ZHPdiag_O50


Caractéristiques

– Le module O50 a été crée le 02 février 2009. Lié au module IFEO (Image File Execution Options). Il permet de lister toutes les sous-clés de registre des clés IFEO. La clé de Base de Registres "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" est souvent utilisée par des processus malwares. La raison en est simple, il est possible de rédiriger l’exécution de n’importe lequel des processus vers un processus de son choix. Vous pouvez par exemple constater ce que fait le Trojan.MSIL.

0

Dans la pratique une nouvelle clé avec le nom d’un processus, généralement légitime et appartenant à un antivirus connu comme par exemple "GUARD.exe" ou bien un processus légitime de Windows comme par exemple "regedit.exe" ou "svchost.exe". Ensuite on lui donne comme valeur ‘Debugger‘ et comme donnée le nom du processus malware avec son chemin complet comme par exemple "c:\windows\System32\regeedit.exe".

Soit :
[HKLM\…\IFEO\regedit.exe]
Debugger="c:\windows\System32\regeedit.exe"

– Ainsi lorsque sera sollicité sous debugger l’éditeur de Base De Registres "regedit" , c’est le processus malware "regeedit.exe" qui sera exécuté de façon totalement transparente pour l’utilisateur infecté.

– A côte de la valeur "Debugger", il existe d’autres valeurs susceptibles de provoquer un dysfonctionement. C’est le cas notamment de la valeur "BreakOnDllLoad" avec la donnée ‘1’ qui provoque un "break" de la ressource dynamique en cours de chargement.

Soit :
HKLM\…\IFEO\Name.dll>]
"BreakOnDllLoad"=dword:00000001

– Bien sûr il n’y a pas que les fichiers d’extension .exe ou .dll qui sont la cible de tels procédés.

– Certains précaunisent l’utilisation de la clé IFEO à des fins de vérouillage comme "Strip My Rights". Je ne suis pas trop partisan d’une telle action, car à moins d’être un expert, à terme il n’est plus possible de savoir si l’on est à la source d’une telle modification ou bien si l’on est infecté.

– Comme par défaut sous XP/Vista il n’y a aucun processus sous la clé IFEO (sauf DllNXOptions, IEInstall.exe & MovieMaker.exe), il est plus prudent de supprimer tous le reste qui se trouve sous cette clé. Une exception toutefois si vous êtes sous Windows Server qui utilise la clé IEFO pour la gestion de ses processus légitimes comme STORE.EXE,MAD.EXE,INETINFO.EXE ou EMSMTA.EXE. Pour ce dernier cas il faudra bien étudier la valeur de l’entrée "PageHeapFlags".

 

Aperçu ZHPDiag

—\\ Image File Execution Options (IFEO) (O50) v1.16
O50 – IFEO:Image File Execution Options – guard.exe – C:\Windows\System32\delrodRR.exe

—\\ Image File Execution Options (IFEO) (O50)
O50 – IFEO:Image File Execution Options – Your Image File Name Here without a path – ntsd -d

 

Equivalence RSIT

################## | Registre |
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\a.exe]

 

Equivalence OTL

O27 – HKLM IFEO\msnmsgr.exe: Debugger – StripMyRights.exe /D /L N (Systemintegrasjon AS)
O27 – HKLM IFEO\keygen.exe: Debugger – StripMyRights.exe /D /L N (Systemintegrasjon AS)

 

Equivalence MBAM

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Rogue.Installer)

 

Exemple d’infections

—\\ Image File Execution Options (IFEO) (O50)
O50 – IFEO:Image File Execution Options – a.exe – svchost.exe => Infection Diverse (Security.Hijack)
O50 – IFEO:Image File Execution Options – aAvgApi.exe – svchost.exe => Infection Diverse (Security.Hijack)
O50 – IFEO:Image File Execution Options – AAWTray.exe – svchost.exe => Infection Diverse (Security.Hijack)
O50 – IFEO:Image File Execution Options – About.exe – svchost.exe => Infection Diverse (Security.Hijack)

 

Action ZHPFix

O50 – IFEO:Image File Execution Options – {KeyName} – {ProcessName}

{Key} : Clé de Base de registre [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
{KeyName} : Sous clé de la clé {Key}
{ProcessName} : Nom du processus.

1) L’outil suppime la clé {KeyName}

– La commande IFEOFix permet de supprimer toutes les redirections d’applications. Sur le principe, l’outil recherche toutes les valeurs "Debugger" et supprime les clés de registre IFEO correspondantes. Une liste de clés supprimées est donnée en fin de rapport.
– En cas d’absence de clé IFEO malware, le message suivant s’affiche "Branche de Base de Registres IFEO non infectée !"

Rapport ZHPFix (IFEO infecté)

Lignes saisies :
O50 – IFEO:Image File Execution Options – a.exe – svchost.exe
O50 – IFEO:Image File Execution Options – aAvgApi.exe – svchost.exe
O50 – IFEO:Image File Execution Options – AAWTray.exe – svchost.exe

Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010

========== Clé(s) du Registre ==========
O50 – IFEO:Image File Execution Options – a.exe – svchost.exe => Clé supprimée avec succès
O50 – IFEO:Image File Execution Options – aAvgApi.exe – svchost.exe => Clé supprimée avec succès
O50 – IFEO:Image File Execution Options – AAWTray.exe – svchost.exe => Clé supprimée avec succès

========== Récapitulatif ==========
3 : Clé(s) du Registre

 

Rapport ZHPFix (IFEO non infecté)

Ligne saisie :
IFEOFix

Rapport de ZHPFix v1.12.3145 par Nicolas Coolman, Update du 06/09/2010

========== Clé(s) du Registre ==========
Branche de Base de Registres IFEO non infectée !

========== Récapitulatif ==========
1 : Clé(s) du Registre

 

Liens

* Abusing Image File Execution Options,
* How to Remove Image File Execution Options from Your Computer,
* McAffee Image File Execution Options
* Supprimer explor.exe / Winxp.exe : VBS/Autorun.worm / VBS/Drop.Bifrose