Page 1 sur 1

Interpréteur de commandes - la ruse à deux sioux ^:^

Publié : 09 oct. 2014 22:31
par ѠOOT
Bonjour,

Juste un petit mot sur une observation de la journée.
Cette bidouille était utilisée dans un code malveillant.

Exemple inoffensif pour l'interpréteur de commandes.

Menu "Démarrer" → "Exécuter" et saisir:
cmd /c d^ir/o:d/a&pa^use:

On retire le superflue ("^" & ":") DIR /O:D /A & PAUSE
Ce qui liste tous les fichiers / date puis marque une pause.
Stupide ruse pour évader les détections de pathétiques AV ?

Cette séquence était stockée à cet emplacement:
[HKLM\SOFTWARE\Microsoft\Command Processor]
"AutoRun"="cl^s&ca^lc|"


Ce qui a pour effet d'exécuter la calculette à chaque chargement de l'interpréteur.
Les auteurs de codes malveillants utilisent depuis longtemps l'emplacement.
Plus discret et aussi parce que des outils comme HijackThis ne gèrent pas.

edit: Une personne m'a demandé s'il y avait en rapport avec l'actualité suite à l'article
Command-injection vulnerability for COMMAND-Shell Scripts : la réponse est non.

Re: Interpréteur de commandes - la ruse à deux sioux ^:^

Publié : 15 oct. 2014 09:17
par Malekal_morte
Flimrans utilisait cette clef : https://www.malekal.com/2013/05/25/flimr ... hnologies/ pour empécher le démarrage en invite de commandes en mode sans échec.