Blog EugeneToons

Les tutoriels sur la sécurité et Windows en général...

Désinfection du Bootkit Boo-Cidox.B

par · 24 janvier 2016

Nous abordons l’étude de la désinfection du Bootkit Boo-Cidox.B installé sur un Pc portable, ainsi que le nettoyage complet du système de refroidissement.

1. Introduction
2. Investigation & diagnostique
3. Informations sur Boo-Cidox.B
4. Désinfection du Bootkit Boo-Cidox.B
5. Désinfection générale du Pc
6. Nettoyage du système de refroidissement
7. Conclusion

1. Introduction

J’inaugure une nouvelle rubrique « Étude de cas« . Je détaillerai dans celle-ci les dépannages informatiques intéressants que je rencontre de temps en temps. Dans ce genre d’opération il faut savoir qu’il n’existe pas de procédure standard pour dépanner un ordinateur. Chaque technicien a donc sa propre expérience et son vécue, et a ainsi pu se forger des méthodes de dépannage et s’équiper d’outils pour les complémenter. L’ensemble des articles que j’écrirai, seront plutôt détaillés dans la manière et la façon de procéder que dans la méthode d’utilisation de tel ou tel outil. Ce qui est intéressant ici c’est la méthodologie.

Désolé pour l’ensemble des photographies car je les ai réalisées avec mon smartphone (ce n’est pas top au niveau cadrage) ! Promis je ferai mieux la prochaine fois !

Matériel et problème rencontré

Pc portable de marque HP
Modèle : G72
Système : Windows 7 Home 64 Bits
Problème rencontré par le client : L’ordinateur ne démarre plus !

Dans le dépannage informatique ce qui me fait rire, c’est la manière dont les personnes décrivent les pannes. Généralement les mêmes phrases reviennent souvent même si la panne en soit est différente. Voici quelques phrases types que j’ai pu entendre très souvent :

  • « Mon Pc ne démarre plus »
  • « Mon écran est noir »
  • « Windows plante »
  • « J’ai un virus ! mon Pc est infecté »
  • « Je n’ai plus Internet »
  • « J’ai perdu mes données »

2. Investigation & diagnostique

Avec le peu d’information fournit par l’utilisateur, il est donc nécessaire pour commencer de reproduire la panne s’il on peut car dans certains cas cela ne sera pas possible !

1er démarrage

Au démarrage du Pc portable, un message d’alerte s’affiche au sujet de la batterie qui me stipule que celle-ci doit être remplacée. Je frappe « Enter » pour poursuivre le démarrage… L’ordinateur redémarre en boucle et Windows ne se lance pas du tout. Je remarque également que le ventilateur se déclenche très vite après la mise sous tension. La soufflerie se fait bien entendre et la coque en plastique du portable est particulièrement chaude et cela après quelques minutes d’utilisation.

etude2cas01 message batterie

2ème démarrage : vérification du matériel

Est-ce un problème matériel (disque dur) ou autre ?

Je vérifie dans le Bios que le disque dur est reconnu et également l’ordre de démarrage des unités de stockage. Tout est bon ! Ici on peut écarter un mauvais paramétrage du Bios.

Pour vérifier que l’ordinateur fonctionne correctement tout de même, je place un cd-live de « Hiren’s Boot CD » dans le lecteur de CD et je redémarre la machine. Je modifie la séquence de démarrage dans le Bios et effectivement le cd-live se lance bien et sans encombre. Cela me permet de vérifier que la machine fonctionne sans problème. Je vérifie également que j’accède aux différentes partitions du disque dur. Ce dernier possède les 4 partitions suivantes :

  • Partition 1 : format NTFS, type SYSTEM de 200 Mo
  • Partition 2 : format NTFS, lecteur C (windows) de 450 Go
  • Partition 3 : format NTFS, lecteur D (Recovery) de 15 Go
  • Partition 4 : format FAT32, HP_Tools (outils HP) de 103 Mo
  • 1 Mo non alloué

Je constate en parcourant les différents répertoires dans la partition de Windows que beaucoup d’Adwares sont hélas présents ! Je laisse tourner l’ordinateur un petit quart d’heure pour vérifier que l’ordinateur fonctionne malgré tout correctement et ce même avec une chauffe excessif.

Sauvegarde du disque

Avant de procéder à quoi ce soit sur une machine qui ne m’appartient pas, j’effectue toujours une sauvegarde de la totalité du disque. Cela me permettra premièrement de récupérer les données plus facilement si je dois reformater le disque et deuxièmement de remettre le PC dans l’état d’origine si par erreur j’effectue une mauvaise manœuvre. L’ordinateur ne possédant qu’un seul disque dur, je décide de le démonter et de le brancher en USB sur mon PC personnel car tous mes logiciels et mes outils y sont présents. En branchant le disque mon Antivirus (Avira Free Antivirus) se met à « chanter » et m’indique que le Mbr du disque est infecté par le virus Boo-Cidox.B. C’est un Bootkit (ou Rootkit de boot) qui est assez dangereux. Étant sous Windows 10 je ne parviens pas à effectuer la sauvegarde (je ne sais pas pourquoi d’ailleurs !) et je me demande si ce n’est pas l’Antivirus Avira qui fait des siennes ! Je remonte donc le disque dans le portable et j’utilise un cd-live de Acronis True Image sous Linux pour effectuer la sauvegarde. Cette dernière est réalisée sur un disque externe en USB 3 (temps de l’opération : 45 mn). Je peux donc à partir de maintenant opérer sereinement sur le disque dur de cette machine.

etude2cas01 sauvegarde disk

Diagnostique et conclusions

Voici mes premières impressions et conclusions avant de procéder aux manipulations de dépannage :

  • Le portable fonctionne bien, donc pas de panne matériel (à part la batterie).
  • Bootkit Boo-Cidox.B (Nom donné par Avira) présent sur le secteur de démarrage.
  • Les soucis de Boot relèvent donc probablement du Bootkit, du Bootloader, du Mbr ou autre.
  • La pâte thermique du Cpu et du Gpu n’est plus efficace du tout car elle est trop ancienne. N’oublions pas que l’ordinateur date de l’année 2010 ! En règle générale il est conseillé de changer la pâte thermique d’un Cpu tous les 2 ans (cela n’est jamais fait !).
  • Le radiateur est sale et encombré (visible au niveau passage d’air au niveau de la coque).
  • La batterie est probablement HS mais cela n’empêche pas l’ordinateur de fonctionner correctement sur le secteur.

Je suis en face d’un portable d’un grand construction (HP) qui date de 2010 : La machine est-elle tatouée ? Pour ceux qui ne savent pas ce que cela veut dire je les renvois vers cet article :
http://www.depannetonpc.net/dossiers/lire_13_1_le-tatouage-bios-disque-dur-la-menace-fantome.html

Ne sachant pas si le Pc est tatoué ou non, je dois redoubler d’attention pour ne pas bloquer complétement la machine. Comme le Rootkit a modifié le Mbr je me demande si ce n’est pas le tatouage qui bloque le démarrage de l’ordinateur.

3. Informations sur Boo-Cidox.B

Cette infection s’attrape par un exploit sur site Web. Il suffit donc de naviguer sur certains sites sur Internet pour infecter automatiquement son ordinateur. Cela est du à certains logiciels installés sur l’ordinateur car ces derniers présentent des failles de sécurité et malheureusement ne sont pas à jour. Ces logiciels sont généralement Adobe Reader, Adobe Flash Player et Java. Je vous conseille de lire l’article que j’ai écrit : Sécuriser son Pc en le mettant à jour.

Pour revenir à ce Rootkit de boot, ce genre de bestiole masque les infections présentes sur la session de Windows et peut rendre donc inopérant les outils de désinfections. Concernant notre spécimen il dérobe les informations personnelles de l’utilisateur (compte mail, n° carte bleue, comptes des réseaux sociaux et mots de passe des jeux en jeux en ligne et autres.). Rien que ça ! En fin de désinfection il sera donc nécessaire de modifier tous les mots de passe sur cette machine !

Pour information je tiens à préciser que l’utilisateur de cet ordinateur a eu un petit problème de carte bleue. En effet des achats en ligne ont été réalisés à son insu. Et cela aurait pu être bien plus grave ! Il est donc nécessaire de prendre très au sérieux ce genre d’infection !

4. Désinfection du Bootkit Boo-Cidox.B

Réparation du Mbr

Je décide d’utiliser le Cd de réparation de Windows Seven (le cd d’installation d’origine de Windows Seven peut aussi bien faire l’affaire). Je lance donc la machine à partir du cd et je sélectionne la partition de Windows et exécute une réparation automatique. Je quitte le Cd de réparation et fait un test en relançant la machine. Victoire la session de Windows fonctionne et démarre ! En fait le Mbr possède une copie de secours et l’outil de réparation de Windows a du se servir de cette sauvegarde pour le réparer. Le plus dur est fait, la session de Windows fonctionne et je vais pouvoir m’atteler à la désinfection. Normalement suite à la restauration du Mbr, le Bootkit ne doit plus être présent.

Désinfection du Bootkit

La priorité est de vérifier que le bootkit a bien disparu et de supprimer le Malware qui est la cause de l’installation du Bootkit car je ne tiens pas à réinfecter la machine. Concernant les outils de désinfection contre les Bootkits/Rootkits il est important de savoir que tous ne se valent pas. Je décide d’utiliser TDSSKiller de l’éditeur Kaspersky qui est un des outils parmi les plus performants pour la partie détection/suppression et de plus il gère très bien cette infection. Je réalise un scanne et un nettoyage, ce qui fait le plus grand bien à ce Pc ! Je vérifie et constate que le Mbr est sain !

5. Désinfection générale du Pc

Maintenant commence la longue séance de désinfection globale de l’ordinateur. La méthode en générale utilisée est de scanner la machine avec un outil de diagnostic comme FRST, ZHPDiag ou encore OTL. L’outil alors génère un très long rapport qu’il faut interpréter et analyser manuellement pour trouver les différentes infections actives sur l’ordinateur. Ensuite on choisit et utilise les différents outils de désinfections à utiliser en fonction des infections, et on rédige et exécute un script de désinfection en fonction de l’outil de diagnostique utilisé (FRST, OTL, ZHPDiag..). Après la désinfection on revérifie la machine avec l’outil de diagnostic. A la fin on réalise un scanne complet de la machine avec l’Antivirus présent sur la machine (mise à jour bien sûr), ou un antivirus en ligne ou un autre si vous préférez ! Cette dernière action permet de supprimer les fichiers contenant des Malwares en principe non actifs. Ici sur cette machine vous verrez que je n’ai pas suivi tout à fait l’ordre que je viens de décrire car je travaille directement sur la machine et non à pas à travers un forum de désinfection.

J’utilise dans l’ordre les outils suivants :

  • Junkware car j’avais déjà repéré quelques Adwares (Voir l’article « Supprimer les Adwares avec Junkware Removal Tool« ).
  • AdwCleaner : On peut penser que cela fait doublon avec Junkware mais par sécurité je préfère passer un autre outil car le Pc était particulièrement bien pollué par beaucoup d’Adwares. J’ai eu raison car il m’a trouvé encore quelques belles « saloperies » ! (Voir l’article « Supprimer les Adwares avec AdwCleaner« )
  • MBAM : Scan et nettoyage complet du disque. (Voir l’article « Guide de MalwareBytes Anti-Malware« )
  • ZHPCleaner : Ce logiciel permet de nettoyer les navigateurs car bien souvent ils sont pollués par les Adwares.
  • FRST : C’est un outil de détection. Certains « Helpers » sur des forums de désinfection vont me dire que cela aurait été plus judicieux d’utiliser l’outil avant Junkware, AdwCleaner et MBAM. Mais je leur avoue que par fainéantise FRST va produire à cet instant des logs plus légers et cela va me permettre de travailler plus rapidement. N’oublions pas que je travaille directement sur la machine. Je corrige encore quelques petites « bébêtes » pour peaufiner la désinfection et aussi supprimer les fichiers temporaires accumulés depuis plusieurs années sur ce Pc !
  • Gmer : Cet outil bien connu est un Antirootkit. Ici c’est une simple vérification et non pas un nettoyage. Pour information on peut utiliser « Vba 32 AntiRootkit« . Je fais un petit aparté pour les néophytes. En effet ces outils cités sont très puissants et je vous conseille de ne pas jouer aux apprentis sorciers avec ceux-ci. N’hésitez pas à vous faire aider par des forums spécialisés en désinfection, ils vous prendront en charge gracieusement notamment chez Security-X car ce sont des Pros ( pour infos j’ai suivi ma formation chez eux ! :-) )

Voilà l’ordinateur est maintenant propre et sain !

Mises à jour de la machine

Il est maintenant très très important de mettre à jour cet ordinateur. En effet un Pc non à jour est un Pc vulnérable !
Voici l’ensemble des mises à jours que j’ai effectué :

  • Windows 7 + Internet Explorer
  • Chrome
  • Firefox
  • Java
  • Désinstallation de Adobe Reader et installation d’Adobe Reader DC
  • Adobe Flash Player pour Firefox et IE
  • Adobe Air (car celui-ci était présent sur le Pc)

Conclusion

Voilà la partie « Software » est presque terminée. Pour finaliser je supprime tous les outils que j’ai installé, je supprime tous les points de restauration et j’en crée un nouveau. Dans l’état l’ordinateur fonctionne parfaitement et je pourrais le restituer tel quel. Mais cet ordinateur chauffe énormément et est particulièrement bruyant à cause du ventirad encrassé. Après avoir passé autant de temps sur celui-ci pour la remise en état de Windows je pense réellement que cet ordinateur aura une durée de vie assez courte dans cet état ! Voilà pourquoi je vais m’atteler maintenant au problème de chauffe.

6. Nettoyage du système de refroidissement

Ici nous allons procéder à 2 grandes opérations :

  • Le nettoyage du ventilateur et du radiateur
  • Le changement de la pâte thermique du processeur et processeur graphique.

Démontage de l’ordinateur portable

Je vois certains qui vont encore se demander pourquoi je n’ai pas procédé à ces opérations avant d’effectuer la désinfection. Je leur répond tout simplement que la priorité du « client » était de récupérer certaines données sur le disque dur. Maintenant que je sais que le Pc fonctionne parfaitement je peux m’atteler à démonter cet ordinateur. Si le Pc possédait une panne hardware le nettoyage n’aurait servi à rien !

Pour les plus téméraires le démontage d’un ordinateur portable est toujours une opération délicate et parfois complexe. Ne le faites pas si vous n’avez pas d’expérience dans ce domaine ! Entraînez-vous d’abord sur un portable hors d’usage. Il est aussi nécessaire d’être équipé en outillage et de disposer parfois d’une documentation constructeur.

Voici l’ordre des manipulations que j’ai réalisé sur celui-ci :

  • Fermer le portable et retourner-le.
  • Retirer la batterie.
  • Dévisser et retirer tous les caches.
  • Retirer les unités (DD, SSD, lecteur DVD..), les cartes mémoire et la carte Wifi.
  • Dévisser et retirer toutes les vis du carter inférieur.
  • Retourner le portable et ouvrir l’écran.
  • Dévisser ou d’éclipser le clavier. En le retirant n’oubliez pas de débrancher la nappe !
  • Débrancher toutes les nappes et câbles (connexion écran, wifi, ventilateur, alimentation et autres).
  • Dévisser et retirer les dernières vis du carter supérieur.
  • Le carter doit maintenant se dé-clipser et s’ouvrir en deux (Surtout ne forcez pas !)
  • La carte mère est maintenant apparente, dévisser et retirer les dernières vis qui la maintiennent.

Voilà le portable est maintenant démonté. Seul l’écran reste intact car je n’ai pas besoin de le démanteler !

En fonction des opérations de dépannage à réaliser il n’est pas forcément nécessaire de tout démonter. Ici pour notre cas il est nécessaire de mettre à nue la carte de mère pour accéder au système de refroidissement.

Nettoyage

Démonter en dévissant l’ensemble du système de refroidissement. Sur un portable (généralement) le ventirad Cpu et Gpu est constitué d’un seul et même ensemble. Le nettoyage peut s’effectuer au pinceau ou à la bombe à air. Ici j’utilise un kit d’aspiration avec petite brosse que je monte sur un aspirateur standard. Cela évite d’expulser la poussière et la voir se déposer à nouveau sur d’autres composants ! L’aspiration est plus propre et j’en profite pour retirer l’ensemble de la poussière sur les autres éléments : carter, clavier et carte mère.

etude2cas01 systeme refroidissement

Changement pâte thermique

La première étape est de retirer l’ancienne pâte thermique sur le système de refroidissement, sur le Cpu et Gpu. J’utilise généralement des coton tiges mais ici la pâte était dur donc je l’ai gratté avec une petite spatule en plastique et j’ai terminé l’opération avec un produit de nettoyage Tim-Clean de chez Akasa. Une pâte thermique dur prouve bien que cette dernière était usée et plus du tout efficace !

etude2cas01 ancienne pate thermique

Ensuite j’ai disposé de quelques gouttes de pâte sur le Cpu et Gpu. J’ai replacé le ventirad en le revissant et en le bougent légèrement pour bien étaler l’ensemble de la pâte. Je vous fais grâce du remontage de l’ensemble du Pc qui est généralement plus rapide que le démontage.

etude2cas01 pate thermique neuve

Derniers tests

Pour vérifier j’ai remis en route l’ordinateur et constaté que le ventirad est devenu presque silencieux. L’évacuation de l’air chaud se fait sans problème et la température du carter est devenu normale. J’ai lancé plusieurs stress Cpu et Gpu pendant près d’une heure sans le moindre souci.

7. Conclusion

Voilà j’espère que cet article vous a tout de même intéressé car c’était le premier. Je n’ai pas voulu faire quelque chose de trop long et surtout de trop technique. Concernant la partie technique cela m’a donné justement beaucoup d’idées pour mes futurs articles. N’hésitez pas à critiquer ce premier jet.

Étiquettes :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.