Suite à la vague de SPAM distribuant le malware bancaire Dridex, Lexsi, grâce à son CERT, a développé plusieurs outils permettant de vérifier l’état de compromission d’un poste ainsi que de procéder à son nettoyage.

MISE A JOUR 26/10/2015

Version 3 de notre outil détectant la nouvelle campagne Dridex disponible ici. L’archive est protégée par mot de passe : « DridexDetectorByL3x$1″.

MISE A JOUR 18/06/2015

Lexsi a mis à jour son outil de détection afin de vous fournir, en plus de l’indication de l’état d’infection d’un poste, le contenu de la configuration locale de Dridex pour ce système (cf. https://www.lexsi.com/securityhub/comment-dridex-stocke-sa-configuration-en-registre). Les IPs des nœuds de communication du réseau P2P de Dridex peuvent ainsi être extraites et ajoutées à vos listes noires.

screenshot

Vous pouvez télécharger cet outil ici.  L’archive est protégée par mot de passe : « DridexDetectorByL3x$1″.

Détection

Vous pouvez télécharger un outil d’aide à la détection de Dridex créé par Lexsi. Cet exécutable est téléchargeable ici
L’archive est protégée par mot de passe : « DridexDetectorByL3x$1 ».

La présence de Dridex sur un poste étant assez difficile à détecter de manière automatique, veuillez noter que cet outil n’est pas infaillible.

Deux marqueurs sont utilisés pour la détection :

  • La clé registre HKEY_USERS\*\Software\Microsoft\Windows\CurrentVersion\Run\wwnotify. Cette clé n’est cependant visible que si l’ordinateur a été redémarré en mode sans échec
  • La clé registre contenant la configuration de Dridex, visible même en dehors du mode sans échec : HKEY_USERS\*\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\<random GUID>\ShellFolder\<random 16 hexadecimal digits>

L’utilisation de l’outil en mode interactif se déroule comme suit :

1. Sauvegardez l’outil localement (sur le bureau par exemple)

2. Lancez l’outil sur un poste (avec les droits administrateur si possible), vérifiez si la configuration est détectée

Dridex Lexsi 1

3. Si c’est le cas, redémarrez l’ordinateur en mode sans échec

4. Une fois redémarré en mode sans échec, lancez l’outil à nouveau. La persistance de Dridex (la clé wwnotify) devrait normalement être détectée. Supprimez cette clé. Vous pouvez également supprimer le fichier .TMP pointé par cette clé (l’outil affiche le chemin à l’écran, cf. screenshot infected_safemode.png).

 Dridex Lexsi 2

Attention à ne pas supprimer rundll32.exe, c’est un outil vital pour Windows !

5. Redémarrez normalement l’ordinateur, le poste est désinfecté.

Dridex Lexsi 3

L’outil peut également être utilisé au sein d’un script. le paramètre /q le passe en mode automatique (les clés sont supprimées sans demande utilisateur, pas de pause à la fin). Le code retour d’erreur de l’outil est le suivant:

  • 0 : Dridex non détecté
  • 2 : Dridex détecté

A noter qu’un fichier log « DridexDetector.log » est créé dans le répertoire courant. Ce fichier contient un résumé de ce qui a été trouvé. Il est réécrit à chaque lancement de l’outil.

Désinfection

Le CERT-Lexsi vous propose également deux méthodes pour désinfecter vos postes qui auraient été touchés par cette campagne d’attaque.

Pour information, le mécanisme de persistance du malware Dridex est particulier puisque ce dernier ajoute la clé de registre « HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wwnotify » uniquement lorsque la machine va s’éteindre.

Méthode 1 (manuelle) : mode sans échec

  • exécuter msconfig, onglet « Démarrer », cocher « Démarrage sécurisé » puis option « Minimal »
  • redémarrer le poste
  • supprimer la clé malveillante « HKCU\Software\Microsoft\Windows\CurrentVersion\Run\wwnotify » ainsi que le fichier .tmp vers lequel elle pointe
  • exécuter msconfig, onglet « Général », cocher « Démarrage normal »
  • redémarrer le poste

Méthode 2 (automatique) :

  • enlever à l’utilisateur courant les droits d’écriture sur la clé Run de HKCU
  • exécuter le script PowerShell  ici sur tous les postes infectés
  • redémarrer les postes
  • [optionnel] pour restaurer les droits d’écriture, relancer le même script en remplaçant « Deny » par « Allow »

Si vous êtes impacté par ce malware, n’hésitez pas à contacter notre équipe de réponse à incident pour une intervention d’urgence.