[Rootkit] ZeroAccess (Max++)

Comment supprimer ZeroAccess (Max++)

How to get rid of ZeroAccess (Max++)

MAJ du 26/06/2012:

ZeroAccess dans sa dernière variante n'est plus un rootkit. 

Il se contente d'injecter un processus Windows (services.exe) avec une dll stockée à plusieurs endroits. Voici une vidéo montrant comment s'en débarrasser: 

06/26/2012 update:

ZeroAccess in its latest variant is no longer a rootkit.

It only injects a Windows process (services.exe) with a dll stored in several locations.

Here's a video demonstrating how to get rid of it:

Voici les rapports obtenus avec RogueKiller et Malwarebytes:
Here's the reports obtained with both RogueKiller and Malwarebytes:

Télécharger / Download :                 Malwarebytes          RogueKiller

¤¤¤ Entrees de registre: 2 ¤¤¤
[ZeroAccess] HKCR\[...]\InprocServer32 :  (\\.\globalroot\systemroot\Installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\n.) -> REPLACED (c:\windows\system32\wbem\wbemess.dll)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\n --> REMOVED
[ZeroAccess][FILE] @ : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\@ --> REMOVED AT REBOOT
[Del.Parent][FILE] 00000001.@ : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\U\00000001.@ --> REMOVED
[Del.Parent][FILE] 80000000.@ : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\U\80000000.@ --> REMOVED
[Del.Parent][FILE] 800000cb.@ : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\U\800000cb.@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\windows\installer\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\U --> REMOVED
[ZeroAccess][FILE] n : c:\documents and settings\tigzy\local settings\application data\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\n --> REMOVED
[ZeroAccess][FILE] @ : c:\documents and settings\tigzy\local settings\application data\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\@ --> REMOVED

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[98] : NtLoadKey @ 0x8061C482 -> HOOKED (Unknown @ 0xF8CD30E2)
SSDT[122] : NtOpenProcess @ 0x805C1296 -> HOOKED (Unknown @ 0xF8CD30B0)
SSDT[128] : NtOpenThread @ 0x805C1522 -> HOOKED (Unknown @ 0xF8CD30B5)
SSDT[193] : NtReplaceKey @ 0x8061C332 -> HOOKED (Unknown @ 0xF8CD30EC)
SSDT[204] : NtRestoreKey @ 0x8061BC3E -> HOOKED (Unknown @ 0xF8CD30E7)

¤¤¤ Infection : ZeroAccess ¤¤¤ 

[...]

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 189868
Temps écoulé: 7 minute(s), 1 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Données: C:\Documents and Settings\tigzy\Local Settings\Application Data\{848ec4ef-b4fb-6501-ab69-678738a3a5c6}\n. -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 5
C:\Documents and Settings\tigzy\Bureau\LogicielsDesinfection\HideProc(v1.0)\HideProcDrv.sys (Rootkit.Agent) -> Aucune action effectuée.
C:\Documents and Settings\tigzy\Bureau\RK_Quarantine\00000001.@.vir (Trojan.Small) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\tigzy\Bureau\RK_Quarantine\80000000.@.vir (Trojan.Sirefef) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\tigzy\Bureau\RK_Quarantine\800000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\tigzy\Bureau\RK_Quarantine\n.vir (Trojan.Dropper.PE4) -> Mis en quarantaine et supprimé avec succès.

(fin)

____________________________________

Variante précédente - Previous variant

• Ce rootkit parvient à désactiver l'antivirus, et à s'installer dans la couche tcp/ip, provoquant des redirections de la navigation. Il tue et modifie également les ACLs des programmes qui tentent de le scanner. Ce rootkit se compose de 3 parties: 

1. Une dll (conserv.dll) pour les systèmes x64 
2. Un système de fichiers verrouillé (C:/Windows/$NtUninstallKBxxxxx$) ou il stocke ses fichiers, ainsi il est sûr qu'il ne seront pas supprimés
3. Un driver patché (x86), choisi de manière pseudo aléatoire. Ce driver est à la base légitime.

 

• (English) This rootkit removes AVs protections, et installs itself inside the tcp/ip stack, which leads to web redirections. It kills and modify ACLs on every programms trying to scan its files. It's composed of 3 parts:

1. A dll (consrv.dll) for x64 systems 
2. A locked filesystem (C:/Windows/$NtUninstallKBxxxxx$) where it keeps its files,being sure they won't be removed.
3.  A patched driver (x86), randomly chosen. This driver is legit at the origin.

• Télécharger et lancer TDSSKiller. Bien selectionner "cure" et "delete" sur tous les objets. -- Donwload and launch TDSSKiller. Be careful to choose "cure" and "delete" on every object.

• Vous devriez avoir le rapport suivant -- You should obtain the following report

19:35:47.0004 1156    ============================================================
19:35:47.0309 1156    Initialize success
19:35:55.0922 1516    ============================================================
19:35:55.0922 1516    Scan started
19:35:55.0922 1516    Mode: Manual; SigCheck; TDLFS;
19:35:55.0922 1516    ============================================================
19:35:56.0019 1516    a04dba87        (8f2bb1827cac01aee6a16e30a1260199) C:\WINDOWS\2277133728:1605518712.exe
19:35:56.0046 1516    Suspicious file (Hidden): C:\WINDOWS\2277133728:1605518712.exe. md5: 8f2bb1827cac01aee6a16e30a1260199
19:35:56.0046 1516    a04dba87 ( HiddenFile.Multi.Generic ) - warning
19:35:56.0046 1516    a04dba87 - detected HiddenFile.Multi.Generic (1)
...19:36:21.0921 1516    ============================================================
19:36:21.0921 1516    Scan finished
19:36:21.0921 1516    ============================================================
19:36:22.0020 1420    Detected object count: 3
19:36:22.0020 1420    Actual detected object count: 3
19:37:04.0646 1420    HKLM\SYSTEM\ControlSet001\services\a04dba87 - will be deleted on reboot
19:37:04.0656 1420    C:\WINDOWS\2277133728:1605518712.exe - will be deleted on reboot
19:37:04.0656 1420    a04dba87 ( HiddenFile.Multi.Generic ) - User select action: Delete
19:37:04.0656 1420    procguard ( UnsignedFile.Multi.Generic ) - skipped by user
19:37:04.0656 1420    procguard ( UnsignedFile.Multi.Generic ) - User select action: Skip
19:37:04.0712 1420    Backup copy found, using it..
19:37:04.0740 1420    C:\WINDOWS\system32\DRIVERS\tmtdi.sys - will be cured on reboot
19:37:04.0740 1420    tmtdi ( Rootkit.Win32.ZAccess.g ) - User select action: Cure
19:37:07.0963 1084    Deinitialize success

• Ensuite passer un scan avec Combofix. Cela peut être long -- Then run Combofix. It could take a long time.
• Vous devriez avoir le rapport suivant -- You should obtain the following report

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\$NtUninstallKB58677$
c:\windows\$NtUninstallKB58677$\2689448583\@
c:\windows\$NtUninstallKB58677$\2689448583\L\echiudpr
c:\windows\$NtUninstallKB58677$\2689448583\U\@00000001
c:\windows\$NtUninstallKB58677$\2689448583\U\@000000c0
c:\windows\$NtUninstallKB58677$\2689448583\U\@000000cb
c:\windows\$NtUninstallKB58677$\2689448583\U\@000000cf
c:\windows\$NtUninstallKB58677$\2689448583\U\@80000000
c:\windows\$NtUninstallKB58677$\2689448583\U\@800000c0
c:\windows\$NtUninstallKB58677$\2689448583\U\@800000cb
c:\windows\$NtUninstallKB58677$\2689448583\U\@800000cf
c:\windows\$NtUninstallKB58677$\339281305
c:\windows\{2521BB91-29B1-4d7e-9137-AC9875D77735}

• Le rootkit devrait être supprimé -- The rootkit must have been deleted