GMER donnent des MBR sains alors qu’ils sont malicieux.
Seul le programme bootkit_remover semble capable de donner de récupérer le dump malicieux ce qui donne :

File name: Dump_MBR
Submission date: 2011-04-28 11:36:28 (UTC)
Current status: finished
Result: 18/ 41 (43.9%)
Print results
Antivirus     Version     Last Update     Result
AhnLab-V3    2011.04.28.01    2011.04.28    –
AntiVir    7.11.7.62    2011.04.28    BOO/TDss.M
Antiy-AVL    2.0.3.7    2011.04.28    –
Avast    4.8.1351.0    2011.04.28    Alureon-G@mbr
Avast5    5.0.677.0    2011.04.28    Alureon-G@mbr
AVG    10.0.0.1190    2011.04.28    Win32/Alureon.MBR
BitDefender    7.2    2011.04.28    Rootkit.MBR.TDSS.B (Boot image)
CAT-QuickHeal    11.00    2011.04.28    Bootkit.TDSS.TDL4
ClamAV    0.97.0.0    2011.04.28    –
Commtouch    5.3.2.6    2011.04.28    –
Comodo    8504    2011.04.28    –
DrWeb    5.0.2.03300    2011.04.28    BackDoor.Tdss.4005
eSafe    7.0.17.0    2011.04.28    –
eTrust-Vet    36.1.8296    2011.04.28    Dos/Alureon
F-Prot    4.6.2.117    2011.04.28    –
F-Secure    9.0.16440.0    2011.04.28    –
Fortinet    4.2.257.0    2011.04.28    BOOT/TDSS.A
GData    22    2011.04.28    Rootkit.MBR.TDSS.B
Ikarus    T3.1.1.103.0    2011.04.28    Rootkit.Win32.TDSS
Jiangmin    13.0.900    2011.04.27    –
K7AntiVirus    9.98.4497    2011.04.27    –
Kaspersky    9.0.0.837    2011.04.28    Rootkit.Win32.TDSS.mbr
McAfee    5.400.0.1158    2011.04.28    TDSS!mbr
McAfee-GW-Edition    2010.1D    2011.04.28    TDSS!mbr
Microsoft    1.6802    2011.04.28    Trojan:DOS/Alureon.A
NOD32    6077    2011.04.28    –
Norman    6.07.07    2011.04.28    TDSSmbr.A
Panda    10.0.3.5    2011.04.27    –
PCTools    7.0.3.5    2011.04.28    –
Prevx    3.0    2011.04.28    –
Rising    23.55.03.05    2011.04.28    –
Sophos    4.64.0    2011.04.28    Troj/TdlMbr-B
SUPERAntiSpyware    4.40.0.1006    2011.04.28    –
Symantec    20101.3.2.89    2011.04.28    –
TheHacker    6.7.0.1.184    2011.04.27    –
TrendMicro    9.200.0.1012    2011.04.28    –
TrendMicro-HouseCall    9.200.0.1012    2011.04.28    –
VBA32    3.12.16.0    2011.04.27    –
VIPRE    9143    2011.04.28    Trojan.Boot.Alureon.Gen (v)
ViRobot    2011.4.28.4435    2011.04.28    –
VirusBuster    13.6.324.0    2011.04.27    –
Additional information
MD5   : e5ebc06d81dc357b946f8cca3e2942c0
SHA1  : 7917a32710134456e61ab2f508a2da4c50d83f8d
SHA256: af719ec79cbcd424e4fb13cf8316854a8019dd7715a3f08fb8cd5160af0fc424

remover  ne parvient pas cependant à restaurer le MBR.

Voici une procédure de notre angélique nationale :

Cette opération est à éviter si le PC est tatoué.

  • Rootkit.TDSS/Alueron TDL 4 : nouvelle varianteRedémarrez l’ordinateur sous Windows.

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 71 times, 1 visits today)

12 thoughts on “Rootkit.TDSS/Alureon TDL 4 : nouvelle variante

  1. Hello

    Le rootkit utilise une sorte de « mode debug », qui fait qu’il peut intercepter les accès en lecture à la MBR, et renvoyer sur une adresse ou la copie saine de la MBR est stockée.
    Le dump (et donc le scan) sont donc faussés.

  2. Merci Malekal pour cette info.

    Sinon, juste une petite erreur : Le fonctionne reste le même => Le Fonctionnement.

    Bonne soirée !

  3. Bonjour,

    Un petit post pour un grand merci !

    J’étais infecté par ce fichu rootkit depuis hier, j’ai passé la journée à chercher à m’en debarasser:
    avg, avast, scan en ligne, combofix, tdss killer (bloqué à 80%), mbr, remover…

    Et soudain: la solution !

    Merci infiniment à Angelique, Malekal et à tous les autres participants!

    La manip’ fonctionne parfaitement sur mon XP SP3 à jour.

    Bonne soirée.

  4. Bonjour à tous,

    et merci à Malekal d’avoir écrit ce sujet (ainsi qu’à angelique pour sa procédure) !

    Il reste la console et OT !
    😉

  5. Bonjour et merci beaucoup pour ces infos !
    J’ai été infecté hier par un rootkit détecté par Malebytes comme Rootkit.Win32.TDSS.mbr. J’ai effectué un nettoyage par le Rescue disk de Kaspersky, et depuis ça a l’air tout bon.
    Par contre j’ai aussi ces 2 lignes rouges avec aswMBR comme dans le screen ci-dessus. Mais si je soumets le dump à VirusTotal, rien ne sort positif…
    Ma question: est-ce que c’est un faux positif dans aswMBR ? Merci bcp pour votre réponse !

  6. Bonjour à tous,

    j’étais infecté depuis des semaines par ce virus Rootkit.Win32.TDSS.tdl4).

    Grâce à la version 2.5 de TDSSkiller, ça a l’air tout bon.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *