ZeroAccess / Sirefef.B / Rootkit.Win32.ZAccess / MAX++

EDIT Mars 2012 :
Voici un billet qui récapitule les Sirefef/ZeroAccess remover : http://www.malekal.com/2012/03/04/sirefefzeroaccess-vs-antivirus/
et une page sur la désinfection de Sirefef/ZeroAccess : http://forum.malekal.com/zeroaccess-redirections-google-t35666.html

Sirefef.B / Rootkit.Win32.ZAccess / MAX++ est un malware sophistiqué qui est capable de désactiver n’importe quel antivirus.

Il était utilisé notamment avec le rogue Antivirus 2010 : http://forum.malekal.com/antivirus-2010-t28675.html

(voir aussi cette page : http://forum.malekal.com/freebest4-info-patch-cdfs-sys-max-rootkit-t23195.html ).

Kaspersky avait annoncé le passage du malware sur les plateformes 64 bits via une version du rootkit userland (comme du temps d’Antivirus 2010) : http://www.securelist.com/en/blog?print_mode=1&weblogid=493
Le malware fonctionne maintenant sur ces plateforme en rootkit Kernel-mode

Les symptômes apparents

On retrouve même les symptômes que dans la version précédente.
Le malware kill les applications de sécurité et il devient ensuite impossible de les lancer, ce dernier corrompt les ACL, on obtient alors le message : Windows ne parvient pas à accéder au périphérique, au chemin ou au fichier spécificé.

 

La nouveauté est que ce dernier provoque des redirections lors des recherches Google – ici le site 01net complètement défiguré via une page pornographique :

La redirection se fait à partir des URLs suivantes :

http://30ksearches.com/redirect.php?u=3669741&b=MC4wMDE1Mg==&p=aW50ZWNwcGM=
http://184.171.168.194/click.php?c=xxxx
http://www.apmebf.com/qh105dlutB/lsx/A9I9IED9/
http://www.anrdoezrs.net/click-3984571-10909540

 

Le drop de l’infection

Ce dernier prends le contrôle d’explorer.exe qui droppe une DLL wevtapi.dll dans %USERNAME%

taskmgr.exe est copié dans %USERNAME% et est lancé avec une demande d’élévation des privilèges.
Si l’utilisateur accepte, c’est le drame, il permet le passage du monde userland à celui du kernel, le malware peux alors modifier le système et dropper la partie Rootkit.

Notez que si on répond non, taskmgr redemande indéfiniment l’accès, il est donc à parier que pour arreter la demande, l’utilisateur va répondre oui à un moment donné puisqu’il n’a plus la main sur le système.

Les connexions suivantes sont ensuite effectuées avec envoies d’informations (connexion POST) :

1309885468.164     95 192.168.1.111 TCP_MISS/200 449 GET http://www.msftncsi.com/ncsi.txt – DIRECT/213.199.181.90 text/plain
1309885527.305    139 192.168.1.111 TCP_MISS/200 1013 POST http://80.237.152.26/crq/crq.php – DIRECT/80.237.152.26 text/xml
1309885563.080    169 192.168.1.111 TCP_MISS/200 1133 POST http://80.237.152.26/crs/crs.php – DIRECT/80.237.152.26 text/xml
1309885589.551    116 192.168.1.111 TCP_MISS/504 1745 GET http://erahacty.cn/stat2.php?w=15&i=d011134e9508134e18a238159d0a8f41&a=2 – DIRECT/erahacty.cn text/html
 

Le fonctionnement de l’infection

Précédement, l’infection était composée :

  • d’un driver, c’était la partie KillAV qui tue les logiciels de sécurité
  • d’une DLL qui remet le driver KillAV dans le cas où ce dernier est supprimé

Nous allons voir que l’infection s’est un peu complexifiée :Le driver HKLM\SYSTEM\CurrentControlSet\services\1309872592 / C:\Windows\system32\drivers\1309872592.sys est la partie KillAV, en bidouillant on peux arriver à le rendre inactif, ce qui permet de voir les modules chercher sur GMER – Les modules commence tous par @8000 – @800000cb / @800000cc etc.

 

 

Le scan GMER est ensuite possible, ce qui donne :

GMER 1.0.15.15640 - http://www.gmer.net
Rootkit scan 2011-07-05 18:14:14
Windows 6.1.7600  Harddisk0\DR0 -> \Device\000000a2 VMware,_ rev.1.0_
Running: g64p239x.exe; Driver: C:\Users\Kevin\AppData\Local\Temp\kwxyaaob.sys

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwSaveKeyEx + 13AD                                                                     82881579 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                              828A5F52 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntkrnlpa.exe!RtlSidHashLookup + 23C                                                                 828AD73C 4 Bytes  [2C, B4, 67, 8C]
.text           ntkrnlpa.exe!RtlSidHashLookup + 248                                                                 828AD748 8 Bytes  [8C, 9A, 67, 8C, 5E, 95, 67, ...]
.text           ntkrnlpa.exe!RtlSidHashLookup + 29C                                                                 828AD79C 4 Bytes  [28, A9, 67, 8C]
.text           ntkrnlpa.exe!RtlSidHashLookup + 2DC                                                                 828AD7DC 4 Bytes  [4C, 96, 67, 8C]
.text           ntkrnlpa.exe!RtlSidHashLookup + 2F8                                                                 828AD7F8 4 Bytes  [16, 03, 68, 8C] {PUSH SS; ADD EBP, [EAX-0x74]}
.text           ...                                                                                                 
.text           afd.sys                                                                                             8BCEB000 80 Bytes  [90, 90, 90, 90, 90, FF, 15, ...]
.text           afd.sys                                                                                             8BCEB052 40 Bytes  [89, 45, F8, A1, C0, B2, CF, ...]
.text           afd.sys                                                                                             8BCEB07B 16 Bytes  [A1, C0, B2, CF, 8B, 8B, 48, ...]
.text           afd.sys                                                                                             8BCEB08D 77 Bytes  [00, 40, 51, EB, 01, 56, 50, ...]
.text           afd.sys                                                                                             8BCEB0DC 52 Bytes  [66, 8B, 0E, B8, D4, AF, 00, ...]
.text           ...                                                                                                
?               C:\Windows\system32\drivers\afd.sys                                                                 suspicious PE modification
?      ACPI#PNP0303#2&da1a3ff&0\U\@800000cb 

---- Devices - GMER 1.0.15 ----

Device \Driver\00001143 \GLOBAL??\ACPI#PNP0303#2&da1a3ff&0 F8830340 

---- Threads - GMER 1.0.15 ----

Thread          System [4:248]                                                                                      8BCE39E0
Thread          System [4:252]                                                                                      8BCE39E0

---- Services - GMER 1.0.15 ----

Service          (*** hidden *** )                                                                                  [MANUAL] 1309872592                                                                                                                                   <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\services\1309872592@Start                                             3
Reg             HKLM\SYSTEM\CurrentControlSet\services\1309872592@Type                                              1
Reg             HKLM\SYSTEM\CurrentControlSet\services\1309872592@ErrorControl                                      1
Reg             HKLM\SYSTEM\CurrentControlSet\services\1309872592@DisplayName                                       Virtual Bus for Microsoft ACPI-Compliant System
Reg             HKLM\SYSTEM\ControlSet002\services\1309872592@Start                                                 3
Reg             HKLM\SYSTEM\ControlSet002\services\1309872592@Type                                                  1
Reg             HKLM\SYSTEM\ControlSet002\services\1309872592@ErrorControl                                          1
Reg             HKLM\SYSTEM\ControlSet002\services\1309872592@DisplayName                                           Virtual Bus for Microsoft ACPI-Compliant System

---- Files - GMER 1.0.15 ----

File            C:\Windows\$NtUninstallKB44935$\1890394325                                                          0 bytes
File            C:\Windows\$NtUninstallKB44935$\1890394325\L                                                        0 bytes
File            C:\Windows\$NtUninstallKB44935$\1890394325\L\xadqgnnk                                               338944 bytes
File            C:\Windows\$NtUninstallKB44935$\1890394325\U                                                        0 bytes
File            C:\Windows\$NtUninstallKB44935$\1890394325\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}                   2048 bytes
File            C:\Windows\$NtUninstallKB44935$\734020053                                                           0 bytes

---- EOF - GMER 1.0.15 ----

 

On voit très bien le service du driver KillAV, le module@800000cb et ses fichiers.
Mais aussi :

?               C:\Windows\system32\drivers\afd.sys                                                                 suspicious PE modification

 

C’est la nouveauté de cette variante, ZAccess patche maintenant un driver aléatoire qui permet de réinstaller l’infection.

Sur 64Bits..

Se reporter à la page Rootkit et PatchGuard sur Windows 64 Bits et pour la désinfection : Zaccess sur Windows 64 bits : consrv => winsrv

La désinfection

Sur Windows Seven, la désinfection peut s’avérer complexe.

TDSSKiller, s’il est à jour par rapport à la variante en cours de propagation, détecter une partie de l’infecton.
Sur Windows XP, TDSSKiller nettoye parfaitement l’infection (pensez à mettre delete sur le driver KillAV – lettres aléatoires) :

Sur Windows Seven/Vista 64 bits, selon le driver sur lequel on tombe (certains sont verrouillés avec un cadena), TDSSKiller ne parviendra pas à restaurer le driver patché – l’infection peux se réinstaller :

Le mieux étant de restaurer le fichier manuellement sans oublier de supprimer le driver du KillAV  via un Live CD OTLPE

Pour récupérer les droits sur les fichiers, vous pouvez faire un clic droit / propriétés puis onglet Sécurités.
Enlever les permissions à refuser, acceptez et repasser sur Autorisé.

Vous pouvez aussi utiliser la commande calcs, comme dans l’exemple ci-dessous :

cacls procexp.exe /P « Tout le monde:F »
Êtes-vous sûr (O/N) ?o
fichier traité : C:\Documents and Settings\Mak\Bureau\procexp.exe

Restauration système pour Windows Vista et Seven

Une restauration du système depuis les options de démarrage semble permettre de supprimer l’infection, se rendre à la page suivante : https://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

EDIT 2011 :

Quelques articles relatifs à ZeroAccess :

Les deux fix suivants sont pour Zaccess Rootkit 32 bits.

La vidéo suivante montre l’infection et le fix en action :

 EDIT Février 2012 :

Il semblerait qu’un module ait été ajouté depuis peu dans le cas de la version de Malwarebyte qui patche les drivers systèmes (architecture 32 bits).
Dans le cas d’une correction par TDSSKiller, si le module est actif, un nouveau driver sera patché au démarrage et donc l’infection ZeroAccess sera encore active.
Ce module est détecté par Malwarebyte en Rootkit.0Access – il est donc conseillé de faire un scan Malwarebyte’s Anti-Malware pour le supprimer.

puis de lancer TDSSKiller pour nettoyer le driver patché.
Notez que le programme aswMBR peux s’avérer être une bonne contre expertise :

A noter aussi la présence d’un fichier Windows/system32/dds_log_trash.cmd 

La DLL se charge à partir d’une clef Service – exemple :

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/pnmsrv/Parameters « ServiceDll »
Type: REG_EXPAND_SZ
Data: %systemroot%/system32/ibmasrex.dll

La détection de la DLL quelques jours après : https://www.virustotal.com/file/458b56bbbd3cd478e04390ed5ffd08ca4f3709b37851e64cd9eacb2f749dfbf4/analysis/

SHA256: 458b56bbbd3cd478e04390ed5ffd08ca4f3709b37851e64cd9eacb2f749dfbf4
File name: iSMBIOS.dll
Detection ratio: 20 / 43
Analysis date: 2012-03-03 11:32:51 UTC ( 1 jour ago )AntiVir TR/Sirefef.BP.1 20120302
AVG Generic27.PN 20120302
BitDefender Trojan.Sirefef.BP 20120303
CAT-QuickHeal Trojan.Zaccess.AZ5 20120302
F-Secure Trojan.Sirefef.BP 20120303
Fortinet W32/ZeroAccess.D!tr 20120303
GData Trojan.Sirefef.BP 20120303
K7AntiVirus Riskware 20120302
McAfee ZeroAccess.dr.gen.d 20120301
McAfee-GW-Edition ZeroAccess.dr.gen.d 20120302
Microsoft Trojan:Win32/Sirefef.AA 20120303
NOD32 probably a variant of Win32/Sirefef.ER 20120303
Norman W32/Troj_Generic.NXYA 20120302
nProtect Trojan.Sirefef.BP 20120303
Sophos Troj/ZAccess-AB 20120303
TheHacker Trojan/Sirefef.a.28 20120303
TrendMicro TROJ_SIREFEF.KN 20120303
TrendMicro-HouseCall TROJ_SIREFEF.KN 20120303
VBA32 Trojan-Injector.7235 20120302
VIPRE Trojan.Win32.Generic!BT 20120303
 

EDIT 04 JUIN 2012

Depuis quelques semaines ZeroAccess/Sirefef ne droppe plus de partie rootkit et ne patch plus de fichier systèmes.
J’ai pris un peu le temps de regarder, voici les modifications effectuées par les versions actuelles du malware:

Le dropper prend le contrôle d’explorer.exe et wscntfy.exe

Les Fichiers ajoutés :
c:\Documents and Settings\Mak\Local Settings\Application Data\{334662a7-c5df-f150-30ac-6487059c2371}\@
Date: 8/19/2004 5:09 PM
Size: 2 048 bytes
c:\Documents and Settings\Mak\Local Settings\Application Data\{334662a7-c5df-f150-30ac-6487059c2371}\n
Date: 8/19/2004 5:09 PM
Size: 56 832 bytes
c:\WINDOWS\Installer\{334662a7-c5df-f150-30ac-6487059c2371}\@
Date: 8/19/2004 5:09 PM
Size: 2 048 bytes
c:\WINDOWS\Installer\{334662a7-c5df-f150-30ac-6487059c2371}\n
Date: 8/19/2004 5:09 PM
Size: 56 832 bytes
c:\WINDOWS\Installer\{334662a7-c5df-f150-30ac-6487059c2371}\L\00000004.@
Date: 6/4/2012 1:31 PM
Size: 673 bytes
c:\WINDOWS\Installer\{334662a7-c5df-f150-30ac-6487059c2371}\U\00000004.@
Date: 6/4/2012 1:31 PM
Size: 1 536 bytes
c:\WINDOWS\Installer\{334662a7-c5df-f150-30ac-6487059c2371}\U\00000008.@
Date: 6/4/2012 1:31 PM
Size: 232 960 bytes
c:\WINDOWS\Installer\{334662a7-c5df-f150-30ac-6487059c2371}\U\000000cb.@
Date: 6/4/2012 1:31 PM
Size: 1 584 bytes
c:\WINDOWS\Installer\{334662a7-c5df-f150-30ac-6487059c2371}\U\80000000.@
Date: 6/4/2012 1:31 PM
Size: 12 288 bytes
c:\WINDOWS\Installer\{334662a7-c5df-f150-30ac-6487059c2371}\U\80000032.@
Date: 6/4/2012 1:31 PM
Size: 93 696 bytes

Les dossiers ajoutés :
c:\WINDOWS\Installer\{334662a7-c5df-f150-30ac-6487059c2371}
c:\WINDOWS\Installer\{334662a7-c5df-f150-30ac-6487059c2371}\L
c:\WINDOWS\Installer\{334662a7-c5df-f150-30ac-6487059c2371}\U

Notez les dates de fichiers de 2004, un utilitaire qui liste les derniers fichiers modifiés ne les listera pas.

 

La détection du fichier n en question : https://www.virustotal.com/file/324965ad1d1c6a1523a729845438ac50fe84e5d2f760a34d93cfdd8aecbef8de/analysis/
SHA256: 324965ad1d1c6a1523a729845438ac50fe84e5d2f760a34d93cfdd8aecbef8de

File name: n
Detection ratio: 12 / 42
Analysis date: 2012-06-04 07:49:10 UTC ( 3 heures, 56 minutes ago )

Avast Win32:Trojan-gen 20120604
AVG – 20120603
BitDefender Trojan.Generic.KDV.639316 20120604
Emsisoft Trojan.Win32.Sirefef!IK 20120604
F-Secure Trojan.Generic.KDV.639316 20120604
Fortinet W32/Kryptik.AB!tr 20120603
GData Trojan.Generic.KDV.639316 20120604
Ikarus Trojan.Win32.Sirefef 20120604
McAfee Generic.dx!b2pq 20120604
McAfee-GW-Edition Artemis!F103ED30CE16 20120604
Microsoft Trojan:Win32/Sirefef.AB 20120602
NOD32 Win32/Sirefef.EV 20120603
VIPRE Trojan.Win32.Sirefef.pw (v) 20120604

Avira les détecte en TR/ATRAPS.GEN et TR/ATRAPS.GEN2 : http://forum.malekal.com/atraps-gen-gen2-persistants-t38403.html

Ce dernier ajoute quelques CSLID et modifie la clef HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32

Par défaut, la clef contient la valeur C:\WINDOWS\System32\wbem\wbemess.dll qui est remplacé par un des fichiers droppés par le malware à savoir dans notre exemple : \\.\globalroot\systemroot\Installer\{334662a7-c5df-f150-30ac-6487059c2371}\n.

Les fichiers sont chargés par explorer.exe

Les sous-clefs Epoch du service SharedAccess sont modifiés.

Les URLs suivantes ont été contactées :
TCP_MISS/200 771 GET http://promos.fling.com/geo/txt/city.php – DIRECT/208.91.207.10 text/html
TCP_MISS/200 351 GET http://livecounter.co/count.php?id=358463001&c=2&d=7&s=121 – DIRECT/184.172.204.122 text/html
TCP_MISS/200 351 GET http://livecounter.co/count.php?id=358463001&c=1&d=7&s=0 – DIRECT/184.172.204.122 text/html
TCP_MISS/200 351 GET http://livecounter.co/count.php?id=358463001&c=3&d=7&s=130 – DIRECT/184.172.204.122 text/html
TCP_MISS/200 351 GET http://livecounter.co/count.php?id=358463001&c=4&d=7&s=131 – DIRECT/184.172.204.122 text/html
TCP_MISS/200 351 GET http://livecounter.co/count.php?id=358463001&c=5&d=7&s=1 – DIRECT/184.172.204.122 text/html
TCP_MISS/200 351 GET http://livecounter.co/count.php?id=358463001&c=6&d=7&s=20 – DIRECT/184.172.204.122 text/html
TCP_MISS/200 351 GET http://livecounter.co/count.php?id=358463001&c=7&d=7&s=21 – DIRECT/184.172.204.122 text/html
TCP_MISS/200 351 GET http://livecounter.co/count.php?id=358463001&c=8&d=7&s=30 – DIRECT/184.172.204.122 text/html
TCP_MISS/200 351 GET http://livecounter.co/count.php?id=358463001&c=9&d=7&s=31 – DIRECT/184.172.204.122 text/html

La commande ping est ensuite lancée par le systeme.
Cette dernière effectue quelques opérations dont notamment l’ajout d’une sous clef FEATURE_BROWSER_EMULATION
Cette clef est notamment pisté par ZHPDiag

Dans mon cas, ping.exe agit comme Trojan.Clicker

dont voici les connexions HTTP effectuées notamment les URLs suivants ont été contactées :

TCP_MISS/302 359 GET http://212.117.165.20/td?aid=jy9zb85r&said=304432 – DIRECT/212.117.165.20 text/html
TCP_MISS/302 278 GET http://205.252.166.30/tds/?s=a – DIRECT/205.252.166.30 –

Malwarebyte n’a pas de difficulté pour détecter les fichiers Rootkit.0Access, Trojan.ZeroAccess et Trojan.Sirefef.
Malwarebyte rétablit aussi la clef HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32

Le fonctionnement de  ZeroAccess / Sirefef est donc passablement modifié mais est plus facile à éradiquer.
A noter que ce dernier continue de dropper du Win32.Obvod ou Virus Sacem comme indiqué sur ce billet : http://www.malekal.com/2012/04/26/zeroaccesssirefef-droppe-le-virus-sacem/

EDIT Août 2012

Le patch de services.exe dans les environnements 64 bits provoque des redémarrages en boucle de Windows avec Microsoft Security Essentials, on obtient le message « Windows a rencontré un problème critique et redémarrera automatiquement dans une minute. Enregistrez votre travail maintenant ».

Se reporter à la page : http://www.malekal.com/2012/08/13/zeroaccess-sirefef-et-microsoft-security-essentials-et-redemarrage-en-boucle/

EDIT Début Septembre 2012

ZeroAccess se loge maintenant dans la corbeille.
RogueKiller le gère :

¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][SUSP PATH] HKCU\[…]\RunOnce : 036E1932032358FFBE226D2C7B07D287 (C:\Documents and Settings\All Users\Application Data\036E1932032358FFBE226D2C7B07D287\036E1932032358FFBE226D2C7B07D287.exe) -> SUPPRIMÉ
[STARTUP][SUSP PATH] Outil de notification de cadeaux MSN.lnk @Victor : C:\Documents and Settings\Victor\Application Data\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe -> SUPPRIMÉ
[HJ DESK] HKLM\[…]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ INPROC][ZeroAccess] HKCR\[…]\InprocServer32 : (C:\RECYCLER\S-1-5-21-1060284298-2025429265-839522115-1003\$f0298575a4aa619c3eaad808215c423e\n.) -> REMPLACÉ (C:\WINDOWS\system32\shell32.dll)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-18\$f0298575a4aa619c3eaad808215c423e\n –> SUPPRIMÉ
[ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-21-1060284298-2025429265-839522115-1003\$f0298575a4aa619c3eaad808215c423e\n –> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-18\$f0298575a4aa619c3eaad808215c423e\@ –> SUPPRIMÉ
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-21-1060284298-2025429265-839522115-1003\$f0298575a4aa619c3eaad808215c423e\@ –> SUPPRIMÉ AU REBOOT
[Del.Parent][FILE] 00000001.@ : C:\RECYCLER\S-1-5-18\$f0298575a4aa619c3eaad808215c423e\U\00000001.@ –> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\RECYCLER\S-1-5-18\$f0298575a4aa619c3eaad808215c423e\U\80000000.@ –> SUPPRIMÉ
[Del.Parent][FILE] 800000cb.@ : C:\RECYCLER\S-1-5-18\$f0298575a4aa619c3eaad808215c423e\U\800000cb.@ –> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-18\$f0298575a4aa619c3eaad808215c423e\U –> SUPPRIMÉ
[Del.Parent][FILE] 00000001.@ : C:\RECYCLER\S-1-5-21-1060284298-2025429265-839522115-1003\$f0298575a4aa619c3eaad808215c423e\U\00000001.@ –> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\RECYCLER\S-1-5-21-1060284298-2025429265-839522115-1003\$f0298575a4aa619c3eaad808215c423e\U\80000000.@ –> SUPPRIMÉ
[Del.Parent][FILE] 800000cb.@ : C:\RECYCLER\S-1-5-21-1060284298-2025429265-839522115-1003\$f0298575a4aa619c3eaad808215c423e\U\800000cb.@ –> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-21-1060284298-2025429265-839522115-1003\$f0298575a4aa619c3eaad808215c423e\U –> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-21-1060284298-2025429265-839522115-1003\$f0298575a4aa619c3eaad808215c423e\L –> SUPPRIMÉ

EDIT Mai 2013

Une nouvelle variante créé des  reparse point sur les dossiers de Windows Defender et Microsoft Security Essentials afin d’empếcher leur fonctionnement.
Cela provoque des problèmes de téléchargement sur Internet Explorer 9 et 10 – se reporter à la page : http://www.malekal.com/2013/05/24/sirefef-impossible-de-telecharger-sur-internet-explorer/

Internet_Explorer_Telechargement_impossible7

EDIT Aout 2013

Nouvelle variante, cette dernière charge un service et un fichier GoogleUpdate.exe dans un dossier du type  : C:/Documents and Settings/Mak/Local Settings/Application Data/Google/Desktop\Install/{334662a7-c5df-f150-30ac-6487059c2371}/???/???/???/{334662a7-c5df-f150-30ac-6487059c2371}\GoogleUpdate.exe »

Le malware utilise des tricks pour rendre la lecteur/suppression de la clef plus difficile.

new_ZeroAccess new_ZeroAccess2
HijackThis voit la clef – Msconfig non. new_ZeroAccess3
OTL retourne une erreur : O4 – HKCU../Run: [Google Update] Reg Error: Value error. File not found new_ZeroAccess_OTL
TDSSKiller détecte le driver – Attention TDSSKiller ne détecte pas la clef Run (c’est pas son boulot), la désinfection peut donc être partielle avec ce dernier. new_ZeroAccess4
RogueKiller détecte aussi cette nouvelle variante – exemple de rapport de suppression : http://pjjoint.malekal.com/files.php?read=20130817_x11y11c6v13l7 new_ZeroAccess5
Malwarebyte’s Anti-Rootkit n’a pas de problème non plus avec cette variante – exemple de rapport de suppression : http://pjjoint.malekal.com/files.php?read=20130817_m10h11y5s9h13 new_ZeroAccess_mbar

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 582 times, 2 visits today)

7 thoughts on “ZeroAccess / Sirefef.B / Rootkit.Win32.ZAccess / MAX++

  1. J’ai réussi à supprimer cette saloperie qui avait infecté le PC de mon boulot suite à l’utilisation d’un crack pour un logiciel récent.
    Personnellement le seul et unique problème que j’avais, c’était que mes recherches google me redirigeait vers des sites de pubs à la con dont le principal site qui s’occupait de la redirection était un certain « 100ksearches.com ». Bref après plusieurs recherches sur le net, j’ai trouvé la solution du coté de chez Kaspersky….

    Mais revenons au début :

    J’ai tout d’abord utiliser les logiciels courants :

    – Spybot Search & Destroy,
    – MalwareByte’s
    – Ad-Aware de Lavasoft,
    – Hijackthis,
    – Stinger de McAfee,
    – ComboFix

    Ils étaient tous mis à jour, dans leur dernières versions.
    Je les ai exécuté en mode normal, ainsi qu’en mode sans-échec (F8 au démarrage du bios).

    Résultat : que dalle, rien de chez rien trouvé à part Spyware Search & Destroy qui me trouvait un « Win32.Bifrost » comme virus, cependant il s’agirait en fait d’une mauvaise détection, et apparemment le logiciel Spybot S&D serait devenu assez naze et inutile du fait qu’il trouverait des virus/vers qui n’en sont pas.

    Bref bref, ce qui a réussi à me faire débarrasser de ce vers c’est le logiciel Virus Remove Tool de chez Kaspersky.
    Il fait pas loin de 100Mo et est téléchargeable gratuitement ici :
    Lien 1 (téléchargement direct)
    Lien 2 (au cas ou le Lien 1 ne marcherait pas) (il faut cliquer sur le petit drapeau anglais pour télécharger).

    Voilà, une fois téléchargé, installez et ouvrez le, puis cliquer sur la sorte de roue dentée en haut à droite, et cocher le plus de chose possible (les disques dur, les amovibles, Mes documents, Mon courrier, Ordinateur…Etc…) puis lancer le scan !

    Normalement il devrait vous détecter :

    Win32.ZAccess.de
    Win64.ZAccess.a

    Vous supprimez tout ça et il n’y a plus de problèmes.

    Finissez par un bon coup de CCleaner (nettoyeur + registre) et c’est parfait.

    Spi0n.

    tag : redirect google redirection virus publicite

  2. oui, utiliser ces programmes avec ce genre de malwares, c’est une pure perte de temps :
    – Spybot Search & Destroy,
    – Ad-Aware de Lavasoft,
    – Stinger de McAfee,
    – Hijackthis,

    Malwarebyte doit détecter des trucs mais comme y a les drivers patchés….

  3. Sous un Win XP SP3, j’ai eu cette infection dont j’ai eu beaucoup de mal à me débarrasser!
    J’ai donc utilisé l’outil TDSSKiller dans un premier temps, puis le AntiZeroAcess Remover. Le probleme c’est qu’a chaque redemarrage il me trouvait de nouveau un fichier infecté avec ce dernier outil (et j’avais toujours un process actif impossible à killer du type 220964002269.exe). Après une bref recherche j’ai fini par installer Hitman Pro (http://download.cnet.com/Hitman-Pro-3-32-bit/3000-2239_4-10895604.html?part=dl-&subj=dl) en version de démo 30 jours, et il m’as totalement désinfecté cette infection. En espérant que ceci serve un jour à quelqu’un.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *