Infection GOOTKIT "étrange" Fermé

Question

Bonjour,

Je m'adresse à vous car j'ai du mal à comprendre le comportement et la diffusion d'un cheval de Troyes, nous avons eu du mal à l'identifier et à essayer de le stopper, mais j'ai pleins de question. Voici donc l'historique de mon "affaire" :

- vendredi dernier, nous avons constaté une augmentation anormale de la charge consommée sur nos serveurs virtuels. Un processus SvcHost.exe était à 100% de CPU, en se connectant sur les serveurs nous avions des messages demandant la validation d'ajout de certificats, nous avons pensé à un problème de déploiement d'une mise a jour par wsus.
- après un redémarrage complet, les serveurs se sont calmés.
- en même temps nous avons commencé à recevoir des messages d'utilisateur qui avaient perdu leur configuration Chrome et qui avaient des message d'erreur au lancement de certains programme. mais au second lancement cela passait.
je précise que nous avons MacAfe de déployé et qu'il n'a rien détecté.
- en cherchant nous avons trouvé des traces avec RogueKiller d'une infection à base d'un "fileless Gootckit", mais il peine à nettoyer certaine machine, dans la base registre "HKLU/default/Software/cxsw"
Je dis "à base" car je ne trouve pas d'explication cohérente à cette contamination ni a sa propagation.

Comment puis je analyser cette situation et m'en protéger si un pc portable en est la cause ? 

Merci de votre aide.

Malekal_morte- · Answer

Salut,

Mouais, pas certains que ce soit un problème de malware.

Pour voir :


Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start= 
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.

spiderjn · Answer

j'ai joué l'outil sur un serveur virtuel 2008 infecté 

voici le fichier TDDSKilleir :
https://pjjoint.malekal.com/files.php?id=20150214_z10e7s7i6f9
et le rapport RogueKiller :
https://pjjoint.malekal.com/files.php?id=20150214_m5p10u11m15l9

Merci

Malekal_morte- · Answer

Il n'y a rien de malicieux sur le rappor RogueKiller.

spiderjn · Answer

Pourtant il m'affiche ce genre d'erreur lors du lancement:
[Tr.Gootkit] svchost.exe(3264) -- C:\Windows\SysWOW64\svchost.exe[x] -> [NoKill]
[Proc.Svchost] svchost.exe(3264) -- C:\Windows\SysWOW64\svchost.exe[7] -> Tué(e) [TermProc]

et il s'installe ce genre de truc dans la base de registre :

https://pjjoint.malekal.com/files.php?id=20150214_z10m15s13c7w10

qu'en penses tu ?

Malekal_morte- · Answer

Ca par contre, c'est malicieux. 
C'est la même infection que sur ce sujet : https://forum.malekal.com/viewtopic.php?t=50097&start=

On peut tenter de la virer avec FRST mais je pense que ça va revenir.



Suis ce tutorial : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

spiderjn · Answer

la suite FRS :
addition.txt
https://pjjoint.malekal.com/files.php?id=20150214_o8l15l8l11l5
FRST.txt
https://pjjoint.malekal.com/files.php?id=FRST_20150214_w12s15j13w10m11
Shortcut.txt
https://pjjoint.malekal.com/files.php?id=20150214_f14n6f7o14m7

voila

Malekal_morte- · Answer

Voici la correction à effectuer avec FRST. Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK. Copie/colle dedans ce qui suit : HKU\S-1-5-19\...\Run: [rundll32] => mshta about:title scriptmoveTo(-300,-300);resizeTo(0,0);scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\Software\ xsw\loader')) (the data entry has 11 more characters). HKU\S-1-5-20\...\Run: [rundll32] => mshta about:title scriptmoveTo(-300,-300);resizeTo(0,0);scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\Software\ xsw\loader')) (the data entry has 11 more characters). HKU\S-1-5-21-1343024091-1677128483-725345543-500\...\Run: [rundll32] => mshta about:title scriptmoveTo(-300,-300);resizeTo(0,0);scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\Software\ xsw\loader')) (the data entry has 11 more characters). HKU\S-1-5-21-1343024091-1677128483-725345543-6772\...\Run: [rundll32] => mshta about:title scriptmoveTo(-300,-300);resizeTo(0,0);scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\Software\ xsw\loader')) (the data entry has 11 more characters). HKU\S-1-5-18\...\Run: [rundll32] => mshta about:title scriptmoveTo(-300,-300);resizeTo(0,0);scripteval(new ActiveXObject('WScript.Shell').RegRead('HKCU\Software\ xsw\loader')) (the data entry has 11 more characters). C:\Users\adm\AppData\Local\Temp\2\dllnt_dump.dll C:\Users\adm\AppData\Local\Temp\2\dynwrapx.dll C:\Users\adm\AppData\Local\Temp\2\mshta.exe Une fois, le texte coller dans le bloc-note. Menu Fichier puis Enregistrer sous. A gauche, place toi sur le bureau. Dans le champs en bas, nom du fichier mets : fixlist.txt Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau. Relance FRST et clic sur le bouton Fix Selon comment un redémarrage est nécessaire (pas obligatoire). Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. Redémarre l'ordinateur

Malekal_morte- · Answer

C'est normal que vous n'aillez pas d'antivirus sur vos serveurs ?

spiderjn · Answer

ok procédure suivie sur un serveur. fix ok voici le log
https://pjjoint.malekal.com/files.php?id=20150214_r11d15g15z10b8

Reboot : et j'ai l'impression que c'est revenu
Nouveau FRST :

Addition.txt
https://pjjoint.malekal.com/files.php?id=20150214_n10w7c14z11q14
FRST.txt 
https://pjjoint.malekal.com/files.php?id=FRST_20150214_y7r6y137d8
Shortcut.txt 
https://pjjoint.malekal.com/files.php?id=20150214_v6w11h15s15n13

RogueKiller m'indique un filtre kernel
https://pjjoint.malekal.com/files.php?id=20150214_s10t13v13q58

Grave docteur ?

Malekal_morte- · Answer

oui je comprends bien, je n'ai pas plus d'infos, je pense qu'il faudrait :
- bloquer mshta.exe sur les GPO, le lancement de l'application reposer sur ce programme, s'il ne peut se lancer, les infections ne pourront plus se lancer.
- isoler les machines, mettre à jour et désinfecter pour chaque machine.
Voir si la machine ne se réinfecte pas, alors c'est probablement une vulnérabilité à distance.

aussi :
C:\Users\adm\AppData\Local\Temp\2\dllnt_dump.dll 
C:\Users\adm\AppData\Local\Temp\2\dynwrapx.dll 
C:\Users\adm\AppData\Local\Temp\2\mshta.exe 

Soumets les deux DLL sur https://www.virustotal.com/gui/ et vois les détections. Tu peux installer un antivirus qui les détectent, ça peut vous aider.
Eventuellement, fais moi parvenir les DLL, je peux les envoyer aux antivirus pour faire accélérer les choses.

Le malware étant actif sur le serveur, il peut aussi voler les mots de passe administrateur du réseau pour faire ce qu'il veut de manière automatiquent dont sauter d'une machine à l'autre.

Peliz71 · Answer

Bonjour,

Je voulais savoir si vous aviez avancé sur votre problème de virus. Nous avons également le même problème.
Ce que nous avons constaté :
Une machine infectée puis nettoyée (base de registre + fichier) RogueKiller + Sophos + Rkill +... . On la déconnecte du réseau. On crée un nouvel utilisateur local. On reboot la machine. Le virus est de retour.
Nous avons 5 serveurs de touchés et 60 PC environ. Soit 1/3 du parc. Aucune idée de comment il est arrivé ni comment il le propage.
Je suis preneur de toutes idées :)

Merci

spiderjn · Answer

Salut,
De notre coté, un script qui tourne régulièrement afin de corriger les serveurs et détecter les pc portables lorsqu'ils arrivent sur le réseau.

Pas encore d'explication sur la source ni la dangerosité.
A+

PELIZ71 · Answer

J'ai nettoyé les serveurs (base de registre : loader xsw, cxsw, binaryimage, ... dans toutes les ruches) ainsi que les fichiers dans temp et windows. J'ai bloqué l'accès au site : http://frostmayfair.org
Pour le moment les serveurs ne m'ont pas remonté d'erreur, de virus. Je vais attendre de voir avant de faire les PC. 
Sinon je suis comme SpiderJN. Aucune trace de la manière dont le virus se propage, ni comment il est arrivé.
Les infos sont très limitées sur le Net.
Au niveau de sophos, nous continuons de travailler avec eux mais pas de solution pour le moment. L'antivirus bloque bien le virus mais seulement lorsqu'il a déjà infecté la base de registre.
La première détection s'est faite le 10/01/2015 mais j'ai retrouvé des traces du virus datant de début décembre.
Je vous tiens au courant.

Malekal_morte- · Answer

il y a une campagne d'email malicieux qui vise la France et qui installe Gootkit : https://forum.malekal.com/viewtopic.php?t=51266&start=

Malekal_morte- · Answer

Mutation : https://forums.commentcamarche.net/forum/affich-31842283-gootkit-forte-suspicion-de-domaine-verole#3

Malekal_morte- · Answer

il est vivement conseillé d'installer le #KB3045645

https://forum.malekal.com/viewtopic.php?t=51266&start=#p397105

Infection GOOTKIT "étrange"

16 réponses

Discussions similaires