Ce matin j'ai eu un cas où un utilisateur de Malwarebytes Anti-Malware v2.0.2.1012 a commencé a paniquer. En quelques minutes tous les composants se sont successivement mis à planter ( mbam.exe avec l'exception unknown software exception (0x40000015) s'est produite dans l'application puis mbamservice.exe avec l'exception Exception logicielle inconnue (0xe6d7363) s'est produite dans l'application etc... ) jusqu'à rendre la machine inutilisable : freeze à chaque redémarrage. L'utilisateur a alors pensé que ça venait d'une infection mais après expertise il s'est avéré que le problème n'avait rien à voir avec un code malveillant ni même avec MBAM : c'était dû à des erreurs d'écritures sur un fichier utilisé par le système. Une fois celui-ci purgé et régénéré, tout re-fonctionna de nouveau.
De ce constat, j'ai dérivé le problème et mis en évidence qu'il pouvait y avoir un cas de paramétrage qui empêche le bon fonctionnement de ce logiciel. En effet, si vous installez MBAM sur une machine qui ne dispose pas de fichier d'échange ( cas rares, configuration spécifique du système d'exploitation ) alors à chaque tentative de scan - examen de "Menaces" / "Personnalisé" / "Hyper" - l'appel de la fonction SDKDatabaseLoadDefaults de la librairie mbamcore provoquera une erreur critique.
Qui se traduira par une corruption permanente des bases de données.
Cette mésaventure m'a permis de noter qu'il n'y avait pas eu de corrections suite à mes précédentes remarques sur ce logiciel alors je doute que ce cas de figure suscite grand intérêt néanmoins il était interessant d'en conserver une trace. J'en profite pour glisser les détails des faiblesses démontrées il y a un peu plus de 6 mois, lire Malwarebytes Anti-Malware v2.0.
Concernant les contournements de restrictions d'Access Policy, voici l'astuce. Prenons un exemple, sur le tableau de bord, admettons que l'accès au planificateur soit restreint : effectuer assez rapidement la combinaison clavier-souris suivante [ clique sur "planificateur" + touche Echap + clique sur "planificateur" ] répété plusieurs fois la séquence si nécessaire et vous finirez par outrepasser la demande de mot de passe.
Ensuite concernant le contournement des protections des fichiers protégés par le module d'auto-protection, rien de plus simple. Dans "Planification automatique" cliquer sur "Ajouter" puis "Avancé" sur la fenêtre dans la zone "Options des journaux" cocher "Définir des paramètres personnalisés" et cliquer sur le bouton "..." la fenêtre "Rechercher un dossier" s'ouvre sur le répertoire d'installation de Malwarebytes. Cette fenêtre a attiré mon attention car si vous regardez de plus près vous avez un bouton pour créer un nouveau dossier. Or, pour créer il faut des droits... et c'est précisément ce que je recherchais. J'ouvre le bloc-notes j'ajoute ces lignes, j'enregistre sous "repcmd.reg". J'effectue un clique-droit sur ce fichier et sélectionne "Inscrire" pour ajouter au registre.
Code : Tout sélectionner
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\c-cmd]
@="THE MATRIX HAS YOU"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shell\c-cmd\command]
@="cmd.exe /k cd \"%L\""
Rien à voir avec le reste, j'en profite pour indiquer que Malwarebytes Anti-Malware ne détecte pas la présence et l'exécution du fichier témoin EICAR.
Code : Tout sélectionner
C:\>toto.com
EICAR-STANDARD-ANTIVIRUS-TEST-FILE!