Eradiquer un Rootkit sous Windows Xp
Les rootkits sont des modules logiciels qui s’insèrent au niveau des drivers boot ou système de Windows XP ou 2003. Ils en modifient profondément le comportement et sont, la plupart du temps, indétectables par les anti-virus ou par les anti-rootkits tels rootkit revealer. Vous pouvez les détecter sous forme de programme dans la liste des process. Inutile de les chercher sur votre disque ou bien dans votre base de registre : vous ne les trouverez pas ! Ils sont générés à la volée.
Celui auquel j’ai été confronté la semaine dernière a contaminé la DLL hal.dll d’une machine Windows XP. Il s’est infiltré dans la machine du fait de la désactivation du mode NAT de la Freebox de la personne à laquelle appartenait cet ordinateur. Le pare-feu de Windows XP n’aura pas résisté aux rafales de paquets sur le port TCP/135.
Pour l’éradiquer, j’ai dû ressortir de ma pochette de CD un bon vieux BartPE. Toujours utile ! Je tiens à préciser que je disposais de la copie des fichiers du répertoire i386 de l’installation de Windows XP. En mode Live CD, j’ai amorcé mon système avec BartPE et lancé l’interpréteur de commandes :
c: cd\i386 md tmp
J’ai décompressé tous les drivers, dlls et autres exécutables par la création d’un fichier .CMD dans un répertoire temporaire créé pour l’occasion :
for %%i in (*.dl_) do expand %%i tmp\%%i copy tmp\*.dl_ c:\windows\system32\*.dll /y
for %%i in (*.ex_) do expand %%i tmp\%%i copy tmp\*.ex_ c:\windows\system32\*.exe /y
for %%i in (*.sy_) do expand %%i tmp\%%i copy tmp\*.sy_ c:\windows\system32\drivers\*.sys /y
for %%i in (*.in_) do expand %%i tmp\%%i copy tmp\*.in_ c:\windows\inf\*.inf /y
Seul problème notoire : j’ai dû réactiver la licence Windows par téléphone. J’ai pris soin enfin d’exécuter le Service Pack 3 de Windows XP.
Licence Creative Commons Paternité 2.0 France - Dsfc
Catégories : RootKit, Sécurité, Virus, Windows 2003, Windows XpArticles relatifs
Si vous avez apprécié cet article, s'il vous plait, prenez le temps de laisser un commentaire ou de souscrire au flux afin de recevoir les futurs articles directement dans votre lecteur de flux.
Commentaires
Eradiquer un Rootkit sous Windows Xp…
Les rootkits sont des modules logiciels qui s’insèrent au niveau des drivers boot ou système de Windows XP ou 2003. Ils en modifient profondément le comportement et sont, la plupart du temps, indétectables par les anti-virus ou par les anti-rootk…
la solution est intéressante, mais il est tout à fait possible de faire la même chose à partir de linux
( livec drom) et installer un paquet mscompress ….