Anti-rootkits pour Windows
16 novembre 2014
Cet article fut publié initialement le 4 avril 2012. A l’occasion d’un audit de sécurité que je dois effectué lundi matin, j’ai tenu à actualiser la liste des anti-rootkits qui s’exécutent en environnement Windows Server 2008 R2 / 2012.
Les rootkits sont des modules logiciels qui s’insèrent au niveau des drivers boot ou system des systèmes Windows. Ils en modifient profondément le comportement et transforment votre PC en une machine « zombie », sous contrôle. Ils sont, la plupart du temps, indétectables par les anti-virus. Pour certains d’entre eux, vous pourrez les détecter sous forme de programme dans la liste des process (Ctrl+Shift+Echap), dont la particularité est d’être introuvable sur votre disque ou bien dans votre base de registre. Ces exécutables sont en général générés à la volée. Lorsque vous stoppez le process, il réapparaît alors sous un autre nom !
Celui auquel j’avais naguère été confronté avait contaminé la DLL hal.dll d’une machine équipée d’un système Windows XP. Il s’est infiltré dans la machine du fait de la désactivation du mode NAT de la Freebox de la personne à laquelle appartenait cet ordinateur. Le pare-feu de Windows XP n’aura pas résisté aux rafales de paquets sur le port TCP/135.
Les anti-rootkits qui marchent y compris sous Windows Server 2012
La première méthode pour éradiquer les rootkits, c’est d’utiliser un anti-rootkit. En général, ils les détectent. Rarement, ils sont en capacité de les effacer, le système étant sous le contrôle dudit rootkit.
- TDSSKiller, de Kaspersky : il ne balaie pas le disque ! Il propose en revanche une analyse des modules chargés au boot de votre système
- Sophos Anti-RootKit : pas de mise à jour depuis 2006 et c’est vraiment dommage !
- McAfee RootkitRemover : il s’exécute en mode texte.
- Norton Power Eraser : non fonctionnel pour les versions Windows Server.
- GMER : un anti-rootkit que seuls les extra-terrestres peuvent réussir à comprendre du 1er coup !
- Malwarebytes AntiRootkit : le seul à avoir donné des résultats !
- Trend Micro Rootkit Buster All : à voir.
Certains éditeurs intègrent l’anti-rootkit à leur solution anti-virus.
NB : awsMBR de la société Avast! est parvenu à faire planter tout mon système. Je vous recommande d’éviter cette cochonnerie.
BartPE et la commande expand pour Windows XP ! ( 1er novembre 2009)
Pour l’éradiquer, j’ai dû ressortir de ma pochette de CD un bon vieux BartPE. Toujours utile ! Je tiens à préciser que je disposais de la copie des fichiers du répertoire i386 de l’installation de Windows XP. En mode Live CD, j’ai amorcé mon système avec BartPE et lancé l’interpréteur de commandes :
c:
cd\i386
md tmp
J’ai décompressé tous les drivers, dlls et autres exécutables par la création d’un fichier .CMD dans un répertoire temporaire créé pour l’occasion :
for %%i in (*.dl_) do expand %%i tmp\%%i
copy tmp\*.dl_ c:\windows\system32\*.dll /y
for %%i in (*.ex_) do expand %%i tmp\%%i
copy tmp\*.ex_ c:\windows\system32\*.exe /y
for %%i in (*.sy_) do expand %%i tmp\%%i
copy tmp\*.sy_ c:\windows\system32\drivers\*.sys /y
for %%i in (*.in_) do expand %%i tmp\%%i
copy tmp\*.in_ c:\windows\inf\*.inf /y
Seul problème notoire : j’ai dû réactiver la licence Windows par téléphone. J’ai pris soin enfin d’exécuter le Service Pack 3 de Windows XP.
Utilisation de WinPE pour Windows 7 et Windows 2008 R2.
Je vous ai déjà parlé de WinPE et de la possibilité de créer un LiveCd sous Windows. Vous pouvez copier toutes les fichiers DLL, SYS et autres EXE qui se trouvent dans le répertoire Windows du fichier \sources\install.wim du Dvd, à l’aide du programme GimageX.
NB L’article fut publié initialement le 4 avril 2012