OTL/HijackThis & localisation des malwares sur le système

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84491
Inscription : 10 sept. 2005 13:57
Contact :

OTL/HijackThis & localisation des malwares sur le système

Message par Malekal_morte » 12 juil. 2007 22:50

Cet article a pour but de vous donner quelques indications sur les localisations de Windows où les malwares ont tendance à s'implanter.
Dans cet article, vous trouverez des lignes du programme HijackThis et OTL qui permet de lister les localisations sensibles de votre système.

Enfin vous trouverez aussi des captures du programme Process Explorer. C'est un gestionnaire de tâches amélioré donnant accès à toutes les informations sur les processus en cours d'execution sur votre système et de pjjoint.

NOTE : Cet article demande quelques connaissances du système, il n'est donc pas destiné à tout le monde mais plutôt aux bidouilleurs.
Vous pouvez vous aider de ce tutorial pour désinfecter votre ordinateur, mais vous pouvez endommagé votre ordinateur, il est donc conseillé de créer votre sujet dans la partie VIRUS du forum, plus d'infos : virus-aide-malwares-vers-trojans-spywares-hijack.html


Pour l'utilisation de pjjoint, je ne peux que vous renvoyer à cette page : http://pjjoint.malekal.com/presentation.php

Qu'est ce qu'HijackThis/OTL

Comme indiqué dans l'introduction, ces programmes analysent l'ordinateur afin de lister les points sensibles et programmes en cours d'execution.
Une fois le rapport généré, l'utilisateur doit lire ce dernier afin d'y déceler des programmes malveillants ou simplement qui ralentissent l'ordinateur.

HijackThis liste beaucoup moins d'élémenst qu'OTL, les rapports HijackThis sont donc plus facile à lire que les rapports OTL qui demandent peut-être plus de connaissances.
Vous pouvez commencez par HijackThis et quand vous êtes à l'aise passer à OTL. HijackThis est plutôt indiquer pour liste les programmes qui tournent dans le cas où le PC donne des signes de ralentissements.

Dans le cas d'HijackThis, il possible de "fixer" les lignes contenues dans le rapport. Cela permet de supprimer les éléments malsains du rapport pour désactiver les malwares au redémarrage de l'ordinateur.
Concrètement, si par exemple, vous constatez des malwares sur les lignes O4 d'HijackThis qui permettent à ces malwares de se charger au démarrage de Windows, en fixant ces lignes, vous retirez ces malwares du démarrage.
Mais Cela ne supprime pas les fichiers du disque, c'est à vous de supprimer les fichiers manuellement ou via un utilitaire ou votre antivirus.

OTL ne permet pas de cocher les lignes, les suppressions se font à travers un script que l'on copie/colle en bas et que l'on applique via le bouton Correction.
via des switch :file :OTL, cette partie ne sera pas abordé.

Voici un rapport OTL qui contient une multitude de bots : http://pjjoint.malekal.com/files.php?re ... c7&html=on
son équivalent sur HijackThis : http://pjjoint.malekal.com/files.php?re ... 13&html=on
Ceci vous permet de comparer les deux outils, vous pouvez aussi vous baser sru ce rapport pour lire la suite de cet article.

Il faut enfin comprendre que comme tout programme d'analyse, il a ses limites et peut "manquer" des infections - exemple avec Trojan.Carber et plus globalement avec certains rootkits type Rootkit.TDSS.

Rappels Techniques

Avant de rentrer dans le vif du sujet.. Un petit rappel rapide sur les processus de Windows histoire d'être plus à l'aise quant à la compréhension de la suite de l'article.

Vous devez connaître un minimum le fonctionnement des processus et services Windows, ainsi que la base de registre, vous pouvez vous reporter aux pages du site : Voici une capture d'écran de Process Explorer d'un système non infecté.

Image

Process Explorer nous montre l'arborescence (processus parents/enfants) de Windows qui est masqué sur le gestionnaire de tâches (taskmgr) fourni dans Windows.

En bleu : Nous avons les processus systèmes. Ces derniers sont lancés par le processus smss.exe lors du démarrage de Windows.
Ces processus sont lancés par l'utilisateur Système. Il est impossible pour l'utilisateur courant de tuer le processus via le gestionnaire de tâches, le message "accès refusé"

En rouge : Les processus lancés par l'utilisateur courant. L'utilisateur est maître à bord, il peut faire ce qu'il veut, les arreter, les redémarrer etc...
Le processus parent est explorer.exe, c'est pour cela que dans certains cas, lorsque l'on arrive pas à supprimer certains fichiers disque, il convient de tuer explorer au préalable.

Enfin pour fonctionner et accomplir la tâche qu'il lui a été accombé, un processus peut avoir besoin de bibliothèques (des sortes d'outils..), ces bibliothèques sont contenus dans les fichiers DLL.
Lors du lancement du processus, ce dernier charge en mémoires les fichiers DLL dont il a besoin.
Processus Explorer permet de visualiser les DLL chargées par un processus.. en appuyant sur CTRL+D sur le processus.

Image

Dernier rappel pour les infections. Une infection est composée :
  • d'une partie des fichiers qui ont pour rôle d'installer l'infection sur le système.
  • du corps de l'infection.. qui elle accomplie la tâche pour laquelle elle a été faite (voler des mots de passes, envoyer des mails de spam etc..).
Description des lignes HijackThis

HijackThis et OTL partagent une numérotation assez identiques avec tout de même des différences.
Une fois que les rapports HijackThis sont familiés, vous ne devriez pas avoir de grosses difficultés à passer sur OTL.

R0, R1, R2, R3 Pages de démarrage et de recherche d'Internet Explorer Start/Search
F0, F1, F2,F3 Programmes au démarrage de Windows
N1, N2, N3, N4 Pages de démarrage et de recherche de Netscape/Mozilla Start/Search

O1 : Rediction par le fichier HOST, pour plus d'informations voir le tutorial Le fichier HOSTS dans la résolution DNS

O2 BHO (Browser Helper Objects) qui est une petite application tierce partie (de type "plug-in") qui, une fois installée, ajoute des fonctionnalités (désirées ou non) à un navigateur.
Clef du registre: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Pour plus d'informations sur le fonctionnement des BHO, se reporter à la page : BHO, plugins & add-ons sur Internet Explorer

O3 Ajout de Barres d'outils pour Internet Explorer
Clef du registre : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

O4 Programme au démarrage de Windows à travers la base de registre
Clefs du registre :
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

O5 - Icônes des options internet présentes ou non dans le panneau de configuration
Voir le fichier c:\windows\control.ini
O5 - control.ini: inetcpl.cpl=no

O6 Interdire les modifications des options internet par l'administrateur (ou par un malware)
Clef du registre : HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

O7 Accès à la base de registre (regedit) retreinte par l'administrateur (ou par un malware)
Clef du registre :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegedit=1

O8 Empécher le menu déroulant lorsque l'on fait un clic droit sur une page WEB
Clef du registre : HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

O9 Ajouts d'élements dans la barre d'outils d'Internet Explorer ou dans le menu Outils in IE 'Tools' menu
Clef du registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions registry key.

O10 Winsock hijacker : utilisation des LSP (Layered Service Provider) afin de voir toute le traffic réseau.

O11 Ajout d'options non-standard dans le menu "Options Avancées" du menu Outils / Options Internet d'Internet Explorer
Clef du registre: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

O12 Plugins pour Internet Explorer
Clef du registre: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

O13 Modification des prefix d'url d'Internet Explorer.
Par défaut lorsque vous saisissez une adresse WEB sans http:// Internet Explorer ajout http:// devant, cependant cette option peut-être modifié. On peut alors ajouter http://ehttp.cc. Lorsque l'utilisateur saisissera une adresse, par exemple http://www.google.com. Ce dernier ira en fait sur IE http://ehttp.cc/?www.google.com
Clef du registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\

O14 'Reset Web Settings' hijack
Modification du fichier c:\windows\inf\iereset.inf. Ce fichier contient les paramètres par défaut des options Internet Explorer. Si ce fichier est modifié par un malware, et que l'utilisateur clic sur "paramètres par défaut" dans les options internet, il aura en fait les options internet modifiées par le malware

O15 Ajout du site dans la zone de confiance
Pour plus d'informations, reportez-vous à Sécuriser le navigateur Windows Internet Explorer

O16 Ajout de contrôles ActiveX
Pour plus d'informations, reportez-vous à Sécuriser le navigateur Windows Internet Explorer

O17 Modification des serveurs DNS pour permettre des redirections vers des sites malveillants.
Clef du registre : HKLM\System\CS1\Services\VxD\MSTCP

O18 Modification des protocoles par défaut, afin de permettre de sniffer les connexions
Clefs du registre :
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter

O19 Modification des pages layout, permet de changer les couleurs, polices, etc... utilisées par défaut ce qui peut permettre l'affichage de popup
Clef du registre: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets

O20 Modification des AppInit_DLLs dans le registre.
Le AppInit_DLLs contient une liste de dll qui sont chargés lorsque user32.dll est chargé. Ceci peut permettre à des malware de démarré avec Windows.
Clef du registre: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

O21 Modification des clefs du registre ShellServiceObjectDelayLoad. Dans cette clef contient des programmes qui sont démarrés par Explorer.exe au démarrage de Windows. Ceci peut permettre à des malwares de démarrer.
clef du registre: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

O22 Modification du registre SharedTaskScheduler. Des programmes peuvent être démarré à travers le SharedTaskScheduler.
Clef du registre: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

O23 Les Services sous Windows XP/NT/2000
Clef du registre: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\


Survol rapide d'un rapport OTL

Comme indiqué plus haut, les rapports OTL sont plus complets.
Survol rapide de la structure d'un rapport OTL en sachant que le scan est paramétrable, donc on peux avoir des parties en moins, comme on peux avoir des parties en plus !

Image
  • 1/ En-tete du rapport, on y trouve les informations sur l'OS, version du navigateur, le nom de la session, le mode de lancement (normal ou en mode sans échec) - Les informations sur l'état de la mémoires sont importants notamment dans le cas de problème de lenteur.
  • 2/ Les processus en cours d'execution au moment du lancement du programme - Eventuellement à accoupler à Process Explorer.
  • 3/ Les modules chargés (notes, GMER donne une liste plus exhautisves via l'onglet Modules).
  • 4/ Les services Windows
Image Image Image
Image
  • 7/ Dans l'ordre :
    • Aperçu du fichier HOSTS
    • O2/O3 : BHO et Toolbar/Barres d'outils
    • O4 : Clef Run qui lance les programmes au démarrage.
    • O6 : Policies
    • O9 : Clef Extra
    • O10 : Winsock
    • O16 : Activex/Cab => HEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\
    • O17 : DNS
    • O20 : Clef Shell (voir plus bas).
    • O28 : Clef ShellHookKeys => HKey_Local_Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    • O29 (non visible ici) : Security Providers => HKey_Local_Machine\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
    • O30 : LSA => HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
    • O32/O33 : Autoruns et Clef MountPoints HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
    • O34 : Clef Session Manager : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
    • O35 : Associations de fichiers ==> https://www.malekal.com/2011/06/28/assoc ... -fichiers/
Image
  • 7-bis/ Liste les netsvcs et ActiveX (HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\) utilisé par les RAT/Bifrose puis les clefs Driver32 (HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32) utilisé par exemple par
[img]https://www.malekal.com/fichiers/ ... dangereux
[*] Le Cache Internet de votre navigateur WEB, dans le cas d'une infection via une faille de sécurité sur un site WEB, ce sont en général les fichiers exploits. Voir : Les Exploits sur les sites WEB piégés
[*] Documents & Settings\Local Settings\Temp, Racine de C ou Dossiers Temporaires (Windows\Temp etc..) : généralement on y trouve les fichiers initiales de l'infection qui installent le corps de l'infection.
[*] Dans le dossier Windows ou un de ses sous-dossiers (ex: C:\Windows\Downloaded Program Files), le profil de l'utilisateur : e sont en général, le corps de l'infection.[/list]


Les conseils d'analyse

Pour les débutants en analyse de rapport HijackThis, voici quelques bon réflexes à avoir :
  • Pjjoint évalue les lignes pour vous mais en cas de doute sur un fichier/programme :
  • Gardez un oeil sur les fichiers avec des noms avec des suites aléatoires.
  • Gardez un oeil sur les fichiers systèmes Windows, les malwares pour mieux passer inaperçu ont tendance à reprendre des noms de fichiers Windows légitimes ou à les mettre dans d'autres dossiers. Exemple :
    • C:\Windows\system32\svchost.exe est légitime --> C:\Windows\svchost.exe ne l'est pas.
    • C:\Windows\system32\svchost.exe est légitime --> C:\Windows\system32\svch0st.exe ne l'est pas
    • Plus vicieux : C:\Windows\system32\lsass.exe est légitime --> C:\Windows\system32\Isass.exe (le second est un I (i comme irène), selon la possibile la différence avec un l (comme laurent) n'est visible.
  • Avant de fixer les lignes à tout va, surtout pour les adwares, priviligé toujours la désinstallation par ajout/suppression de programmes, beaucoup d'adware se désinstallent tout simplement par ajout/suppression de programmes.
Voici quelques exemples de cas courants.

Le cas des PUP/LPIs

Pour comprendre ce que sont les PUP/LPIs - Lire : https://www.malekal.com/2011/07/27/detec ... 20PUP/LPis
Dans les captures ci-dessous, on voit ShoppersRepports / Offerbox et FREEzeFrog - très certainement installé via un Faux Plugin VLC.
En outre, on peux aussi voir beaucoup de programmes au démarrage donc une bonne partie en non essentiel (bleu) ainsi que la barre d'outils Google qui peuvent ralentir l'ordinateur.
Ceci est plutôt causes de ralentissements (et parfois de popups de publicités si adware), se reporter à la page : Maitriser les programmes au démarrage

Image
Image

Notez qu'en général, les PUPs se désinstallent en général assez bien.
Malwarebyte s'en charge bien en général.

Localisations des fichiers et clefs O4

Une fois installée, l'infection doit se lancer à chaque démarrage de Windows.
Des clefs du registre permettent de charger des applications au démarrage, les infections sont des applications comme les autres et vont donc se loger dans ces clefs.

Voici une liste de ces clefs qui permettent de charger un programme au démarrage de Windows :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

Ces clefs sont équivaut aux lignes 04 sur les rapport HijackThis, ex :
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\kernelwind32.exe
O4 - HKLM\..\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKCU\..\Run: [System update] C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\7354.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe

Image

La partie entre crochet est la valeur de la clef, ce qui nous donnerait sur regedit, dans la clef HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
une valeur à droite par exemple System contenant C:\WINDOWS\system32\kernelwind32.exe

Ce localisations sont assez bien connues des internautes maintenant puisque sans le savoir, ils font souvent du nettoyage de ces clefs, via l'onglet démarrage du programme MSconfig ou WinPatrol.

Trop de programmes au démarrage concourent à ralentir le PC - se reporter à la page : Maitriser les programmes au démarrage

Les BHO et lignes O2

Les BHO sont des pluggins qui se rajoutent sur Internet Explorer.
En général, ce sont des barres d'outils (Yahoo! Toolbar, Google Toolbar etc..).

Certains malwares s'ajoutent en BHO sur le navigateur pour :
  • Enregistrer les données qui transitent sur le navigateur WEB (mots de passe, numéro de CB etc..)
  • Rediriger l'internaute lors des recherches vers des sites Web douteux ou de pubs.
  • Ouvrir des popups de publicités.
Pour les non malicieuses, les barres d'outils classiques (Google, Yahoo etc) permette d'enregistrer les sites consultés et les transmettre sur un serveur de manière anonyme pour cibler les publicités (tracking).
Elles sont proposer à l'installation de programmes gratuits (affiliation), en général, donc sur les PC de monsieur de tout le monde, on trouve une multitude ces barres d'outils qui ralentissent le navigateur WEB/PC voir cause des plantages.
Dans le cas d'une désinstallation de ces barres d'outils, pensez qu'elles peuvent être présentes sous forme d'extension sur Firefox ou Chrome.

Exemple sur ce rapport OTL : http://pjjoint.malekal.com/files.php?id ... h6j12m5w15

Image

Les BHO sont identifiées sur les rapports HijackThis par les lignes O2 :
BHO du spyware/adware MyWebSearch :
02 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MywebSearch\srchAstt\1.bin\MWSSRCAS.DLL
02 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA } - C:\Program Files\MywebSearch\srchAstt\1.bin\MWSBAR.DLL

BHO du spyware/adware HotBar
O2 - BHO: Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Program Files\Hotbar\bin\4.5.3.0\HbHostIE.dll

BHO de Yahoo Toolbar et Google Toolbar :
02 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb9B51-7695ECA05670] C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
02 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\program files\googltoolbar2.dll

BHO d'Acrobat Reader :
02 - BHO:AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3 } - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

BHO du Guard de SpyBot :
02 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

La clef du registre correspondant est : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
Par exemple pour la BHO de MyWebSearch nous avons une clef :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00A6FAF1-072E-44cf-8957-5838F569A31D}
avec une valeur "Default" MyWebSearch Search Assistant BHO.

Note : Les BHO se chargent au démarrage de Windows via le processus Explorer.exe

Image


Shell et lignes 020 (spécial OTL) et lignes F3

Les lignes suivantes sont relatives à des sous-clefs : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Sur OTL, la ligne O20 correspond à la clef Shell : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Winlogon\Shell
(Attention sur HijackThis, la ligne O20 correspond aux clef notify de Winlogon)
Le shell étant la clef qui charge le processus qui fera office de bureau, par défaut donc explorer.exe

Certaines infections peuvent modifier la clef Shell de la ruche HKCU afin de chercher un malware avant le bureau et le remplacer.
Très souvent en guise de "prise d'otage du PC" donc soit du rogues, soit du ransomware (Exemple de Ransomware.

La clef Shell par défaut : O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
La clef Shell modifié par un malware :
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\Mak\Application Data\winlogon.exe) - C:\Documents and Settings\Mak\Application Data\winlogon.exe
O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Mak\Application Data\juzjf.exe) - C:\Documents and Settings\Mak\Application Data\juzjf.exe ()
O20 - HKCU Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Mak\xvlof.exe) - C:\Documents and Settings\Mak\xvlof.exe () [Rules 36]
O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Mak\Application Data\hotfix.exe) - C:\Documents and Settings\Mak\Application Data\hotfix.exe File not found


Image

Une suppression du fichier référencé par la clef Shell sans remettre la valeur par défaut (explorer.exe) peut empécher la session Windows de s'ouvrir, se reporter à la page : Impossible démarrer session Windows


~~~

Vous avez ensuite les clefs Winlogon / Userinit : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Taskman
Userinit

Vous avez des exemples de rapports :
OTL :
http://pjjoint.malekal.com/files.php?re ... 13&html=on
HijackThis :
http://pjjoint.malekal.com/files.php?re ... 14&html=on

Lignes malicieuses :
O20 - HKLM Winlogon: UserInit - (C:\DOCUME~1\Mak\LOCALS~1\Temp\g0dllp.exe) - C:\Documents and Settings\Mak\Local Settings\Temp\g0dllp.exe ( )
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Mak\Application Data\juzjf.exe) - C:\Documents and Settings\Mak\Application Data\juzjf.exe ()
O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Mak\Application Data\juzjf.exe) - C:\Documents and Settings\Mak\Application Data\juzjf.exe ()
O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Mak\xvlof.exe) - C:\Documents and Settings\Mak\xvlof.exe () [Rules 36]
O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Mak\Application Data\hotfix.exe) - C:\Documents and Settings\Mak\Application Data\hotfix.exe File not found

F2 - REG:system.ini: Shell=Explorer.exe C:\DOCUME~1\Mak\LOCALS~1\Temp\g0dllp.exe
F3 - REG:win.ini: load=C:\DOCUME~1\Mak\LOCALS~1\Temp\g0dllp.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Mak\LOCALS~1\Temp\g0dllp.exe

Ligne légitime, mise par défaut :
O20 - HKCU Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

Image

Image


De même il faut faire attention en restaurant ces clefs, car vous pouvez bloquer le démarrage de la session.


Les Services et lignes 023

Les services sont par défaut lancés par l'utilisateur SYSTEM, l'utilisateur courant ne peux stopper les services via les gestionnaire de tâches.
Pour arreter un service, il faut passer par la console des services (Menu Démarrer / executer / services.msc et cliquez sur OK).

Pour plus d'informations sur les services, reportez-vous à la page : - Comment les malwares se cachent en s'installent en service

Les services sont identifiées par les lignes O23

Voici quelques exemple de lignes O13 infectieuses :
O23 - Service: DirectX Service (Rejip) - Unknown owner - C:\WINDOWS\WinSxS\explorer.exe
O23 - Service: General Network Service - Unknown owner - c:\windows\winsocks32.exe
O23 - Service: HID Input Service WIN32 (HID_Input_Service_WIN32) - Unknown owner - C:\WINDOWS\system32\msiexecu.exe
O23 - Service: Java inetice - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\MSINFO\realetin.exe
O23 - Service: ieupdater (Microsoft IE Updater) - Unknown owner - %temp%\ieupdate.exe
O23 - Service: ieupdater1 (Microsoft IEUpdater1) - Unknown owner - %userprofile%\ie_updater.exe

La clef du registre contenant les services est : HKEY_LOCAL_MACHINES\SYSTEM\CurrentControlSet\Services\
Dans notre exemple ci-dessus, si nous prenons le service DirectX Service,
  • la clef de ce service est HKEY_LOCAL_MACHINES\SYSTEM\CurrentControlSet\Services\Rejip
  • Une valeur "Display Name" contiendra la donnée : DirectX Service
  • Enfin la valeur " " contiendra la valeur : C:\WINDOWS\WinSxS\explorer.exe
Attention Hijackthis ne permet pas de supprimer les services en fixant les lignes 023. Ces lignes sont donc à titre informatives

Pour supprimer le service, vous pouvez utiliser la commande : SC Delete suivi de la valeur DisplayName
Par exemple pour la ligne : O23 - Service: DirectX Service (Rejip) - Unknown owner - C:\WINDOWS\WinSxS\explorer.exe
La commande sera : SC Delete Rejip
Cette commande fonctionne sur XP & 2003 mais pas 2000.

Il peut arriver aussi de ne pas pouvoir lire le display name et d'avoir : Unknown owner
Vous pouvez mettre le service en désactivé depuis la console de gestion des services.

AppInit_DLLs et lignes O20 (spécial HijackThis)

La valeur AppInit_DLLs est contenue dans la clef HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows

Exemple de ligne O20 :
Trojan.Crypt.XPACK.Gen : O20 - AppInit_DLLs: C:\WINDOWS\system32\perfc000.dat

Très utilisé jusqu'à 2010, son utilisation a maintenant bien décliné.

SSODL et lignes 021

Les lignes 021 équivaut aux clefs HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Les fichiers contenus dans ces clefs sont chargés au démarrage de Windows par le processus explorer.exe

Voici quelques exemples de clefs :
issu d'infection de types zlob : https://www.malekal.com/Win32:Zlob-BN_Wi ... ano-CL.php
O21 - SSODL: expro - {001B08EC-2BCE-6859-6B99-7DE25EDA70AD} - C:\WINDOWS\expro.dll
O21 - SSODL: vpssup - {08F1E94B-84FD-4F2B-4280-0BE4190A1583} - C:\WINDOWS\vpssup.dll
O21 - SSODL: msdde - {1EC688A8-2AD9-4502-AF42-A93E5048E633} - C:\WINDOWS\msdde.dll
O21 - SSODL: msole - {4A69B741-9C6C-44FF-B8D0-5B73BDA2C040} - C:\WINDOWS\msole.dll

Infections de types Backdoor.Win32.IRCBot se proppageant par MSN : https://www.malekal.com/Backdoor.Win32.IRCBot.aaq.php
O21 - SSODL: system32 - {B5EE0439-8B9A-41CC-87D4-C009A5C9C05A} - sysprinters.dll
O21 - SSODL: syshosts - {E9B5506C-0BF5-48B0-ADCD-07F3A28A31DA} - syshosts.dll
O21 - SSODL: rdshost - {4926ABFC-2FBE-4962-9FF8-EB69334DEFD7} - rdshost.dll
O21 - SSODL: rdihost - {AE3ACB08-B1AC-43F2-A02A-31D82F94FC06} - rdihost.dll

Très utilisé courant 2007, son utilisation a maintenant décliné.

Winsock LSP et clefs O10

Les lignes O10 permettent de lister les LSP.
Les LSP étant des pilotes qui se chargent dans la couche réseau de Windows (Winsock).
Les malwares chargés dans la couche Winsock ont alors la possibilité :
- d'analyser le contenu du traffic réseau, il est donc possible de récupérer les mots de passe ou pour les spywares obtenir les sites consultés
- pour les adwares rediriger lors des recherches vers des sites WEB.

Voici des exemples
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nbwlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nbwlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nbwlsp.dll

Bien entendu certains antivirus ou firewall peuvent se charger en LSP et être listés par HijackThis.
Il ne sert à rien de fixer ces lignes par Hijackthis. Si vous supprimez le fichier sans le supprimer de la couche Winsock, vous pouvez endommager la couche réseau (briser la chaîne Winsock), il peut alors être impossible de se connecter à internet.
Vous devez supprimer au préalable le fichier infectieux des LSP via par exemple LSPfix.
Pour Windows XP SP2 il est possible de refaire un reset de Winsock (mais dans le cas où un antivirus se charge dans les LSP il sera supprimé aussi), cela se fait comme ceci :
Menu Démarrer / executer et taper : netsh winsock reset catalog
Redémarrez l'ordinateur.

Le programme WinsockFix le fait aussi (pour toutes les versions de Windows) : Téléchargez WinsockFix


DNS et clefs O17

Les lignes 017 liste les serveurs DNS utilisés dans les divers interfaces réseaux.
Certains malwares modifients les DNS afin d'effectuer des redirection lors des recherches Google, cela peut permettre aussi d'effectuer du Le phishing

Voici des infections les plus répandus occasionnants du DNS Hijack sont :
- WareOut
- Trojans DNS

Ces infections modifient les DNS avec des adresses 85.255.x
Exemples :
O17 - HKLM\System\CCS\Services\Tcpip\..\{2904A0B6-5E73-4534-A6ED-E23985B12D66}: NameServer = 85.255.116.146,85.255.112.196
O17 - HKLM\System\CCS\Services\Tcpip\..\{70A33049-5F5B-4AB1-9431-3C0D4D2002D9}: NameServer = 85.255.116.146,85.255.112.196
O17 - HKLM\System\CCS\Services\Tcpip\..\{78B21E82-38D8-4B2B-92D9-B5BEE13B1A03}: NameServer = 85.255.116.146,85.255.112.196
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B5D6094-D00B-4A84-92A8-BDE0469D3305}: NameServer = 85.255.116.146,85.255.112.196
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC94E11E-0106-41D0-8506-80D11CB7410A}: NameServer = 85.255.116.146,85.255.112.196
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.196
O17 - HKLM\System\CS1\Services\Tcpip\..\{2904A0B6-5E73-4534-A6ED-E23985B12D66}: NameServer = 85.255.116.146,85.255.112.196
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.196
O17 - HKLM\System\CS2\Services\Tcpip\..\{2904A0B6-5E73-4534-A6ED-E23985B12D66}: NameServer = 85.255.116.146,85.255.112.196
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.196

C'est aussi le cas de Proxy.Xorpix qui modifient les DNS avec des adresses du Chili.

Exemple :
O17 - HKLM\System\CCS\Services\Tcpip\..\{C12BB0C9-4A01-49E6-A594-FC987E247864}: NameServer = 200.14.241.36
O17 - HKLM\System\CS1\Services\Tcpip\..\{C12BB0C9-4A01-49E6-A594-FC987E247864}: NameServer = 200.14.241.36
O17 - HKLM\System\CS2\Services\Tcpip\..\{C12BB0C9-4A01-49E6-A594-FC987E247864}: NameServer = 200.14.241.36
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Papiers / Articles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité