Site Officiel

Site Officiel
Site Officiel

mercredi 20 février 2013

[FR] RogueKiller tutoriel d'interprétation

RogueKiller : Tutoriel d'interprétation



Ceci est un guide d'interprétation des résultats de RogueKiller, outil de désinfection antivirus que l'on peut télécharger ici :  

 

_ RogueKiller _





RogueKiller est compatible Windows XP, Server 2003, Vista, Server 2008, Win7, Win8.
RogueKiller est compatible avec les Systèmes 32 bits et 64 bits.

Pour le tutoriel d'utilisation, voir ce lien.


Entête de rapport

 

 

RogueKiller V8.5.0  (version actuelle)  [Feb  8 2013] (date de la version) by Tigzy
mail : tigzyRK<at>gmail<dot>com 
(email de contact) 
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
(lien de retours)

Site Web : http://www.sur-la-toile.com/RogueKiller/  (site web)
Blog : http://tigzyrk.blogspot.com/ (blog)  

Systeme d'exploitation : Windows 7 (6.1.7600 ) 32 bits version
(système d'exploitation)
Demarrage : Mode normal 
(mode de démarrage) 
Utilisateur : Administrateur [Droits d'admin] (droits de la session) 
Mode : Suppression (mode utilisé) -- Date : 08/02/2013 20:06:21 (date d'utilisation) 
| ARK || FAK || MBR |  (switches de lancement : ARK = Antirootkit, FAK = Fichiers faked, MBR = Master boot record)

 

Section Processus

 


¤¤¤ Processus malicieux : 4 (nombre de processus tués) ¤¤¤

Cette section liste les processus ayant été tués par RogueKiller lors du PreScan. Ces derniers peuvent avoir été arrêtés pour diverses raisons, à savoir:

 

 

  • Processus pur (détection sur le processus)

[Rans.Gendarm (nom de la détection)][SUSP PATH (raison)] PRPRniUHTUXvqo.exe (nom du processus) -- C:\ProgramData\PRPRniUHTUXvqo.exe (chemin du processus) [7] (fichier signé) -> KILLED (statut) [TermProc] (méthode employée)

[BLACKLIST] BrowserProtect.exe -- C:\ProgramData\BrowserProtect\2.6.1095.52\BrowserProtect.exe [7] -> TUÉ [TermProc]
[RESIDUE] dmwu.exe -- C:\Windows\System32\dmwu.exe -> KILLED [TermProc] 
[Rans.Gendarm][BLACKLIST] temp85.exe -- C:\Windows\Temp\temp85.exe -> KILLED [TermProc] 
[SUSP PATH] VRT8B7C.tmp -- C:\Windows\Temp\VRT8B7C.tmp -> KILLED [TermProc]


  • DLL chargées par certains processus
Lorsque le processus est légitime (c'est le cas de explorer.exe) la DLL est déchargée. Lorsque le processus peut être arrêté sans problème de stabilité, on le tue (c'est le cas de rundll32.exe)


[SUSP PATH][DLL] explorer.exe (nom du processus) -- C:\Windows\explorer.exe (chemin du processus) : C:\Users\gvanden\AppData\Local\Microsoft\Programs\yluyvn.dll (chemin de la DLL trouvée) [-] (fichier non signé) -> DECHARGÉ (statut)

[SUSP PATH][DLL] rundll32.exe -- C:\Windows\System32\rundll32.exe : C:\Users\gvanden\AppData\Local\Microsoft\Programs\yluyvn.dll [-] -> TUÉ [TermProc]

  • Fenêtre (détection par titre de fenêtre)

[WINDOW : System Check (nom de la fenêtre)] vKAYD6qsRq9DKl.exe (nom du processus) -- C:\ProgramData\vKAYD6qsRq9DKl.exe (chemin du processus) -> KILLED (statut) [TermProc] (méthode employée)

[WINDOW : Security Shield] syecx.exe -- C:\Documents and Settings\Administrateur\Local Settings\Application Data\syecx.exe -> KILLED [TermProc]
[WINDOW : AV Security 2012] AV Security 2012v121.exe -- C:\WINDOWS\system32\AV Security 2012v121.exe -> KILLED [TermProc] 


  • Service (détection par le service manager)


[SERVICE] SSHNAS (nom du service) -- C:\WINDOWS\system32\svchost.exe -k netsvcs (ligne de commande du service) -> STOPPÉ (statut)


  • Processus caché
   

Section Registre 

 

¤¤¤ Entrees de registre : 9 (nombre d'entrées trouvées / supprimées) ¤¤¤

Cette section liste les entrées trouvées par RogueKiller et pouvant être malicieuses. Ces entrées peuvent être de plusieurs types, à savoir:



  • Clé de registre

Parmi ces clés de registre, on retrouve

- Clés RUN/RUNONCE/...

[RUN (type de clé)][SUSP PATH (raison de détection / nom du pattern)] HKLM\[...]\Run (chemin de la clé) : 1356365.exe (valeur de la clé) ("C:\WINDOWS\TEMP\1356365.exe" (donnée de la valeur)) -> SUPPRIMÉ (statut)

[RUN][Rans.Gendarm] HKCU\[...]\Run : SonyAgent (C:\Windows\Temp\temp91.exe) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : aphfaekakxoueou (C:\ProgramData\aphfaeka.exe) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : fWAjDhoipcN.exe (C:\ProgramData\fWAjDhoipcN.exe) -> SUPPRIMÉ
[RUN][BLACKLISTDLL] HKCU\[...]\Run : Microsoft Antivirus Scanner (rundll32.exe C:\Users\WILLIAMS FIGUEROA\2c.dll,Init) -> SUPPRIMÉ
[RUNONCE][SUSP PATH] HKCU\[...]\RunOnce : eP02401NmFnE02401 (C:\Documents and Settings\All Users\Application Data\eP02401NmFnE02401\eP02401NmFnE02401.exe) -> DELETED
 
 
- Détournement de clés SHELL (Userinit / Load / SafeBoot / ...)


[SHELL][SUSP PATH] HKCU\[...]\Winlogon : Shell (explorer.exe, "C:\Users\WILLIAMS FIGUEROA\AppData\Roaming\Microsoft\Windows\msshell.exe") -> SUPPRIMÉ
[SHELL][SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\WILLIA~1\LOCALS~1\Temp\msbakx.scr) -> SUPPRIMÉ


- Clés SERVICE


[Services][Root.Necurs] HKLM\[...]\ControlSet001\Services\e7a705764207da3c -> SUPPRIMÉ


- Détournement de PROXY (IE)


[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> TROUVÉ


- Détournement de DNS 


[DNS] HKLM\[...]\ControlSet001\
Services\Tcpip\Interfaces\{53788193-C993-4833-BF8F-90F051B43C30} : NameServer (46.4.11.10,8.8.8.8,8.8.4.4) -> TROUVÉ


- Détournement divers (IFEO, blocage gestionnaire de tâches, blocage éditeur de registre, masquage des icônes du bureau, détournement du fond d'écran, ...)


[HJ] HKLM\[...]\System : consentpromptbehavioruser (0) -> REMPLACÉ (1)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-
08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
[HJ] HKCU\[...]\Security Center : AntiVirusDisableNotify (1) -> REMPLACÉ (0)
[HJ] HKCU\[...]\Security Center : FirewallDisableNotify (1) -> REMPLACÉ (0)
[HJ] HKCU\[...]\Security Center : UpdatesDisableNotify (1) -> REMPLACÉ (0)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REMPLACÉ (1) 

[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\WINDOWS\web\wallpaper\Colline verdoyante.bmp)


- Détournement de DLLs (remplacement du chemin de fichiers systèmes) 

[HJ DLL (détournement de DLL)][Rans.Gendarm (nom du pattern)] HKLM\[...]\ControlSet003\Services\winmgmt\Parameters (chemin de la clé) : ServiceDll (valeur) (C:\Documents and Settings\FR18733\wgsdgsdgdsgsd.exe (donnée de la valeur)) [-] (signature du fichier) -> REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll) (statut : Ici remis à sa bonne valeur)

[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 :  (C:\$Recycle.Bin\S-1-5-21-524914533-2843266959-2165302196-1000\$0ec7203337002ec4d86f9f6253d8812d\n) -> REPLACED (C:\Windows\system32\shell32.dll)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 :  (C:\$Recycle.Bin\S-1-5-18\$0ec7203337002ec4d86f9f6253d8812d\n) -> REPLACED (C:\Windows\system32\wbem\fastprox.dll)


- Détournement de l'économiseur d'écran (un fichier .scr est un binaire, on peut le remplacer par un malware)

[SCREENSV][SUSP PATH] HKCU\[...]\Desktop (C:\Windows\62364fvdvs.scr) [-] -> TROUVÉ

 
- Détournement d'associations de fichiers


[FILE ASSO] HKCU\[...]Software\Classes\.exe\shell\open\command :  ("C:\Documents and Settings\tigzy\Local Settings\Application Data\fcp.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKCU\[...]Software\Classes\exefile\shell\open\command :  ("C:\Documents and Settings\tigzy\Local Settings\Application Data\fcp.exe" -a "%1" %*) -> REPLACED : ("%1" %*)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command :  ("C:\Documents and Settings\tigzy\Local Settings\Application Data\fcp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> REPLACED : ("C:\Program Files\mozilla firefox\firefox.exe")
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command :  ("C:\Documents and Settings\tigzy\Local Settings\Application Data\fcp.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> REPLACED : ("C:\Program Files\mozilla firefox\firefox.exe" -safe-mode)
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command :  ("C:\Documents and Settings\tigzy\Local Settings\Application Data\fcp.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\IEXPLORE.EXE")



- Clés de registre ou valeurs manquantes 



- Clés du mode sans échec 



- Clés de registre pour chargement automatique de DLLs (AppInit, AppSecDll, ...)

[APPINIT][SUSP PATH] HKLM\[...]\Windows : AppInit_DLLs (c:\ProgramData\Video Performer Manager\2.6.1123.78\{16cdff19-861d-48e3-a751-d99a27784753}\videomngr.dll) [7] -> REPLACED ()


- Détournement de GUID


- Clés de registre cachées


[SERVICES][HIDDEN KEY] HKLM\[...]\ControlSet001\Services\huy32\Start -> REMPLACÉ (4)
[RUN][HIDDEN VAL] HKLM\[...]\Run :  (G:\Program Files\FS2004 Network\iSafe All In One Keylogger Professional Edition 3.5.8\iSafe AIOne Keylogger 3.5.8\winsrv.exe) -> FOUND

 
- Clés de registre provenant d'une ruche externe 

(disque dur non système, autre partition ou lancement depuis un live CD)   

[SHELL (type de clé)][ROGUE ST (raison)] [ON_F: (disque de la ruche)]HKLM\Software[...]\Winlogon (clé): Shell (valeur) (C:\PROGRA~3\2158446.bat) (donnée) -> REPLACED (Explorer.exe) (statut : Ici remis à la bonne valeur)

 

  • Entrée dans un dossier de démarrage

Les dossiers de démarrage sont utilisés pour facilement faire démarrer un malware au boot du PC. Les dossiers vérifiés sont ceux de chaque utilisateur du PC, ainsi que le dossier commun.

 [STARTUP (type)][Rans.Gendarm (raison / nom du pattern)] runctf.lnk (nom du fichier) @FR18733 (utilisateur concerné) : C:\WINNT\system32\rundll32.exe|C:\DOCUME~1\FR18733\wgsdgsdgdsgsd.exe,M1N1 (ligne de commande exécutée) -> SUPPRIMÉ (statut)
 
[STARTUP][SUSP PATH] Explorer.lnk @Stefan : C:\ProgramData\16B6AABEC2CDBD\16B6AABEC2CDBD.exe -> TROUVÉ
[STARTUP][SUSP PATH] Zentom System Guard.lnk : C:\Documents and Settings\tigzy\Application Data\BAB785534D470CCBE1A0AB21EFEFA0DA\vcc70dep2r.exe -> DELETED


  • Tâche planifiée 

 Les tâches planifiées peuvent être utilisées pour faire démarrer un malware au boot du PC, ou à certaines heures. De plus les malwares ont la possibilité de prendre les droits d'administrateur.


[TASK (type)][SUSP PATH (raison)] OptimizerProUpdaterTask.job (nom de la tache) : C:\Documents and Settings\All Users\Application Data\Premium\OptimizerPro\OptimizerPro.exe /schedule /profilepath "C:\Documents and Settings\All Users\Application Data\Premium\OptimizerPro\profile.ini" (ligne de commandes de la tâche) -> SUPPRIMÉ (statut)

  • Entrées dans un fichier spécifique (ex: Proxy Firefox) 
 


Section Fichiers particuliers

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤  


Cette section permet de rechercher des fichiers / dossiers marqués comme étant malware  100%. Ce sont les seuls fichiers que RogueKiller supprime ou remplace par une copie saine. Cela inclut des composants de malwares, des fichiers système patchés, des drivers patchés et cachés, ou des jonctions.


[ZeroAccess (raison)][JUNCTION (type)] C:\Windows\$NtUninstallKB50421$ (chemin du fichier) >> \systemroot\system32\config (cible de la jonction) --> SUPPRIMÉ (statut)
[Del.Parent (raison)][FILE (type)] 00000004.@ (nom du fichier) : C:\Windows\$NtUninstallKB50421$\1822992477\U\00000004.@ (chemin du fichier) --> SUPPRIMÉ (statut)

[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB50421$\1822992477\U --> SUPPRIMÉ
[Del.Parent][FOLDER] ROOT : C:\Windows\$NtUninstallKB50421$\1822992477 --> SUPPRIMÉ
[Faked.Drv][FILE] tdx.sys : C:\Windows\system32\drivers\tdx.sys --> REPLACED AT REBOOT (C:\Windows\snack\tdx.sys)
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe --> REPLACED AT REBOOT (C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe)
 [Susp.ASLR|Sig - ZeroAccess][FILE] services.exe : C:\Windows\system32\services.exe --> TROUVÉ



Section Driver

 

Cette section liste toutes les anomalies trouvées par le driver de RogueKiller. Sous OS 64 bits, le driver n'étant pas chargé cette section apparait vide. Les anomalies sont en règle générale des Hooks effectués par des rootkits au niveau du noyau (SSDT, S_SSDT, IRP, ...)

 

SSDT[37] (object + index) : NtCreateFile (API hookée) @ 0x805790A2 (adresse) -> HOOKED (\SystemRoot\system32\DRIVERS\4170085drv.sys (chemin du rootkit) @ 0xA817E270 (adresse de la fonction de hook))  
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] (object + index) : \SystemRoot\System32\drivers\mountmgr.sys (module hooké) -> HOOKED ([MAJOR] (type de hook) Unknown (module du rootkit) @ 0x86947FA9 (adresse du hook))

S_SSDT[13] : NtGdiBitBlt -> HOOKED (\SystemRoot\system32\DRIVERS\
4170085drv.sys @ 0xA818E118)


Section Infection

 

Cette section liste tous les noms d'infection détectées et connues.


¤¤¤ Infection : Root.MBR ¤¤¤  


Section Ruches externes


Cette section liste toutes les ruches externes trouvées sur le PC. Il s'agit des ruches de registre Windows trouvées à des endroits prédéfinis, mais n'étant pas celles du système courant. Cela arrive lorsque le PC présente plusieurs partitions bootable (Windows) ou qu'il est démarré depuis un live CD PE. Cela s'avère pratique pour désinfecter le registre Windows avec le système non chargé.



¤¤¤ Ruches Externes: ¤¤¤
-> D:\windows\system32\config\
SOFTWARE (chemin de la ruche trouvée)
-> D:\windows\system32\config\SYSTEM
-> D:\Users\Default\NTUSER.DAT



Section Hosts

 

Cette section affiche les 20 premières lignes du fichier hosts, et vérifie que le chemin de ce dernier n'a pas été détourné. 

 

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts (chemin du fichier hosts)

127.0.0.1       localhost
(ligne légitime)
::1             localhost (ligne légitime)
192.157.56.28 www.google-analytics.com. (ligne malware)
192.157.56.28 ad-emea.doubleclick.net.
192.157.56.28 www.statcounter.com.
93.115.241.27 www.google-analytics.com.
93.115.241.27 ad-emea.doubleclick.net.
93.115.241.27 www.statcounter.com.


Section MBR


Cette section affiche la configuration MBR des 5 premiers disques physique du PC. Cela inclut une analyse du bootstrap, et une analyse / listing de la table des partition.



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0 (disque physique): ST9160827AS ATA Device (nom du disque) +++++
--- User --- (vérification haut niveau)
[MBR] 293176d6b56795e13a67f5e273ee0c2d (MD5 du MBR)
[BSP] 5c11c6be435017a188f295e986e5df02 (MD5 bootstrap) : Windows Vista MBR Code (identification du bootsrap, ici légitime)
Partition table: (table des partitions)
0 (index de la partition) - [XXXXXX] (non bootable) ACER  (0x27) (type de partition) [VISIBLE] (visible) Offset (sectors): 63 (commence à l'octet 63) | Size: 12291 Mo (taille 12 Go)
1 - [ACTIVE] (bootable) NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 140334 Mo
User = LL1 ... OK! (haut niveau = bas niveau 1 : le MBR n'est pas caché)
User = LL2 ... OK! (haut niveau = bas niveau 2 : le MBR n'est pas caché)

  
Dans le cas d'un MBR caché par un rootkit, une des méthodes bas niveau ne renvoi pas les mêmes résultats, et montre donc le vrai MBR (celui que le rootkit ne veut pas qu'on voit)



User = LL1 ... OK! (haut niveau = bas niveau 1 : le MBR n'est pas caché)
User != LL2 ... KO! (haut niveau != bas niveau 2 : le MBR EST caché)
--- LL2 --- (Analyse du MBR bas niveau trouvé)
[MBR] ffadd27a7f95b341085cc6d6ca1ce1a2
[BSP] 5c11c6be435017a188f295e986e5df02 : Windows Vista MBR Code [possible maxSST in 2!] (partition rootkit SSt dans l'index 2 )
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 140334 Mo
2 - [ACTIVE] NTFS (0x17) [HIDDEN!] (partition cachée) Offset (sectors): 312579760 | Size: 0 Mo => PARTITION ROOTKIT
 

 Parfois le MBR n'est pas caché par le rootkit, mais il est quand même infecté.
 


+++++ PhysicalDrive0: SAMSUNG HM160HI ATA Device +++++
--- User ---
[MBR] 0b41881e9d0c49152e6087896cbec7

b7
[BSP] 99326bbdc32560c9a3d7e2917200c9
6f : Xpaj MBR Code! (bootstrap infecté)
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 152525 Mo
User = LL1 ... OK!
User = LL2 ... OK!


Raccourcis RAZ (mode)



Cette section apparait après sélection du mode "Raccourci RAZ" dans l'interface. Elle liste les fichiers cachés restaurés par RogueKiller (En cas de rogue "fake HDD").


¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 6675 / Fail 0 (6675 fichier restaurés sur le bureau - 0 non restaurés) 
Lancement rapide: Success 7 / Fail 0
Programmes: Success 24786 / Fail 0
Menu demarrer: Success 430 / Fail 0
Dossier utilisateur: Success 6583 / Fail 0
Mes documents: Success 131315 / Fail 0
Mes favoris: Success 8 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 44060 / Fail 0
Sauvegarde: [FOUND] Success 125468 / Fail 0 / Exists 1
(Une sauvegarde trouvée et 125468 fichiers restaurés)
Lecteurs: (liste des lecteurs traités. RogueKiller ne traite que les lecteurs locaux et externes) 
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
[Z:] \Device\VBoxMiniRdr\;Z:\VBOXSVR\Shared -- 0x4 --> Skipped
(lecteur réseau - ignoré)


Pied du rapport



Termine : << RKreport[2]_D_13022013_125737.txt (nom du rapport actuel)>>
RKreport[1]_S_13022013_125600.txt ; RKreport[2]_D_13022013_125737.txt  (liste des rapports précédents)



Infos supplémentaires

 

  • Fichiers signés

Dans certaines sections, les fichiers trouvés sont vérifiés à l'aide su module "SigCheck". Cela permet de savoir s'il est signé numériquement ou non. Cela se voit de la manière suivante:

[7] => Fichier signé

[-] => Fichier non signé

[x] => Fichier non trouvé

 

  • PUM (Potentially Unwanted Modification)

Certaines détections sont classifiées comme "PUM", car il ne s'agit pas de malwares à proprement parlé, mais de modifications du système pouvant avoir été opérées par un malware. Il s'agit du masquage du gestionnaire de tâche, de regedit, d'icones du bureau ou de paramètres système concernant le centre de sécurité ou l'UAC. La suppression ou non de ces modifications n'a pas de réel impact sur le taux d'infection d'un PC, mais permet dans certains cas de rétablir des paramètres utiles à l'utilisation qu'en fait l'utilisateur. C'est pour cela que la décision lui incombe. 

Exemple:

 

[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ