Virut, Sality, Expiro, c'est que du bonheur !!!

Bonsoir le forum,
Aujourd'hui, n'ayant rien de particulier à faire (oui oui ca m'arrive de glander) je me suis trouvé de quoi occuper ma journée. Ceux qui ont un minimum de connaissance en informatique l'auront compris avec le titre, j'ai joué avec des infections.

Voilà les coupables :
http://forum.malekal.com/virut-virtob-vitro-infection-fichiers-executables-t5177.html
http://www.malekal.com/2010/11/12/supprimer-w32-sality-hwin32zapchastw32-hllp-sality/
http://www.malekal.com/2013/05/19/win32-expiro-w32-xpiro-virus-infecteur/

J'avais envie de voir des sujets avec des systèmes hyper infectés comme j'ai mis dans le popup de connexion. Alors plutôt que chercher un vrai pc infecté (j'ai quand même un cœur, ça m'embête de voir des gens avec ce genre d’infections), j'ai décidé d'en lancer plusieurs en même temps sur une machine virtuelle pour voir un peu les dégâts.

Bon, je vais passer sur les détails de la désinfection (de toute façon avec ce genre d'infections c'est toujours les mêmes manipulations), mais je me suis dis que j'allais quand même partager avec vous le rapport de ComboFix (je vous rappelle que c'est un programme dangereux à ne surtout pas utiliser seul).

Ceux qui se demanderaient pourquoi j'ai lancé 3 infections au lieu d'une seule, la réponse est simple : j'ai voulu voir virut tout seul mais le fichier que j'avais ne semblait pas vouloir s'attaquer à mon système étrangement, donc pour être sûr de mon coup j'ai cherché au total une dizaine de fichiers/sites infectés par le même genre de saleté qui pourrissent le système. Dans mon cas c'est Expiro qui a fait le plus de dégâts.

J'ai donc eu le résultat que je cherchais, mais sachez qu'un seul fichier infecté par Virut ou ses semblables suffit pour contaminer rapidement tout le système. Ca n'est pas parce que dans mon cas j'ai lancé plusieurs malwares que vous ne risquez pas la même chose avec 1 seul fichier infecté. Les machines virtuelles réagissent parfois moins facilement que les systèmes réels, c'est tout.

Je rappelle quand même à ceux qui s'intéresseront au sujet que les infections Virut, Sality et Expiro (comme d'autres) sont très virulente (il a suffit de quelques minutes, même quelques secondes pour infecter tout Windows), et s'attrapent essentiellement par des Crack/keygen ou des sites infectés. Si vous pensez toujours que les cracks c'est cool, voila ce qui risque de vous tomber dessus un jour ou l'autre (les fichiers détectés ne sont pas des faux positifs) : http://morbak-home.ddns.net/divers/combofix.txt
En image lors d'un scan, on peut donc voir ce genre de choses :


A noter qu'un scan avec ComboFix prend en général 10/15 minutes, regardez la durée du scan sur mon rapport ---> plus de 50 minutes.

Et ca n'est là que partie de l'infection, un scan avec DrWeb Cureit indique encore plus de 300 fichiers contaminés après le passage de combofix :
Total 25431509837 bytes in 115897 files scanned (139244 objects)
Total 115502 files (138844 objects) are clean
Total 10 files (305 objects) are infected
Total 299 files (300 objects) are neutralized
Total 99 files (100 objects) are raised error condition
Scan time is 04:27:51.828

je passe sur la liste mais il y avait en gros les fichiers exécutable de zhpdiag, du bloc-note, explorer, regedit, wininit, winlogon etc...  les principaux exécutables de Windows étaient touchés et même le mode sans échec était bousillé.

Exemple de détection d'un fichier infecté par expiro sur virustotal :
http://www.virustotal.com/fr/file/b1f7944082cf857a0f5426cda3e33a79b9685a7664d82b6fa837abace3346dca/analysis/1413120762/

Un autre rapport de ComboFix toujours après le lancement de l'infection Expiro : http://www.cjoint.com/doc/17_10/GJgoTxThTqM_combofix2.txt
Sur celui ci, le redémarrage du système à bloqué, j'ai relancé moi-même et ComboFix ne s'est terminé qu'après un nouveau redémarrage quelques heures plus tard, donc ne faites pas attention à l'heure de fin.
Et ensuite DrWeb mais cette fois-ci en version Live CD :


Moralité, en cas d'infection coriace, utilisez un programme comme Dr.Web CureIt (ou LiveDisk si le pc ne démarre plus) pour débuter le nettoyage, plutôt qu'un programme plus dangereux comme Combofix qui s'avère au final moins efficace et plus risqué surtout sans accompagnement.

lol, ca va tu t'amuse bien quand tu n'as rien a faire toi
Fais gaffe quand même à ne pas contaminer ton système par accident.

j'aime bien voir de quoi sont capables les versions récentes des outils Et là j'ai aussi voulu voir si je pouvais planter ma machine avec ComboFix comme ca s'est déjà vu à cause de virut, mais j'ai pas réussi à prouver que ComboFix est dangereux :'( C'est ptet parce que j'ai aucun antivirus, ou alors expiro est moins virulent que virut, mais j'ai pas trouvé de virut efficace, il a peur de moi

Dr.Web, toujours au top pour désinfecter les fichiers système, il m'en a pour le moment nettoyé 300 mais ca n'est pas fini.
Combofix est plus dangereux que CureIt et n'a pas réussi à désinfecter la moitié des fichiers qu'il a détecté. Cela dit, il a peut-être facilité la désinfection de Dr.Web. Demain, on prend les mêmes et on recommence, mais cette fois je lancerai d'abord Dr.Web et après Combofix. Mais je ne scipterai pas, je laisse les outils bosser eux même.

Parfois je m'amuse aussi à lancer des programmes qui ne sont pas fait pour ce type d'infection, pour voir si ils aident un peu ou pas. Mon dernier test je ne sais plus quelle infection j'avais lancé (ramnit je crois), j'ai analysé/nettoyé avec zhpdiag, RogueKiller, UsbFix et d'autres pour comparer ce qu'ils trouvaient.

Morbak a écrit:

j'ai pas trouvé de virut efficace, il a peur de moi

Ou alors Expiro a été lancé après virut et du coup il a re-contaminé le système et a fait disparaitre virut.

j'y ai pensé aussi mais j'avais deja testé virut tout seul et j'avais rien de détecté à part une dll et l’exécutable, même avec reboot. Par contre Expiro c’était du rapide, même pas besoin de reboot, le pc était à moitié mort en quelques secondes : plus de centre de sécurité, plus de gestionnaire de tâches, plus de regedit, etc... Et j'avais Avast sur mon vrai système qui m'engueulait parce que le processus Virtualbox se connectait à des sites infectieux.


Heureusement que ce n'est pas la première infection que je teste parce qu'il y a de quoi avoir peur quand l'antivirus t'affiche 15/20 alertes d'affilé toutes les 10 minutes

Ah oui, j'oubliais, virut avait quand même été sympa avec moi au point de m'installer tranquillement un keylogger avec un joli rapport sur les frappes capturées : http://www.cjoint.com/doc/17_10/GJgo0pipQ0M_exemple-rapport-keylogger.txt
On voit que j'ai fait des recherches sur Expiro et malwarebytes, que je suis allé sur clubic, sur le site de malekal, que j'ai lancé zhpdiag, qu'un mot de passe m'a été demandé et qu'il a été enregistré etc... on voit même les corrections des fautes de frappe symbolisées par les retours arrières [<-]

Virut était donc bien présent sur le système avant que je lance Expiro, il n'avait simplement pas encore infecté le système.

J'espère que ca suffira pour que les visiteurs comprennent qu'il ne faut pas jouer avec les cracks/keygens et qu'il faut réfléchir avant de cliquer.

Intéressant !

j'ai rectifié les liens vers les rapports.