Malwarebytes Anti-Maware VS FRST VS ZHPSuite

[Comptesuppr984da]

Bonjour

Je voudrais savoir si Malwarebytes pourrait trouver dans son analyse des éléments qui auraient échappés à FRST ou ZHPSuite ?

[Parisien_entraide]

Bonjour

Déjà regarde le fonctionnement de ZHP (ou AdwCleaner)
https://www.malekal.com/adwcleaner-zhpc ... habitudes/

et celui de MBAm
https://www.malekal.com/malwarebyte-ant ... les-virus/

en plus il faut différencier le fonctionnement et usage de MBAM en version gratuite( qui devient un simple analyseur/diagnostique) de la version payante
En plus je vais être méchant car le marketing de MBAM indiquait à une époque qu'il était AUSSI un antivirus (terme vague qui ne veut rien dire), ce qui n'est pas vrai en fait (du moins en partie)
C était mis en avant et a priori cela a disparu de la page de présentation de leur site
Par contre MBAM s'installe comme un antivirus dans Windows, en remplaçant Defender et cela ce n'est pas normal

Pour FRST https://www.malekal.com/tutoriel-farbar ... tool-frst/

Fabar Recovery Scan Tool (FRST) n’est pas un antivirus mais un outil de diagnostic
Cela demande des connaissances systèmes, connaitre le programme et cela ne s'improvise pas

Donc tout est dans la personne qui analyse (il existe des guides d'usage mais cela ne fait pas tout)
C'est pour cela que meme si MBAM détecte quelque chose il ne pourra pas toujours éradiquer ce qu'il dit pouvoir faire
Avec FRST tu peux voir/savoir le pourquoi et y remédier et meme réutiliser MBAM derrière qui fera ENSUITE son boulot

Pour "l'instant" l'humain fait mieux que ces programmes

[Malekal_morte]

Salut,

Le fonctionne est différent.
MBAM a un moteur de signature, heuristiques qui analysent les fichiers et processus. A peu près comme le fait un antivirus, après ils sont des analyses spécifiques à eux.
FRST analyse le système et produit un rapport avec ce qui est en cours de fonctionne. Il n'indique pas si le PC est infecté, c'est à une personne d'analyser le contenu du rapport
ZHPSuite mélange les deux mais la détection reste assez sommaire.

En clair donc FRST et ZHPSuite, ça ne sert à rien de les utiliser seuls.
Vaut mieux les utiliser sur un forum.

[Comptesuppr984da]

Bonjour

Nous sommes d'accord , mais vous n'avez pas répondu ( où alors j'ai mal compris ) à ma question . Et donc je la reformule. Si un Helper analyse un log FRST et qu'il trouve des éléments malveillants , il propose un Fixlist afin d'éradiquer les bestioles . Mais s'il fait passer après un Malwarebytes , celui ci peut il trouver des éléments ( type rootkit ou autres ) qui n'auraient pas été détectés par FRST. ?

[Parisien_entraide]

Comme l'a dit Malekal FRST n'indique pas si le PC est infecté en l'indiquant, c'est l'analyse du rapport par une personne compétente qui permet de le dire

Le fix ne permet pas seulement d'éradiquer, mais AUSSI de neutraliser ce que le malware a mis en place pour le cacher aux outils type anti virus (qu'il peut désactiver par ex) les proxies, etc sans compter tout le reste propre à windows (paramètres etc) , mais le fix n'est pas une solution miracle et dans certains cas meme une réparation de windows ne traite pas tout (surtout si la personne veut garder ses paramètres)

En plus les navigateurs (surtout Chrome) est cible, et là à moins de mettre en place une solution Wireshark ou analyse de réseau pour savoir ce qui sort, c'est pratiquement impossible à mettre en place au sein d'un forum où les gens qui aident le font sur leur temps libre, etc il faudrait y passer des heures et cela peut devenir très vite compliqué suivant le niveau de l'utilisateur, ses connaissances

Sinon il faut passer par un pro à 70 euros de l'heure mini dont c'est le travail
Du reste la plupart ne s'embêtent pas, ils formattent et réinstalle windows (parfois en oubliant de sauvegarder les données) sauf demande particulier (analyse poussée, forensics etc)
La raison n' est pas obligatoirement le manque de connaissance, mais le prix qui sera à payer par le client... Il y a en a pour des heures sinon donc des centaines d'euros


C'est pour cela dans un forum dédié, qu'il est demandé avant de changer les mots de passe, de réinitialiser les navigateurs ce qui solutionne la chose rapidement
parfois/souvent passer le programme WindowsRepair de tweaking.com, de réparer Windows, voire.. de le réinstaller (De toutes les façons si le noyau est compromis c'est le mieux)

Une fois le fix appliqué, cela permet AUSSI à certains programme de MIEUX procéder à une analyse (puisqu'ils ne sont plus bloqués et qu'ils ont été réparés (il y a une méthode pour Windows defender par ex)
En plus leur base a été actualisée (normalement) car il ne faut pas négliger l'aspect du trou dans la raquette comme l'avait souligné kaspersky
viewtopic.php?p=541514#p541514

Ensuite détection ne veut pas dire que c'est encore en place
Defender garde son historique et annonce toujours quelque chose alors qu'il n'en n'est rien
https://www.malekal.com/comment-supprim ... -defender/

sans compter les clés de registre etc

A cela on y ajoute le fait que la majorité des outils de type MBAM, et anti virus sont incapables de réparer (à une époque seul kaspersky avec son image .iso était capable de le faire correctement mais je ne sais ce qu'il en est actuellement)


Dans ce lien sur les nouvelles infections de ce type (juste un exemple)
https://www.malekal.com/trojan-stealer/

tu y trouveras d'autres liens sur le fonctionnement des "virus" etc comment s'en protéger etc
C'est la base (même si certains liens pointent sur des articles d'il y a 10 ans ou plus sur le forum, c'est toujours d'actualité)


_______

Le truc c'est que les gens ont encore en tête le fonctionnement des "virus" (terme générique) à l'ancienne d'il y a 10 ou 20 ans
On est en 2023 et cela a fortement évolué (et cela sera pire d'ici quelques temps avec l'usage de l'IA qui a déjà commencé du reste pour les infections)

Extrait de quelques passages de
viewtopic.php?p=527841

"Ces stealer sont capables d' altérer les défenses (désactivation de la protection en temps réel de Windows Defender par ex) mais aussi de tous les antivirus connus
(...)
La nouvelle méthode d'injection de logiciels malveillants, baptisée Mockingjay, permet aux attaquants de contourner les systèmes de défense et d'exécuter du code malveillant sur les systèmes compromis.
(...)
Mockingjay est différent en ce sens qu'il évite à l'attaquant d'avoir à exécuter des API Windows qui sont généralement surveillées par des solutions de sécurité.
Pour ce faire, le vecteur utilise des exécutables Windows portables existants contenant un bloc de mémoire par défaut protégé par des droits Lecture-Ecriture-Exécution ( RWX ).
Les analystes de Security Joes ont découvert la DLL msys-2.0.dll dans Visual Studio 2022 Community, qui avait une section RWX par défaut de 16 Ko.
Cela en fait un candidat idéal pour l'injection de code malveillant.
(...)
Mystic Stealer présente un faible taux de détection basé sur les résultats de la vérification AV (Antivirus) utilisant des techniques de manipulation de code pour échapper à la détection par la plupart des produits antivirus.
- Il fonctionne en mémoire pour éviter toute détection et utilise des appels système pour compromettre les cibles, garantissant ainsi qu'aucune trace n'est laissée sur le disque dur pendant le processus d'exfiltration des données.
- Une fois les données cibles identifiées, le malware les compresse, les crypte et les transmet.
- L'authentification du client n'est pas requise ; les données sont transmises au fur et à mesure de leur réception.
- Le malware est développé sans recourir à des bibliothèques tierces et intègre un analyseur de base de données de navigateur auto-écrit pour des fonctionnalités améliorées.

Pour résumer :
Le malware n'a besoin d'aucune dépendance, son empreinte sur les systèmes infectés est donc minime, tandis qu'il fonctionne en mémoire pour éviter d'être détecté par les produits antivirus.

De plus, Mystic effectue plusieurs contrôles anti-virtualisation, comme l'inspection des détails du CPUID pour s'assurer qu'il n'est pas exécuté dans des environnements sandbox.
(...)
Les auteurs de logiciels malveillants utilisent généralement des packers et des protections pour la compression et pour envelopper le logiciel dans une couche supplémentaire de code déguisé afin d'échapper à la détection.
Les packers gagnent également en popularité pour les techniques anti-VM et anti-débogage qu'ils proposent, qui permettent aux logiciels malveillants de naviguer efficacement dans le système, d'éviter la détection et de s'exécuter plus facilement

Il y a quelques années, ces "enveloppes" pouvaient changer 1 500 fois par heure..
AUCUN antivirus ne peut suivre
La détection se fera par d'autres moyens comme à l'exécution, mais il sera souvent trop tard

En plus les nouvelles générations de Trojan Stealer, une fois leur méfait accompli, peuvent s'auto détruire après donc la récup de données ce qui fait que l'Antivirus ne voit rien lors d'un scan, ou que les rapports FRST n'indiquent rien de spécial, du moins par un oeil qui n'est pas aguerri, car tout repose sur les compétences du helpeur qui verra par certaines lignes des rapports qu'il s'est passé quelque chose, et du fait de certains dysfonctionnements (liés à ce que le malware a neutralisé/modifié etc)

Je n'ai plus l'ex en tete mais il y en a fortement optimisés, qui sur une machine moderne/puissante peuvent agir en ... 1/10 de seconde
Cela rappelle certains ransomware qui lisent très rapidement la table d'allocation (ou comme des programmes sains comme everything) et sont capables de crypter un disque de 8To en moins de 10 secondes)
En fait vu qu'ils ciblent certains dossiers, certains fichiers, le scan et infection sera plus rapide qu'un programme comme Everything qui lui scanne tout

Les IP contactées se retrouvent dans les fichiers de paramètre de Chrome qu'ils modifient, et également de certains modules qui font des accès extérieurs... dont des mises à jour par ex (un peu comme on peut le voir avec Firefox qui contacte certaines IP dont Mozilla)
Le navigateur est autorisé par le firewall, et il faudrait en fait analyser tous les appels extérieurs.
(...)
ViperSoftX s’attaque aussi aux gestionnaires de mots de passe installés sur l’ordinateur de ses cibles.
La nouvelle version du malware comprend en effet " un mécanisme de vérification" qui découvre si 1Password ou KeePass 2 est présent sur l’appareil. (à ne pas confondre avec KeepassXC qui n'était pas touché par la faille de Keepass et qui est un fork)

Si c’est le cas, il va passer par les extensions navigateur des deux gestionnaires pour subtiliser les mots de passe des utilisateurs. Ces extensions stockent en effet des données sensibles.

[Comptesuppr984da]

Et ben dis donc , c'est ce qu'on appelle une réponse documentée !!!!!

merci

[Parisien_entraide]

Si tu lis tout surtout avec les liens, et que tu assimiles les choses je pense qu'on ne te reverras que demain :-)

[Malekal_morte]

C'est surtout que comparer ces produits n'a pas grand intérêt car ils ne fonctionnent pas de la même manière.
FRST et ZHPSuite, c'est essentiellement pour une désinfection par internet, sur les forums.
MBAM peut être utilisé seul.
Dans les deux cas ils peuvent laisser des malwares sur le PC, et peuvent donc être utilisés de manière complémentaire.

[Comptesuppr984da]

C'est surtout que comparer ces produits n'a pas grand intérêt car ils ne fonctionnent pas de la même manière.
FRST et ZHPSuite, c'est essentiellement pour une désinfection par internet, sur les forums.
MBAM peut être utilisé seul.
Dans les deux cas ils peuvent laisser des malwares sur le PC, et peuvent donc être utilisés de manière complémentaire.

Bonjour

Mais pourquoi alors demandez vous à un utilisateur de fournir sur le forum uniquement les logs FRST lorsqu'il y a une suspicion de désinfection ?

[Malekal_morte]

La réponse se trouve dans le message que tu as cité, pour analyser ce qui tourne, trouver des malwares.

[Comptesuppr984da]

ce que je voulais dire , c'est pourquoi UNIQUEMENT FRST et pas par exemple un rapport MBMA ou autre , puisque comme tu le dis FRST peut laisser passer des malwares ?

[Malekal_morte]

On utilise aussi MBAM, regarde bien.
Ca dépend le type de malware découvert sur FRST. S'il y a bcp, on peut l'utiliser, s'il y a juste un PUP ou autre, pas forcément besoin.
Mais de toute façon, la plupart du temps les gens l'ont installé et l'utilisent d'eux même.