Protections Malwares : rendre la désinfection plus difficile

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Malekal_morte
Site Admin
Site Admin
Messages : 97165
Inscription : 10 sept. 2005 13:57
Contact :

Protections Malwares : rendre la désinfection plus difficile

Message par Malekal_morte » 12 sept. 2008 14:01

Voici une page qui décrit quelques principes de protections utilisés par les malwares afin de se protéger et empécher les désinfections.

Bot IRC : Worm.Autorun

Nous allons prendre pour exemple l'infection MSN Worm.Autorun présenté souvent (car nouvelle variante chaque jour) dans la partie MSN de ce forum : viewforum.php?f=57
Cette infection est aussi capable de se propager via des disques amovibles

Processus rootkité
L'infection se charge par une simple clef Run (O4 sur HijackThis)
Le processus est rootkité... ce qui signifie que le gestionnaire de tâches et Process Explorer ne sont pas capables de le lister...Gmer lui en est capable.

Lorsque l'on tue le processus, celui-ci se relance automatiquement afin d'assurer un fonctionnement permanent de l'infection.
Image

Terminer des processus de protection/analyse
L'infection possède une liste de processus prédéfinie qui seront automatiquement tué.
Voici la liste : https://www.malekal.com/fichiers/forum/M ... lllist.txt

Celle-ci comprends des antivirus, logiciels de sécurité mais aussi des fix dont gmer, HijackThis, SDFix etc.
Ceci signifie que l'internaute infecté ne pourra démarré ces programmes (sauf en les renommant au préalable).

L'infection désactive donc les antivirus et empèche l'utilisation de fix.

Image

Hijack fichier HOSTS
L'infection hijack le fichier HOSTS de Windows afin de faire pointer des adresses de sites vers localhost et empécher la connexion vers ces dernières.

Voici le fichier HOSTS : https://www.malekal.com/fichiers/forum/M ... _HOSTS.txt
Des adresses d'antivirus, de fix et de forum de sécurité sont donc ajoutés.
La mise à jour des antivirus et l'accès à certains fix ou forum de désinfection sont donc impossibles.

Empécher le redémarrage en mode sans échec
L'infection supprime ensuite la clef SafeBoot (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot) ce qui empèche le redémarrage en mode sans échec (erreur STOP).
Le programme SafeBootKeyRepair de sUBs permet de restaurer ces clefs afin de rendre valide à nouveau le redémarrage en mode sans échec.
Malheureusement l'infection track cette clef, dès qu'un changement est effectué, celle-ci supprime à nouveau les clefs SafeBoot pour assurer un non redémarrage en mode sans échec.
Il faut donc désactiver l'infection avant de pouvoir restaurer le mode sans échec.

Il n'est donc pas possible de redémarrage en mode sans échec pour supprimer le fichier et/ou utiliser un antivirus/fix.

Image

Ajouter des restrictions systèmes via les policies

L'infection désactive aussi l'invite de commandes via les policies :
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
* DisableCMD = 0x00000002
Il est possible de réactiver l'invite de commandes en remettant la valeur DisableCmd à 0, seulement encore une fois l'infection track la clef et redésactivera illico l'invite de commandes.
En outre, si vous vous reportez au processus tué par l'infection, vous verrez que cmd.exe y est présent, restaurer la valeur ne suffit donc pas.

L'infection empèche donc l'utilisation de fix basé sur du batch tel que MSNFix, SDFix et Combofix.

A l'exécution vous obtenez le message : L'invite de commandes a été désactivée par votre administrateur.

Image

L'infection ajoute d'autres restrictions notamment en désactivent l'éditeur de registre (regedit) et le gestionnaire de tâches (taskmgr)/
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
* Disabletaskmgr = 0x00000001
* Disableregistrytools = 0x00000001
Et encore une fois, regedit.exe et taskmgr.exe sont présents dans la liste des processus à tuer.

A l'exécution de l'éditeur du registre, vous obtenez le message message : La modification du registre a été désactivée par votre administrateur.

Image

A l'exécution du gestionnaire de tâches, vous obtenez le message message : Le gestionnaire de tâches a été désactivée par votre administrateur.e
Image

Enfin, la restauration système est désactivée :
# [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
* DisableConfig = 0x00000001
Supprimer l'accès à des fonctionnalités de Windows en supprimant les menus
L'infection retire ensuite le menu "options des dossiers" du menu affichage afin que l'internaute ne puisse pas afficher les fichiers cachés/systèmes, ceci pour deux raisons :
  • le fichier infectieux se trouve dans le dossier system32 et possède l'attribut caché, désactiver l'affichage des fichiers cachés/systèmes permet donc ne pas pouvoir le lister.
  • l'infection se propageant par disques amovibles, elle créé des fichiers autorun.inf qui ne sont pas affichés par défaut. Ces derniers resteront donc masqués.
Image

L'infection retire aussi l'option exécuter du menu Démarrer.

Image

A noter que certains variantes suppriment aussi le bouton Arreter du menu Démarrer.
Ce n'est pas le cas de celles actuellement diffusé au moment où est écrit cet article.

Certaines restrictions et domaines blacklistés dans le fichier HOSTS ont été progressives. Ceci tend à dire que les auteurs de ce malwares surveillent les activités des fix et forums de sécurités.

Le fix SDFix incorpore actuellement un add-on DBFix qui permet de supprimer ces infections, se reporter au tutorial SDFix : https://www.malekal.com/tutorial_SDFix.p ... ocId708380

Quelques autres exemples : Bagle, LinkOptimizer

Trojan Bagle

Bagle est un autre exemple de malwares se protégeant, ce dernier est un rootkit Kernel-Mode qui permet de se charger beaucoup plus bas dans le système (ce qui le rend plus dangereux que l'exemple précédent).

Bagle détruit les antivirus, les pare-feux ainsi qu'un bon nombre de fix (Combofix, SDFix etc.), j'ai bien dit détruit et non désactive.
Bagle détruit le PE header donnant l'erreur suivante à l'exécution du programme : "nomdufichierdelantivirus.exe n'est pas une application win32 valide" :
En outre, renommer le programme sert à rien, Bagle effectue des recherches de strings (séquences de textes) afin de reconnaître un des programmes sensibles qu'il souhaite détruire.

Bagle détruit aussi la clef SafeBoot afin d'empécher le redémarrage en mode sans échec.

LinkOptimizer

LinkOptimizer est une infection de 2006 très évoluée pour l'époque (et même de nos jours).
LinkOptimizer est un rootkit usermode qui incopore certaines protections comme :
  • blacklister certains sites et forum de désinfection
  • blacklister certains programmes (dumphive, The Avenger, Gmer, IceSword, certains scanner rootkit d'éditeur de sécurité).
  • Les fichiers de l'infection ont des permissions spéciales, le rootkit hook les API utilisées pour modifier les permissions, si l'on tente de modifier les droits des fichiers du rootkit pour pouvoir ensuite les supprimer, on obtient des erreurs
LinkOptimizer a été l'une des premières infections bloquant l'accès à des forum de désinfection et l'utilisation de programmes de désinfection.
Vous trouverez une description en anglais sur cette page : http://www.antirootkit.com/articles/gro ... Adware.htm
et la traduction en français sur cette page : http://xp.net.free.fr/articles/gromozon.php

Conclusion

Si l'infection Worm.Autorun présenté dans le premier paragraphe ne montre pas de réellement révolution en matière de protection des malwares puisque l'utilisation de restrictions, terminer des processus, hijack Hosts restent assez courants.
Le cooktail employé permet de présenter une bonne partie des méthodes de protection employé par les malwares de nos jours.


Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Papiers / Articles »