Simple remarque concernant l'échantillon Lizarbot.
* Backdoor:MSIL/Lizarbot.A:Backdoor
* MSIL/IRCBot.CK
* Trojan.Agent.BFKV
* Win.Trojan.Lizarbot
Celui-ci créer le fichier "7e16feb9fead31b3a3bcd6c2a2e1225e" à un emplacement immuable.
→ %ALLUSERSPROFILE%\Application Data\.{7e16feb9-fead-31b3-a3bc-d6c2a2e1225e}\7e16feb9fead31b3a3bcd6c2a2e1225e
En gras, un point suivi de 4 octets et 3 groupes de 2 octets puis 6 octets soit 16 octets.
Voilà qui ressemble fort à un GUID / CLSID, n'est-il point ?
Quoi qu'il en soit, voici le comportement de l'explorateur Windows lorsque
l'utilisateur va vouloir parcourir ce dossier pour l'inspecter.
Est-ce calculé pour perturber l'utilisateur ou bien est-ce un hasard ?
Si vous souhaitez reproduire avec un autre exemple de votre choix.
L'explorateur refuse de créer un répertoire commençant par un point.
Mais c'est parfaitement faisable depuis l'interpréteur de commandes.
La commande MKDIR permet de créer un répertoire dans le chemin.
MKDIR ".{00000000-0000-0000-0000-000000000000}"
Via l'explorer, on obtient alors la même fenêtre "Ouvrir avec".
Autre bizarrerie en lançant l'explorateur via l'interpréteur.
Ce que vous voyez à l'écran via l'explorateur Windows ne reflète pas la réalité.
Voici une démonstration simple qui devrait calmer les sceptiques.
MKDIR "C:\WINDOWS.{ECF03A32-103D-11D2-854D-006008059367}"
Deux dossiers qui visuellement semblent avoir le même nom.
<REP> WINDOWS
<REP> WINDOWS.{ECF03A32-103D-11D2-854D-006008059367}
Le nom préfixe le CLSID ce qui permet d'en créer sans limite.
Un brin d'imagination et vous obtiendrez des illusions parfaites.
Techniques qui, bien employées, peuvent s'avérer redoutables.
Essayez d'entrer dans ce répertoire depuis l'explorateur.
MKDIR "C:\HAHA.{59031A47-3F72-44A7-89C5-5595FE6B30EE}"
Maintenant appuyer sur la touche F3 pour chercher "hoho" dans C:\
Si votre système ne gère pas correctement, l'explorateur va planter.
Et ce dernier exemple vous incitera peut-être à chercher plus loin.
MKDIR "C:\IE.{871C5380-42A0-1069-A2EA-08002B30309D}"
Utilitaire pratique, ActiveXHelper de NirSoft.
Amusez-vous bien.
