Comportements de l'explorateur Windows sur GUID / CLSID

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Comportements de l'explorateur Windows sur GUID / CLSID

Message par ѠOOT » 15 janv. 2015 03:04

Bonjour,

Simple remarque concernant l'échantillon Lizarbot.

* Backdoor:MSIL/Lizarbot.A:Backdoor
* MSIL/IRCBot.CK
* Trojan.Agent.BFKV
* Win.Trojan.Lizarbot


Celui-ci créer le fichier "7e16feb9fead31b3a3bcd6c2a2e1225e" à un emplacement immuable.

→ %ALLUSERSPROFILE%\Application Data\.{7e16feb9-fead-31b3-a3bc-d6c2a2e1225e}\7e16feb9fead31b3a3bcd6c2a2e1225e

En gras, un point suivi de 4 octets et 3 groupes de 2 octets puis 6 octets soit 16 octets.
Voilà qui ressemble fort à un GUID / CLSID, n'est-il point ?

Quoi qu'il en soit, voici le comportement de l'explorateur Windows lorsque
l'utilisateur va vouloir parcourir ce dossier pour l'inspecter.

Image

Est-ce calculé pour perturber l'utilisateur ou bien est-ce un hasard ?

Si vous souhaitez reproduire avec un autre exemple de votre choix.
L'explorateur refuse de créer un répertoire commençant par un point.
Mais c'est parfaitement faisable depuis l'interpréteur de commandes.
La commande MKDIR permet de créer un répertoire dans le chemin.

MKDIR ".{00000000-0000-0000-0000-000000000000}"

Via l'explorer, on obtient alors la même fenêtre "Ouvrir avec".

Autre bizarrerie en lançant l'explorateur via l'interpréteur.
Image

Ce que vous voyez à l'écran via l'explorateur Windows ne reflète pas la réalité.

Voici une démonstration simple qui devrait calmer les sceptiques.

MKDIR "C:\WINDOWS.{ECF03A32-103D-11D2-854D-006008059367}"

Image

Deux dossiers qui visuellement semblent avoir le même nom.

<REP> WINDOWS
<REP> WINDOWS.{ECF03A32-103D-11D2-854D-006008059367}


Le nom préfixe le CLSID ce qui permet d'en créer sans limite.

Un brin d'imagination et vous obtiendrez des illusions parfaites.
Techniques qui, bien employées, peuvent s'avérer redoutables.

Essayez d'entrer dans ce répertoire depuis l'explorateur.
MKDIR "C:\HAHA.{59031A47-3F72-44A7-89C5-5595FE6B30EE}"

Maintenant appuyer sur la touche F3 pour chercher "hoho" dans C:\
Si votre système ne gère pas correctement, l'explorateur va planter.

Et ce dernier exemple vous incitera peut-être à chercher plus loin.
MKDIR "C:\IE.{871C5380-42A0-1069-A2EA-08002B30309D}"

Utilitaire pratique, ActiveXHelper de NirSoft.

Amusez-vous bien.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87609
Inscription : 10 sept. 2005 13:57
Contact :

Re: Comportements de l'explorateur Windows sur GUID / CLSID

Message par Malekal_morte » 18 janv. 2015 23:52

L'affichage sur l'explorateur est souvent trompeur, on a la même chose avec les caractères unicode :(

interressant PDT_001
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Tech, Tips & Tricks »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité