Comment détecter et supprimer les rootkits inconnus

 

 

ABC de la sécurité: Virus et solutions

 
 
 

Comment détecter et supprimer les rootkits inconnus

Retour vers la section "Virus et solutions"
2014 oct. 10 Article ID: 5353
 
 
 
 

Un rootkit est un programme ou ensemble de programmes qui permet de dissimuler la présence d'un individu malintentionné ou d'un programme malveillant dans le système.

Dans les systèmes Windows, on considère comme rootkit tout programme qui s'infiltre dans le système et intercepte les fonctions système (Windows API). L'interception et la modification des fonctions API de bas niveau permet avant tout à ce genre de programme de bien masquer sa présence dans le système. De plus, en général, un outil de dissimulation d'activité masque la présence dans le système de n'importe quel processus, dossier ou fichier sur le disque ou clé de registre décrit dans sa configuration. De nombreux outils de dissimulation d'activité installent leurs pilotes et services dans le système (ils sont aussi invisibles).

L'analyse et la réparation des systèmes infectés par des rootkits connus (TDSS, Sinowal, Whistler, Phanta, Trup, Stoned) aussi que par des rootkits inconnus sont effectuées à l'aide de l'utilitaire TDSSKiller.

Liste des programmes malveillants

Backdoor.Win32.Phanta.a,b; Backdoor.Win32.Sinowal.knf,kmy; Backdoor.Win32.Trup.a,b; Rootkit.Boot.Aeon.a; Rootkit.Boot.Backboot.a; Rootkit.Boot.Batan.a; Rootkit.Boot.Bootkor.a; Rootkit.Boot.Cidox.a,b; Rootkit.Boot.Clones.a; Rootkit.Boot.CPD.a,b; Rootkit.Boot.Fisp.a; Rootkit.Boot.Geth.a; Rootkit.Boot.Goodkit.a; Rootkit.Boot.Harbinger.a; Rootkit.Boot.Krogan.a; Rootkit.Boot.Lapka.a; Rootkit.Boot.MyBios.b; Rootkit.Boot.Nimnul.a; Rootkit.Boot.Pihar.a,b,c; Rootkit.Boot.Plite.a; Rootkit.Boot.Prothean.a; Rootkit.Boot.Qvod.a; Rootkit.Boot.Smitnyl.a; Rootkit.Boot.SST.a,b; Rootkit.Boot.SST.b; Rootkit.Boot.Wistler.a; Rootkit.Boot.Xpaj.a; Rootkit.Boot.Yurn.a; Rootkit.Win32.PMax.gen; Rootkit.Win32.Stoned.d; Rootkit.Win32.TDSS; Rootkit.Win32.TDSS.mbr; Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k; Trojan-Clicker.Win32.Wistler.a,b,c; Trojan-Dropper.Boot.Niwa.a; Trojan-Ransom.Boot.Mbro.d,e; Trojan-Ransom.Boot.Mbro.f; Trojan-Ransom.Boot.Siob.a; Virus.Win32.Cmoser.a; Virus.Win32.Rloader.a; Virus.Win32.TDSS.a,b,c,d,e; Virus.Win32.Volus.a; Virus.Win32.ZAccess.k; Virus.Win32.Zhaba.a,b,c.

Réparation du système infecté

  • Téléchargez le fichier TDSSKiller.exe.
  • Exécutez le fichier TDSSKiller.exe sur l'ordinateur infecté ou potentiellement infecté.
  • Attendez jusqu'à ce que l'analyse et la réparation sont terminées. Après la réparation, il peut être nécessaire de redémarrer l'ordinateur.

Important !

  • L'utilitaire possède une interface graphique.
  • L'utilitaire prend en charge
    les systèmes d'exploitation 32 bits : MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1, Microsoft Windows Server 2003 R2 Standard / Enterprise SP2, Microsoft Windows Server 2003 Standard / Enterprise SP2, Microsoft Windows Server 2008 Standard / Enterprise SP2,
    et
    les systèmes d'exploitation 64 bits
    : MS Windows XP SP2, MS Windows XP SP3, MS Windows Vista, MS Windows Vista SP1, MS Windows Vista SP2, MS Windows 7, MS Windows 7 SP1, Microsoft Windows Server 2008 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 R2 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2003 Standard / Enterprise x64 Edition SP2, Microsoft Windows Server 2008 R2 Standard / Enterprise x64 Edition SP0 ou supérieur.
  • L'utilitaire peut être lancé en mode normal ou en mode sans échec.

Utilisation de l'utilitaire

  • Lorsque vous cliquez sur le bouton Start scan, la recherche des objets malveillants et suspects est lancée.
  • L'utilitaire peut détecter les objets suspects suivants :
    • Hidden service (service caché) : la clé de registre est cachée lorsque la liste standard est utilisée ;
    • Blocked service (service bloqué) : la clé de registre ne peut pas être ouverte par des moyens standard ;
    • Hidden file (fichier caché) : le fichier sur le disque est caché lorsque la liste standard est utilisée ;
    • Blocked file (fichier bloqué) : le fichier sur le disque ne peut pas être ouvert par des moyens standard ;
    • Forged file (fichier substitué) : lorsqu'il est lu par des moyens standard, le contenu original du fichier est renvoyé au lieu du contenu actuel ;
    • Rootkit.Win32.BackBoot.gen : le MBR (Master Boot Record) suspect d'infection par un bootkit inconnu.


Il est très probable que de telles anomalies dans le système sont le résultat de l'activité d'un rootkit. Mais elles peuvent être aussi les traces de l'activité d'un logiciel légitime.

  • Afin d'effectuer une analyse approfondie, placez les objets détectés en quarantaine (utilisez l'option Copy to quarantine).
    Le fichier ne sera pas supprimé dans ce cas.
  • Envoyez les fichiers pour l'analyse au Laboratoire antivirus de Kaspersky Lab ou à VirusTotal.com.
  • Si l'analyse a prouvé que les objets étaient malveillants, vous pouvez :
    • les supprimer en sélectionnant l'option Delete ;
    • les restaurer (si c'est le cas du MBR) en sélectionnant l'option Restore.

Paramètres du lancement de l'utilitaire TDSSKiller.exe à partir de l'invite de commandes

-l <nom_du_fichier> : enregistre un rapport vers un fichier. Vous pouvez spécifier les répertoires inexistants. Tous les dossiers nécessaires seront créés automatiquement.
-qpath <chemin_d'accès_au_dossier> : sélectionner l'emplacement du dossier de la quarantaine (si le dossier n'existe pas, il sera créé) ;
-h : afficher l'aide sur l'utilisation des clés ;
-sigcheck : détecter tous les pilotes non signés comme suspect ;

L'utilitaire détectera les fichiers qui ne possèdent pas de signature numérique ou possèdent une signature non valide. Ces fichiers ne sont pas forcément infectés. Ce type de pilotes est détecté comme <unsigned file> (fichier non signé). Si vous pensez que ce fichier est malveillant, envoyez-le pour l'analyse au Laboratoire antivirus.


-tdlfs : détecter la présence du système de fichiers TDLFS créée par les rootkits TDL 3/4 dans les derniers secteurs du disque dur pour stocker leurs fichiers. Il est possible de copier tous ces fichiers vers la quarantaine.

En cas d’utilisation des clés suivantes, les confirmations ne seront pas demandées avant les opérations :

-qall : copier tous les objets (y compris non suspects) vers la quarantaine ;
-qsus : copier uniquement les objets suspects vers la quarantaine ;
-qboot : copier tous les secteurs d'amorçage vers la quarantaine ;
-qmbr : copier tous les MBR vers la quarantaine ;
-qcsvc <nom_du_service> : copier le service indiqué vers la quarantaine ;
-dcsvc <nom_du_service> : supprimer le service indiqué ;
-silent : mode silencieux (aucune fenêtre n’est affichée à l’utilisateur) permettant de démarrer l’utilitaire de manière centralisé dans le réseau ;
-dcexact : réparation ou suppression automatique des menaces connues (utile avec la clé « -silent » pour la réparation de plusieurs ordinateurs dans le réseau).


Par exemple, pour effectuer l'analyse de l’ordinateur et enregistrer un rapport détaillé dans le fichier report.txt (le fichier est créé dans le dossier où se trouve l’utilitaire TDSSKiller.exe), utilisez la commande suivante :

TDSSKiller.exe -l report.txt

 
 
 
 
Ces informations vous ont-elles été utiles ?
Oui Non
 

 
 

Vos commentaires sur le site du Support Technique

Signalez-nous si vous n'avez pas trouvé des informations nécessaires ou laissez vos commentaires sur le site pour que nous puissions l'améliorer :

Envoyer mon avis sur le site Envoyer mon avis sur le site

Merci !

Nous vous remercions d'avoir pris
le temps de nous faire part de vos commentaires.
Nous les analyserons et utiliserons pour nous aider à
améliorer le site du Support Technique de Kaspersky Lab.