Sirefef/ZeroAccess VS Antivirus

Suite à l’édition du sujet sur ZeroAcess version 32bits où l’infection voit un retour d’un module qui repatch un driver système dans le cas où celui est nettoyé, rendant TDSSKiller inefficace (tant que le module n’est pas détecté).
Je voulais voir ce que donnait les ZeroAccess Remover proposait par les divers éditeurs d’antivirus.
Du coup j’ai fait quelques essais.

J’ai utilisé une infection vieille de quelques jours, la DLL est relativement bien détecté afin de maximiser les chances de détection par les antivirus.
Dans le cas où la DLL vient d’être repacké et que la détection est mauvaise, bien entendu, vous allez avoir plus de mal.

Voici les détections au moment du test : https://www.virustotal.com/file/458b56bbbd3cd478e04390ed5ffd08ca4f3709b37851e64cd9eacb2f749dfbf4/analysis/

SHA256: 458b56bbbd3cd478e04390ed5ffd08ca4f3709b37851e64cd9eacb2f749dfbf4
File name: iSMBIOS.dll
Detection ratio: 20 / 43
Analysis date: 2012-03-03 11:32:51 UTC ( 1 jour ago )AntiVir TR/Sirefef.BP.1 20120302
AVG Generic27.PN 20120302
BitDefender Trojan.Sirefef.BP 20120303
CAT-QuickHeal Trojan.Zaccess.AZ5 20120302
F-Secure Trojan.Sirefef.BP 20120303
Fortinet W32/ZeroAccess.D!tr 20120303
GData Trojan.Sirefef.BP 20120303
K7AntiVirus Riskware 20120302
McAfee ZeroAccess.dr.gen.d 20120301
McAfee-GW-Edition ZeroAccess.dr.gen.d 20120302
Microsoft Trojan:Win32/Sirefef.AA 20120303
NOD32 probably a variant of Win32/Sirefef.ER 20120303
Norman W32/Troj_Generic.NXYA 20120302
nProtect Trojan.Sirefef.BP 20120303
Sophos Troj/ZAccess-AB 20120303
TheHacker Trojan/Sirefef.a.28 20120303
TrendMicro TROJ_SIREFEF.KN 20120303
TrendMicro-HouseCall TROJ_SIREFEF.KN 20120303
VBA32 Trojan-Injector.7235 20120302
VIPRE Trojan.Win32.Generic!BT 20120303

AVG ZeroAccess/Sirefef  Remover

AVG ZeroAcess Remover : http://free.avg.com/ch-fr/remove-win32zeroacces 

Ce dernier ne détecte rien, ce qui est assez étonnant quand on voit que AVG détecte bien la DLL plus haut.
Le remover n’est pas assez mis à jour ?

Les infos renvoyés par le serveur HTTP :

Last-Modified:  Wed, 08 Feb 2012 11:36:26 GMT

Symantec ZeroAccess/Sirefef  Remover

Symantec ZeroAccess Remover : http://www.symantec.com/security_response/writeup.jsp?docid=2011-071314-0410-99 

Le fix ne détecte pas l’infection :

Webroot ZeroAccess/Sirefef  Remover

J’en avais parlé tout au début de l’apparition de ZeroACcess/Sirefef : http://www.malekal.com/2011/08/22/zeroaccesssirefef-remover/

Le fix détecte bien le patch du driver système (serial.sys) et le nettoye.
Néanmoins comme le module n’est pas détecté (le fix ne scanne pas les fichiers ou module chargé), l’infection est encore active et au redémarrage, un nouveau driver est patché.

Il faut par exemple utilisé Malwarebyte Anti-Malware avant pour supprimer le module :  http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/
Si Malwarebyte Anti-Malware ne parvient pas à détecte le module, l’utilisation de WebRoot ZeroAccess/Sirefef Remover est inutile.

NOD32 ZeroAccess/Sirefef remover

NOD32 ZeroAccess Remover : http://kb.eset.com/esetkb/index?page=content&id=SOLN2895 

L’infection est détecté mais au redméarrage celle-ci est toujours active.Le driver patché (serial.sys) est bien détecté et est nettoyé.

Au redémarrage, un nouveau driver est patché, du au fait que le module n’est pas nettoyé.
C’est pour cela que dans la FAQ de NOD32, ces derniers recommendent de faire un scan en ligne au préalable.
Nous sommes donc dans le même cas que WebRoot ZeroAccess/Sirefef Remover.

 

Kaspersky ZeroAccess/Sirefef Remover (TDSSKiller)

TDSSKiller : http://forum.malekal.com/tdsskiller-kaspersky-t28637.html

TDSSKiller détecte bien le patch du driver système mais ne détecte pas le module malicieux.
Nous sommes donc dans le même cas que Webroot ZeroAccess/Sirefef Remover

BitDefender ZeroAccess/Sirefef remover

BitDefender ZeroAccess Remover : http://www.malwarecity.com/community/index.php?app=downloads&showfile=34 

La partie Rootkit (driver patché) est détecté mais aussi la DLL (module).

Au redémarrage, le Rootkit est nettoyé.
BitDefender parvient à nettoyer Sirefef/ZeroAccess.

Combofix

Combofix n’est pas un fix proposé par des antivirus : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

J’en parle sur la page : ZeroAccess : redirections Google

Ce dernier parvient à éradiquer ZeroAccess/Sirefef.

EDIT – Avril : Panda ZeroAccess/Sirefef Fix

Présenté sur le forum : http://forum.malekal.com/panda-zeroaccess-sirefef-removal-t37048.html
Le fix semble être efficace.

Panda ZeroAccess/Sirefef Removal

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 88 times, 1 visits today)

One thought on “Sirefef/ZeroAccess VS Antivirus

  1. J’etais infecté par un virus « sirefef » sous XP depuis un moment et j’ai apparemment reussi a le traiter avec COMBOFIX……….C’est le seul qui a reussi…….apres tdsskiller qui n’a pas reussi entierement………….
    GRAND MERCI A MALEKAL ………SUPER SITE ET BOULOT EN GENERAL…………des B ienfaiteurs du net ces mecs et des vrais pros……………Ah oui Merci aussi et surtout bien sur a COMBOFIX.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *