Menu Fermer

Trojan Patched

Derrière le nom Trojan Patched se cache, un type de Trojan, pas forcément bien connu.
Dans cet article, je vais expliquer ce que sont les Trojans Patched, les avantages qu’ils apportent aux pirates et comment les supprimer.
Vous trouverez aussi quelques exemples de Trojan Patched qui ont pu frapper ces dernières années.

Introduction

Avant de rentrer dans le vif du sujet, une définition du terme informatique patch .

Un patch est un correctif qui permet de modifier un fichier, souvent il s’agit d’une modification très infime, quelques octets.
Le but étant modifier une ou deux fonctions précises du fichier.
Historiquement, le mot vient de l’utilitaire diff et patch qui permettent respectivement d’extraire des différences entre deux fichiers texte et d’appliquer des changements à un fichier.
On peut donc voir un patch, comme un pansement sur un fichier ou logiciel afin de corriger un bug précis.

Le fonctionnement des Trojans Patched est similaire.
Il s’agit de modifier un fichier système de Windows, afin de détourner le fonctionnement de ces derniers.

En général, les trojans visent des fichiers systèmes comme :

  • %windir%\explorer.exe
  • %System%\winlogon.exe
  • %System%\spoolsv.exe
  • %System%\wininit.exe
  • %System%\userinit.exe

Certaines DLL peuvent aussi être touchées comme :

  • %System%\user32.dll
  • %System%\ws2_32.dll
  • %System%\ws2help.dll
  • %System%\dnsapi.dll

Enfin, il est aussi arrivé que des drivers pilotes Windows aient été patchés comme :

  • beep.sys
  • ndis.sys

Bref, si ce sont généralement, les mêmes fichiers systèmes qui sont visés, c’est parce que sont avant tout certains fonctions qui le sont.
Cela peut aussi, venir du fait que ce sont des fichiers systèmes qui se chargent tôt à l’ouverture de la session Windows.
Parfois ces fichiers systèmes sont verrouillés ce qui rend la désinfection plus difficile.

Les buts recherchés par les pirates peuvent être différents :

  • Modifier une fonction en particulier pour en altérer le fonctionnement.
  • Charger un composant en mémoire afin de détourner certaines fonctions systèmes.

Les modifications de fichiers systèmes donnent alors certains avantages contrairement aux Trojans plus classiques.
Ces derniers ajoutent des fichiers dans Windows, il suffit la plupart du temps de les supprimer pour se débarrasser de l’intru.

Sur le forum, il existe une ancien article concernant ce type de “trojans patch” : Malwares et patch/remplacement fichiers systèmes

Exemple de Trojan Patched

Le problème des virus et programmes malveillants, de type Trojan Patched, n’est pas le trojan en lui même mais l’antivirus ou l’utilisateur qui va chercher par tous les moyens à supprimer la détection.
En effet, si l’antivirus détecte le Trojan, l’utilisateur va probablement tenter de placer le Trojan en quarantaine.
Comme il s’agit d’un fichier système, cela peut vite poser des problèmes de fonctionnement de Windows.

Par exemple, si un Trojan Patched est détecté sur le fichier dnsapi.dll et que l’antivirus le place en quarantaine.
Le réseau ne fonctionnera plus sur l’ordinateur.
De même, si l’antivirus place explorer.exe en quarantaine, le bureau Windows ne se chargera plus en début de session… L’utilisateur se retrouvera sans alors sans menu Démarrer.

Pour bien faire, il faudrait que les antivirus soit capable de prendrr en compte qu’il s’agit d’un fichier système, plutôt de proposer la mise en quarantaine, l’antivirus devrait tenter de réparer celui-ci ou de remettre en place une copie saine.
Ces types de Trojans étant plus complexes, il peut-être difficile d’automatiser la réparer des fichiers systèmes.
Une intervention humaine est alors souvent nécessaire.

En clair donc, si votre antivirus détecte un Trojan Patched, il vaut mieux éviter de tenter de placer ce dernier en quarantaine ou de le supprimer.

Exemples

Voici quelques exemples de Trojan Patched :

Un mot sur Trojan.Patched.Shopperz….

A l’heure où sont écrites ces lignes, Trojan.Patched.Shopperz est encore actif.
Ce Trojan Patch est assez frappant, il s’agit d’un adware qui patch le fichier dnsapi.dll. Cette DLL contient le chemin du fichier HOSTS de Windows.
L’adware cherche alors à modifier le chemin du fichier HOSTS pour charger le sien.
Ce dernier contient alors des entrées spécifiques sur des régies afin de pouvoir ensuite injecter des publicités sur les sites visités.
Trojan.Patched.Shopperz vise les fichiers dnsapi.dll du dossier system32 et SysWOW, en autre il attaque aussi les copies dans DLLCache afin de rendre la restauration des fichiers systèmes plus difficile.
Certains antivirus peuvent détecter ce dernier, lorsque l’utilisateur place le fichier en quarantaine, le réseau n’est plus fonctionnel.

Ci-dessous, Windows Defender détecte TrojanWin32/Patched.AO dans le fichier dnsapi.dll

Autres exemples par le passé avec Trojan.Bamital, ce dernier patchait des fichiers systèmes Windows.
Le but étant au final de détourner des fonctions systèmes de Windows afin de pouvoir en modifier le fonctionnement.
Le Trojan cherchait à modifier des fonctions pour charger notamment des DLL malicieuses dans les navigateurs WEB afin de générer des clics publicitaires.
Bamital était donc un Trojan de type ClickFraud.

Détecter les Trojans Patched

Comment détecter les Trojans Patched ?

Une analyse de votre antivirus peut aider à détecter ces Trojan Patched.

Enfin il existe un programme SigCheck de Sysinternals qui vérifie si le fichier système est signé Microsoft. Toute modification (donc patch) des fichiers supprime la signature de ce dernier.
La signature numérique est en autre abordée sur la page : Signature numérique et malware

Voici un exemple d’un patch de la DLL ws2_32.dll.
Ce qui nous donne ceci dans le cas de deux fichiers non légitimes et légitimes :

Image

VirusTotal donne aussi certaines informations sur le fichier et notamment vérifie la signature numérique de ce dernier.
La signature numérique est affichée depuis l’onglet File Detail.

Si le fichier système Windows n’est pas signé numériquement par Microsoft, vous pouvez en déduire qu’il a été modifié (patché).

Le programme FRST lors de l’analyse de l’ordinateur vérifie les signatures numériques de certains fichiers systèmes.
Voici un exemple de rapport FRST, avec un fichier dnsapi.dll patché.
Le fichier n’est pas mentionné “signé numériquement”, le MD5 du fichier est retourné.
On peut alors effectuer une recherche Google ou VirusTotal sur ce hash.

Une autre approche consiste à utiliser l’utilitaire SFC qui permet de vérifier l’intégrité des fichiers systèmes de Windows.
Le paramètre Verifyfile= permet de vérifier un fichier système.
Par exemple, si vous désirez vérifier le fichier kernel32.dll, vous pouvez utiliser la commande suivante à partir d’une invite de commandes en administrateur.

sfc /VERIFYFILE=c:\windows\system32\kernel32.dll

:

Supprimer Trojan Patched

Afin de pouvoir désinfecter l’ordinateur, il faut replacer une copie saine du fichier système qui a été patché.
La restauration du fichier peut alors être effectué de différente manière :

  • Une restauration du système Windows peut éventuellement replacer une copie saine.
  • L’utilitaire SFC de Windows qui permet d’analyser les fichiers systèmes, et les réparer.
  • Récupérer et copier une copie du fichier système depuis un autre ordinateur… Prenez une version de Windows identique : même version du service pack et même architecture (32/64 bits).

Des copies saines peuvent se trouver dans %System%\dllcache (C:\Windows\system32\dllcache) ou certains point de restauration système de Windows…. ces copies peuvent être utilisées par SFC ou la restauration du système.
Seulement, certains Trojan.patch tentent de modifier toutes les copies, vider les points de restauration système, afin de rendre SFC et la restauration système de Windows inopérante.

Dans ce dernier cas, si la restauration du fichier système n’est pas possible, la seule solution est une copie de remplacement manuellement depuis un autre ordinateur.
Etant donné que le fichier système peut-être verrouillé par Windows, la copie est parfois difficile.
Vous êtes alors obligé de passer par des utilitaires comme Combofix, FRST pour copier le fichier au redémarrage de Windows ou utiliser un CD Live.

Vous l’aurez compris, ce n’est pas forcément simple pour un utilitaire “lambda”.

Si votre antivirus détecte Trojan Patched, le mieux est de venir demander de l’aide sur le forum malekal.com : VIRUS : Supprimer/Desinfecter (Trojans, Adwares, Backdoor, Spywares, Hijack)
Vous serez guidé à partir d’une procédure adéquate.