Gootkit : Forte suspicion de domaine vérolé.
Résolu
atlan95
Messages postés
12
Date d'inscription
Statut
Membre
Dernière intervention
-
vincsilver Messages postés 36 Date d'inscription Statut Membre Dernière intervention -
vincsilver Messages postés 36 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
je m'excuse de vous importuner mais je suis à court de solution concernant mon problème.
Si vous pouviez m'aider,ce serait vraiment gentil.
Je vous explique rapidement le problème. Toutes les machines de mon domaines ont commencé à la fin du mois de mars à avoir des problèmes pour se connecter à internet. Pourtant les tests de débits sur les machines sont bon. J'utilise en antivirus trend micro worry business sur le serveur et son agent sur tous mes clients.
En contrôlant les programmes installés, j'ai eu la surprise de voir plusieurs .Exe.
Ci-joint le screen.
J ai utilisé mbam, adwcleaner,kaspersky removal tool. Rien n'y fait.
Merci d'avance pour vos suggestions.
je m'excuse de vous importuner mais je suis à court de solution concernant mon problème.
Si vous pouviez m'aider,ce serait vraiment gentil.
Je vous explique rapidement le problème. Toutes les machines de mon domaines ont commencé à la fin du mois de mars à avoir des problèmes pour se connecter à internet. Pourtant les tests de débits sur les machines sont bon. J'utilise en antivirus trend micro worry business sur le serveur et son agent sur tous mes clients.
En contrôlant les programmes installés, j'ai eu la surprise de voir plusieurs .Exe.
Ci-joint le screen.
J ai utilisé mbam, adwcleaner,kaspersky removal tool. Rien n'y fait.
Merci d'avance pour vos suggestions.
7 réponses
Salut,
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Salut Malekal_morte,
tout d'abord un grand merci pour la réponse. Voici les trois liens générés
comme dans le tuto que tu m'as fournis.
https://pjjoint.malekal.com/files.php?id=FRST_20150416_w6e7l12n10f7
https://pjjoint.malekal.com/files.php?id=20150416_b5j13y10z14q5
https://pjjoint.malekal.com/files.php?id=20150416_g12m12c14s12u5
J'espère que c'est pas trop grave.
Et encore merci pour tout.
tout d'abord un grand merci pour la réponse. Voici les trois liens générés
comme dans le tuto que tu m'as fournis.
https://pjjoint.malekal.com/files.php?id=FRST_20150416_w6e7l12n10f7
https://pjjoint.malekal.com/files.php?id=20150416_b5j13y10z14q5
https://pjjoint.malekal.com/files.php?id=20150416_g12m12c14s12u5
J'espère que c'est pas trop grave.
Et encore merci pour tout.
Ha Windows 2008 Serveur.
mouais mouais, les .sdb - ça me fait penser à ça : https://forum.malekal.com/viewtopic.php?t=51266&start=
mozilla.exe (HKLM\...\{5c50e42a-21fa-4964-b457-bb0dfb3caa57}.sdb) (Version: - )
msimn.exe (HKLM\...\{da7a9291-e161-48da-bfd5-3b23e5eef9f3}.sdb) (Version: - )
msmsgs.exe (HKLM\...\{4c0a5cd2-abb4-4e2c-b9d3-2a1de0739dbf}.sdb) (Version: - )
myie.exe (HKLM\...\{dfc8c995-2fee-434d-9050-9d35d2662b7d}.sdb) (Version: - )
navigator.exe (HKLM\...\{6473a1d3-c6a0-4c21-bdd3-8ed2c8517670}.sdb) (Version: - )
opera.exe (HKLM\...\{6acaad88-e146-4f62-a158-4d6bb3c14b05}.sdb) (Version: - )
mais pas de Gootkit.
Par contre, ça c'est suspicieux :
HKLM-x32\...\RunOnce: [{07FB1BD4-0A40-45FD-95A6-002D11A393CE}] => cmd.exe /C start /D C:\Users\ADMINI~1.DOM\AppData\Local\Temp\2 /B {07FB1BD4-0A40-45FD-95A6-002D11A393CE}.cmd <===== ATTENTION
Apparemment C:\Users\administrateur.DOM-SBS\AppData\Local\Temp\2 est un dossier, tu peux zipper le contenu et l'envoyer sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
mouais mouais, les .sdb - ça me fait penser à ça : https://forum.malekal.com/viewtopic.php?t=51266&start=
mozilla.exe (HKLM\...\{5c50e42a-21fa-4964-b457-bb0dfb3caa57}.sdb) (Version: - )
msimn.exe (HKLM\...\{da7a9291-e161-48da-bfd5-3b23e5eef9f3}.sdb) (Version: - )
msmsgs.exe (HKLM\...\{4c0a5cd2-abb4-4e2c-b9d3-2a1de0739dbf}.sdb) (Version: - )
myie.exe (HKLM\...\{dfc8c995-2fee-434d-9050-9d35d2662b7d}.sdb) (Version: - )
navigator.exe (HKLM\...\{6473a1d3-c6a0-4c21-bdd3-8ed2c8517670}.sdb) (Version: - )
opera.exe (HKLM\...\{6acaad88-e146-4f62-a158-4d6bb3c14b05}.sdb) (Version: - )
mais pas de Gootkit.
Par contre, ça c'est suspicieux :
HKLM-x32\...\RunOnce: [{07FB1BD4-0A40-45FD-95A6-002D11A393CE}] => cmd.exe /C start /D C:\Users\ADMINI~1.DOM\AppData\Local\Temp\2 /B {07FB1BD4-0A40-45FD-95A6-002D11A393CE}.cmd <===== ATTENTION
Apparemment C:\Users\administrateur.DOM-SBS\AppData\Local\Temp\2 est un dossier, tu peux zipper le contenu et l'envoyer sur http://upload.malekal.com
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
ca semble bien être Gootkit : http://blog.cert.societegenerale.com/2015/04/analyzing-gootkits-persistence-mechanism.html
(Merci Cerbere :p)
(Merci Cerbere :p)
Re malekal_morte-
Le fichier zippé fais 330 méga environ. Je peux te l'envoyer si tu veux avec 1fichier ou autre chose.
Un gros merci pour le tuto de nettoyage. J'avais une question bête sinon. Dois je éteindre les autres stations vérolé ou cela n'a aucune incidence?
Le fichier zippé fais 330 méga environ. Je peux te l'envoyer si tu veux avec 1fichier ou autre chose.
Un gros merci pour le tuto de nettoyage. J'avais une question bête sinon. Dois je éteindre les autres stations vérolé ou cela n'a aucune incidence?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bha ça peut faire des requêtes.
Mais bon en général, ce malware a tendance à revenir.
Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
Mais bon en général, ce malware a tendance à revenir.
Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
Salut malekal_morte-,
Désolé pour le retard de la réponse,eset nod 32 ne s'installant pas et le réseau étant fortement ralenti, veut tout remonter sur du neuf.
En tout cas,gros,gros merci et si tu es paris,t'es le bienvenue pour boire un café ou une orangeade pressée. :)
Désolé pour le retard de la réponse,eset nod 32 ne s'installant pas et le réseau étant fortement ralenti, veut tout remonter sur du neuf.
En tout cas,gros,gros merci et si tu es paris,t'es le bienvenue pour boire un café ou une orangeade pressée. :)
Bonjour,
Le Tr.Gootkit est très présent depuis la mi-mars 2015.
Il faut absolument faire attention à ne pas ouvrir les pièces jointes des emails suspicieux !
La méthode de contamination est souvent la même. Un email contenant une ou plusieurs pièces jointes au format Word, PDF, JPEG, etc.. embarque des Macro (code VBA malicieux) qui lorsque le système d'exploitation est à amoindri en sécurité (Désactivation de l'UAC, activation automatique des macro à l'ouverture de Word / Excel ou la désactivation du SafeMode d'Adobe Reader / Foxit Reader, droit d'administrateur local, etc..) facilite l'infection.
Le plus embêtant, c'est qu'à partir du moment ou l'utilisateur qui est infecté à les droits d'administrateur local sur son poste et sur les autres postes du domaine, le GootKit est capable de se propager sur les autres postes.
Jusqu'à maintenant TrendMicro WFB n'y voit que du feu.
Eset commence à le bloquer mais bien souvent il est trop tard.
Je ne sais pas ce qu'il en est pour Symantec, Kapersky, etc..
RogueKiller / ADWCleaner le détecte (voir logs ci-dessous) et le supprime facilement mais il faudrait avoir une analyse en temps réél afin d'être mieux protégé.
Dossier Trouvé : "C:\Users\XXXX\AppData\Local\Google\Chrome\User Data\Default\Extensions\ncffjdbbodifgldkcbhmiiljfcnbgjab"
[Tr.Gootkit] (X64) HKEY_USERS\.DEFAULT\Software\cxsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-21-682003330-152049171-725345543-1645\Software\cxsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-18\Software\cxsw -> Trouvé(e)
Backdoor.Bot, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\S-1-5-19\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\S-1-5-20\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\S-1-5-21-682003330-152049171-725345543-1645\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Une fois le GootKit supprimé, il suffit en général de faire du ménage depuis l'ajout et suppression de programmes.
Bon courage.
Vincent
Le Tr.Gootkit est très présent depuis la mi-mars 2015.
Il faut absolument faire attention à ne pas ouvrir les pièces jointes des emails suspicieux !
La méthode de contamination est souvent la même. Un email contenant une ou plusieurs pièces jointes au format Word, PDF, JPEG, etc.. embarque des Macro (code VBA malicieux) qui lorsque le système d'exploitation est à amoindri en sécurité (Désactivation de l'UAC, activation automatique des macro à l'ouverture de Word / Excel ou la désactivation du SafeMode d'Adobe Reader / Foxit Reader, droit d'administrateur local, etc..) facilite l'infection.
Le plus embêtant, c'est qu'à partir du moment ou l'utilisateur qui est infecté à les droits d'administrateur local sur son poste et sur les autres postes du domaine, le GootKit est capable de se propager sur les autres postes.
Jusqu'à maintenant TrendMicro WFB n'y voit que du feu.
Eset commence à le bloquer mais bien souvent il est trop tard.
Je ne sais pas ce qu'il en est pour Symantec, Kapersky, etc..
RogueKiller / ADWCleaner le détecte (voir logs ci-dessous) et le supprime facilement mais il faudrait avoir une analyse en temps réél afin d'être mieux protégé.
Dossier Trouvé : "C:\Users\XXXX\AppData\Local\Google\Chrome\User Data\Default\Extensions\ncffjdbbodifgldkcbhmiiljfcnbgjab"
[Tr.Gootkit] (X64) HKEY_USERS\.DEFAULT\Software\cxsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-21-682003330-152049171-725345543-1645\Software\cxsw -> Trouvé(e)
[Tr.Gootkit] (X64) HKEY_USERS\S-1-5-18\Software\cxsw -> Trouvé(e)
Backdoor.Bot, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\S-1-5-19\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\S-1-5-20\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\S-1-5-21-682003330-152049171-725345543-1645\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Backdoor.Bot, HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Windows Explorer, C:\windows\SysWow64\explorer.exe, , [acfa5518fa9013235d74bdca887c58a8]
Une fois le GootKit supprimé, il suffit en général de faire du ménage depuis l'ajout et suppression de programmes.
Bon courage.
Vincent
Oups je n'avais pas lu entre les lignes ^^
En tout cas il est confirmé que ce Trojan n'est pas qu'un simple Loader.
Gootkit is a piece of banking malware that uses web-injects (just like ZeuS and its derivatives) to capture credentials and OTPs from infected users. It has other nifty features such as TLS interception using a local proxy and fake certificates, keylogging, library hooking, UAC bypass... you name it.
En tout cas il est confirmé que ce Trojan n'est pas qu'un simple Loader.
Gootkit is a piece of banking malware that uses web-injects (just like ZeuS and its derivatives) to capture credentials and OTPs from infected users. It has other nifty features such as TLS interception using a local proxy and fake certificates, keylogging, library hooking, UAC bypass... you name it.
Dans la dernière analyse trend-micro, il semble aussi qu'un module VNC a été ajouté qui permet de prendre la main à distance sur le poste infecté.
Bref du classique stealer pour monétiser, contrôle de la machine, installation d'autres malwares pour aussi mnétiser etc.
Après comme les vers, surtout Conficker, c'est pénible sur un réseau surtout quand ça joue avec le mot de passe admin du domaine.
Bref du classique stealer pour monétiser, contrôle de la machine, installation d'autres malwares pour aussi mnétiser etc.
Après comme les vers, surtout Conficker, c'est pénible sur un réseau surtout quand ça joue avec le mot de passe admin du domaine.
Salutation les amis. Merci beaucoup pour le temps passé sur mon problème. Mon chef ne s'inquiète pas trop du souci parce qu'il va remonter tout ses serveurs dans moins d'un mois. Par contre moi je suis super inquiet de savoir quels types de données ont pu être récupéré. Je vais me répéter mais encore un grand,grand merci à malekal pour les infos que tu m'as données et merci à toi aussi vincsilver.
Je réitère mon invitation à boire un café ou une orangeade si vous êtes (ou passez) sur paris.
Je réitère mon invitation à boire un café ou une orangeade si vous êtes (ou passez) sur paris.
il est vivement conseillé d'installer le #KB3045645
https://forum.malekal.com/viewtopic.php?t=51266&start=#p397105
https://forum.malekal.com/viewtopic.php?t=51266&start=#p397105