Auteur Sujet: [Fiches-Malware] Virut/Sality/Ramnit Infecteur d'exe  (Lu 5740 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
[Fiches-Malware] Virut/Sality/Ramnit Infecteur d'exe
« le: novembre 08, 2011, 14:49:17 »
[Fiches-Malware] Virut/Sality/Ramnit Infecteur d'exe

Définition

Ces trois familles sont des infecteurs d'.EXE, ce qui signifie, vous l'aurez deviné, une infection qui touche vos exécutables. Ce sont de "vrais" virus, par leur caractère de propagation.
Virut était le premier et principal virus de ce type que l'on rencontrait sur les forums. Il est maintenant moins présent, mais Sality et dernièrement Ramnit ont pris la relève.
Ils infectent tout les .EXE qu'ils peuvent afin de rendre votre ordinateur instable et vulnérable. Pour certaines variantes, ils ajoutent un KillAV (tueur d'antivirus) et stoppent les processus et services des principaux outils de sécurité, tout en empêchant d'en télécharger de nouveaux
Ils peuvent infecter aussi les fichiers .scr, .com, les archives .rar et certaines variantes, les pages .html et .htm.
Autres conséquences, plus problématique :
  • De nombreux fichiers systèmes sont touchés (explorer.exe, userinit.exe, cmd.exe, etc ...)
  • Les clés de démarrage du mode sans échec sont modifiée pour empêcher son utilisation
  • Des restrictions sont mises en place (désactivation de l'affichage des fichiers/dossiers cachés, désactivation du gestionnaire des tâches, de l'éditeur de registre, de l'UAC, des alertes du centre de sécurités, etc ...)

C'est dangereux, et la propagation est très rapide. Il est donc conseillé de limiter le lancement de programmes (au démarrage, ou simple exécution). Avec ce genre d'infection, vous êtes sûrs de vous retrouver avec de nombreux fichiers système infectés, sachant qu'en plus ils peuvent se propager via les supports amovibles pour certains ou par l'envoi de spam depuis la machine infectée.


Informations ThreatExpert :
- Exemple de sample:
Virut
Sality

Informations VirusTotal :
- Droppers :
Virut
Virut
Sality
Ramnit

Comment voir l'infection ?

La plupart de ces infections ne se voit pas via HijackThis ou un autre analyseur, mais le plus souvent par l'antivirus en place (trop tard donc ...), des scanners en lignes, ou via des rescuedisk de solution de sécurité. Rien de plus à dire. Cela montre qu'il est important de regarder quel type de malware est détecté lors de scanners, au lieu de s'empresser de supprimer le/les fichier(s) détecté(s). Kaspersky Online Scan faisait de bonnes détections (malheureusement il n'est plus utilisable depuis plusieurs années, en attendant sois-disant une nouvelle version). On peut se rabattre sur BitDender Quickscan ou Eset online scanner

Exemples :

Virut :

Citer
C:\WINDOWS\system32\spoolsv.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\system32\ChCfg.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\system32\spoolsv.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\system32\ctfmon.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\brastk.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\Installer\{90110410-6000-11D3-8CFE-0150048383C9}\outicon.exe Infecté : Virus.Win32.Virut.n ignoré
C:\WINDOWS\explorer.exe Infecté : Virus.Win32.Virut.n ignoré

On peut remarquer ici (à vous de trouver :P), qu'il y a également des fichiers infectieux qui se font infecter par ce type de virus. Et oui, un virus dans un virus :red:.

Depuis la dernière variante on peut voir aussi deux entrées particulières dans le fichiers hosts de l'internaute :

Citer
zief.pl
ircgalaxy.pl


Sality :

Citer
C:\Program Files\CDBurnerXP Pro 3\cdbxp.exe    Infected: Virus.Win32.Sality.l    skipped
C:\System Volume Information\_restore{CF84C56F-649F-4877-8CF0-9DBCDBE88493}\RP5\A0001400.exe    Infected: Virus.Win32.Sality.l    skipped
C:\System Volume Information\_restore{CF84C56F-649F-4877-8CF0-9DBCDBE88493}\RP5\A0001401.exe    Infected: Virus.Win32.Sality.l    skipped
C:\System Volume Information\_restore{CF84C56F-649F-4877-8CF0-9DBCDBE88493}\RP5\A0001439.exe    Infected: Virus.Win32.Sality.l    skipped
C:\WINDOWS\system32\wmimgr32.dl_/    Infected: Virus.Win32.Sality.k    skipped
C:\WINDOWS\system32\wmimgr32.dl_    MS Expand: infected - 1    skipped

On peut voir ici sality ayant infecté un programme, des points de restauration et certains fichiers système même compressés

Dans ses dernières variantes Sality ajoute un service :

Citer
amsint32

Et aussi toute une panoplie de restriction au système :
http://securelist.com/blog/virus-watch/29587/a-new-version-of-sality-at-large/

Il vise même le vol d’identifiant FTP afin d'infecté des sites Web.


Ramnit :

Citer
C:\Program Files (x86)\Hp\HP Software Update\SoftwareUpdate.dll
  [RESULTAT]  Contient le code du virus Windows W32/Ramnit.E
C:\SwSetup\CyberDVD\Stage1\SKUtil.dll
  [RESULTAT]  Contient le code du virus Windows W32/Ramnit.E
C:\SwSetup\Drivers\Audio\WDM\Vista\AESTSrv.exe
  [RESULTAT]  Contient le code du virus Windows W32/Ramnit.E
C:\SwSetup\Drivers\Audio\WDM\Vista\HPToneCtrls32.dll
  [RESULTAT]  Contient le code du virus Windows W32/Ramnit.E
C:\SwSetup\Drivers\Video\mfc80u.dll
  [RESULTAT]  Contient le code du virus Windows W32/Ramnit.E
C:\SwSetup\Drivers\Video\msvcp80.dll
  [RESULTAT]  Contient le code du virus Windows W32/Ramnit.E
C:\SwSetup\Drivers\Video\msvcr80.dll
  [RESULTAT]  Contient le code du virus Windows W32/Ramnit.E
C:\SwSetup\OFF12\FR\HS07Office\OFFICE.FR-FR\MSVCR80.DLL
  [RESULTAT]  Contient le code du virus Windows W32/Ramnit.E
C:\SwSetup\sp47938\HideConsole.exe
  [RESULTAT]  Contient le code du virus Windows W32/Ramnit.E

On voit ici Ramnit en action, ayant contaminé les derniers exécutables lancés, il est chargé dans les processus actif, et donc reconnu non seulement dans les fichiers exécutable mais aussi les Dll.

Les dernières variantes ajoutent une clé run avec un exécutable au nom aléatoire, ce qui est une première pour ce genre d'infection :
Citer
O4 - HKCU\..\Run: [XgbBpofj] C:\Users\Thuy\AppData\Local\pajofoys\xgbbpofj.exe

On peut ainsi savoir si l'infection est toujours active ou non sur le système.


Comment supprimer l'infection ?

Le meilleur moyen, et le plus sûr, est le formatage pur et simple.
Mais il est également possible (de préférence quand l'infection n'a pas encore infecté tous les exécutables :red:) de désinfecter avec des scanners en mode sans échec; Dr Web CureIt est une bonne alternative. De préférence, il vaut mieux passer par une désinfection en live-cd, notamment avec le live-cd d'Avira ou celui de DrWeb ou Kaspersky afin d'éviter que le sytème soit lancé pendant l'analyse.
Tuto de l'utilisation du LiveCD DrWeb

Mais vous n'échapperez pas, dans la majorité des cas, à la réparation de Windows à la fin de cette étape. De plus, les dernières variantes compliquent encore plus les choses, si bien que le formatage s'impose, dans l'intérêt de l'internaute. L'installation de la Console de Récupération au préalable est une bonne précaution. (Installée par défaut sur Vista et 7 normalement) ;)

Liens

Miekiemoes Blog
Under the hood (technique)
Sality, the virus that turned into the ultimate malware
All-in-One Malware: An Overview of Sality
Ramnit Evolution – From Worm to Financial Malware

Merci Cyrrus


Toujours infecté ? Une question avant de faire des manipulations ?

Venez poster un nouveau sujet dans ce forum : http://forum.security-x.fr/desinfections/  en prenant soin de suivre la procédure http://forum.security-x.fr/desinfections/procedure-preliminaire/
http://forum.security-x.fr/desinfections/
« Modifié: novembre 30, 2014, 16:09:09 par hyunkel30 »

Security-X

[Fiches-Malware] Virut/Sality/Ramnit Infecteur d'exe
« le: novembre 08, 2011, 14:49:17 »