English

vrijdag 21 mei 2010

Whistler Bootkit

Update : Deze infectie wordt verwijderdt door ComboFix.
Het gebruik van Combofix kan je beter in samenwerking met een Gekwalificeerd Helper doen.

Zie de fora list, rechts.


For the English version of this explanation,look here.
Don't use Google translation, its teribble.

WAARSCHUWING

Onderstaande is enkel geschikt voor Gekwalificeerde Helpers.
Ga niet op je eentje zitten te fixen !!!

Gebruik deze fix niet indien het gaat om een factory MBR of Multiboot.



Onlangs ben ik tegen de Whistler Bootkit gestoten in het behandelen van Hijackthis logs.

Deze malware neemt aggresief en onmerkbaar bezit van je PC.
Gmer, The Avenger 2, Combofix,.. het heeft niet mogen baten.

Een Systeem Herstel zal eveneens niet werken !


Volgende symptomen zijn van toepassing:

Kaspersky :

HEUR: Trojan.Win32.Generic in de C:\System Volume Information folder

Dr Web :

smss.exe C:\System Volume Information\Whistler Win32.HLLC.Asdas.8 Niet repareerbaar.Verplaatst.

svchost.exe C:\System Volume Information\Whistler Win32.HLLC.Asdas.8 Niet repareerbaar.Verplaatst.


In de Hijackthis logs is er het volgende merkbaar :

Running processes:

C:\System Volume Information\Whistler\svchost.exe
C:\System Volume Information\Whistler\smss.exe

of na een uitgevoerde Systeemherstel :

C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exe
C:\System Volume Information\_restore{d5fffa500b1b}\smss.exe


Combofix toont ons :

------------------------ Andere Aktieve Processen ------------------------
c:\system volume information\_restore{d5fffa500b1b}\svchost.exe
c:\system volume information\_restore{d5fffa500b1b}\smss.exe



De Startup List van Hijackthis laat ons volgende zien:

Windows NT 'Wininit.ini' :

PendingFileRenameOperations: C:\System Volume Information\_restore{d5fffa500b1b}\svchost.exeC:\System Volume Information\_restore{d5fffa500b1b}\smss.exeC:\System Volume Information\_restore{d5fffa500b1b}\SMSS.EXEC:\System Volume Information\_restore{d5fffa500b1b}\SVCHOST.EXE


De PendingFileRenameOperations waarde onder [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] was niet aanwezig.

Combofix en The Avenger verwijderen wel de twee bestanden, maar deze komen na een reboot onmiddelijk terug.


Identificatie:

Dieper en intesiever zoeken op Google leert me
dat we hier te maken hebben met Whistler Bootkit.


De oplossing:

Vermits deze infectie zich nestelt in de bootsector, is snelheid en accuratie belangrijk.

Stap 1

Downloadt bootkit_remover.rar (INFO)
Unzip het.
Open de map bootkit_remover en dubbelklik op remover.exe.
Post even wat er in het scherm verschijnt.

Stap 2

Een geinfecteerde bootsector kan er alsvolgd uitzien:

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
http://www.esagelab.com/
\\.\C: ->
\\.\PhysicalDrive0
MD5: 274955059efe9236c07688c5ff9242b2
Size Device
Name MBR Status
--------------------------------------------
74 GB
\\.\PhysicalDrive0 Unknown boot code

Unknown boot code has been found on
some of your physical disks.
To inspect the boot code manually, dump the
master boot sector:remover.exe dump [output_file]
To disinfect
the master boot sector, use the following command:remover.exe fix



Deze trekt meteen onze aandacht : \\.\PhysicalDrive0



Voor de zekerheid even nachecken met MBRcheck:


Download MBRCheck.exe naar je bureaublad.
Dubbelklik op MBRCheck.exe om het programma te openen.


Als je een melding krijgt, typ dan op N en druk op Enter.
Druk nogmaals op Enter.
Een kladblokbestand genaamd MBRCheck_mm.dd.yy_hh.mm.ss zal op je bureaublad worden opgeslagen.



\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 (NTFS)

PhysicalDrive0 Model Number: MAXTORSTM380815AS, Rev: 3.AAD

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Windows XP MBR code detected
SHA1: F238F1FE114296B6DC7716517DC1DADB3FF3D5C6


Done!


Bovenstaande output is dus goed.
Indien niet :


We gaan deze verwijderen met een batch waarin we een switch voor remover.exe zetten:





@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
EXIT

Bij het uitvoeren van deze batch, moet de PC ONMIDDELLIJK herstart worden.
Dit is uitermate belangrijk, anders geven we de infectie de kans te herinitializeren.

Je zou hier eveneens het DOS commando SHUTDOWN -r in de batch kunnen implementeren.
De batch wordt dan :


@ECHO OFF
START remover.exe fix \\.\PhysicalDrive0
SHUTDOWN -r
EXIT

Eveneens vragen we na een herstart om de remover.exe log.
Je laat dus remover.exe, na de herstart, terug uitvoeren en vraagt om de output.

Als alles goed is gegaan, krijg je dit :

Bootkit Remover version 1.0.0.1
(c) 2009 eSage Lab
http://www.esagelab.com

\\.\C: -> \\.\PhysicalDrive0
MD5: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)


Voor de zekerheid en ter controle, even nachecken met Gmer en Hijackthis.

Het is eveneens aan te raden de paswoorden te veranderen.

Emphyrio :)

Met dank aan Marckie voor de ondersteuning in deze toch wel moeilijke infectie.

3 opmerkingen:

  1. Bedankt, dit was de enige (werkende) oplossing die ik op het hele www in welke taal dan ook kon vinden.

    BeantwoordenVerwijderen
  2. Ter vervollediging heb ik hieronder een batch voorbeeld beschreven:


    Open een kladblokbestand.
    Kopieer onderstaande (alles wat vetgedrukt is) in dit kladblokbestand.

    @ECHO OFF
    START remover.exe fix \\.\PhysicalDrive0
    SHUTDOWN -r
    EXIT



    Bij "Opslaan in" kies je: Bureaublad
    Bij "Bestandsnaam" zet je: emphy.bat
    Bij "Opslaan als type" selecteer je: Alle bestanden (*.*).
    Klik op de knop Opslaan.
    Dubbelklik op emphy.bat.

    * Als Vista gebruiker, kies je voor rechtsklikken en Uitvoeren als Administrator.

    BeantwoordenVerwijderen

Opmerking: alleen leden van deze blog kunnen een reactie plaatsen.