Forum Security-X > Malwares
[Fiches-Malware] Virut/Sality/Ramnit Infecteur d'exe
(1/1)
hyunkel30:
[Fiches-Malware] Virut/Sality/Ramnit Infecteur d'exe
Définition
Ces trois familles sont des infecteurs d'.EXE, ce qui signifie, vous l'aurez deviné, une infection qui touche vos exécutables. Ce sont de "vrais" virus, par leur caractère de propagation.
Virut était le premier et principal virus de ce type que l'on rencontrait sur les forums. Il est maintenant moins présent, mais Sality et dernièrement Ramnit ont pris la relève.
Ils infectent tout les .EXE qu'ils peuvent afin de rendre votre ordinateur instable et vulnérable. Pour certaines variantes, ils ajoutent un KillAV (tueur d'antivirus) et stoppent les processus et services des principaux outils de sécurité, tout en empêchant d'en télécharger de nouveaux
Ils peuvent infecter aussi les fichiers .scr, .com, les archives .rar et certaines variantes, les pages .html et .htm.
Autres conséquences, plus problématique :
* De nombreux fichiers systèmes sont touchés (explorer.exe, userinit.exe, cmd.exe, etc ...)
* Les clés de démarrage du mode sans échec sont modifiée pour empêcher son utilisation
* Des restrictions sont mises en place (désactivation de l'affichage des fichiers/dossiers cachés, désactivation du gestionnaire des tâches, de l'éditeur de registre, de l'UAC, des alertes du centre de sécurités, etc ...)
C'est dangereux, et la propagation est très rapide. Il est donc conseillé de limiter le lancement de programmes (au démarrage, ou simple exécution). Avec ce genre d'infection, vous êtes sûrs de vous retrouver avec de nombreux fichiers système infectés, sachant qu'en plus ils peuvent se propager via les supports amovibles pour certains ou par l'envoi de spam depuis la machine infectée.
Informations ThreatExpert :
- Exemple de sample:
Virut
Sality
Informations VirusTotal :
- Droppers :
Virut
Virut
Sality
Ramnit
Comment voir l'infection ?
La plupart de ces infections ne se voit pas via HijackThis ou un autre analyseur, mais le plus souvent par l'antivirus en place (trop tard donc ...), des scanners en lignes, ou via des rescuedisk de solution de sécurité. Rien de plus à dire. Cela montre qu'il est important de regarder quel type de malware est détecté lors de scanners, au lieu de s'empresser de supprimer le/les fichier(s) détecté(s). Kaspersky Online Scan faisait de bonnes détections (malheureusement il n'est plus utilisable depuis plusieurs années, en attendant sois-disant une nouvelle version). On peut se rabattre sur BitDender Quickscan ou Eset online scanner
Exemples :
Virut :
--- Citer ---C:\WINDOWS\system32\spoolsv.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\system32\ChCfg.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\system32\spoolsv.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\system32\ctfmon.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\brastk.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\Installer\{90110410-6000-11D3-8CFE-0150048383C9}\outicon.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\explorer.exe Infecté : Virus.Win32.Virut.n ignoré
--- Fin de citation ---
On peut remarquer ici (à vous de trouver :P), qu'il y a également des fichiers infectieux qui se font infecter par ce type de virus. Et oui, un virus dans un virus :red:.
Depuis la dernière variante on peut voir aussi deux entrées particulières dans le fichiers hosts de l'internaute :
--- Citer ---zief.pl
ircgalaxy.pl
--- Fin de citation ---
Sality :
--- Citer ---C:\Program Files\CDBurnerXP Pro 3\cdbxp.exe Infected: Virus.Win32.Sality.l skipped
C:\System Volume Information\_restore{CF84C56F-649F-4877-8CF0-9DBCDBE88493}\RP5\A0001400.exe Infected: Virus.Win32.Sality.l skipped
C:\System Volume Information\_restore{CF84C56F-649F-4877-8CF0-9DBCDBE88493}\RP5\A0001401.exe Infected: Virus.Win32.Sality.l skipped
C:\System Volume Information\_restore{CF84C56F-649F-4877-8CF0-9DBCDBE88493}\RP5\A0001439.exe Infected: Virus.Win32.Sality.l skipped
C:\WINDOWS\system32\wmimgr32.dl_/ Infected: Virus.Win32.Sality.k skipped
C:\WINDOWS\system32\wmimgr32.dl_ MS Expand: infected - 1 skipped
--- Fin de citation ---
On peut voir ici sality ayant infecté un programme, des points de restauration et certains fichiers système même compressés
Dans ses dernières variantes Sality ajoute un service :
--- Citer ---amsint32
--- Fin de citation ---
Et aussi toute une panoplie de restriction au système :
http://securelist.com/blog/virus-watch/29587/a-new-version-of-sality-at-large/
Il vise même le vol d’identifiant FTP afin d'infecté des sites Web.
Ramnit :
--- Citer ---C:\Program Files (x86)\Hp\HP Software Update\SoftwareUpdate.dll
[RESULTAT] Contient le code du virus Windows W32/Ramnit.E
C:\SwSetup\CyberDVD\Stage1\SKUtil.dll
[RESULTAT] Contient le code du virus Windows W32/Ramnit.E
C:\SwSetup\Drivers\Audio\WDM\Vista\AESTSrv.exe
[RESULTAT] Contient le code du virus Windows W32/Ramnit.E
C:\SwSetup\Drivers\Audio\WDM\Vista\HPToneCtrls32.dll
[RESULTAT] Contient le code du virus Windows W32/Ramnit.E
C:\SwSetup\Drivers\Video\mfc80u.dll
[RESULTAT] Contient le code du virus Windows W32/Ramnit.E
C:\SwSetup\Drivers\Video\msvcp80.dll
[RESULTAT] Contient le code du virus Windows W32/Ramnit.E
C:\SwSetup\Drivers\Video\msvcr80.dll
[RESULTAT] Contient le code du virus Windows W32/Ramnit.E
C:\SwSetup\OFF12\FR\HS07Office\OFFICE.FR-FR\MSVCR80.DLL
[RESULTAT] Contient le code du virus Windows W32/Ramnit.E
C:\SwSetup\sp47938\HideConsole.exe
[RESULTAT] Contient le code du virus Windows W32/Ramnit.E
--- Fin de citation ---
On voit ici Ramnit en action, ayant contaminé les derniers exécutables lancés, il est chargé dans les processus actif, et donc reconnu non seulement dans les fichiers exécutable mais aussi les Dll.
Les dernières variantes ajoutent une clé run avec un exécutable au nom aléatoire, ce qui est une première pour ce genre d'infection :
--- Citer ---O4 - HKCU\..\Run: [XgbBpofj] C:\Users\Thuy\AppData\Local\pajofoys\xgbbpofj.exe
--- Fin de citation ---
On peut ainsi savoir si l'infection est toujours active ou non sur le système.
Comment supprimer l'infection ?
Le meilleur moyen, et le plus sûr, est le formatage pur et simple.
Mais il est également possible (de préférence quand l'infection n'a pas encore infecté tous les exécutables :red:) de désinfecter avec des scanners en mode sans échec; Dr Web CureIt est une bonne alternative. De préférence, il vaut mieux passer par une désinfection en live-cd, notamment avec le live-cd d'Avira ou celui de DrWeb ou Kaspersky afin d'éviter que le sytème soit lancé pendant l'analyse.
Tuto de l'utilisation du LiveCD DrWeb
Mais vous n'échapperez pas, dans la majorité des cas, à la réparation de Windows à la fin de cette étape. De plus, les dernières variantes compliquent encore plus les choses, si bien que le formatage s'impose, dans l'intérêt de l'internaute. L'installation de la Console de Récupération au préalable est une bonne précaution. (Installée par défaut sur Vista et 7 normalement) ;)
Liens
Miekiemoes Blog
Under the hood (technique)
Sality, the virus that turned into the ultimate malware
All-in-One Malware: An Overview of Sality
Ramnit Evolution – From Worm to Financial Malware
Merci Cyrrus
Toujours infecté ? Une question avant de faire des manipulations ?
Venez poster un nouveau sujet dans ce forum : http://forum.security-x.fr/desinfections/ en prenant soin de suivre la procédure http://forum.security-x.fr/desinfections/procedure-preliminaire/
http://forum.security-x.fr/desinfections/
Navigation
Sortir du mode mobile