Bonjour,
Simple remarque concernant l'échantillon Lizarbot.
* Backdoor:MSIL/Lizarbot.A:Backdoor
* MSIL/IRCBot.CK
* Trojan.Agent.BFKV
* Win.Trojan.Lizarbot
Celui-ci créer le fichier "7e16feb9fead31b3a3bcd6c2a2e1225e" à un emplacement immuable.
→ %ALLUSERSPROFILE%\Application Data\.{7e16feb9-fead-31b3-a3bc-d6c2a2e1225e}\7e16feb9fead31b3a3bcd6c2a2e1225e
En gras, un point suivi de 4 octets et 3 groupes de 2 octets puis 6 octets soit 16 octets.
Voilà qui ressemble fort à un GUID / CLSID, n'est-il point ?
Quoi qu'il en soit, voici le comportement de l'explorateur Windows lorsque
l'utilisateur va vouloir parcourir ce dossier pour l'inspecter.
Est-ce calculé pour perturber l'utilisateur ou bien est-ce un hasard ?
Si vous souhaitez reproduire avec un autre exemple de votre choix.
L'explorateur refuse de créer un répertoire commençant par un point.
Mais c'est parfaitement faisable depuis l'interpréteur de commandes.
La commande MKDIR permet de créer un répertoire dans le chemin.
MKDIR ".{00000000-0000-0000-0000-000000000000}"
Via l'explorer, on obtient alors la même fenêtre "Ouvrir avec".
Autre bizarrerie en lançant l'explorateur via l'interpréteur.
Ce que vous voyez à l'écran via l'explorateur Windows ne reflète pas la réalité.
Voici une démonstration simple qui devrait calmer les sceptiques.
MKDIR "C:\WINDOWS.{ECF03A32-103D-11D2-854D-006008059367}"
Deux dossiers qui visuellement semblent avoir le même nom.
<REP> WINDOWS
<REP> WINDOWS.{ECF03A32-103D-11D2-854D-006008059367}
Le nom préfixe le CLSID ce qui permet d'en créer sans limite.
Un brin d'imagination et vous obtiendrez des illusions parfaites.
Techniques qui, bien employées, peuvent s'avérer redoutables.
Essayez d'entrer dans ce répertoire depuis l'explorateur.
MKDIR "C:\HAHA.{59031A47-3F72-44A7-89C5-5595FE6B30EE}"
Maintenant appuyer sur la touche F3 pour chercher "hoho" dans C:\
Si votre système ne gère pas correctement, l'explorateur va planter.
Et ce dernier exemple vous incitera peut-être à chercher plus loin.
MKDIR "C:\IE.{871C5380-42A0-1069-A2EA-08002B30309D}"
Utilitaire pratique, ActiveXHelper de NirSoft.
Amusez-vous bien.
Comportements de l'explorateur Windows sur GUID / CLSID
- Messages : 116919
- Inscription : 10 sept. 2005 13:57
Re: Comportements de l'explorateur Windows sur GUID / CLSID
L'affichage sur l'explorateur est souvent trompeur, on a la même chose avec les caractères unicode :(
interressant
interressant
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 1 Réponses
- 112 Vues
-
Dernier message par Malekal_morte
-
- 5 Réponses
- 193 Vues
-
Dernier message par Parisien_entraide
-
- 4 Réponses
- 39 Vues
-
Dernier message par Malekal_morte
-
-
FILES : Une alternative à l'explorateur de fichiers
par Parisien_entraide » » dans Programmes utiles - 0 Réponses
- 103 Vues
-
Dernier message par Parisien_entraide
-
-
-
paramètre de recherche de l'explorateur de fichier
par malekalnewbie » » dans Windows : Résoudre les problèmes - 1 Réponses
- 95 Vues
-
Dernier message par Malekal_morte
-