Interpréteur de commandes - la ruse à deux sioux ^:^

ѠOOT

Interpréteur de commandes - la ruse à deux sioux ^:^

par ѠOOT »

Bonjour,

Juste un petit mot sur une observation de la journée.
Cette bidouille était utilisée dans un code malveillant.

Exemple inoffensif pour l'interpréteur de commandes.

Menu "Démarrer" → "Exécuter" et saisir:
cmd /c d^ir/o:d/a&pa^use:

On retire le superflue ("^" & ":") DIR /O:D /A & PAUSE
Ce qui liste tous les fichiers / date puis marque une pause.
Stupide ruse pour évader les détections de pathétiques AV ?

Cette séquence était stockée à cet emplacement:
[HKLM\SOFTWARE\Microsoft\Command Processor]
"AutoRun"="cl^s&ca^lc|"


Ce qui a pour effet d'exécuter la calculette à chaque chargement de l'interpréteur.
Les auteurs de codes malveillants utilisent depuis longtemps l'emplacement.
Plus discret et aussi parce que des outils comme HijackThis ne gèrent pas.

edit: Une personne m'a demandé s'il y avait en rapport avec l'actualité suite à l'article
Command-injection vulnerability for COMMAND-Shell Scripts : la réponse est non.
Malekal_morte
Messages : 112119
Inscription : 10 sept. 2005 13:57

Re: Interpréteur de commandes - la ruse à deux sioux ^:^

par Malekal_morte »

Flimrans utilisait cette clef : https://www.malekal.com/2013/05/25/flim ... hnologies/ pour empécher le démarrage en invite de commandes en mode sans échec.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Tech, Tips & Tricks »