Comment analyser un rapport WORT ?

prenons un exemple de rapport que nous commenterons en VERT:

===== Rapport WareOut Removal Tool =====

version 3.6.2

analyse effectuée le 18/10/2009 à 18:42:20,39

Résultats de l'analyse :
========================

~~~~ Recherche d'infections dans C:\ ~~~~

C:\Autorun.inf trouvé ! // un fichier a été trouvé
C:\Autorun.inf suppression impossible! // mais il n'a pas été supprimmé

~~~~ Recherche d'infections dans C:\Program Files\ ~~~~

C:\Program Files\WareOut\ trouvé ! // un dossier a été trouvé
C:\Program Files\WareOut\ supprimmé avec succès ! // et il a été été supprimmé

~~~~ Recherche d'infections dans C:\WINDOWS\system\ ~~~~
// ici, il n'y a rien, donc pas d'infection
~~~~ Recherche d'infections dans C:\WINDOWS\system32\ ~~~~

~~~~ Recherche d'infections dans C:\WINDOWS\system32\drivers\ ~~~~

~~~~ Recherche d'infections dans C:\Documents and Settings\admin\Application Data\ ~~~~

~~~~ Recherche d'infections dans C:\Documents and Settings\admin\Bureau\ ~~~~

~~~~ Recherche de détournement de DNS ~~~~

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]
DhcpNameServer REG_SZ 85.255.116.102 85.255.112.147
NameServer REG_SZ 85.255.116.102 85.255.112.147
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4E924BC4-9855-44C9-9A7D-9FABD0B54827}]
NameServer REG_SZ 85.255.116.102,85.255.112.147
DhcpNameServer REG_SZ 85.255.116.102,85.255.112.147
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4FF21EA0-07E5-4607-94CF-F820F05E10DF}]
NameServer REG_SZ 85.255.116.102,85.255.112.147
DhcpNameServer REG_SZ 85.255.116.102,85.255.112.147
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters]
DhcpNameServer REG_SZ 85.255.116.102 85.255.112.147
NameServer REG_SZ 85.255.116.102 85.255.112.147
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4E924BC4-9855-44C9-9A7D-9FABD0B54827}]
NameServer REG_SZ 85.255.116.102,85.255.112.147
DhcpNameServer REG_SZ 85.255.116.102,85.255.112.147
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4FF21EA0-07E5-4607-94CF-F820F05E10DF}]
NameServer REG_SZ 85.255.116.102,85.255.112.147
DhcpNameServer REG_SZ 85.255.116.102,85.255.112.147 // détournement de DNS trouvé mais pas supprimmé pour l'instant

~~~~ Recherche de Rootkits ~~~~

_______________________________________________________________________
catchme 0.3.1398.3 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-18 18:42:48
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwQueryDirectoryFile

scanning hidden files ...

C:\WINDOWS\system32\kdqlj.exe 73734 bytes executable // un fichier rootkité a été trouvé grace a catchme, mais il n'est pas supprimmé pour le moment

scan completed successfully
hidden files: 1
_______________________________________________________________________

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ kdqlj.exe // le rootkit a été trouvé aussi grace a l'exportation de l'entrée du registre. A ce stade il n'est toujours pas supprimmé.

~~~~ Recherche d'infections dans C:\DOCUME~1\admin\LOCALS~1\Temp\ ~~~~

~~~~ Recherche d'infections dans C:\Documents and Settings\admin\Start Menu\Programs\ ~~~~

~~~~ Nettoyage du registre ~~~~

~~~~ Tentative de réparation des entrées suivantes: ~~~~ // ici, les 3 entrées qui suivent sont toujours les mêmes, leur nettoyage est systématique, mais il ne fonctionne pas toujours

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] = "System"
[HKLM\SYSTEM\CurrentControlSet\Services\Windows Tribute Service]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Windows Tribute Service]

~~~~ Vérification: ~~~~ // la partie vérification est très importante, en effet, si WORT a trouvé dans les parties précédentes, un rootkit ou un détournement de DNS, C'est ici que vous verrez s'ils ont été supprimmés ou pas

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System REG_SZ kdqlj.exe // ici, on remarque encore la présence du rootkit, ce qui signifie que WORT n'a pas réussi a le supprimmer

// Aucune trace de détournement de DNS ici, WORT a donc supprimmé les IP infectées.S'il y avait eu une adresse IP commencant par 85.255 ici, alors celà signifierait que WORT n'aurait pas réussi a éradiquer le détournement de DNS

_________________________________
développé par http://pc-system.fr
_________________________________

FAQ :

- Comment supprimmer un rootkit que Wort n'est pas parvenu a éradiquer ?

comme vous l'avez constaté , Wort intègre l'outil catchme.exe, cet outil offre une option de suppression en ligne de commande, pour celà, il faudra faire lancer la commande suivante à l'helpé :

demarrer/executer et taper cmd

taper ensuite dans la console: cd %USERPROFILE%\Bureau\WORT

puis: catchme -k "C:\Windows\System32:kdqlj.exe"

Ici, C: est le nom du disque du principal et kdqlj.exe le nom du fichier rootkité. Vous devrez l'adapter en fonction de vos besoins.

Ensuite, un deuxième passage de WORT devrait supprimmer les dernières traces dans le registre et confirmer la suppression du rootkit.

- Comment supprimmer un fichier/dossier que Wort n'est pas parvenu a éradiquer ?

pour celà, je vous conseille d'utiliser des outils tels que OTM ou Killbox. Je vous invite aussi a m'envoyer par mail a l'adresse pcsystem@monespace.net les fichiers que WORT n'a pas supprimmé afin que je puisse adapter l'outil.

N'hésitez pas a me faire remonter vos remarques, positives ou négatives.

Je vous remercie d'avance, Amicalement Dj QUIOU