4 replies to this topic

[Jerome49]

bon déjà il est "vendu" sur rapidshare ce qui m'interpelle quelque peu ...

mais je dézippe l'installeur et je trouve dedans services.exe et en effet j'ai bien vu que DSA pendant l'installation émettait une requête pour le lancement de services.exe mais j'ai cru bêtement que c'était celui de system32 made in MS ... donc j'ai pas tiqué

donc je me demande quand même on voudrait faire peur au monde qu'on ne s'y prendrait pas autrement non ?

bien sûr vous allez me dire il le met pas dans system32 non plus

enfin je vais qd même faire un re-petit scan Gmer après ça

oups je découvre qu'il est signé Microsoft

[Jerome49]

version 5.1.2600.3300 c pas le bon

[ipl_001]

Bonsoir à tous,

C'est le seul sujet qui parle de RkU dans la première page de la section.

Je sais qu'il y a eu de nombreux articles sur le sujet par Txon mais je ne sais pas où poster... déplacez/supprimez mon message si souhaitable.

...
oups je découvre qu'il est signé Microsoft

version 5.1.2600.3300 c pas le bon

Je rebondis sur ces mots de Jerome49 pour signaler la publication de RkU-Rootkit Unhooker version 3.8 LE build 383/585 Service Release 1 build date 27.11.2009, par DiabloNova.
-> annonce Nov 26 2009 sur Rootkit.com, - http://www.rootkit.c....php?newsid=982
-> téléchargement - http://www.rootkit.c...3.8.383.585.rar



Encore une fois Txon a déjà expliqué la chose (lors de la sortie de la première version 3.8) mais je voudrais rappeler qu'il y a deux grandes familles de RkU-Rootkit Unhooker :

- la version RkU-Rootkit Unhooker développée principalement par EF_XOFF qui a été stoppée en 2007 et qui est actuellement connue sous le nom RkU-Rootkit Unhooker VX. (dernière version, la 3.7 même si EF_XOFF avait annoncé la v4)
Pour la petite histoire, Microsoft a acquis le programme et a embauché EF_XOFF et l'équipe de développement qui sont allés travailler chez MS-Deutschland.
. un papier de Txon sur InfoMars -> http://infomars.fr/f...p?showtopic=334
. l'annonce de la version 3.7 sur AntiRootkit.com avec téléchargement sur SysInternals -> http://www.antirootk...it-Unhooker.htm
. l'annonce sur le blog d'EP_XOFF de son départ chez MS -> http://www.rootkit.c...hp?user=EP_X0FF (admirez aussi son ton tout gentillet vis à vis de Gmer )

- la version RkU-Rootkit Unhooker développée principalement par DiabloNova qui a démarré en version 3.8 pour prendre la suite de celle du dessus.
Comme le code avait été acquis (plus ou moins) par MS, la version a été baptisée RkU-Rootkit Unhooker LE. (il y a eu remaniement important du code mais surtout des modes de détections).
La première version 3.8 est sortie -de mémoire- à la fin août 2008.
Il y a quelques jours, est sortie la dernière.
. un papier de Txon sur InfoMars -> http://infomars.fr/f...?showtopic=1904
. un deuxième papier de Txon -> http://infomars.fr/f...?showtopic=1906



Il n'est donc pas surprenant de trouver des téléchargements qui en sont encore à la 3.7 et qui ont une signature Microsoft.
Par contre, la "version 5.1.2600.3300", je ne sais pas...

Hope This Helps.

Ce message a été modifié par ipl_001 - 02 décembre 2009 - 22:34 .

[noisette]

Bonjour, et merci de ces précisions.

Txon devrait bientôt pouvoir nous rejoindre sur infomars,


il aura sans doute une idée précise de l'organisation à donner aux informations concernant RKU, qui tu as raison, commence à s'éparpiller un chouia, disons un chichouia, et te sera sans doute également reconnaissant de ton intervention.

Je laisse comme ça en attendant, mais tu peux ouvrir un sujet si tu veux mieux mettre ces infos en valeur.

[ipl_001]

Bonsoir noisette,



Merci pour ta réponse !
Je laisse Txon organiser les choses en matière de RkU.

Je pense toutefois qu'un petit papier du genre de celui que j'ai écrit ci-dessus est utile car beaucoup ne comprennent pas bien... par exemple Rorschach112 :

Rorschach112
Malware Removal Staff

Rootkit Unhooker v3.8 released

« Reply #3 on: September 02, 2008, 04:13:59 PM
I thought this tool was stopped being updated ages ago, why have things changed ?

( http://spywarehammer...msg1717#msg1717 )

Certes, c'était en septembre 2008 mais Rorschach112 est un expert en sécurité, admin de plusieurs grands forums, prof sur GeeksToGo.

Lorsqu'on demande à Google, il donne des liens pour les deux versions y compris de quoi télécharger la dernière version RkU de EP_XOFF et si on ne connaît pas l'histoire, on peut télécharger une version de 2007 surtout si on se fie aux noms Microsoft/SysInternals.

(j'ai posté sur SpywareHammer mais dans une section privée)

Ce message a été modifié par ipl_001 - 03 décembre 2009 - 00:07 .