TDSS et outils de démarrage Windows Seven

Un petit billet sous forme de TDSS concernant Rootkit.TDSS TDL 4 (Trojan.Alureon) et les outils de récupérations disponibles sur Windows Seven.

Pour rappel, TDSS est un malware qui s’inscrit dans le MBR pour se lancer au démarrage et provoque des redirections lors des recherches Google.
Ci-dessus après avoir chercher le mot vache sur Google, en cliquant sur un résultat, on voit que le navigateur contacte une URL « bizarre »

TDSS et outils de démarrage Windows Seven

qui redirige vers Ebay.

TDSS et outils de démarrage Windows Seven

Au niveau des URLs contactées :

1311581569.555 0 192.168.1.111 TCP_NEGATIVE_HIT/204 327 GET http://www.google.fr/gen_204?atyp=i&ghp=fbg – NONE/- text/html
1311581569.716 0 192.168.1.111 TCP_NEGATIVE_HIT/204 283 GET http://clients1.google.fr/generate_204 – NONE/- text/html
1311581569.838 52 192.168.1.111 TCP_MISS/204 319 GET http://www.google.fr/gen_204?atyp=i&ct=backbutton&cad=&ei=DCMtTrPENcSSswbT27T3Dw&zx=1311580944384 – DIRECT/209.85.148.106 text/html
1311581571.458 55 192.168.1.111 TCP_MISS/200 676 GET http://www.google.fr/url?sa=t&source=web&cd=7&ved=0CEcQFjAG&url=http%3A%2F%2Fwww.1000vaches.com%2F&rct=j&q=vache&ei=DCMtTrPENcSSswbT27T3Dw&usg=AFQjCNGoeiyMqpXuH7mC2dHJecqFcBNSFA – DIRECT/209.85.148.106 text/html
1311581572.065 229 192.168.1.111 TCP_MISS/200 675 GET http://www.1000vaches.com/ – DIRECT/87.106.118.86 text/html
1311581573.492 1397 192.168.1.111 TCP_MISS/200 1251 GET http://offbeatdigest.com/result.php?Keywords=vache&r=c1116f82b07cc45b7550189d379d0931f242592cf2f4a902d7e61167635d651a577247414862993028ad82738f4d03b8&Submit=Go – DIRECT/74.117.114.84 text/html
1311581633.271 61137 192.168.1.111 TCP_MISS/302 768 GET http://lld62o-sckhb974g.com/DAT3bAYL7V4jrau114db4832609e1fe2822435736d37956616k – DIRECT/195.3.145.184 text/html
1311581633.451 119 192.168.1.111 TCP_MISS/302 666 GET http://www.mirago.co.uk/click.ashx?e=ZGieeAB2wtbYGvzk8CLxIwkHu%2bdFdEUBixWngfl%2fbkl3HpOjRq5htlxbAyt3xTsGO6mjb%2fsRS2w7G%2bzPYuTAV5SOdlCiouMcnj5PDOL35V2QdU5mTjx9kluhNiNU798YeU8JfQ0wcvtkBGzgAwcofxu6wE1pP%2fwHjcDglV8L1VU8nTmFMdRl5H5BnzPQ4bmVFH7hJJpm9jl9hJdKtxc0%2bQ%3d%3d – DIRECT/217.154.245.10 text/html
1311581634.067 566 192.168.1.111 TCP_MISS/301 898 GET http://rover.ebay.com/rover/1/709-81959-28221-1/4 – DIRECT/66.211.179.119 image/gif
1311581634.722 580 192.168.1.111 TCP_MISS/301 770 GET http://rover.ebay.fr/rover/1/709-81959-28221-1/4?mpre=http%3A%2F%2Fwww.fr.ebay.com%3Frvr_id%3D250056138545%26clk_rvr_id%3D250056138545&cguid=604df3e31310a47a44c55275fee647c3 – DIRECT/66.135.202.220 image/gif
1311581635.628 710 192.168.1.111 TCP_MISS/301 974 GET http://www.fr.ebay.com/?rvr_id=250056138545&clk_rvr_id=250056138545 – DIRECT/66.135.210.62 –
 

Réparation du démarrage

Pour obtenir des informations sur le fonctionnement des outils au démarrage de Windows Seven, se reporter à la page suivante : https://forum.malekal.com/windows-recuperer-son-systeme-t20428.html#p166847

TDSS et outils de démarrage Windows Seven

Le premier essai consiste à tenter la réparation du démarrage….  1er option dans le menu précédent, au passage l’option nous propose au passage une restauration du système.

TDSS et outils de démarrage Windows Seven

au redémarrage TDSS est toujours présent.

TDSS et outils de démarrage Windows SevenRé-écrire le MBR depuis la réparation du démarrage

La seconde option consiste à réécrire le MBR – prendre la dernière option : inviste de commandes

TDSS et outils de démarrage Windows Sevenet saisir la commande suivante : bootsect /nt60 SYS /mbr
la commande fixmbr ayant disparu.

TDSS et outils de démarrage Windows SevenAu redémarrage, GMER est clean.

TDSS et outils de démarrage Windows Seven

Conclusion

Sans surprise, il faut réécrire le MBR afin de supprimer le chargement de l’infection. La bonne nouvelle est que l’on est pas obligé de booter sur un DVD Windows, qui en général, n’est pas fourni avec le PC.
On peux passer par les outils de démarrage de Windows Seven pour attraper l’invites de commandes et lancer la commande de réécrire du MBR qui supprime TDSS.

L’inconvénient est que cela peux faire sauter le tatouage du PC – voir cette page pour les PC tatoués : http://www.e-juristes.org/Le-tatouage-des-ordinateurs/

 

Print Friendly, PDF & Email
(Visité 262 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet