Gootkit : Forte suspicion de domaine vérolé.

Résolu/Fermé
atlan95 Messages postés 12 Date d'inscription jeudi 16 avril 2015 Statut Membre Dernière intervention 19 mai 2015 - 16 avril 2015 à 11:33
vincsilver Messages postés 36 Date d'inscription lundi 5 décembre 2011 Statut Membre Dernière intervention 22 mai 2015 - 22 mai 2015 à 11:56
Bonjour,
je m'excuse de vous importuner mais je suis à court de solution concernant mon problème.
Si vous pouviez m'aider,ce serait vraiment gentil.
Je vous explique rapidement le problème. Toutes les machines de mon domaines ont commencé à la fin du mois de mars à avoir des problèmes pour se connecter à internet. Pourtant les tests de débits sur les machines sont bon. J'utilise en antivirus trend micro worry business sur le serveur et son agent sur tous mes clients.
En contrôlant les programmes installés, j'ai eu la surprise de voir plusieurs .Exe.
Ci-joint le screen.


J ai utilisé mbam, adwcleaner,kaspersky removal tool. Rien n'y fait.
Merci d'avance pour vos suggestions.

7 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
16 avril 2015 à 11:36
Salut,

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0
atlan95 Messages postés 12 Date d'inscription jeudi 16 avril 2015 Statut Membre Dernière intervention 19 mai 2015
16 avril 2015 à 15:20
Salut Malekal_morte,
tout d'abord un grand merci pour la réponse. Voici les trois liens générés
comme dans le tuto que tu m'as fournis.

https://pjjoint.malekal.com/files.php?id=FRST_20150416_w6e7l12n10f7
https://pjjoint.malekal.com/files.php?id=20150416_b5j13y10z14q5
https://pjjoint.malekal.com/files.php?id=20150416_g12m12c14s12u5
J'espère que c'est pas trop grave.
Et encore merci pour tout.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 16/04/2015 à 17:14
Ha Windows 2008 Serveur.

mouais mouais, les .sdb - ça me fait penser à ça : https://forum.malekal.com/viewtopic.php?t=51266&start=

mozilla.exe (HKLM\...\{5c50e42a-21fa-4964-b457-bb0dfb3caa57}.sdb) (Version: - )
msimn.exe (HKLM\...\{da7a9291-e161-48da-bfd5-3b23e5eef9f3}.sdb) (Version: - )
msmsgs.exe (HKLM\...\{4c0a5cd2-abb4-4e2c-b9d3-2a1de0739dbf}.sdb) (Version: - )
myie.exe (HKLM\...\{dfc8c995-2fee-434d-9050-9d35d2662b7d}.sdb) (Version: - )
navigator.exe (HKLM\...\{6473a1d3-c6a0-4c21-bdd3-8ed2c8517670}.sdb) (Version: - )
opera.exe (HKLM\...\{6acaad88-e146-4f62-a158-4d6bb3c14b05}.sdb) (Version: - )


mais pas de Gootkit.

Par contre, ça c'est suspicieux :

HKLM-x32\...\RunOnce: [{07FB1BD4-0A40-45FD-95A6-002D11A393CE}] => cmd.exe /C start /D C:\Users\ADMINI~1.DOM\AppData\Local\Temp\2 /B {07FB1BD4-0A40-45FD-95A6-002D11A393CE}.cmd <===== ATTENTION

Apparemment C:\Users\administrateur.DOM-SBS\AppData\Local\Temp\2 est un dossier, tu peux zipper le contenu et l'envoyer sur http://upload.malekal.com

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
16 avril 2015 à 17:10
0
atlan95 Messages postés 12 Date d'inscription jeudi 16 avril 2015 Statut Membre Dernière intervention 19 mai 2015
16 avril 2015 à 20:12
Re malekal_morte-
Le fichier zippé fais 330 méga environ. Je peux te l'envoyer si tu veux avec 1fichier ou autre chose.
Un gros merci pour le tuto de nettoyage. J'avais une question bête sinon. Dois je éteindre les autres stations vérolé ou cela n'a aucune incidence?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
16 avril 2015 à 20:24
oula ok,
tu peux le supprimer ?
0
atlan95 Messages postés 12 Date d'inscription jeudi 16 avril 2015 Statut Membre Dernière intervention 19 mai 2015
16 avril 2015 à 20:31
J'ai pu supprimer une grande parti mais y a des fichiers qui sont en cours d'utilisation.
Autre question qui découle de cette infection. Est ce que ca peut avoir une incidence sur le réseau? Je m'explique. Depuis qu'il y a eu cet infection,tout les pc lagues sur internet.
0
atlan95 Messages postés 12 Date d'inscription jeudi 16 avril 2015 Statut Membre Dernière intervention 19 mai 2015
16 avril 2015 à 20:38
Je m attribue les droits ntfs dessus et ce sera bon. Veux tu que je t envois ce qui reste?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
16 avril 2015 à 21:07
bha ça peut faire des requêtes.

Mais bon en général, ce malware a tendance à revenir.

Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.

0
atlan95 Messages postés 12 Date d'inscription jeudi 16 avril 2015 Statut Membre Dernière intervention 19 mai 2015
20 avril 2015 à 09:34
Salut malekal_morte-,
Désolé pour le retard de la réponse,eset nod 32 ne s'installant pas et le réseau étant fortement ralenti, veut tout remonter sur du neuf.
En tout cas,gros,gros merci et si tu es paris,t'es le bienvenue pour boire un café ou une orangeade pressée. :)
0
vincsilver Messages postés 36 Date d'inscription lundi 5 décembre 2011 Statut Membre Dernière intervention 22 mai 2015 21
22 avril 2015 à 16:49
Bonjour,

Le Tr.Gootkit est très présent depuis la mi-mars 2015.
Il faut absolument faire attention à ne pas ouvrir les pièces jointes des emails suspicieux !
La méthode de contamination est souvent la même. Un email contenant une ou plusieurs pièces jointes au format Word, PDF, JPEG, etc.. embarque des Macro (code VBA malicieux) qui lorsque le système d'exploitation est à amoindri en sécurité (Désactivation de l'UAC, activation automatique des macro à l'ouverture de Word / Excel ou la désactivation du SafeMode d'Adobe Reader / Foxit Reader, droit d'administrateur local, etc..) facilite l'infection.

Le plus embêtant, c'est qu'à partir du moment ou l'utilisateur qui est infecté à les droits d'administrateur local sur son poste et sur les autres postes du domaine, le GootKit est capable de se propager sur les autres postes.

Jusqu'à maintenant TrendMicro WFB n'y voit que du feu.
Eset commence à le bloquer mais bien souvent il est trop tard.
Je ne sais pas ce qu'il en est pour Symantec, Kapersky, etc..

RogueKiller / ADWCleaner le détecte (voir logs ci-dessous) et le supprime facilement mais il faudrait avoir une analyse en temps réél afin d'être mieux protégé.

Dossier Trouvé : "C:\Users\XXXX\AppData\Local\Google\Chrome\User Data\Default\Extensions\ncffjdbbodifgldkcbhmiiljfcnbgjab"

[Tr.Gootkit] (X64) HKEY_USERS\.DEFAULT\Software\cxsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-21-682003330-152049171-725345543-1645\Software\cxsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-18\Software\cxsw -> Trouvé(e)

Backdoor.Bot, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\S-1-5-19\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\S-1-5-20\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\S-1-5-21-682003330-152049171-725345543-1645\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]

Une fois le GootKit supprimé, il suffit en général de faire du ménage depuis l'ajout et suppression de programmes.

Bon courage.
Vincent
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
22 avril 2015 à 19:23
=)

Tout ceci a été ajoutée dans la fiche plus haut, il y a quelques temps.
0
vincsilver Messages postés 36 Date d'inscription lundi 5 décembre 2011 Statut Membre Dernière intervention 22 mai 2015 21 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
23 avril 2015 à 14:38
Oups je n'avais pas lu entre les lignes ^^
En tout cas il est confirmé que ce Trojan n'est pas qu'un simple Loader.

Gootkit is a piece of banking malware that uses web-injects (just like ZeuS and its derivatives) to capture credentials and OTPs from infected users. It has other nifty features such as TLS interception using a local proxy and fake certificates, keylogging, library hooking, UAC bypass... you name it.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 23/04/2015 à 14:41
Dans la dernière analyse trend-micro, il semble aussi qu'un module VNC a été ajouté qui permet de prendre la main à distance sur le poste infecté.
Bref du classique stealer pour monétiser, contrôle de la machine, installation d'autres malwares pour aussi mnétiser etc.

Après comme les vers, surtout Conficker, c'est pénible sur un réseau surtout quand ça joue avec le mot de passe admin du domaine.
0
atlan95 Messages postés 12 Date d'inscription jeudi 16 avril 2015 Statut Membre Dernière intervention 19 mai 2015
27 avril 2015 à 11:18
Salutation les amis. Merci beaucoup pour le temps passé sur mon problème. Mon chef ne s'inquiète pas trop du souci parce qu'il va remonter tout ses serveurs dans moins d'un mois. Par contre moi je suis super inquiet de savoir quels types de données ont pu être récupéré. Je vais me répéter mais encore un grand,grand merci à malekal pour les infos que tu m'as données et merci à toi aussi vincsilver.
Je réitère mon invitation à boire un café ou une orangeade si vous êtes (ou passez) sur paris.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
30 avril 2015 à 09:31
il est vivement conseillé d'installer le #KB3045645

https://forum.malekal.com/viewtopic.php?t=51266&start=#p397105
0
atlan95 Messages postés 12 Date d'inscription jeudi 16 avril 2015 Statut Membre Dernière intervention 19 mai 2015
18 mai 2015 à 17:21
Merci bcp malekal. J'ai un pote sur Nantes,j'y descend des fois. :) Tu vas pas échapper à ton orangeade pressée. :)
0
vincsilver Messages postés 36 Date d'inscription lundi 5 décembre 2011 Statut Membre Dernière intervention 22 mai 2015 21 > atlan95 Messages postés 12 Date d'inscription jeudi 16 avril 2015 Statut Membre Dernière intervention 19 mai 2015
22 mai 2015 à 11:56
@atlan95 : c'est moi qui est sur Nantes et pas Malekal ^^
0