Aller au contenu


ZeroAccess ou Sireet.B/Rootkit.Win32Access/Max++


  • Vous ne pouvez pas répondre à ce sujet
15 replies to this topic

#1 loumax

loumax

    YodaMars

  • Sécurité
  • PipPipPipPipPipPipPipPipPip
  • 3 485 Messages :
  • Gender:Male

Posté 23 août 2011 - 13:06

TDSS semble actuellement être supplanté en terme de propagation ...

ZeroAccess ou Sireet.B/Rootkit.Win32Access/Max++ est un rootkit semblable à TDL adapté aux plateformes 64 bits, avec des fonctions lui permettant de "killer" les antivirus et autres outils anti-rootkits ...
Analyse et historique du malware :
http://www.prevx.com...de-rootkit.html

L’éditeur Webroot met à disposition un outil qui permet de supprimer ZAccess, fixe ne fonctionnant actuellement que sur les OS X 32.
http://www.malekal.c...irefef-remover/


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#2 il pleut

il pleut

    Touriste Phobosien

  • Zimien
  • PipPipPipPip
  • 82 Messages :
  • Gender:Male

Posté 23 août 2011 - 16:26

On peut apprécier le bon travail de l éditeur webroot comme d 'habitude .

#3 loumax

loumax

    YodaMars

  • Sécurité
  • PipPipPipPipPipPipPipPipPip
  • 3 485 Messages :
  • Gender:Male

Posté 07 octobre 2011 - 18:32

Bonne nouvelle pour les 64 bit : :)

http://www.malekal.c...indows-64-bits/


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#4 loumax

loumax

    YodaMars

  • Sécurité
  • PipPipPipPipPipPipPipPipPip
  • 3 485 Messages :
  • Gender:Male

Posté 18 octobre 2011 - 09:36

Petite vidéo explicative de notre ami Tigzy, pour supprimer le rootkit ZeroAccess (Max++) :

http://www.youtube.com/watch?v=IAzvk3zf2PQ&feature=player_embedded

http://tigzyrk.blogs...access-max.html


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#5 Th-Crown

Th-Crown

    Martien

  • Eminence Verte
  • PipPipPipPipPipPipPipPip
  • 1 307 Messages :
  • Gender:Male
  • Location:Quelque part entre l'enfer et la Terre

Posté 18 octobre 2011 - 17:09

Très intéressant. Surtout avec la démonstration de Combofix. Je connais cet utilitaire, mais n'avais jamais utilisé ni eu l'occasion de la voir à l'oeuvre.

#6 loumax

loumax

    YodaMars

  • Sécurité
  • PipPipPipPipPipPipPipPipPip
  • 3 485 Messages :
  • Gender:Male

Posté 18 octobre 2011 - 18:17

Très intéressant. Surtout avec la démonstration de Combofix. Je connais cet utilitaire, mais n'avais jamais utilisé ni eu l'occasion de la voir à l'oeuvre.

Combofix reste un "incontournable" en désinfection ;)


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#7 loumax

loumax

    YodaMars

  • Sécurité
  • PipPipPipPipPipPipPipPipPip
  • 3 485 Messages :
  • Gender:Male

Posté 19 octobre 2011 - 16:31

Voilà qui est intéressant :
http://www.malekal.c...quelques-tests/


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#8 loumax

loumax

    YodaMars

  • Sécurité
  • PipPipPipPipPipPipPipPipPip
  • 3 485 Messages :
  • Gender:Male

Posté 19 octobre 2011 - 19:45

Pour ceux qui seraient infectés par Zacces sur les systèmes X64 :
http://www.malekal.c...-consrv-winsrv/


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#9 loumax

loumax

    YodaMars

  • Sécurité
  • PipPipPipPipPipPipPipPipPip
  • 3 485 Messages :
  • Gender:Male

Posté 23 octobre 2011 - 17:31

En voila une nouvelle qu'elle est bonne :
http://www.emsisoft....n32.ZAccess.afo


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#10 le barbier fou

le barbier fou

    Serrurier fou !

  • Modérateur
  • PipPipPipPipPipPip
  • 449 Messages :
  • Gender:Male
  • Location:Nulle-Part-sur Mer

Posté 23 octobre 2011 - 19:49

Instructions pour la suppression de Backdoor ZAccess afo:
Pour supprimer l'infection par ce Malware, téléchargez et installez s'il vous plaît Emsisoft Anti-Malware.
Effectuez une analyse complète de tous les lecteurs et placez tous les objets détectés dans la quarantaine.


... Plaît-il ? :euhD:

Voilà qu'Emsisoft commence à concurrencer PCTools.

Ce message a été modifié par le barbier fou - 23 octobre 2011 - 19:50 .

250635.jpg

#11 EboO

EboO

    le lavaboO ^^'

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 2 668 Messages :
  • Gender:Male

Posté 23 octobre 2011 - 20:04

C'est pour le 100% au MRG flash test que tu dis ça ?
En effet ils ne l'obtiennent pas, mais dans la section antivirus ce sont les meilleurs. Le seul qui résiste durablement c'est defensewall.
Wait and see

#12 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 4 059 Messages :
  • Gender:Male
  • Location:Normandie

Posté 23 octobre 2011 - 20:11

A noter que la gestion des processus parents de Dr.Web peux mettre la puce a l'oreille quand a l'arrivé d'une de ces menaces sur vos machines, du moins, c'est ce que j'ai pus constater lors de mes tribulations, avec les échantillons en ma possesion...

#13 EboO

EboO

    le lavaboO ^^'

  • Modérateur
  • PipPipPipPipPipPipPipPipPip
  • 2 668 Messages :
  • Gender:Male

Posté 23 octobre 2011 - 20:57

C'est toujours bon à prendre :)
Wait and see

#14 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 4 059 Messages :
  • Gender:Male
  • Location:Normandie

Posté 23 octobre 2011 - 22:43

Oui, en ce moment je me documente sur cet éditeur et sur son "Security Space".

#15 loumax

loumax

    YodaMars

  • Sécurité
  • PipPipPipPipPipPipPipPipPip
  • 3 485 Messages :
  • Gender:Male

Posté 02 février 2012 - 18:41

ZeroAcces, l'évolution du malware continue :

ZeroAccess : redirections Google

ZeroAccess social engeenering contre l’UAC via Adobe Flash


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________


#16 loumax

loumax

    YodaMars

  • Sécurité
  • PipPipPipPipPipPipPipPipPip
  • 3 485 Messages :
  • Gender:Male

Posté 24 septembre 2012 - 10:45

Pour mieux comprendre cette infection, voici un dossier qui explique en détails le fonctionnement des nouvelles variantes de ZAccess, aussi bien sous architecture 32 que 64 bit :
http://www.sophos.co...cess_Botnet.pdf

The DLL creates a class named “z00clicker3”. This is an interesting choice of class name as z00clicker was the name of the DLL that the TDL rootkit was using for a time, also for click fraud. This provides an interesting link between the two families, although equally ZeroAccess may just have borrowed the name.

Peut-être ce qui expliquerait la disparition de TDL ...


"Celui qui aime à apprendre est bien près du savoir" (Confucius)

________________________________________________




0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)

Partenaires :