Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Renaud Tabary, Lexsi : Malware DRIDEX, avez-vous été compromis ?

juin 2015 par Renaud Tabary, expert en cybersécurité chez Lexsi

Suite à la vague de SPAM distribuant le malware bancaire Dridex, Lexsi, grâce à son CERT, a développé plusieurs outils permettant de vérifier l’état de compromission d’un poste ainsi que de procéder à son nettoyage.

Détection

Vous pouvez télécharger un outil d’aide à la détection de Dridex créé par Lexsi. Cet exécutable est téléchargeable ici. L’archive est protégée par mot de passe : « DridexDetectorByL3x$1 ?.

La présence de Dridex sur un poste étant assez difficile à détecter de manière automatique, il est important de noter que cet outil n’est pas infaillible.

Deux marqueurs sont utilisés pour la détection :
• La clé registre HKEY_USERS*\Software\Microsoft\Windows\CurrentVersion\Run\wwnotify. Cette clé n’est cependant visible que si l’ordinateur a été redémarré en mode sans échec
• La clé registre contenant la configuration de Dridex, visible même en dehors du mode sans échec :
HKEY_USERS*\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID \ShellFolder

L’utilisation de l’outil en mode interactif se déroule comme suit :
1. Sauvegardez l’outil localement (sur le bureau par exemple).
2. Lancez l’outil sur un poste (avec les droits administrateur si possible), vérifiez si la configuration est détectée.

3. Si c’est le cas, redémarrez l’ordinateur en mode sans échec.
4. Une fois redémarré en mode sans échec, lancez l’outil à nouveau. La persistance de Dridex (la clé wwnotify) devrait normalement être détectée. Supprimez cette clé. Vous pouvez également supprimer le fichier .TMP pointé par cette clé (l’outil affiche le chemin à l’écran, cf. screenshot infected_safemode.png).

Attention à ne pas supprimer rundll32.exe, c’est un outil vital pour Windows !
5. Redémarrez normalement l’ordinateur, le poste est désinfecté.

L’outil peut également être utilisé au sein d’un script. le paramètre /q le passe en mode automatique (les clés sont supprimées sans demande utilisateur, pas de pause à la fin). Le code retour d’erreur de l’outil est le suivant :
0 : Dridex non détecté
2 : Dridex détecté
A noter qu’un fichier log « DridexDetector.log » est créé dans le répertoire courant. Ce fichier contient un résumé de ce qui a été trouvé. Il est réécrit à chaque lancement de l’outil.

Désinfection

Le CERT-Lexsi vous propose également deux méthodes pour désinfecter vos postes qui auraient été touchés par cette campagne d’attaque.

Pour information, le mécanisme de persistance du malware Dridex est particulier puisque ce dernier ajoute la clé de registre « HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wwnotify » uniquement lorsque la machine va s’éteindre.

Méthode 1 (manuelle) : mode sans échec
• Exécuter msconfig, onglet « Démarrer », cocher « Démarrage sécurisé » puis option « Minimal »
• Redémarrer le poste
• Supprimer la clé malveillante « HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wwnotify » ainsi que le fichier .tmp vers lequel elle pointe
• Exécuter msconfig, onglet « Général », cocher « Démarrage normal »
• Redémarrer le poste

Méthode 2 (automatique) :

• Enlever à l’utilisateur courant les droits d’écriture sur la clé Run de HKCU
• Exécuter le script PowerShell ici sur tous les postes infectés
• Redémarrer les postes
• [optionnel] Pour restaurer les droits d’écriture, relancer le même script en remplaçant « Deny » par « Allow »


Voir les articles précédents

    

Voir les articles suivants