[Linux] Ordi compromis (rootkit inside) ?

François DREYFÜRST francois.dreyfuerst@::1
Jeu 12 Sep 10:43:37 CEST 2013 

Bonjour à tous

Encore une fois, je débarque avec mes problèmes frisant (un peu ?) la parano, désolé ... 
Merci à ceux qui s'y intéresseront, pardon aux autres. Par ailleurs, ce message a été 
envoyé en Webmail, d'où les bizarreries decaractères dans l'en-tête.

Voilà le contexte.

Je possède deux ordis :
-- une station de bureau montée sur mesure par un pro, avec toutefois une CM qui a été 
changée sur laquelle a été remise le disque dur récupéré, d'où une intération pas 100% 
réussie (carte graphique), ordi qui tourne en Debian 6 Squeeze : c'est celui qui connaît 
des soucis à l'extinction et sur lequel je me plains du débit de connexion avec des 
alertes Firewall qui probablement de « faux positifs » (voir fils de discussion 
spécifiques) ;

-- un portable Lenovo, où cohabitent une Debian 7 Wheezy et un Win7pro : c'est celui où il 
avait fallu ruser pour installer Grub, et que je n'avais pratiquement pas utilisé de l'été.

De plus, j'ai une clé USB de travail, que je branche selon les besoins sur les deux ordis.

Hier soir, utilisation du portable sans connexion Internet, pour prendre des notes durant 
une réunion, sous Win7 avec OpenOffice3 ; à l'instant même où je branche ma clé USB, 
l'antivirus AvAst pique une crise et m'explique qu'il a bloqué un RootKit (description en 
annexe). La réunion se déroule, je lance des scans qui tournent pendant que je prends des 
notes ; rien d'autre n'est signalé.
A l'extinction du portable, des mises à jour Windows me demandent de patienter ... ça doit 
dater d'une précédente utilisation de Win7 avec connexion au Net.


C'est là que j'entre en mode parano : même si rationnellement je connais les arguments qui 
me disent que cela n'est (en principe ?) pas possible, je n'arrive pas à m'empêcher de 
craindre que les soucis de mon ordi principal seraient dûs au fait qu'il est compromis ... 
rootkit, le mot est lâché.

Questions :
-- qu'en pensez-vous ?
-- quelles vérifications faire ?
-- Corollaire, quelles précautions, outre de tenter de ne pas utiliser ma station de bureau 
au-delà du strict nécessaire ?
-- si problème avéré, que faire ?

Merci pour vos lumières.
FD
______________________________________________
Message/log de l'antivirus
G:\iexplorer.exe Menace : Win32:Rootkit-gen[Rtk] mise en quarantaine
à noter que le fichier cité n'était pas/plus visible sur la clé, y compris avec affichage 
des ficiers cachés.

Plus d'informations sur la liste de diffusion linux