Gumblar (aka Daonol etc), nous vous en avons entretenu -> ICI. Ce « botnet » à double action continue tranquillement son expansion. Les sites nouvellement pollués sont plus nombreux que ceux d'où l'infection est éradiquée.
Mary landesman nous indique un moyen pour savoir si vous faites partie des
Un dénominateur commun dans les maliciels Gumblar installés sur les PCs des victimes est qu'il modifie "sqlsodbc.chm", un fichier par défaut de Windows. Quand l'antivirus ne peut pas faire la détection, une bonne méthode pour le contrôle de l'infection serait de s'assurer que le "sqlsodbc.chm" installé n'a pas été modifié.
CreateFileA("%windir%\system32\sqlsodbc.chm", GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);
ReadFile(hFile, Buffer, 52B, pBytesRead, NULL);
CloseHandle(hFile);
Puis les valeurs renvoyées par l'API GetFileTime sur le fichier "kernel32.dll" sont récupérées et fait ceci:
CreateFileA("%windir%\system32\sqlsodbc.chm", GENERIC_WRITE, FILE_SHARE_READ, NULL, CREATE_ALWAYS, NORMAL, NULL);
Va suivre un WriteFile d'une taille de 0x52B ; puis SetFileTime et CloseHandle.
Même chose, pour "%windir%\system32\wdmaud.sys" ; "%windir%\system32\sysaudio.sys" et la librairie décryptée:
CreateFileA("%repdrop%\..\%alea%.ext", GENERIC_WRITE, FILE_SHARE_READ, NULL, CREATE_ALWAYS, NORMAL, NULL);
Va suivre un WriteFile d'une taille de 0x5A00 puis SetFileTime et CloseHandle.
Pas besoins de clarifier, je pense que vous avez compris le but des manipulations. Un fichier batch est ensuite créé à la racine, il sera chargé d'effacer le dropper. Une fois le système infecté, aucun processus ne semble actif ou visible et pourtant... en mémoire ça s'active !
Mary Landesman a donc contacté un ancien collègue de Microsoft pour avoir les hash code SHA1 et les tailles de fichiers des différentes versions connues de "sqlsodbc.chm" qui varient d'une langue et d'une version de Windows à l'autre.
Pour vérifier son système, il faut localiser le fichier "sqlsodbc.chm" (dans %SystemRoot%\System32\ sous XP) et le comparer avec la liste qu'elle fournit -> ICI et qu'on retrouve maintenant LA.
Pour calculer le « checksum » SHA1 du fichier dans votre système Windows, vous pouvez utiliser des logiciels gratuits comme HashCalc de Slavasoft, jHashCalc (« open source », nécessite Java), MD5 & SHA-1 Checksum Utility de Raymond Lin (nécessite .NET), HashCheck de Kai Liu, ou, dans un style différent, File Alyzer proposé par l'auteur de Spybot-S&D.
Ce n'est cependant pas une garantie absolue. Depuis 2005, Xiaoyun Wang et Hongbo Yu, de l'université de Shandong, assistés par Yiqun Lisa Yin de l'université de Princeton, ont divisé par deux mille le temps initialement nécessaire pour « craquer » cet algorithme et défini qu'il est possible de créer deux fichiers différents mais ayant la même signature "SHA-1". . En quatre ans, les « crackers » ont sans doute fait des progrès.
@+