Utilisation OTLPE à travers le virus Sacem

Un billet pour détailler l’utilisation d’OTLPE à travers la suppression du Virus Sacem, ce dernier touchant des points de chargements interressants.
Le but étant de démystifier un peu OTLPE pour les bidouilleurs. Il faut bien entendu avoir un minimum de connaissance de Windows notamment sur le registre Windows.

A titre d’exemple, nous prendrons ce rapport Pjjoint : http://pjjoint.malekal.com/files.php?read=20120427_i9m6y10x14x5&html=on

Analyse du rapport

Les processus malicieux sont en rouges et sont repérables assez facilement car ils sont souvent une suite aléatoire de lettres et chiffres – ex : hnszs0.exe
Les lignes O4 qui permettent le chargement des programmes après lancement du bureau sont facilement repérables.
Les lignes O7 listent les policies, ici on peux voir que des policies NoDestop (masquer les icônes), DisableTaskMgr et DisableRegistryTools permettent d’empécher l’utilisation du gestionnaire de tâches et de l’éditeur du registre.

puis dans le cas du Virus Sacem, nous avons des lignes O20 relatives au Shell et à Userinit.
Ces lignes sont décrites sur la page Impossible démarrer session Windows.

  • Par défaut userinit lance le processus d’initialisation de la session et environnement utilisateur, par défaut C:/Windows/System32/userinit.exe
  • La clef Shell charge le bureau (Menu Démarrer + barre des tâches  et heures et systray) qui est censé, par défaut, pointer sur explorer.exe

Ceci permet donc de remplacer le Menu Démarrer par la page du Virus Sacem.
Le rétablissement de ces clefs sont nécessaires pour retrouver un chargement de Windows normal, le fait de supprimer le fichier malicieux provoquera un chargement de Windows partiel avec le fond d’écran sans Menu Démarrer, comme le gestionnaîre de tâches est désactivé, il reste impossible de relancer explorer.exe

Enfin il faut prendre en compte le fait que nous somme sur un CD Live et que la ruche dans l’exemple ci-dessous est différent que sur Windows.
Les clefs Winlogon sont donc :

  • [HKLM\\\\SOFTWARE_ON_C\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\Winlogon]
  • [HKU\\\\TONY_ON_C\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\Winlogon]

Rappel pour les explications sur les ruches du registre Windows, se reporter à la page suivante : http://forum.malekal.com/les-ruches-registre-windows-t36726.html

Script de correction via OTLPE

Une fois que nous avons listé les éléments malicieux, il faut les fixer.
Voici le script qui permet de nettoyer le PC.

On liste simplement les lignes à supprimer sous la directive :OTL
Et on modifie le registre Windows pour rétablir les clefs sous la directive :reg

On obtient donc en prenant les exemples ci-dessus:

:OTL
O4 - HKLM..\\\\Run: [QJa8hs7QNbxt4uL] C:\\\\Users\\\\tony\\\\AppData\\\\Roaming\\\\ram_reserver64.exe ()
O4 - HKLM..\\\\Run: [Update] C:\\\\Windows\\\\System32\\\\config\\\\systemprofile\\\\AppData\\\\Roaming\\\\hnszs0.exe ()
O4 - HKU\\\\.DEFAULT..\\\\Run: [QJa8hs7QNbxt4uL] C:\\\\Windows\\\\System32\\\\config\\\\systemprofile\\\\AppData\\\\Roaming\\\\ram_reserver64.exe ()
O4 - HKU\\\\tony_ON_C..\\\\Run: [4Y3Y0C3A9F7W1HXWOQUYWG] C:\\\\Recycle.Bin\\\\B6232F3AAB1.exe File not found
O4 - HKU\\\\tony_ON_C..\\\\Run: [QJa8hs7QNbxt4uL] C:\\\\Users\\\\tony\\\\AppData\\\\Roaming\\\\ram_reserver64.exe ()
O20 - HKLM Winlogon: Shell - (C:\\\\Users\\\\tony\\\\AppData\\\\Roaming\\\\ram_reserver64.exe) - C:\\\\Users\\\\tony\\\\AppData\\\\Roaming\\\\ram_reserver64.exe ()
O20 - HKLM Winlogon: UserInit - (C:\\\\Users\\\\tony\\\\AppData\\\\Roaming\\\\ram_reserver64.exe) - C:\\\\Users\\\\tony\\\\AppData\\\\Roaming\\\\ram_reserver64.exe ()
O20 - HKU\\\\.DEFAULT Winlogon: Shell - (C:\\\\Windows\\\\system32\\\\config\\\\systemprofile\\\\AppData\\\\Roaming\\\\ram_reserver64.exe) - C:\\\\Windows\\\\System32\\\\config\\\\systemprofile\\\\AppData\\\\Roaming\\\\ram_reserver64.exe ()
O20 - HKU\\\\.DEFAULT Winlogon: UserInit - (C:\\\\Windows\\\\system32\\\\config\\\\systemprofile\\\\AppData\\\\Roaming\\\\ram_reserver64.exe) - C:\\\\Windows\\\\System32\\\\config\\\\systemprofile\\\\AppData\\\\Roaming\\\\ram_reserver64.exe ()
O20 - HKU\\\\tony_ON_C Winlogon: Shell - (C:\\\\Users\\\\tony\\\\AppData\\\\Roaming\\\\ram_reserver64.exe) - C:\\\\Users\\\\tony\\\\AppData\\\\Roaming\\\\ram_reserver64.exe ()
O20 - HKU\\\\tony_ON_C Winlogon: UserInit - (C:\\\\Users\\\\tony\\\\AppData\\\\Roaming\\\\ram_reserver64.exe) - C:\\\\Users\\\\tony\\\\AppData\\\\Roaming\\\\ram_reserver64.exe ()
:reg
[HKLM\\\\SOFTWARE_ON_C\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\Winlogon]
"Userinit"="C:\\\\\\\\\\\\WINDOWS\\\\\\\\\\\\system32\\\\\\\\\\\\userinit.exe,"
"Shell"="explorer.exe"

Il faut doubler les slash dans la clef Userinit.
Les Clefs Run seront supprimés ainsi que les clefs Winlogon.

 

Notez que l’on peux aussi suppprimer les fichiers avec la directive :files, dans ce cas les clefs Run ne seront pas supprimés.
Il faut donc les supprimer par la directive :reg

On obtient donc :

:files
C:\\\\Windows\\\\System32\\\\config\\\\systemprofile\\\\AppData\\\\Roaming\\\\hnszs0.exe
C:\\\\Users\\\\tony\\\\AppData\\\\Roaming\\\\ram_reserver64.exe
C:\\\\Windows\\\\System32\\\\config\\\\systemprofile\\\\AppData\\\\Roaming\\\\ram_reserver64.exe
:reg
[HKLM\\\\SOFTWARE_ON_C\\\\Microsoft\\\\CurrentVersion\\\\Windows\\\\Run
"QJa8hs7QNbxt4uL"=-
"Update"=-
"4Y3Y0C3A9F7W1HXWOQUYWG"=-
[HKU\\\\.DEFAULT..\\\\Microsoft\\\\CurrentVersion\\\\Windows\\\\Run
"Update"=-
[HKU\\\\TONY_ON_C\\\\Microsoft\\\\CurrentVersion\\\\Windows\\\\Run
"QJa8hs7QNbxt4uL"=-
"4Y3Y0C3A9F7W1HXWOQUYWG"=- 
[HKLM\\\\SOFTWARE_ON_C\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\Winlogon]
"Userinit"="C:\\\\\\\\\\\\WINDOWS\\\\\\\\\\\\system32\\\\\\\\\\\\userinit.exe,"
 "Shell"="explorer.exe"

Un mot sur les partitions actives/inactives

Un mot sur le rapport ci-dessous où Windows semble être sur le disque D.
On voit que les fichiers pointent sur le D et les ruches sont aussi chargées sur le D : _ON_D


En réalité, Windows est sur la partition C.
Il faut regarder la liste des partitions en en-tête de rapports, on voit une partition C de 200 Mo qui est très probablement inactive (certainement une partition de restauration).
Windows est donc sur C.

Le script de désinfection devra donc faire pointer le fichier userinit sur le C tout en ayant la ruche sur OTLPE étant sur _ON_D, ce qui donne :

:reg
[HKLM\\\\SOFTWARE_ON_D\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\Winlogon]
« Userinit »= »C:\\\\\\\\\\\\WINDOWS\\\\\\\\\\\\system32\\\\\\\\\\\\userinit.exe, »
« Shell »= »explorer.exe »

 

Voila !
En espérant que ce billet permettra à des bidouilleurs de désinfecter avec OTLPE.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 70 times, 1 visits today)

One thought on “Utilisation OTLPE à travers le virus Sacem

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *