Détournement de la clé de registre “StartMenuInternet”

Sujet :
ZHPCleaner détecte et supprime les redirections des principaux navigateurs (Internet Explorer, Opera, OperaStable, Safari, Firefox, Chrome,…).
C’est notamment le cas pour sa recherche dans la clé de registre “StartMenuInternet” sur le modèle du module O68 de ZHPDiag.
La détection s’effectue dans les sous-clé “ShellOpenCommand” et sur la présence d’un argument sous forme d’URL comme par exemple “http://www.22find.com”. C’est exactement le même principe que pour les redirections des raccourcis de navigateur.

Voilà ce que donne le rapport de ZHPDiag :
O68 – StartMenuInternet: (…) — C:Program FilesMozilla Firefoxfirefox.exe C:Program FilesMozilla Firefoxfirefox.exe http://www.22find.com
O68 – StartMenuInternet: (…) — C:Program FilesGoogleChromeApplicationchrome.exe “C:Program FilesGoogleChromeApplicationchrome.exe” http://www.22find.com

Le détournement de la clé “StartMenuInternet”
Mais il s’avère que de plus en plus de LPI (Logiciel Potentiellement Indésirable) utilisent la clé “StartMenuInternet” et le mode “ShellOpenCommand” pour exécuter leur propre propcessus malware. C’est par exemple le cas des LPI : PUP.Beamrise, PUP.BoBrowser, PUP.Yappyz ou PUP.Vosteran.

Voici quelques lignes trouvées par ZHPDiag :
O68 – StartMenuInternet: (…) — C:UsersCoolmanAppDataLocalVosteranApplicationvosteran.exe
O68 – StartMenuInternet: (…) — C:UsersCoolmanAppDataLocalBoBrowserApplicationbobrowser.exe
O68 – StartMenuInternet: (…) — C:UsersCoolmanAppDataLocalbeamriseapplicationbeamrise.exe
O68 – StartMenuInternet: (…) — C:UsersCoolmanAppDataLocalYappyzApplicationyappyz.exe

les caractèristiques :
– Le principe d’écriture dans la Base de registres est constant :
– Tout d’abord la création d’une clé avec le nom du logiciel suivi d’un point et d’une chaîne aléatoire de 26 caractères alphanumériques.
– Ensuite sont créées trois clés, Shell,Open et Command.
– Enfin le processus est placé dans sa valeur par défaut. Ce processus est placé dans un sous-dossier local de l’utilisateur nommé “Application”.

Le format rencontré :
O68 – StartMenuInternet: < {SoftwareName}.{Chaine aléatoire} > (…) — < %LocalAppDAta%{SoftwareName}Application{SoftwareName}.exe >

Conclusion :
La prochaine version de ZHPCleaner détectera et supprimera de type de clé ainsi que le processus qui l’accompagne. Si le processus est absent, du fait d’un nettoyage par un autre outils, le mode “Empty” sera mis à sa place comme on peut le voir dans l’exemple de Beamrise donné ci-dessous.

Voici un aperçu du rapport de suppression de ZHPCleaner :
~ ZHPCleaner v2015.1.18.26 by Nicolas Coolman (18/01/2015)
~ Run Coolman (Administrator) (18/01/2015 14:06:26)
~ Windows 8, 64-bit (Build 9200)

—\ Navigateur internet. (1)
DEPLACÉ fichier: C:UsersCoolmanAppDataLocalBoBrowserApplicationbobrowser.exe [.The BoBrowser Authors – BoBrowser.] (PUP.BoBrowser)

—\ Base de Registres ( Clés, Valeurs, Données ). (2)
SUPPRIMÉ clé: HKLMSOFTWAREClientsStartMenuInternetBeamrise.JCQKKHS47XQUWMBWCKUDNUNJ2A (Hijacker.Beamrise)
SUPPRIMÉ clé: HKLMSOFTWAREClientsStartMenuInternetBoBrowser.4VXSNEJOK2DFD5T7P5M2WVNMIA (PUP.BoBrowser)

End of clean at 14:06:26

Logiciel concernés :
ZHPCleaner
ZHPDiag

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour haut de page