RunPE Detector - Pour détecter et éliminer certains processu

Poster ici les programmes utiles que vous avez découverts
Avatar de l’utilisateur
Wullfk
Geek à longue barbe
Geek à longue barbe
Messages : 684
Inscription : 28 avr. 2010 20:16
Localisation : en sortant première à gauche
Contact :

RunPE Detector - Pour détecter et éliminer certains processu

Message par Wullfk » 07 avr. 2016 16:44

Bonjour,

RunPE Detector de Phrozen Software

Image

Programme de sécurité, qui ne nécessite pas d'installation, spécialement conçu pour détecter et éliminer certains processus suspects. Phrozen Software a créé une nouvelle façon de détecter et de supprimer un logiciel de prise de contrôle à distance (RAT) non légitime.


Image
Fenêtre principale de l'application

Image
Résultat Système propre

Image
Menace détectée, scan des fichiers système

Image
Menace détectée

Description
RunPE Detector est un programme de sécurité, spécialement conçu pour détecter et vaincre certains processus suspects en utilisant une méthode générique. Nous à Phrozen Software faisons les choses différemment, de façon plus créative. Donc, quand nous nous sommes fixé la tâche de créer une nouvelle façon de détecter, désactiver et supprimer les RAT, nous ne voulions pas prendre le même chemin que toutes les autres sociétés anti-virus ont pris avant nous. Phrozen Software a étudié le comportement des RATs et a découvert que les pirates utilisent presque toujours une technique appelée RunPE. Cette technique engendre un processus légitime - souvent le navigateur par défaut ou un processus système Microsoft - et le remplacer par un code de programme malveillant directement dans la mémoire. Votre ordinateur est ainsi trompé et traite le code malveillant comme un processus légitime. L'utilisateur et son programme anti-virus n'ont aucune idée que leur navigateur par défaut est effectivement transformé en virus.

Comment ça marche?
Fondamentalement, le RunPE est une méthode très simple, mais en même temps très efficace. Oui, la plupart des anti-virus commerciaux avec analyse heuristique détectent cette astuce, mais tout le monde n'utilise pas une bonne solution anti-virus payante. Quand vous comprenez vraiment la méthode d'injection RunPE, vous pouvez facilement imaginer une façon de se débarrasser de la plupart des versions possibles en utilisant un scan d'en-têtes de mémoire PE de chaque processus et en comparant les en-têtes des mémoires PE au processus dans le Chemin de l'image de la version d'en-têtes PE original. Étant donné que l'en-têtes du Malware PE qui a détourné un processus légitime est très différente du chemin du processus légitime d'en-têtes de l'image PE, nous pouvons alors détecter la présence d'un processus détourné.

Est-il efficace?
Oui. Après avoir testé notre programme contre plusieurs types les plus utilisés de logiciels malveillants, le taux de détection est bon. (Technique contre RunPE seulement) Comme bon nombre de RAT (Outils d'administration à distance), les chevaux de Troie, backdoors crypters et Packers utilisent RunPE pour cacher leurs activités suspectes, en utilisant notre outil régulièrement c'est une première étape pour vous assurer que votre système est propre contre la plus part des types de logiciels malveillants les plus destructeurs.

Peut-il supprimer les logiciels malveillants?
Oui, il peut, mais nous ne pouvons pas obtenir un bon taux de réussite comme pour les processus de détection. Il est facile de détecter un processus détourné par la méthode d'injection RunPE, mais il est beaucoup plus difficile de détecter ce type de malware chargé de l'attaque. Pour détecter la présence du malware sur le disque que nous scannons pour tous les fichiers d'application dans le système de fichiers (.EXE, .COM, .BAT, .scr, .pif), puis comparer leurs entêtes PE au processus de fonctionnement malveillant. Si un processus en cours d'exécution malveillante d'en-têtes PE est similaire au fichier scanné en cours, alors nous pouvons supposer que nous avons détecté le fichier d'origine de l'infection. Comme la plupart du temps le fichier de processus malveillant injecté sera situé à l'intérieur d'un chargeur (ou fichier stub) utilisé pour exécuter le code malveillant dans la mémoire, la détection RunPE hôte échoue. Pour fonctionner, le chargeur du malware doit se charger dans la mémoire en utilisant RunPE et non dans un package ou compressé.

Est-ce qu'il supporte le scan des processus 64bit?
Supporte les systèmes 64bit, mais pas encore le scan des processus 64bit. Nous prévoyons de le supporter, dans un avenir proche. Notez que de nos jours la plus part des malwares sont encore compilé en architecture 32bit, parce que la plupart des hackers se sentent plus à l'aise pour coder et il y a encore un taux d'infection plus élevé. De plus les machines 64bit fonctionnent aussi en code 32bit, il n'y a pas de raisons imminentes pour que les développeurs de logiciels malveillants code à la fois en 64bit et en 32bit.

Traduction partiel de la source : Phrozen Software RunPE Detector

Téléchargement : RunPE Detector

Testé sur VM Windows 7 Pro 32Bits

Résultat analyse VirusTotal:
SHA256: 9898a34c63d3e268c42f8719d266b845a44cf85ab3441101d851973033506795
Nom du fichier : runpedetector1-0-3.zip
Ratio de détection : 1 / 56
Date d'analyse : 2016-03-22 22:26:01 UTC (il y a 2 semaines, 1 jour)

https://www.virustotal.com/fr/file/9898 ... /analysis/
"L'expérience est le nom que l'on donne à ses erreurs" ~ Oscar Wilde ~
Blogs: http://easy.pc.blog.free.fr OU http://easy-pc.over-blog.com
Mes configs
30 Astuces pour Ubuntu 14.04


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87267
Inscription : 10 sept. 2005 13:57
Contact :

Re: RunPE Detector - Pour détecter et éliminer certains proc

Message par Malekal_morte » 08 avr. 2016 08:59

Hello,

Merci mis en ligne,
testé avec deux RATs (Remote Access Tool), il met bien RegAsm.exe en alerte (bien que ce soit un processus du .NET FrameWork), ça peut éveiller les soupçons sur la présence d'un malware.
Par contre, le second RAT n'est pas détecté.

Image
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Wullfk
Geek à longue barbe
Geek à longue barbe
Messages : 684
Inscription : 28 avr. 2010 20:16
Localisation : en sortant première à gauche
Contact :

Re: RunPE Detector - Pour détecter et éliminer certains proc

Message par Wullfk » 08 avr. 2016 09:12

Bonjour Malekal,

Peut être que le second RAT n'utilise pas RunPE, toi seul peut apporter une réponse à ce sujet puisque tu as effectué un vrai test de détection, contrairement à moi qui n'est fait que lancer le programme sur un système propre.

++
"L'expérience est le nom que l'on donne à ses erreurs" ~ Oscar Wilde ~
Blogs: http://easy.pc.blog.free.fr OU http://easy-pc.over-blog.com
Mes configs
30 Astuces pour Ubuntu 14.04

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87267
Inscription : 10 sept. 2005 13:57
Contact :

Re: RunPE Detector - Pour détecter et éliminer certains proc

Message par Malekal_morte » 08 avr. 2016 16:55

Je ne comprends pas ce que tu veux dire par "n'utilise pas RunPE" \o
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Wullfk
Geek à longue barbe
Geek à longue barbe
Messages : 684
Inscription : 28 avr. 2010 20:16
Localisation : en sortant première à gauche
Contact :

Re: RunPE Detector - Pour détecter et éliminer certains proc

Message par Wullfk » 08 avr. 2016 19:28

Re,
les pirates utilisent presque toujours une technique appelée RunPE. Cette technique engendre un processus légitime - souvent le navigateur par défaut ou un processus système Microsoft - et le remplacer par un code de programme malveillant directement dans la mémoire.
"L'expérience est le nom que l'on donne à ses erreurs" ~ Oscar Wilde ~
Blogs: http://easy.pc.blog.free.fr OU http://easy-pc.over-blog.com
Mes configs
30 Astuces pour Ubuntu 14.04


Répondre

Revenir vers « Programmes utiles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Yahoo [bot] et 4 invités