Kit de désinfection

[sioban]

Bonsoir,

Je dois créer un kit de désinfection à destination d'une entreprise (demande interne spécifique non destiné à la revente).

Je compte y mettre des produits permettant
- l'identification des processus malveillants (Hijackthis par exemple)
- des outils de désinfection génériques (livecd)
- des outils de désinfection spécialisés (SDfix, CComboFix, etc)
- des outils anti*ware (malwarebytes, etc)
- des outils anti trojan (trojanremover, etc)
- des outils Anti rootkit (gmer, etc)

Et aussi un référentiel des ressources disponibles :
- sites de test des processus (tel virustotal)
- site éditeur de soumission des virus
- Malekal pour les tutos de chacun des outils (avec sa permission, s'il le souhaite)
- Encyclopédie antivirale

Le but n'est pas d'être exhaustif mais d'essayer de couvrir le spectre le plus large possible.

Il y a une liste impressionnante d'outil sur les liens https://www.malekal.com/outils_supprimer_spywares.html et sur https://www.malekal.com/menu_tutorials_logiciels.php.
J'aimerais toutefois, plutôt que de tout mettre aveuglement faire une sélection :
- Les "Must Have" dans chaque catégorie
- Il faut que l'utilisation dans un milieu professionnel soit autorisé (je vérifierais par moi même les licences de toutes façons)
- Je suis prêt à étudier des outils payants s'ils apportent une plus value par rapport aux outils gratuits (qui soit dit en passant font un sacré boulot !)

En ce qui concerne les sites de références, ce qui manque en général c'est la possibilité de retrouver le descriptif d'un virus sur les sites des éditeurs en fonction de ce qui a été découvert par virustotal. Il faut pas mal galérer pour trouver un descriptif quelconque. Si vous avez vos propres références je suis preneur.

Si je fais ce thread, c'est aussi pour que tout le monde puisse utiliser ce référentiel (pas le kit lui même malheureusement) pour se faire une idée des meilleurs outils (les plus efficaces) dans chaque domaine. Et pourquoi pas, on pourrait à terme, créer un kit Free (pas opensource, car cela limiterais beaucoup le choix des outils).

Merci pour vos participations !

[Malekal_morte]

yop,

- l'identification des processus malveillants (Hijackthis par exemple)

Hummmm tu peux mettre le site là hijackthis.de
ProcessExplorer, Wireshack etc.

Bref là on peux en faire tout un truc.

Je pense que je ferai un article sur l'identification des malwares (en gros déterminer si un fichier est un malware ou non) avec ce que j'utilise, les liens etc.
C'est surtout pour ensuite linker ça sur l'article désinfection d'un réseau comme on a parlait précédement.

Si cette partie t'interresse, tu pourras récup des progs et liens.
Bon par contre, je pense que je pondrais pas ça de suite, genre 2 semaines.

[sioban]

Wireshark c'est une très bonne idée, j'y songeais.

En revanche je viens de me rendre compte d'un truc : certains ne sont pas utilisable en mode livecd. En effet la base de registre n'est pas accessible. Par exemple Hijackthis ne fournira pas les infos attendues. De même je ne sais pas si un CComboFix peut fonctionner.

Je pense à quelque chose comme ça alors :
- Etape 1 : permettre de démarrer en mode sans echec (comment, quelle est la procédure ?)
- Etape 2 : démarrer en mode sans echec pour utiliser les outils sur un système vivant

A mon avis, l'utilisation de ces outils sur un système qui n'est pas en mode sans echec risquerait d'être inefficace, en effet ceux-ci utilisant pour la plupart les API windows (à part peut-être hijackthis, mais certains virus le détecte de toutes façons), un virus pourrait très bien se cacher de ces appels.

Je vais vraiment commencer à travailler sur les outils dans 2 semaines, donc je pense que l'on sera dans les clous ;)

[Malekal_morte]

Wireshark c'est une très bonne idée, j'y songeais.

En revanche je viens de me rendre compte d'un truc : certains ne sont pas utilisable en mode livecd. En effet la base de registre n'est pas accessible. Par exemple Hijackthis ne fournira pas les infos attendues. De même je ne sais pas si un CComboFix peut fonctionner.

haaa en liveCD
Bha tu peux oublier tous les fix.

A noter pour que le MSE, il est parfois impossible de démarrer dessus (Bagle, Slenfbot, etc).

A mon avis, l'utilisation de ces outils sur un système qui n'est pas en mode sans echec risquerait d'être inefficace, en effet ceux-ci utilisant pour la plupart les API windows (à part peut-être hijackthis, mais certains virus le détecte de toutes façons), un virus pourrait très bien se cacher de ces appels.

Ce sont des rootkits kernel-mode : http://forum.malekal.com/le-danger-et-f ... t3500.html
mais les fix tel que Combofix etc.. en ont rien à battre.
enfin 99% sont supprimables via Combofix (soit prévu automatiquement par Combo, soit via un CFScript).

Mais ça met en avant les limitations d'un diagnostique simplement par HijackThis, sachant qu'il y aussi d'autres points de chargements qui ne sont pas visibles depuis HijackThis.... (HijackThis n'ayant casi pas bougé depuis plusieurs années, ceci explique cela).

Il faut aussi explorer la console de récupération pour les supressions..
hummm........................ une page dessus serait le bievenue aussi.

C'est cool; tu me donnes plein d'idées d'articles. thx.

[sioban]

Bientôt un "Les virus pour les nuls" ;)

[sioban]

J'ai personnellement commencé une sélection :
Identification (à utiliser en mode sans echec):
- HijackThis : http://www.trendsecure.com/portal/en-US ... hijackthis
- Eset SysInspector : http://www.eset.com/download/sysinspector.php
- Sophos Anti-Rootkit : http://www.sophos.com/products/free-too ... otkit.html
- GMER : http://www.gmer.net/index.php

Les tutoriels d’utilisation de ces outils :
- HijackThis : https://www.malekal.com/tutorial_HijackThis.php
- Eset SysInspector : http://forum.malekal.com/viewtopic.php? ... 23&p=60531
- Sophos Anti-Rootkit : http://forum.malekal.com/viewtopic.php? ... 14&p=21584
- GMER : https://www.malekal.com/tutorial_GMER.php

Afin de vérifier si le binaire est un binaire officiel ou non, on peut rechercher son nom sur le site web suivant :
http://www.processlibrary.com/fr/

Urls pour envoyer les fichiers suspcieux :
- http://www.virustotal.com : testera le binaire sur 39 moteurs antivirus différents.
- http://www.threatexpert.com/submit.aspx
- http://virusscan.jotti.org/
- http://virscan.org/

avec ça on devrait avoir un nom de virus

[SkyTech]

Salut,

Afin de vérifier si le binaire est un binaire officiel ou non, on peut rechercher son nom sur le site web suivant :
http://www.processlibrary.com/fr/

A rajouter :

http://www.bleepingcomputer.com/startups/
http://www.generation-nt.com/processus.html

[sioban]

thanks

[Curson]

Bonsoir,

A rajouter :

http://www.bleepingcomputer.com/startups/
http://www.generation-nt.com/processus.html

Egalement : http://www.systemlookup.com


Cordialement.

[sioban]

Va falloir faire le tri des plus pertinents ;)

[sioban]

j'aime bien systemlookup et bleepingcomputer.
le site de GNT permet aussi de ne lister que ce qui est légitime

je pense qu'ils vont remplacer processlibrary

C'est parfait

[sioban]

On continue, les sites d'encyclopédies virales les plus détaillées :
- Antivir : http://www.avira.com/en/threats/index.html
- Eset/NOD32 : http://www.eset.com/threat-center/encyclopedia.php
- F-Secure : http://www.f-secure.com/en_EMEA/securit ... index.html
- Kaspersky : http://www.viruslist.com/en/viruses/encyclopedia
- McAfee : http://vil.nai.com/vil/default.aspx
- Sophos : http://www.sophos.com/security/analyses ... d-spyware/
- Symantec : http://www.symantec.com/norton/security ... search.jsp

La liste complète des encyclopédies virales est disponible ici : http://www.virusbtn.com/resources/links/index?malid

[Malekal_morte]

Pour la reconnaissances de fichiers, il y a FileAdvisor de bit9 : http://fileadvisor.bit9.com/services/search.aspx
On met le hash du fichier et on voit s'il est dans la base.

[sioban]

Le problème est que la génération du Hash n'est pas très portable...
C'est un .msi qui s'installe.
En environnement sain oui , mais en environnement infecté je ne trouve pas ça super efficace...

En plus il faut s'enregistrer pour avoir l'info, ce n'est pas bloquant mais limitatif.

[Malekal_morte]

Pas bien compris le prb.
bit9 c'est juste pour confirmer ou non une suspicion.
T'as un fichier, tu sais pas d'où il sort, tu checks le hash dans leur base.
Ou si fichier systèmes (explorer.exe, svchost.exe etc) patché.

'Fin je vois ça comme ça.