Infection 2007K07 Ciadoor in Microsoft scvhost32 Protocol

Svchost.exe est un nom de processus hôte générique pour les services

 

Cadre : un ordinateur XP dédié à des tâches spécifiques, est utilisé (en moyenne) 2 heures par jour.
Ces tâches "spécifiques" sont :
1- vider (une fois par jour) nos boîtes email des spam's grâce à spamihilator (bien "éduqué depuis plus de deux ans")
2- suivre les liens à risques en navigation internet pour apprendre à éliminer les malwares ramenés
[note : des images du système sain, à différentes époques, sont sauvegardées sur un disque dur dédié à cet usage]
3- évaluation de logiciels freeware : apprendre à les installer, à les configurer et évaluer leur intérêt afin de pouvoir :
-- les conseiller à nos Clients
-- les installer sur les machines (neuves ou existantes) "traitées" en notre atelier de construction/réparation

4- installation de certains périphériques pour tests (comme ADSL USB modem's)

La puce à l'oreille : une icône du system tray manque à l'appel (nod32), le 07/11/2007.


Actions :
1- scan pc avec l'antivirus -> réponse : ...\system32\scvhost32.exe, probably a variant of Win32/Ciadoor trojan
2- recherche de documentation sur Internet concernant "scvhost32.exe + Ciadoor"
--> information trouvée signalant que Ciadoor peut fermer certains programmes.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Ce qui peut expliquer la disparition de l'icône du system tray; "close random programs".

 

 

 

 

3- le problème est que le fichier system32\scvhost32.exe est indispensable à XP et qu'il est même normal de trouver plusieurs instances de ce services dans un Task Manager; sa suppression est donc hasardeuse.

 

 

 

4- hijackthis signale :

 

 

On retrouve scvhost32.exe à un endroit inattendu

 

 

 

 

 

Tout comme un iexplorer.exe qui n'a rien à faire là.

 

 

 

5- confirmation en Registry :

 

 

 

On retrouve bien un  scvhost32.exe à un endroit inattendu

 

 

 

 

6- finalisation : via hijackthis, enlever toutes les instances suspectes et même si cela a l'air simpliste, cette action devrait suffir.

Reste une incertitude : le scvhost32.exe du system32 a été déclaré infecté par "probably a variant of Win32/Ciadoor trojan" et l'est normalement encore puisqu'il n'a pas été "nettoyé" ni supprimé ni remplacé ? Et fatalement, il est toujours actif (en 5 instances) :

 

 

Le fichier Svchost.exe se trouve dans le dossier %RacineSystème%\System32. Au démarrage, Svchost.exe vérifie la partie du Registre réservée aux services pour générer une liste des services qu'il doit charger. Plusieurs instances de Svchost.exe peuvent être exécutées simultanément. Chaque session de Svchost.exe peut contenir un groupe de services, ce qui autorise l'exécution de services distincts suivant le mode et le lieu de démarrage de l'exécutable. Cela améliore les possibilités de contrôle et simplifie le débogage.

 

Affichons la liste des services en cours d'exécution dans Svchost :

 

 

Inventaire, dans ce PC, des fichiers scvhost32.exe dans le disque Système :

 

Le fichier utilisé sans cette session a la même taille,date,heure que le fichier de sauvegarde que Windows conserve sous \...\i386

 

Tenant compte de cet élément et du fait que trois antivirus (Clamwin, Nod32 & Kaspersky) ne donnent aucune alarme, une probabilité d'infection résiduelle nous paraît peu vraisemblable.

Quand est rentré ce malware dans ce PC ?

Réponse de l'historique de l'antivirus :

19/10/2007 3:53:57 Kernel file ...\system32\scvhost32.exe probably a variant of Win32/Ciadoor trojan.

L'infection date donc de (au moins) 19 jours.

Pourquoi ne pas l'avoir pisté avant ? : aucune anomalie dans ce PC n'était enregistrée; il a fallu la disparition d'une icône du system tray pour nous mettre la puce à l'oreille.

 

Il est donc temps de se renseigner sur le caractère de dangérosité de ce malware afin de, si nécessaire, remplacer le fichier infecté par un fichier sain (via Live CD, en prélevant scvhost32.exe dans un autre PC sain [XP même version]).

 

Documentation sur Win32/Ciadoor trojan : on trouve peu de données techniques. Surtout que c'est "probably a variant of"

 

1/ site Sophos (souvent bien documenté) : en rade ce matin.

2/ enciclopediavirus.com : Troyano que se copia con el nombre "scvhost.exe" en la carpeta del sistema.

También crea los siguientes archivos: C:\Windows\System\wsock32.sys & C:\Windows\System\ckl009.dat
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
El troyano se ejecuta en segundo plano y espera comandos de un atacante remoto a traves de un puerto TCP especifico.

Fichiers Windows\System32\wsock32.sys & C:\Windows\System32\ckl009.dat  : non présents.

Aliases : Backdoor.Win32.Ciadoor.13, Backdoor.Win32.VB.zk, Backdoor.Ciadoor, Trojan.KeyLogger.88, Backdoor:Win32/Ciadoor.C, BKDR_CIADOOR.S, BDS/Ciadoor.13.B, BackDoor.Ciadoor.3.AD, Trojan.Ciadoor.13.A-srv, Bck/Ciadoor.X, Troj/Ciadoor-G, BKDR_CIADOOR.X

3/ Win32.Ciadoor.D is a backdoor trojan, which allows remote control of an affected machine. It is highly configurable.

Mais cette version de Ciadoor affecte le fichier Csrss.exe et non scvhost32.exe

4/ Backdoor.Win32.Ciadoor.b (Kaspersky Lab) is also known as: Backdoor.Ciadoor.b (Kaspersky Lab), BackDoor-ASB.gen (McAfee), Backdoor.CIA (Symantec), BackDoor.Generic.787 (Doctor Web), Backdoor:Win32/Ciadoor.B (RAV), BKDR_CIADOOR.B (Trend Micro), BackDoor.Ciadoor.2.H (Grisoft), Backdoor.Ciadoor.b (SOFTWIN), Trojan.Ciadoor.C (ClamAV), Backdoor Program (Panda), NewHeur_PE (Eset)

5/ Backdoor.Win32.Ciadoor.122.b (Kaspersky Lab) is also known as: Backdoor.Ciadoor.122.b (Kaspersky Lab), BackDoor-ASB.gen (McAfee), Backdoor.Trojan (Symantec), BackDoor.Generic.685 (Doctor Web), Troj/Ciadoor-F (Sophos), BKDR_BB.A (Trend Micro), Win32:Ciadoor-B (ALWIL), BackDoor.Ciadoor.2.AV (Grisoft), Trojan.Ciadoor.122.B-srv (ClamAV), Win32/Ciadoor.122.A (Eset)
6/ Virus Encyclopedia Search Results : Trendmicro
7/ BKDR_CIADOOR.A - cette version de Ciadoor affecte le fichier Csrss.exe et non scvhost32.exe

8/ BKDR_CIADOOR.E - cette version de Ciadoor affecte le fichier Csrss.exe et non scvhost32.exe
9/ BKDR_CIADOOR.S - cette version de Ciadoor affecte des fichiers.OCX et non scvhost32.exe

10/ Also known as: BKDR_CIADOOR.DC (Trend), Backdoor.Win32.Ciadoor.gn (Kaspersky) : Win32/Rbot.IFU is an IRC controlled backdoor (or "bot") that can be used to gain unauthorized access to a victim's machine. It can also exhibit worm-like functionality by exploiting weak passwords on administrative shares and by exploiting many different software vulnerabilities, as well as backdoors created by other malware. There are many variants of Rbot, and more are discovered regularly. Rbot is highly configurable, and is being very actively developed, however the core functionality is quite consistent between variants. Datum gepubliceerd : 4-11-2007

...

11/ site Sophos disponible : Ciadoor Trojan