Comportements de l'explorateur Windows sur GUID / CLSID

ѠOOT

Comportements de l'explorateur Windows sur GUID / CLSID

par ѠOOT »

Bonjour,

Simple remarque concernant l'échantillon Lizarbot.

* Backdoor:MSIL/Lizarbot.A:Backdoor
* MSIL/IRCBot.CK
* Trojan.Agent.BFKV
* Win.Trojan.Lizarbot


Celui-ci créer le fichier "7e16feb9fead31b3a3bcd6c2a2e1225e" à un emplacement immuable.

→ %ALLUSERSPROFILE%\Application Data\.{7e16feb9-fead-31b3-a3bc-d6c2a2e1225e}\7e16feb9fead31b3a3bcd6c2a2e1225e

En gras, un point suivi de 4 octets et 3 groupes de 2 octets puis 6 octets soit 16 octets.
Voilà qui ressemble fort à un GUID / CLSID, n'est-il point ?

Quoi qu'il en soit, voici le comportement de l'explorateur Windows lorsque
l'utilisateur va vouloir parcourir ce dossier pour l'inspecter.

Image

Est-ce calculé pour perturber l'utilisateur ou bien est-ce un hasard ?

Si vous souhaitez reproduire avec un autre exemple de votre choix.
L'explorateur refuse de créer un répertoire commençant par un point.
Mais c'est parfaitement faisable depuis l'interpréteur de commandes.
La commande MKDIR permet de créer un répertoire dans le chemin.

MKDIR ".{00000000-0000-0000-0000-000000000000}"

Via l'explorer, on obtient alors la même fenêtre "Ouvrir avec".

Autre bizarrerie en lançant l'explorateur via l'interpréteur.
Image

Ce que vous voyez à l'écran via l'explorateur Windows ne reflète pas la réalité.

Voici une démonstration simple qui devrait calmer les sceptiques.

MKDIR "C:\WINDOWS.{ECF03A32-103D-11D2-854D-006008059367}"

Image

Deux dossiers qui visuellement semblent avoir le même nom.

<REP> WINDOWS
<REP> WINDOWS.{ECF03A32-103D-11D2-854D-006008059367}


Le nom préfixe le CLSID ce qui permet d'en créer sans limite.

Un brin d'imagination et vous obtiendrez des illusions parfaites.
Techniques qui, bien employées, peuvent s'avérer redoutables.

Essayez d'entrer dans ce répertoire depuis l'explorateur.
MKDIR "C:\HAHA.{59031A47-3F72-44A7-89C5-5595FE6B30EE}"

Maintenant appuyer sur la touche F3 pour chercher "hoho" dans C:\
Si votre système ne gère pas correctement, l'explorateur va planter.

Et ce dernier exemple vous incitera peut-être à chercher plus loin.
MKDIR "C:\IE.{871C5380-42A0-1069-A2EA-08002B30309D}"

Utilitaire pratique, ActiveXHelper de NirSoft.

Amusez-vous bien.
Malekal_morte
Messages : 116919
Inscription : 10 sept. 2005 13:57

Re: Comportements de l'explorateur Windows sur GUID / CLSID

par Malekal_morte »

L'affichage sur l'explorateur est souvent trompeur, on a la même chose avec les caractères unicode :(

interressant PDT_001
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Tech, Tips & Tricks »