Projet AntiMalware

Supprimer les Rootkits sous Windows

Ce tutorial va tenter de passer en revu les possibilités pour supprimer un rootkit sous Windows.

Ce tutorial demande certains connaissances du système Windows, je vous déconseille de suivre ces procédures si vous êtes néophyte.

Sommaire

  1. Supprimer les Rootkits sous Windows
    1. Sommaire
    2. Qu'est ce qu'un rootkit ?
    3. Supprimer les rootkits
      1. Avant de commencer
      2. F-Secure BlackLight
      3. La console de récupération
      4. Gmer
    4. IceSword
    5. The Avenger
    6. Autres Liens

Qu'est ce qu'un rootkit ?

Vous trouverez une description des rootkits sur cette page :  Qu'est ce qu'un rootkit
Pour la partie technique, je vous invite à visiter la page de ce site qui est très bien faite : 3psilon : les rootkit

Un rootkit est donc un programme qui est capable de se cacher de l'utilisateur et des autres programmes (les antivirus y compris).
Pour détecter les rootkits, il faut employer des scanneur rootkit.

A l'heure, où l'article est écrit, les éditeurs de sécurités commencent à peine à développer leurs solutions :
Les rootkit kernel-mode sont donc généralement composés d'un drivers (*.sys) et d'un service.

Supprimer les rootkits

Avant de commencer
Pour supprimer les rootkits, nous n'allons pas utiliser les scanner des éditeurs de sécurités qui ne sont pour le moment pas au point (souvent en version beta).
Ces derniers, par contre, peuvent tout à fait être utilisé pour détecter les rootkit notamment F-Secure BlackLight, néanmoins je vous conseille plutôt d'utiliser Gmer qui s'avère être une solution très efficace.

J'insiste sur le fait de bien analyser les rapports de scan, les scanneur rootkit peuvent donner beaucoup plus de faux-positif que les scanneur antivirus. Si vous êtes néophyte, ne vous précipiter pas à essayer de supprimer des éléments. Demander l'avis d'une personne qualifiée.

Dans ces exemples, nous allons surtout parler du Rootkit Pe386
Je tiens à préciser qu'il existe un outil spécialement conçu pour le supprimer (voir Supprimer Rootkit pe386 / SpamTool.Win32.Mailbot.AZ), ces exemples sont donc plus à titre pédagogique qu'à utiliser pour supprimer ce rootkit.

Le rootkit utilise le driver/pilote, dans ce tutorial, ce sera la variante C:\Windows\system32:18467 - Le driver est stocké dans un flux ADS (Alternate Data Streams ), il est impossible de le lister via l'explorateur. (note : il existe plusieurs variantes de pe386 avec des flux ADS différents).

Pour plus d'informations sur les flux ADS,  se reporter à ces pages :
http://www.hsc.fr/ressources/breves/ADS.html.fr
http://jc.bellamy.free.fr/fr/stream.html
Le rootkit créé aussi le service pe386 (de même, il existe d'autres variantes avec un nom de service différent) qui est aussi rootkité.
Le service ne peut être vu dans l'éditeur de service (service.msc) et la clef du service est masqué dans l'éditeur du registre (regedit).
Le service sert à chargerle driver lors du démarrage de Windows.

Pe386 est l'un des rootkits les plus abouti avec LinkOptmizer/Gromozon (les deux rootkits ont été créés par la même organisation).
La majorité des autres rootkits sont soit des rootkits user-mode (beaucoup plus simple à supprimer), soit des kernel-mode se contentant de charger un driver avec un service.
Voici une adresse qui regroupe les rootkits les plus communs sous Windows : http://www.searchengines.pl/phpbb203/index...c=6745&st=0
F-Secure BlackLight
F-Secure BlackLight est la solution antirootkit de l'éditeur F-Secure, elle est intégré dans la suite de sécurité F-Secure Internet Security 2007 (FIS2007)
C'est l'un des scanneur des éditeurs des sécurités les plus aboutis, du fait qu'il était aussi l'un des premiers.

Lorsqu'un rootkit est détecté, vous avez possibilité de renommer le fichier rootkité.
Cela s'avère très utile pour les rootkit user-mode (utilisé par exemple dans les infections Adware.Magic_Control et Zlob/VideosAccess).

Vous pouvez avoir un aperçu d'une désinfection avoir F-Secure BlackLight dans cette procédure : Suppression VideoAccess
Vous trouverez aussi à cette adresse le tutorial de F-Secure BlackLight : Tutorial F-Secure BlackLight

Malheuresement F-Secure BlackLight ne scanne pas le registre.
Il s'avère assez impuissant face aux rootkit kernel-mode tels que Rootkit Pe386
La console de récupération
La console de récupération comme son nom l'indique permet d'effectuer des manipulations afin de réparer Windows.
Aucun élément de Windows n'est chargé mais vous avez cependant accès aux disques et à quelques commandes.

La console de récupération peut être installée ou vous pouvez redémarrer sur la console de récupération depuis le CD de Windows, pour plus d'informations, reportez-vous à ce lien : Installer et utiliser la console de récuparation de Windows

A partir de la console de récupération, il est tout à fait de "casser" le rootkit.
Il suffit simplement de supprimer le driver du rootkit.
Etant donné que sur le rootkit pe386, le driver est stocké dans un flux ADS, vous devez écraser ce flux par une simple copie de fichiers.
Un fichier vide convient tout à fait.
Tapez la commande exit pour quitter la console de récupération.
Supprimer les rootkit
Windows redémarre...
Le driver du rootkit étant détruit, ce dernier n'ets plus actif.
Il est maintenant possibile de visualiser la clef du service HKLM\SYSTEM\CurrentControlSet\Services\pe386 dans notre exemple dans l'éditeur du registre (regedit).
Supprimer les rootkit
La commande SC delete permet ensuite de supprimer le service pe386
En réactualisant le registre, on peut constater que la clef pe386 a disparu.
Supprimer les rootkit
Gmer
Gmer est un scanneur rootkit puissant qui est capable de détecter énormement de rootkit.
Il est aussi capable de supprimer la majorité des rootkits détectés.

Vous pouvez télécharger gmer depuis la page : http://www.gmer.net

Le scan se fait à partir de l'onglet Rootkit puis en cliquant sur le bouton Scan en bas à droite.
Si gmer détecte un service rootkité, vous avez possibilité une fois le scan terminé en effectuant un clic droit Delete the service le dit service.

Note : le processus C:\Windows\system32\atfsffhrd.exe est un rootkit user-mode issu d'une infection Adware.Magic_Control obtenu en installant MailSkinner.

Supprimer les rootkit

Vous pouvez tuer les processus rootkité, en effectuant un clic droit puis Kill Process

Supprimer les rootkit

Enfin en effectuant un clic droit sur les fichiers rootkité, vous pouvez les supprimer en cliquant sur Delete file
Supprimer les rootkit

Gmer fonctionne aussi en ligne de commande :

gmer -killall - tue tous les processus en cours
gmer -del service pe386 - supprime le servicep pe386
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\pe386" - supprime les clefs du service pe386 dans CurrentControlSet
gmer -del reg "HKLM\SYSTEM\ControlSet001\Services\pe386" - supprime les clefs du service pe386 dans ControlSet001
gmer -del reg "HKLM\SYSTEM\ControlSet002\Services\pe386" - supprime les clefs du service pe386 dans ControlSet002
gmer -del file "C:\WINDOWS\system32:lzx32.sys" - supprime le fichier C:\WINDOWS\system32:lzx32.sys
gmer -reboot - redémarre l'ordinateur

IceSword

IceSword est un IDS qui vous permet d'avoir accès aux entrailles du système.
Vous pouvez télécharger IceSword depuis ce lien : http://xfocus.net/tools/200605/IceSword1.18en.rar

IceSword

IceSword vous permet :
  • supprimer n'importe quel service en supprimant la clef rootkité (HKLM\SYSTEM\CurrentControlSet\Services\xxxxx) à partir du bouton Registry
  • d'arrêter n'importe quel processus en cours (qu'il soit rootkité ou non)
  • supprimer n'importe quel fichier rootkité (à partir du bouton File)
IceSword est tout à fait capable de supprimer le rootkit pe386.
Il suffit de supprimer la clef du Service en redémarrant l'ordinateur, le rootkit n'est plus actif.
Il convient ensutie de supprimer l'ADS. Ceci peut être fait à l'aide d'HijackThis : Les ADS avec HijackThis

Vous trouverez le tutorial IceWord à cette page : http://www.malekal.com/tutorial_IceSword.php

The Avenger

The Avenger est un programme développé par Swandog46.
The Avenger très puissant qui permet de supprimer des fichiers & dossiers, clefs du registre,
Il fonctionne via un script que l'utilisateur doit écrire. L'utilisation de The Avenger demande quelques connaissances dans la syntaxe du script, il est recommandé de demander l'avis d'une personne qualifiée.

The Avenger est téléchargeable depuis cette adresse : http://swandog46.geekstogo.com/
Vous trouverez la page de syntaxe du script à cette page : http://swandog46.geekstogo.com/avengernotes.htm

Voici un exemple de syntaxe pour supprimer un rootkit :

Sélectionne cette liste dans le cadre :

drivers to unload:
driver (note ne pas mettre l'extension .sys)

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\nom_du_service_a_supprimer
HKLM\SYSTEM\\Services\ControlSet001\nom_du_service_a_supprimer
HKLM\SYSTEM\\Services\ControlSet002\nom_du_service_a_supprimer
HKLM\SYSTEM\\Services\ControlSet003\nom_du_service_a_supprimer

Files to Delete:
Chemin_du_fichier_a_supprimer
Chemin_du_fichier2_a_supprimer
Chemin_du_fichier3_a_supprimer

Folders to delete:
Chemin_du_dossier_a_supprimer
Chemin_du_dossier2_a_supprimer
Chemin_du_dossier3_a_supprimer

Ce qui peut donner pour le rootkit pe386
drivers to unload:
pe386

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\pe386
HKLM\SYSTEM\\Services\ControlSet001\pe386
HKLM\SYSTEM\\Services\ControlSet002\pe386
HKLM\SYSTEM\\Services\ControlSet003\pe386

Après l'exécution du script, le service étant détruit, le driver n'est plus chargé.
il convient cependant de supprimer l'ADS. Ceci peut être fait à l'aide d'HijackThis : Les ADS avec HijackThis

Autres Liens

Cas spécial le Rootkit MBR : Supprimer le Rootkit MBR : PSW-Sinowal, Backdoor.MaosBoot Trojan.Mebroot

Pour plus d'informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)