Aller au contenu


ZeroAccess ou Sireet.B/Rootkit.Win32Access/Max++


  • Vous ne pouvez pas répondre à ce sujet
16 replies to this topic

#1 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 23 août 2011 - 13:06

TDSS semble actuellement être supplanté en terme de propagation ...

ZeroAccess ou Sireet.B/Rootkit.Win32Access/Max++ est un rootkit semblable à TDL adapté aux plateformes 64 bits, avec des fonctions lui permettant de "killer" les antivirus et autres outils anti-rootkits ...
Analyse et historique du malware :
http://www.prevx.com...de-rootkit.html

L’éditeur Webroot met à disposition un outil qui permet de supprimer ZAccess, fixe ne fonctionnant actuellement que sur les OS X 32.
http://www.malekal.c...irefef-remover/


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#2 il pleut

il pleut

    Touriste Phobosien

  • Zimien
  • PipPipPipPip
  • 82 Messages :
  • Gender:Male

Posté 23 août 2011 - 16:26

On peut apprécier le bon travail de l éditeur webroot comme d 'habitude .

#3 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 07 octobre 2011 - 18:32

Bonne nouvelle pour les 64 bit : :)

http://www.malekal.c...indows-64-bits/


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#4 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 18 octobre 2011 - 09:36

Petite vidéo explicative de notre ami Tigzy, pour supprimer le rootkit ZeroAccess (Max++) :

http://www.youtube.com/watch?v=IAzvk3zf2PQ&feature=player_embedded

http://tigzyrk.blogs...access-max.html


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#5 Th-Crown

Th-Crown

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 319 Messages :
  • Gender:Male
  • Location:Quelque part entre l'enfer et la Terre

Posté 18 octobre 2011 - 17:09

Très intéressant. Surtout avec la démonstration de Combofix. Je connais cet utilitaire, mais n'avais jamais utilisé ni eu l'occasion de la voir à l'oeuvre.

#6 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 18 octobre 2011 - 18:17

Très intéressant. Surtout avec la démonstration de Combofix. Je connais cet utilitaire, mais n'avais jamais utilisé ni eu l'occasion de la voir à l'oeuvre.

Combofix reste un "incontournable" en désinfection ;)


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#7 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 19 octobre 2011 - 16:31

Voilà qui est intéressant :
http://www.malekal.c...quelques-tests/


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#8 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 19 octobre 2011 - 19:45

Pour ceux qui seraient infectés par Zacces sur les systèmes X64 :
http://www.malekal.c...-consrv-winsrv/


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#9 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 23 octobre 2011 - 17:31

En voila une nouvelle qu'elle est bonne :
http://www.emsisoft....n32.ZAccess.afo


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#10 le barbier fou

le barbier fou

    Serrurier fou !

  • Modérateur
  • PipPipPipPipPipPip
  • 470 Messages :
  • Gender:Male
  • Location:Nulle-Part-sur Mer

Posté 23 octobre 2011 - 19:49

Instructions pour la suppression de Backdoor ZAccess afo:
Pour supprimer l'infection par ce Malware, téléchargez et installez s'il vous plaît Emsisoft Anti-Malware.
Effectuez une analyse complète de tous les lecteurs et placez tous les objets détectés dans la quarantaine.


... Plaît-il ? :euhD:

Voilà qu'Emsisoft commence à concurrencer PCTools.

Ce message a été modifié par le barbier fou - 23 octobre 2011 - 19:50 .

250635.jpg

#11 EboO

EboO

    le lavaboO ^^'

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 4 898 Messages :
  • Gender:Male

Posté 23 octobre 2011 - 20:04

C'est pour le 100% au MRG flash test que tu dis ça ?
En effet ils ne l'obtiennent pas, mais dans la section antivirus ce sont les meilleurs. Le seul qui résiste durablement c'est defensewall.

"Il ne faut pas compter sur ceux qui créent les problèmes pour les résoudre". Albert Einstein
"La nature ne fait rien en vain, et le plus est vain quand le moins suffit". Isaac Newton


#12 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 23 octobre 2011 - 20:11

A noter que la gestion des processus parents de Dr.Web peux mettre la puce a l'oreille quand a l'arrivé d'une de ces menaces sur vos machines, du moins, c'est ce que j'ai pus constater lors de mes tribulations, avec les échantillons en ma possesion...

#13 EboO

EboO

    le lavaboO ^^'

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 4 898 Messages :
  • Gender:Male

Posté 23 octobre 2011 - 20:57

C'est toujours bon à prendre :)

"Il ne faut pas compter sur ceux qui créent les problèmes pour les résoudre". Albert Einstein
"La nature ne fait rien en vain, et le plus est vain quand le moins suffit". Isaac Newton


#14 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 545 Messages :
  • Gender:Male
  • Location:Normandie

Posté 23 octobre 2011 - 22:43

Oui, en ce moment je me documente sur cet éditeur et sur son "Security Space".

#15 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 02 février 2012 - 18:41

ZeroAcces, l'évolution du malware continue :

ZeroAccess : redirections Google

ZeroAccess social engeenering contre l’UAC via Adobe Flash


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#16 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 24 septembre 2012 - 10:45

Pour mieux comprendre cette infection, voici un dossier qui explique en détails le fonctionnement des nouvelles variantes de ZAccess, aussi bien sous architecture 32 que 64 bit :
http://www.sophos.co...cess_Botnet.pdf

The DLL creates a class named “z00clicker3”. This is an interesting choice of class name as z00clicker was the name of the DLL that the TDL rootkit was using for a time, also for click fraud. This provides an interesting link between the two families, although equally ZeroAccess may just have borrowed the name.

Peut-être ce qui expliquerait la disparition de TDL ...


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#17 loumax

loumax

    YodaMars

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 3 646 Messages :
  • Gender:Male

Posté 12 avril 2015 - 20:17

Semble pas encore mouru celui-là  :D

http://www.generatio...te-1911443.html



"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________




0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)