RogueKiller tutoriel officiel – Ceci est le guide d’utilisation de RogueKiller, logiciel de désinfection antivirus que l’on peut télécharger ici. Si vous cherchez un moyen de comprendre les rapports générés, regardez également la documentation officielle.
 
Si vous avez un souci, merci de regarder la FAQ.

RogueKiller est compatible avec Windows XP, Server 2003, Vista, Server 2008, Win7, Win8, Win8.1, Win10.
RogueKiller est compatible avec les systèmes d’exploitation 32 bits et 64 bits.

  1. Commencer par télécharger l’outil sur le bureau, et quitter tous les programmes en cours.
  2. Lancer RogueKiller.exe. Si le programme est tué par un malware, ne pas hesiter à renommer l’exécutable en winlogon.exe, ou changer l’extension de fichier en .com (ex: Roguekiller.com)

 

SMARTSCREEN

Sous les systèmes d’exploitation récents (Windows 7 / Windows 8), le filtre SmartScreen empêche l’exécution de programmes inconnus (de Microsoft). Pour passer outre cette protection et pouvoir lancer RogueKiller, procéder comme suit:

  1. Cliquer sur Informations complémentaires
  2. Puis sur Exécuter quand même.

Capture
Capture2

 

SCAN

Le scan est déclenché par appui sur le bouton Démarrer le Scan. Le scan est un traitement n’apportant aucune modification sur le système, car il répertorie les anomalies rencontrées et les affiche. Une fois celui-ci terminé, un un rapport texte est disponible en cliquant sur le bouton Rapport.

 

COULEURS DE DETECTION

Avec RogueKiler, les couleurs de détections sont normalisées.

  • Rouge: Malware connu – Fort taux de détection
  • Orange: Malware possible – Possède souvent un chemin suspect, est taggé PUP/PUM (Potentially Unwanted Program/Modification)
  • Vert: Non détecté comme malware – Cela veut dire que l’objet est affiché juste pour information, mais n’est pas supposé être supprimé (sauf si vous le décidez)

 

SUPPRESSION

La suppression est déclenchée par appui sur le bouton Suppression. Au préalable il conviendra de vérifier les résultats du scan. Si vous avez des doutes, voir les sections suivantes sur les compléments d’analyse.

Si certaines choses vous paraissent anormales et ne doivent pas être supprimées, vous avez la possibilité de les décocher avant la suppression (et les signaler par mail). Contrairement au scan, la suppression fait des modifications sur le système, car c’est ce qui permet de supprimer les infections. Toutefois, tout élément modifié est d’abord copié en quarantaine.

Une fois la suppression terminée, un rapport texte est disponible en cliquant sur le bouton Rapport. Il se peut également que le programme demande à redémarrer le PC. Si c’est le cas, il faut le faire impérativement car certaines infections pourraient avoir le temps de se réactiver dans le cas contraire. Voici un exemple d’interface après une suppression:

 

FICHIER HOSTS

Le fichier hosts est un fichier de configuration Windows, permettant d’effectuer des redirections de noms de domaines vers des IPs définies. On l’utilise principalement pour interdire l’accès à une adresse internet, ou pour associer une adresse textuelle (ex: http://test.com) vers une adresse IP du réseau local (ex: 192.168.1.12). Voici quelques exemples de redirections Hosts légitimes:

127.0.0.1 localhost (ligne par defaut dans le fichier hosts)
127.0.0.1 www.malware_website.com (empêche l’accès a des sites dangereux)
192.168.1.12 my_local_website (associe une adresse textuelle à une IP du réseau local)

Les malware peuvent utiliser le fichier Hosts pour rediriger des adresses web légitimes vers des serveurs vérolés, et ainsi infecter de nouveaux utilisateurs. Voici un exemple de lignes malware:

123.456.789.10 www.google.com (redirige un site bien connu vers une adresse IP inconnue – le serveur vérolé)
165.498.156.14 www.facebook.com (redirige un site bien connu vers une adresse IP inconnue – le serveur vérolé)

Ces lignes doivent être supprimées.

 

ANTIROOTKIT

L’Antirootkit regroupe toutes les informations provenant du module TrueSight, le driver kernel de RogueKiller. Ce driver est surtout utilisé pour la recherche de rootkits dans le noyau Windows. La recherche concerne plusieurs sections:

System Service Dispatch Table (SSDT) – Montre les APIs détournées.
Shadow SSDT (S_SSDT) – Montre les APIs détournées.
Inline SSDT – Montre les APIs détournées par hot patching.
IRP hook – Montre les drivers dont les fonctions majeures sont détournées.
IAT/EAT hooks – Montre les processus avec des DLLs contenant du code injecté.

Important: Les modifications système listées par l’antirootkit sont uniquement pour information. Elles ne peuvent pas être cochées pour suppression car elle ne représentent pas une menace, juste une conséquence provenant d’un malware éventuel. La suppression d’un tel élément serait inutile et dangereuse pour la stabilité du système.

 
Les détournements du Kernel (non légitimes) sont également listés dans le rapport, Dans la section Antirootkit. On y retrouve le nom de l’API, l’adresse et le nom du driver détournant cette dernière.

¤¤¤ Antirootkit ¤¤¤
SSDT[119] : NtOpenKey @ 0x80624BA6 -> HOOKED (\??\C:\WINDOWS\TEMP\rqmqbqga.sys @ 0xF783E562)
SSDT[57] : NtDebugActiveProcess @ 0x80643B3E -> HOOKED (Unknown @ 0x89C30200)
SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0x89C302F0)
SSDT[277] : NtWriteVirtualMemory @ 0x805B43D4 -> HOOKED (Unknown @ 0x89C306D0)
IRP[IRP_MJ_CREATE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF3B40)
IRP[IRP_MJ_CLOSE] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF3B40)
IRP[DriverStartIo] : Unknown -> HOOKED ([MAJOR] atapi.sys @ 0xB7DF1864)

 

MBR

Le MBR liste et affiche les informations concernant le(s) Master Boot Record (MBR) du PC. Ce dernier est le premier secteur physique d’un disque dur, contenant à la fois des informations sur la taille et la localisation des différentes partitions logiques ainsi que le code chargé de lancer le système d’exploitation d’un disque bootable.

Certains malware appelés Bootkits, comme TDSS, MaxSST ou Stoned modifient soit le code (bootstrap) pour lancer leurs propres composants, soit la table des partitions pour booter sur une partition fantôme et ainsi effectuer des traitements avant le lancement du système d’exploitation (et des antivirus!).

RogueKiller permet de détecter et supprimer les bootkits, même lorsqu’ils masquent leur présence. Plusieurs indicateurs montrent la légitimité d’un MBR: Le bootstrap est connu, et légitime. Ensuite, la lecture à différents niveaux d’abstraction retourne les même résultats (ce qui signifie que le MBR n’est pas masqué).

  • Voici un exemple de rapport sain. Le bootstrap (BSP) est légitime (Windows XP), et la lecture User, LL1 et LL2 renvoient les mêmes résultats.
¤¤¤ MBR Verif: ¤¤¤+++++ PhysicalDrive0: VBOX HARDDISK +++++
— User —
[MBR] c708b764ca9daa4f8f33e4e8b3b517da
[BSP] f4eb87199eee8a432bb482bb55118447 : Windows XP MBR Code
Partition table:
0 – [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 4086 Mo
User = LL1 … OK!
User = LL2 … OK!
  • Voici un exemple de rapport présentant un MBR infecté. Le bootstrap (BSP) est légitime (Windows 7), mais la méthode LL1 renvoit quelque chose de différent. Enfin et surtout, il existe une partition fantôme masqué par le rootkit (MaxSST).
¤¤¤ MBR Verif: ¤¤¤+++++ PhysicalDrive0: Hitachi HDS721032CLA362 +++++
— User —
[MBR] a1e2c1a0c1fb3db806dcbb65fdbf8384
[BSP] 0dc0d942fc9152dc059c7e021d2ad3db : Windows 7 MBR Code
Partition table:
0 – [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 – [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305129 Mo
User != LL1 … KO!
— LL1 —
[MBR] 501fcd9f60449033a7b892d424337896
[BSP] 0dc0d942fc9152dc059c7e021d2ad3db : Windows 7 MBR Code [possible maxSST in 2!]
Partition table:
0 – [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 – [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 305129 Mo
2 – [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 625113088 | Size: 10 Mo
  • Voici un autre exemple de rapport présentant un MBR infecté. Le bootstrap (BSP) est infecté avec le rootkit MaxSST.
¤¤¤ MBR Check: ¤¤¤+++++ PhysicalDrive0: ST9500325AS +++++
— User —
[MBR] 318e94ac5cf893f8e2ed0643494e740e
[BSP] 07a9005ccf77d28c668138e4d4a42d65 : MaxSS MBR Code!
Partition table:
0 – [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 13000 Mo
1 – [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 26626048 | Size: 119235 Mo
2 – [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 270819328 | Size: 344703 Mo
User = LL1 … OK!
User = LL2 … OK!

En cas d’infection MBR, il est possible de restaurer le MBR en cochant la ligne correspondante dans l’onglet MBR avant la suppression.

 

NAVIGATEURS WEB

RogueKiller peut inspecter les configurations des navigateurs, ainsi que leurs extensions, et les afficher.

Les lignes de configuration sont affichées uniquement si détectées comme malware, tandis que toutes les extensions le sont. Concernant les extensions, seuls celles détectées comme malware sont affichées dans le rapport texte, ou celles que vous avez supprimé (si rapport de supression).

Important: Il est très important de comprendre que toutes les extensions listées ne sont pas forcément malware, vous n’êtes pas supposé toutes les cocher et les supprimer, merci de tenir compte des couleurs et des noms de détection.

 

MODULE HONEY

RogueKiller est capable de lire les Ruches Windows en mode Offline, et désinfecter les dossiers de démarrage:

  1. Désinfecter un système d’exploitation présent sur un disque externe.
  2. Désinfecter une machine lancée depuis un live CD PE (ex: OTLPE)

Concrètement, cela est pratique dans le cas de rootkits masquant/protégant leurs clés de registre, ou lorsqu’un PC est inaccessible en raison d’un malware bloquant toute les actions (ransomwares).

Voici une démonstration du mode PE effectuée sur un PC infecté par le malware Gendarmerie, et lancé depuis un live CD OTLPE:

 

LIGNE DE COMMANDES (Premium seulement)

Pour automatiser le traitement et faciliter le déploiement sur un grand nombre de postes, RogueKiller fournit une interface en ligne de commandes. Voici la liste des commandes:

-autoscan (lancement automatique du scan après le prescan)
-autoaccepteula (acceptation automatique de l’EULA, le passage de ce flag implique avoir déjà lu l’EULA auparavant et être d’accord avec)
-autodelete (suppression auto, tout sera supprimé hors Proxy, DNS, hosts – équivalent au clic sur le bouton suppression)
-nodriver (disponible dans la version gratuite) (pas de chargement du driver, et donc pas de recherche de rootkits côté kernel)
-nopop (disponible dans la version gratuite) (supprime les ouvertures de pages web, pour une exécution silencieuse)
-nothirdparty (disponible dans la version gratuite) (supprime toute les interactions avec des logiciels tierces (notepad, navigateur web, …) pour éviter de relancer certains infections)
-showlegithooks (montre les hooks légitimes qui sont normalement masqués)
-register [email] [clé] (S’enregister avec votre email/clé de licence Premium)
-portable-license [chemin_licence_portable] (Technicien Premium seulement, spécifie où se trouve le fichier se licence portable)
-pupismalware (spécifie que toutes les détections PUPs seront traitées comme malware)
-pumismalware (spécifie que toutes les détections PUMs seront traitées comme malware)
-autoupdate (ne demande pas lorsque le logiciel est périmé, et télécharge directement la nouvelle version si l’updater est présent)
-externalrules [chemin_fichier_dossier_regles] (charge un fichier/dossier de règles dans le scanner externe, voir ici.)
-reportpath [chemin_du_rapport] (disponible dans la version gratuite) (specifie un chemin où sauvegarder le rapport de scan)
-reportformat [txt|json|html] (choisir un format de rapport dans la liste donnée: soit txt, json ou html. Le choix par défaut est json)
-vtupload [on|off] (forcer le choix pouur l’upload VirusTotal)

 

SCANNER EXTERNE

Le scanner externe permet de charger des règles de détection personnalisées dans le moteur de RogueKiller.
Se référer à la page dédiée.