[VIRUS] Bagle.HR et XP home : guide de survie

Hello,

Comme j’ai pas de blog, je vais poster ici, les modos vont adorer… Non, sérieusement c’est une information que je pense très utile, et que j’ai eu un mal fou à réunir, je pense que ça pourrait servir à d’autres.

LE PROBLEME

Le virus Bagle.HR est une belle merde, non seulement il n’est détecté que par très peu d’antivirus (j’ai passé le fichier hôte dans VirusTotal, c’était pas la gloire), mais en plus c’est un rootkit (il se cache très bien), il s’attaque direct aux antivirus qu’il trouve (les bute tous, et empêche de les réinstaller), est un downloader (il va chercher d’autres trucs sur internet et vous les installe, moi je n’ai eu droit qu’à des adwares (pub)), et un mailer avec son propre moteur smtp (il se renvoie par mail sans besoin d’infecter un client), et il vous nique le safeboot aussi, et s’intalle comme service NT (caché lui aussi).

Je n’ai trouvé nulle part une méthode qui permette de s’en débarrasser, j’ai dû trouver moi-même à coups de tâtonnement et d’observation (merci SysInternals), je suis vraiment surpuissant.

LA SOLUTION

Grâce à votre CD de XP, vous allez pouvoir booter en mode “Recovery Console”. Malheureusement n°1 le mode RC est très limité par défaut, on n’a accès qu’à certains répertoires, et pas celui dont on a besoin. Malheureusement n°2, vous êtes honnêtes et avez acheté XP Home au lieu de pirater XP pro, donc vous n’avez pas d’accès à un tool de gestion des droits de groupe pour débloquer ça.

Alors, va falloir y aller via “regedit”, tapez cette commande dans “executer” du menu démarrer, ça vous ouvre l’éditeur de base de registre, ça ressemble à un explorer. Ensuite, cherchez le chemin suivant : “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole”. Là-dedans, y’a deux éléments, qui sont par défaut à 0. Il est nécessaire de changer la valeur de “SetCommand”, et de la mettre à 1. Eventuellement, vous pouvez mettre “SecurityLevel” à 1 aussi, ça vous évitera de taper le mot de passe en mode RC (ne faites pas ça si vous pensez que des gens mal intentionnés pourraient avoir un accès physique à votre ordinateur).

Voilà, redémarrez avec le CD de XP dans le lecteur, et réglez votre BIOS pour booter dessus si besoin. Hop le bidule démarre, si vous avez un RAID n’oubliez pas de taper F6 pour charger le driver. Ensuite, choisissez R pour réparer votre XP avec la RC. Tapez le mot de passe admin (ou pas, si vous avez changé le truc dans la registry), et voilà vous avez votre prompt C:\WINDOWS ou n’importe quoi d’équivalent.

Tapez “Set AllowAllPaths = TRUE”, cela vous donnera accès à tout le disque dur (c’est à ça que ça sert de mettre la clé “SetCommand” à 1).

Ensuite, à coups de CD, allez dans le répertoire “C:\Documents and Settings<utilisateur>\Application Data” ou équivalent ( est votre utilisateur principal et/ou celui qui a était loggé quand vous avez chopé Bagle.HR).

Faites un DIR, et constatez qu’il y a un répertoire “hidires” (que vous n’auriez jamais pu voir en temps normal, rootkit powah). Butez-le, càd “delete hidires” et puis “rmdir hidires”. Et voilà, vous pouvez redémarrer en mode normal, le virus est mort.

Une dernière chose, cette saleté vous a buté le mode sans échec (si vous essayez, ça reboot). Pour ça, allez voir sur ce blog, téléchargez et exécuter le petit fichier REG proposé. Ca va restaurer les clés détruites par le virus. Chez moi, ça marche, et plein de gens confirment.

Voilà, il ne vous reste plus qu’à réinstaller vos antivirus, firewall, anti-spywares, etc. qui se sont fait démolir par bagle.

C’est sympa. Tu as trouvé un outil de détection du dit virus ?

Merci B)

Oui, j’ai oublié de préciser, cet outil s’appelle AVG Anti-Rootkit Free

Sinon pour savoir si on a Bagle.HR c’est très simple, suffit de créer un fichier d’une façon ou d’une autre, et de le renommer en « spybotsd.exe » (c’est l’un des logiciels auquel il s’attaque). Si le fichier disparaît, vous êtes infecté B)

Et tu l’as chopé comment qu’on evite de faire pareil ?

Bah comme un con, un petit exe qui a l’air bizarre, je le scanne ça ne report rien, alors je clique pour voir. Paf. Jamais faire confiance à UN antivirus, toujours passer par virustotal en cas de doute. Ca m’a bien fait les pieds avec ma conception « les virus de maintenant c’est de la guimauve en vbscript, pas de quoi paniquer, on s’en débarasse d’un claquement de doigts ».

Et VirusTotal, tu le lui as fait scanner après coup? Il l’a trouvé? Quel A/V l’a détecté?

Pas mal ce concept, grâce à toi, je découvre ce site ! Pas mal pour tester les antivirus B)

[quote=“Ilford, post:6, topic: 45187”]Et VirusTotal, tu le lui as fait scanner après coup? Il l’a trouvé? Quel A/V l’a détecté?

Pas mal ce concept, grâce à toi, je découvre ce site ! Pas mal pour tester les antivirus B)[/quote]

De mémoire, environ 1/3 des rapports de virustotal étaient positifs, mais seuls un ou deux ont trouvé le bon virus. Là j’ai plus la saleté sous la main, elle n’a pas survécu à tous les scans que j’ai faits par la suite, et j’ai plus vraiment envie d’essayer de la retrouver B)