Se connecter / S'enregistrer
Votre question

[Résolu] Repérer le programme qui transforme ma station en zombie

Tags :
  • Programme
  • Sécurité
Dernière réponse : dans Sécurité et virus
30 Décembre 2005 13:27:28

Bonjour à tous,

Je suis confronté depuis le 28/12 à un problème énervant - sur l'un des PC tourne, à intervalles aléatoires, un programme SMTP qui bombarde des domaines qui me sont inconnus de messages bizarres... Bref ma machine est devenue un zombie à l'insu de mon plein gré...

J'ai passé 3 anti-virus différents dont 2 en ligne sur cette station sans succès (SAV, Panda et BitDefender). J'ai même scanné complètement cette machine depuis une autre machine du réseau sans succès.

J'ai passé 5 anti-spy sur cette machine sans succès (Ad-Aware, SpyBot, Ewido, SmitFraudFix, XoftSpy). Lorsque les problèmes sont apparus les modules résidents des 2 premiers logiciels étaient installés.

J'ai tenté sans succès de localiser le processus en cause via divers utiltaires : netstat, x-netstat, gestionnaire de tâches de windows, Se-Process Watch d'Ad-Aware, Process Explorer.

Le 28 pour avoir quelques exemplaires des messages envoyés j'ai volontairement fait planter CCApp de Symantec afin de récupérer certains d'entre-eux. Vous trouverez ci-dessous un exemplaire de l'un de ces messages ainsi qu'une liste partielle de destinataires :

\---------------------------------------------
Message-ID: <0011$020d3e75$0c79b26e@MP03>
From: "Lisa
To: tyson@bouchardfnb.com
Subject: Re[19]:
Date: Thu, 29 Dec 2005 10:20:30 -0800
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0000_0F46A5B53.0F46A5B5326FD3C0B"
X-Priority: 3 (Normal)
X-Mailer: 0004$020d3e75$05358fb5@MP03

This is a multi-part message in MIME format.

------=_NextPart_000_0000_0F46A5B53.0F46A5B5326FD3C0B
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_000E_EE4E8F012.EE4E8F0120693E6BB"


------=_NextPart_001_000E_EE4E8F012.EE4E8F0120693E6BB
Content-Type: text/plain;
charset=""
Content-Transfer-Encoding: quoted-printable
\---------------------------------------------

Voici une liste de quelques destinataires :
From: "Daisy To: tyson@boudiou.com
From: "Rick To: tyson@boughtoninteriors.com
From: "Denny To: tyson@boult.com
From: "Callie To: tyson@boumacorp.com
From: "Charmaine To: tyson@bounce.colonize.com
From: "Jonathon To: tyson@bourely.com

L'objet du message est toujours RE[x] - x est un nombre apparement aléatoire...

Pour endiguer cette épidémie j'ai bloqué le port TCP 25 en sortie sur mon firewall matériel. J'ai également loggué les trames droppées afin de vérifier depuis quels ports elles sont émises. A l'analyse, le port d'origine semble varier de 1026 à 4999. Tous les ports de cette plage sont utilisés de manière aléatoire...

Date IP Source Port Source Destination [25 - SMTP]
29/12/2005 12:45 192.168.0.3 4442 64.87.5.254
29/12/2005 12:45 192.168.0.3 4442 64.87.5.254
29/12/2005 12:45 192.168.0.3 4460 216.248.176.148
29/12/2005 12:45 192.168.0.3 4466 216.17.3.38
29/12/2005 12:45 192.168.0.3 4476 193.109.255.35
29/12/2005 12:46 192.168.0.3 4504 209.58.232.25
29/12/2005 12:46 192.168.0.3 4511 193.212.240.190
29/12/2005 12:46 192.168.0.3 4534 63.82.164.192


etc... 3 à 4 messages par minutes...

Questions :

1 - Quelqu'un a t'il entendu parlé de ce troyen ?
2 - Existe t'il un utilitaire permettant de piéger/localiser ce programme sachant qu'il émet toujours à destination du port TCP 25.

Bref je crois être tombé sur une nouvelle merde qui semble s'être greffée dans les bibliothèques MAPI de Microsoft.


Cordialement,

Autres pages sur : resolu reperer programme transforme station zombie

31 Décembre 2005 15:43:11

Salut,

Je n'ai jamais entendu parler de ça, mais on va tester un log HijackThis pour voir s'il n'y a pas des choses à supprimer.

Télécharge HijackThis : http://www.infos-du-net.com/telecharger/HijackThis.html
Extrais le fichier hijackthis.exe, de son fichier zip, dans un dossier dédié (un dossier que tu places sur le bureau par exemple).
Lance le fichier hijackthis.exe, choisi Do a system scan a save a logfile, et donne nous le résultat du scan.
1 Janvier 2006 14:34:29

Bonjour et bonne année à tous,

Je commence enfin à voir le bout du tunnel – en lançant x-netstat pro 5.16, j’ai pu paramétrer un piège rudimentaire pour intercepter le processus tentant d’envoyer des mails tous azimuts. Le plus dur a été d’attendre que le piège fonctionne. En effet le ver se déclenchait à une fréquence aléatoire mais, pendant les quelques minutes où il fonctionnait, il expédiait 4 à 5 messages par secondes.

Le samedi 31 à midi le piège a enfin fonctionné… en piégeant plusieurs instances de « ccApp.exe » - c’est en effet ce programme qui tentait d’expédier des messages à toute la planète… Il ne s’agissait pourtant pas du ver w32.ahker.d@mm puisque le seul fichier ccapp présent sur ma machine était bien celui de Symantec placé dans « c:\program files\fichiers communs\symantec shared ».

Normalement ccApp est un processus hôte (qui semble ouvrir le port TCP 1681 à ce propos) et qui est notamment chargé d’appeler le processus de scan des mails.
J’ai logué tous les flux transmis pendant les 4 minutes de fonctionnement du ver afin de vérifier que le domaine bombardé n’était pas celui de symantec – il ne s’agissait donc pas d’une variante de lebreat tentant de participer à un DOS par mail bombing.

Le samedi 31 à 13H16 le ver s’est à nouveau déclenché et j’ai killé ccApp – ceci a provoqué une erreur de socket 10061 (OE ne pouvait plus se connecter à ses serveurs POP3).
NB) J’avais déjà bloqué ses serveurs SMTP au niveau du firewall externe...
J’ai attendu, attendu, … rien, rien… Soit le ver a détecté que son socket était mort, soit il était mort lui même…

Le samedi 31 en fin d’après-midi, après plusieurs heures d’attente, sans voir reparaître le ver, j’ai désinstallé complètement SAV… Je l’ai ensuite réinstallé complètement après avoir pris soin de supprimer toutes les scories de son installation antérieure… L’opération s’est bien déroulée… J’ai également installé dans la foulée « Symantec Redirector » afin de réactiver le firewall de messagerie.

Lors du redémarrage SAV a détecté 2 virus tentant de s’installer en mémoire :
« Hacktool.Rootkit » dans le Fichier : C:\WINDOWS\system32\drivers\i386p.sys
« Trojan Horse » dans le Fichier : C:\WINDOWS\system32\msctl32.dll
Les 2 fichiers ont été placés en quarantaine…
Selon les infos que je possède, ces chevaux de troie sont en principe installés par la dernière version de spysheriff, le machin qui fait des ravages actuellement sur internet…

Aujourd’hui 01/01/2006, je n’ai rien logué au niveau du firewall et du piège… le mail bomber est mort. Je pense donc être sorti d’affaire.
Lorsque je me suis fait avoir par sysheriff ma machine a été contaminée par une variante nouvelle du virus « w32.ahker » qui a altéré SAV et que « Hacktool.Rootkit » a réussi à compromettre la sécurité de Windows (sic).
Les 2 fichiers ci-dessus ne pouvant s’exécuter seuls, j’ai donc analysé la BDR
Les services de windows compromis étaient « winlogon » et « services.exe » :

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msctl32.dll

HKLM\SYSTEM\ControlSet001\Services\i386p\
Clef REG_SZ_EXPAND : ImagePath\
Contenu : \??\C:\WINDOWS\system32\drivers\i386p.sys

HKLM\SYSTEM\ControlSet002\Services\i386p\
Idem ci-dessus…

J’ai bien sûr viré toutes les clefs concernées…

Il est à noter que Ad-Aware, SpyBot et Ewido ont été leurrés par cette attaque combinée… A quand la trithérapie pour les ordinateurs ?
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS