Modules

[fusion_builder_container hundred_percent= »no » equal_height_columns= »no » hide_on_mobile= »small-visibility,medium-visibility,large-visibility » background_position= »center center » background_repeat= »no-repeat » fade= »no » background_parallax= »none » parallax_speed= »0.3″ video_aspect_ratio= »16:9″ video_loop= »yes » video_mute= »yes » overlay_opacity= »0.5″ border_style= »solid »][fusion_builder_row][fusion_builder_column type= »1_1″ layout= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » border_position= »all » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »small-visibility,medium-visibility,large-visibility » center_content= »no » last= »no » min_height= » » hover_type= »none » link= » »][fusion_text]

Modules de ZHPDiag (Diagnostic Tool)

[/fusion_text][fusion_builder_container hundred_percent= »yes » overflow= »visible »][fusion_builder_row][fusion_builder_column type= »1_1″ layout= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none » last= »no » hover_type= »none » link= » » border_position= »all »][fusion_text]

 

Le rapport de ZHPDiag est composé de 4 groupes, les modules d’entête, les modules de base, les modules optionnels et les modules de fin de rapport.
– Les 13 modules d’entête regroupent des informations générales comme le système d’exploitation, la RAM, les protections, les navigateurs,…
– Les 47 modules de bases constituent la structure fixe du rapport,
– Les 48 modules optionnels sont liés au choix de l’utilisateur qui peut les désactiver dans le panneau de configuration,
– les 4 modules de fin, donnent des informations particulières, alertes, liens vers les fiches du blog,…

Modules Entête (13)

Web Browser : Enumère les navigateurs internet
Message d’alerte (MEAL) : Enumération des message d’alerte.
Windows Product Information (WPI) : Informations sur l’identification du système d’exploitation.
System Protection : Liste les logiciels de protection installés.
System Optimizer : Enumère les logiciels d’optimisation du système.
Peer To Peer (P2P) : Liste les logiciels de partage Peer To Peer installés.
Software Update : Cible certains logiciels dont la mise à jour est nécessaire.
System Information : Diverses information sur le système d’exploitation et la mémoire.
Environnement Variables : Enumère certaines variables d’environnement du système.
DOS/Devices : Détaille les unités de stockage.
Security Center & Tools Information (SCTI): Informations sur la sécurité et la protection du système.
Recherche particulière de fichiers génériques : Porte sur les fichiers système susciptibles d’être infectés.
Etat des fichiers cachés (Caché/Total) : Permet de verifier la présence d’une infection.

Modules Base (47)

B0 – Opera, Pages de démarrage : Page de démarrage du navigateur Opera
B1 – Opera, Pages de recherche : Page de recherche du navigateur Opera
P1 – Opera, Plugin de navigateur : Enumère les plugins du navigateur Opera
G0 – Google Chrome, Page de démarrage : Page de démarrage du navigateur Google Chrome
G1 – Google Chrome, Page de recherche : Page de recherche du navigateur Google Chrome
G2 – Google Chrome, Extensions : Enumère les extensions du navigateur Google Chrome
P2 – Mozilla Firefox, Plugins de navigateur : Enumère les plugins du navigateur Google Chrome
M0 – Mozilla Firefox, Page de démarrage : Page de démarrage du navigateur Mozilla Firefox
M1 – Mozilla Firefox, Page de recherche : Page de recherche du navigateur Mozilla Firefox
M2 – Mozilla Firefox, Extension : Enumère les extensions du navigateur Mozilla Firefox
M3 – Plugins de navigateurs (MFPP) : Enumère les plugins du navigateur Mozilla Firefox
R0 – Internet Explorer, Page de démarrage : Page de démarrage du navigateur Internet Explorer
R1 – Internet Explorer, Page de recherche : Page de recherche du navigateur Internet Explorer
R3 – Internet Explorer, URLSearchHook : Paramètres URLSearchHook du navigateur Internet Explorer
R4 – Internet Explorer, Phishing : Phishing sur le navigateur Internet Explorer
R5 – Internet Explorer, Proxy Management : Enumère les paramètres Proxy Internet Explorer.
F2 – Modification d’une valeur System.ini (MVS) : Enumère certaines valeurs de clé de registre.
F3 – Modification d’une valeur Win.Ini (MVW) : Enumère certaines valeurs de clé de registre.
O1 – Redirection du fichier Hosts : Enumère le contenu du fichier Hosts.
O2 – Browser Helper Objects de navigateur : Enumère les Browser Helper Objects Internet Explorer
O3 – Internet Explorer Toolbars : Enumère les Barres d’outil Internet Explorer
O4 – Applications démarrées automatiquement par le registre : Applications démarées par le système.
O4 – Autres liens utilisateurs : Applications lancées au démarrage du système
O5 – Invisibilité de l’icône d’options IE dans le panneau de Configuration : Options Internet Explorer
O6 – Restriction de l’accès aux options IE par l’Administrateur : Restrictions d’accès.
O7 – Regedit access restricted by Administrator : Restriction d’accès à l’éditeur RegEdit.
O8 – Lignes supplémentaires dans le menu contextuel d’Internet Explorer : Menu contextuel Internet Explorer
O9 – Boutons situés sur la barre d’outils principale d’Internet Explorer : Boutons de barre d’outil Internet Explorer
O10 – Winsock hijacker (Layered Service Provider) : Pirate Winsock LSP
O11 – Extra group in IE ‘Advanced Options’window : Extra Group Internet Explorer
O12 – Internet Explorer, Plugin de navigateur : Plugin de navigateur Internet Explorer
O13 – Piratage de IE DefaultPrefix : Piratage du prefix Internet Explorer
O14 – Piratage de l’Option ‘Rétablir les paramètres Web’ : Piratage d’option Internet Explorer
O15 – Site dans la Zone de confiance d’Internet Explorer : Site de confiance Internet Explorer
O16 – Objets ActiveX (Downloaded Program Files) : Objets ActiveX
O17 – Lop.com/Domain Hijackers : Enumération des paramètres serveur DNS
O18 – Protocole additionnel : Recense les modifications des protocoles par défaut
O19 – User Style Sheet hijack : Rechercher un éventuel piratage de feuille de style
O20 – AppInit_DLLs Registry value Autorun : Enumère les fichiers chargés via la valeur de Registre AppInit_DLLs
O20 – Valeurs de sous-clés Winlogon Notify (autorun) : Enumére les fichiers dans la sous-clés Winlogon Notify
O21 – Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) : Enumère les cles de registre SSODL
O22 – SharedTaskScheduler : Recense les valeurs CLSID de la clé de Registre SharedTaskScheduler
O23 – Liste des services NT non Microsoft et non désactivés : Enumère les services démarrés en automatique
O24 – Énumération des composants Active Desktop : Recense tous les composants Active Desktop
O34 – BootExecute : Exécution via Session manager
O36 – Session Manager AppCertDlls Key (AppCertDlls,KnownDLLs) : Enumeration de sous-clé Session Manager

Modules Optionnels (49)

O39 – Tâches planifiées en automatique : Enumère les tâches démarrées avec le système
O40 – Composants installés (ActiveSetup Installed Components) : Enumère les composants ActiveSetup installés
O41 – Pilotes lancés au démarrage (PLD) : Enumère les pilotes démarrés par le système
O42 – Logiciels installés (LOIN) : Enumère les logiciels installés
O42 – HKCU & HKLM Software Keys : Enumère les clés de registre Software
O43 – Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (CFD) : Enumère les dossiers programmes
O44 – Derniers fichiers modifiés ou crées sous Windows et System32 : Enumère certains fichiers système
O45 – Derniers fichiers créés par Windows Prefetcher : Enumère les derniers fichiers du Prefectcher
O46 – ShellExecuteHooks (SEH) : Liste les Opérations et fonctions au démarrage de Windows Explorer
O47 – Export de clé d’application autorisée : Liste les clés des applications autorisées.
O48 – Dénis de service Local Security Authority (LSA) : Recherche de Dénis de Service
O49 – Contrôle du Safe Boot (CSB) : Liste les sous-clés SafeBoot Minima et Network.
O50 – Image File Execution Options (IFEO) : Enumère les sous-clés de registre IFEO
O51 – MountPoints2 Shell Key (MPSK) : Traque les infections en provenance des ports USB
O52 – Trojan Driver Search Data (TDSD) : Recherche générique de trojan
O53 – ShareTools MSconfig StartupReg (SMSR) : Liste les valeurs et les données de la clé StartupReg
O54 – Microsoft Control Security Providers (MCSP) : Liste les informations des clés SecurityProviders
O55 – Microsoft Windows Policies System (MWPS) : Enumère les paramètres registe Policies System
O56 – Microsoft Windows Policies Explorer (MWPE) : Enumère les paramètres registe Policies Explorer
O57 – Recherche de Drivers Rootkit (SDR) : Scan générique de pilotes rootkit
O58 – Liste des Drivers Système (SDL) : Liste les pilotes du système
O59 – Recherche d’infection MagicControl (HSMI) : Recherche générique Adware.Navipromo
O60 – Détournement de DNS (DDNS) : Recherche les détournements Domain Name System
O61 – Derniers fichiers modifiés ou crées (LFC) : Enumère les derniers fichiers créés
O62 – Alternate Data Stream File (ADS) : Recherche pour les drivers mode-kernel
O63 – Liste des outils de nettoyage (LATC) : Enumère des outils de désinfection
O64 – Liste des services Legacy (LALS) : Enumère tous les services legacy du registre
O65 – Liste des fichiers non signés (LUF) : Enumère les fichiers non signès
O66 – Observateur d’évènement d’application (OEA) : Enumère les erreurs d’applications de l’observateur.
O67 – File Association Shell Spawning (FASS) : Enumere certaines extensions de fichiers
O68 – Start Menu Internet (SMI) : Enumère les navigateurs internet installés
O69 – Search Browser Infection (SBI) : Recherche d’infections sur les navigateurs.
O80 – Recherche Master Boot Record Infection (MBR) : Recherche d’infection du MBR (master Boot Record).
O81 – Internet Feature Controls (IFC) : Recherche les infections d’Internet Explorer avec la gestion du mode de compatibilité des documents
O82 – Crack & Keygen Files (CKF) : Recherche de fichiers de type crack ou keygen
O83 – Recherche des services démarrés par Svchost (SSS) : Liste les services Windows SvcHost
O84 – Recherche particuliere (SPRF) : Recherche de fichiers à la racine de certains dossiers.
O85 – Recherche d’infection par le ver Koobface (SKWI) : Recherche particulière d’infection
O86 – Recherche d’infection Rogue (SRI) : Recherche particulière d’infection
O87 – Firewall Active Exception List (FirewallRules) : Liste certaines applications du parefeu Windows.
O88 – Scan Additionnel (AS) : Détections du logiciel ZHPScan.
O89 – Recherche détournement de DNS routeur (SHDR) : Recherche la configuration DNS du routeur
O90 – Product Upgrade Codes : Liste les codes produits installés
O91 – Export de clés aléatoires : Enumeration de certaines clés hexadécimales aléatoires
O92 – MyComputer Name Space : Liste certaines icônes via l’explorateur Windows
O93 – Windowsz Installer Scan : Liste les fichiers de package MSI de WindowsInstaller
O100 – Recherche de clés de registre Tracing (O100) : Enumère les clés Tracing nuisibles
O101 – Recherche de clés de registre CLSID (O101) : Enumère les clé CLSID nuisibles
O106 – Recherche de clés ShellIconOverlayIdentifiers (O106) : Enumère les sous clés ShellIconOverlayIdentifiers
SR/SS – Etat Général des Services (EGS) : Enumère l’état général des services

Modules de fin (4)

Alert Messages : Message d’alerte de certaines infections (Navipromo, ZeroAccess).
List of CD/DVD Emulators (MBR Hook) : Liste les émulateurs de CD/DVD.
Malicius Sofware Information (MSI) : Donne des informations sur les détections malwares.
Informations complémentaires sur les modules (AMI) : Lien vers des informations complémentaires.

—\\ Présentation de l’entête

L’entête du rapport donne des précisions concernant l’utilisateur et l’état de certains paramètres comme l’UAC ou l’élévation de privilèges ou l’activation des listes blanches.

~ Rapport de ZPPDiag v2014.05.24.73 Copyright ©2014 – Nicolas Coolman, Tous droits réservés
# Identification de la nature du rapport, de la version et de son concepteur.

~ Emplacement rapport : C:\Users\Coolman\AppData\Roaming\ZHP\ZHPDiag.txt
# Le rapport ZHPDiag.txt est crée dans cet emplacement, il est utile dans le cas ou le bloc-Note de Windows ne l’afficherait pas en fin de traitement.

~ Lancé par Coolman (24/05/2014 – 16:23:43)
# Nom de la cession de l’utilisateur.

~ Adresse du Site Web : https://nicolascoolman.com/fr
# Il s’agit de l’adresse de mon site.

~ Liste blanche : Désactivée par le programme
# Une liste blanche permet de filtrer certains processus légitimes.

~ User Account Control (UAC): Désactivé par l’utilisateur
# Il s’agit du contrôle du compte utilisateur (UAC). Il peut être activé ou désactivé par l’utilisateur via le Panneau de Configuration de Windows.

~ Elévation des Privilèges : OK
# Cette élévation est réalisée par le programme, elle permet d’obtenir un plus grand nombre d’informations sur le système.

—\\ Navigateurs Internet

Cette rubrique permet d’identifier les principaux navigateurs internet comme Opera, Internet Explorer, Firefox ou Chrome. Lorsque plusieurs navigateurs sont installés, celui par défaut est spécifié en fin de ligne.
MSIE: Internet Explorer v11.0.9600.16518
MFIE: Mozilla Firefox 27.0.1 (x86 fr) (Default)

—\\ Informations sur les produits Windows

Ce module identifie un certain nombre de données concernant le système d’exploitation. C’est notamment le cas de la version, de la license ou l’activation du produit.

~ Langage: Français
# Information de langue donnée par le système

Microsoft Windows 7 Professional Edition Service Pack 1 (build 7601), 64-bit
# Indique la version du système d’exploitation Windows.

Windows Server License Manager Script : OK
# Indique la présence du fichier de License Windows.

~ Windows Operating System – Windows(R) 7, RETAIL channel
# Information extraite du fichier de License

Windows ID Activation : OK
# Indique L’activation de la version de Windows

~ Windows Partial Key : XXXXX
# Il s’agit du premier groupe de la clé du produit.

Windows License : OK
# La license du produit est valide.

~ Windows Remaining Initializations Number : 1

Software Protection Service (Protection logicielle) : OK
# La protection logicielle est activée.

Windows Automatic Updates : OK
# Les mises à jour automatiques de Windows sont autorisées.

Windows Activation Technologies : OK
# Vérifie l’authenticité de la copie de Windows utilisée.

—\\ Informations sur le système

Cette rubrique renseigne sur l’état et le mode ce connexion au système d’exploitation. Il donne des informations sur la restauration et la mémoire RAM.

~ Operating System: 64 Bits
# Affiche le mode 32 ou 64 Bits de la station.

~ Boot Mode: Normal (Normal boot)
# Affiche le mode de démarrage du système.

System Restore: Activé (Enable)
# Permet de savoir si le système de restauration du système est activé.

Total RAM: 6124 MB (51% free] # Affiche la taille de la mémoire RAM et son utilisation.

—\\ Mode de connexion au système

Cette rubrique renseigne sur les sessions utilisateurs et leur mode de connexion.

~ Nom d’Ordinateur: COOLMAN-HP
# Indique de nom de l’ordinateur.

~ Nom d’utilisateur: Coolman
# Indique le nom de session de l’utilisateur.

~ Nom des utilisateurs: Coolman,Michelle,Public,
# Indique les noms des utilisateurs de l’ordinateur (Sessions).

~ Connecté en administrateur
# Affiche le mode de connexion, utilisateur ou administrateur.

—\\ Enumération des unités disques

Ce module énumère aussi les unités de stockage.

C: Hard drive, Flash drive, Thumb drive (System) ( Free 340 Go of 457 Go)
# Liste toutes les unités disques avec leur capacité libre et totale.

—\\ Logiciels de protection du système

Windows Defender W7
Avira Free Antivirus v14.0.3.350
# Enumère les logiciels de protection installés, principalement les Antivirus et les Parefeux.

—\\ Variables d’environnement

~ %USERPROFILE% = C:\Users\Coolman
~ %APPDATA% = C:\Users\Coolman\AppData\Roaming
# Enumère certaines variables d’environnement du système.

—\\ Etat du Centre de Sécurité Windows

Le centre de sécurité de Windows, l’editeur de Base de Registres (BDR) et le Gestionnaires des tâches sont souvent la cible de malwares qui cherchent à réduire la protection du système. Le premier objectif du malware est de modifier ou de créer de nombreuses clés de BDR à l’insu de l’utilisateur afin de supprimer ou de réduire les protections de l’antivirus et/ou du pare-feu. Ensuite il va s’efforcer d’empecher le téléchargement et l’installation des mises à jour du système afin de pouvoir en exploiter les failles. Enfin le malware va s’attaquer à supprimer les accès au gestionnaire des tâches et à l’éditeur de Base De Registres. Afin de vérifier si le système subit une telle attaque, ZHPDiag énumère un ensemble de valeurs de BDR succeptibles d’être concernées. En fonction du cas, la valeur de clé portera la mention ‘OK’ ou ‘Modified’ dans le cas le l’action malware.

[/fusion_text][fusion_text]HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System[/fusion_text][fusion_text] EnableLUA: Modified
# Indique que l’UAC a été modifié par l’utilisateur.

—\\ Recherche particulière de fichiers génériques

# Certains malwares usurpent le nom de fichiers système. Ce module permet d’en lister quelques uns avec leur hash MD5.
[MD5.332FEAB1435662FC6C672E25BEB37BE3] – (.Microsoft Corporation – Explorateur Windows.) — C:\Windows\Explorer.exe [2871808]

—\\ Processus lancés

Ce module recense l’ensemble des processus qui sont lancés au démarrage du système. Il provient d’une part de données situées dans les clés Run,RunOnce ou RunServices de la Base De Registres et d’autre part de données chargées au démarrage de certains services.
[MD5.E3BF29CED96790CDAAFA981FFDDF53A3] – (.Microsoft Corporation – Gadgets du Bureau Windows.) — C:\Program Files\Windows Sidebar\sidebar.exe [1475584] [MD5.2A3FB4C98F139038E23330D2439DB8A4] – (.Facebook Inc. – Programme d’installation de Facebook.) — C:\Users\Coolman\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096]

—\\ Analyse des lignes F0, F1, F2, F3 – IniFiles, Autoloading programs

F2 est Lié au module MVS (Modification d’une valeur System.ini). Il permet de lister certaines valeurs d’une clé de base de Registres.
F3 est lié au module MVW (Modification d’une valeur Win.Ini) – (Created inifile value, mapped to Registry). La modification se fait via la Base de Registres.
F2 – REG:system.ini: USERINIT=C:\Windows\system32\userinit.exe,
F3 – REG:win.ini: run=C:\Windows\System32\ExecLoad.exe

—\\ Opera, Plugins,Démarrage,Recherche (P1,B0,B1)

B0 est lié au module SPO (Start Page Opera). Il permet de rechercher la page de démarrage du navigateur Opera. Cette information est tirée du fichier de préférences de l’utilisateur « operaprefs.ini » situé dans le dossier « %AppData%\Opera\Opera\ ».
B1 est lié au module OSP (Opera Search Page). Il permet de rechercher la page de recherche du navigateur Opera. Cette information est tirée du fichier de préférences de l’utilisateur « search.ini ».
P1 est lié au module OPN (Opera Plugin Navigator). Il permet de lister l’ensemble des plugins installés pour le navigateur Opera. Certains plugins peuvent être des programmes malwares. L’analyse de ZHP permettra de les identifier.
B0 – SPO: operaprefs.ini [Coolman] Home URL= https://www.cherche.us/
B1 – OSP: search.ini [Coolman] URL=https://www.cherche.us
P1 – OPN:Opera Plugin Navigator – C:\Program Files\Opera\Program\Plugins\npdsplay.dll

—\\ Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)

G0 est lié au module GCSP (Google Chrome Start Page). Il permet de rechercher la page de démarrage de Google Chrome. Cette information est tirée du fichier de préférences de l’utilisateur (Preferences).
G1 est lié au module GCS (Google Chrome Search Page). Il permet de rechercher la page de recherche de Google Chrome. Cette information est tirée du fichier de préférences de l’utilisateur (Preferences).
G2 est lié au module GCE (Google Chrome Extensions). Il permet de lister tous les programmes d’extension du navigateur Google Chrome.

G0 – GCSP: Preference [User Data\Default][HomePage] https://www.google.fr
G0 – GCSP: Preference [User Data\Default] https://www.google.ch
G1 – GCS: Preference [User Data\Default] https://www.cherche.us/
G2 – GCE: Preference [User Data\Default] [faminaibgiklngmfpfbhmokfmnglamcm] PanicButton v.0.12 (Activé)

—\\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)

M0 est lié au module MFSP (Mozilla Firefox Start Page). Il permet de rechercher la page de démarrage de Mozilla Firefox. Cette information est tirée du fichier de préférences de l’utilisateur (prefs.js).
M1 est lié au module SPR (Search Page Redirection). De nombreuses extensions sont proposées pour le navigateur Firefox. Certaines d’entre elles, non désirées, peuvent provoquer une redirection de la page de recherche. Afin de pister une éventuelle redirection, l’outil énumère l’ensemble des dossiers comportant une redirection. Ensuite l’analyse de ZHP pourra déterminer la légitimité ou la nocivité de l’adresse spécifiée.
M2 est lié au module MFEP (Mozilla Firefox Extension Programs). Il permet de lister tous les programmes d’extension du navigateur Mozilla Firefox. Cette liste s’établie pour chaque profil d’uilisateur.
M3 est lié au module MFPP (Mozilla Firefox Plugin Program). Il permet de recencer les plugins du navigateur Mozilla Firefox. Les fichiers sont généralement écrit en langage XML.
P2 esr lié au module FPN (Firefox Plugin Navigator). Il permet de lister l’ensemble des plugins installés pour le navigateur Mozilla Firefox. Certains plugins peuvent être des programmes malwares. L’analyse de ZHP permettra de les identifier.

M0 – MFSP: prefs.js [Coolman – s1uj4n6f.default-1389304002557] https://fr.msn.com
M1 – SPR:Search Page Redirection – C:\Program Files\Mozilla FireFox\extensions\[email protected]
M2 – MFEP: prefs.js [Coolman – n9vt152a.sauve\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}] [adblockplus] Adblock Plus 1.2.2 (.Wladimir Palant.)
M3 – MFPP: Plugins – [Coolman] — C:\Users\Coolman\AppData\Roaming\Mozilla\Firefox\Profiles\n5vs13lb.default\searchplugins\bing.xml
P2 – FPN:Firefox Plugin Navigator . (…) — C:\Program Files (x86)\Mozilla Firefox\Plugins\npclntax_ClickPotatoLiteSA.dll =>Adware.ClickPotato

—\\ Internet Explorer, Démarrage,Recherche,URLSearchHook, Phishing (R0,R1,R3,R4)

Le module R0 recherche les paramètres de la page de démarrage par défaut du navigateur Microsoft Internet Explorer. Le piratage de la page de démarrage permet notamment l’affichage de popups indésirables. A la base ce module
R1 recherchait les paramètres de la page de recherche par défaut du navigateur Microsoft Internet Explorer. Aujourd’hui d’autres éléments sont recensés.
Le module R3 recherche les paramètres URLSearchHook du navigateur Microsoft Internet Explorer.
R4 est lié au module Internet Explorer Other Keys (IEOK). Il permet de recencer certaines clés succeptibles d’être modifiées à l’insu de l’utilisateur et qui modifient le fonctionnement du navigateur Microsoft Internet Explorer. Depuis sa version 8, Internet Explorer se dote d’un filtre de phishing. Certains malwares comme le Rogue.AntiviraAV se chargent de désactiver ce contrôle anti-phishing
R0 – HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr
R1 – HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = https://go.microsoft.com
R3 – URLSearchHook: Microsoft Url Search Hook – {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (…) – C:\Windows\System32\ieframe.dll
R4 – HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,EnabledV9 = 1

—\\ Internet Explorer, Proxy Management (R5)

R5 est lié au module Internet Explorer Proxy Management (IEPM). Il permet de recenser les paramètres du proxy utilisé par les navigateurs internet. De nombreux malware utilisent les paramètres des proxys afin d’établir une connexion directe à leurs serveurs, c’est le cas notamment des rogues, des trojans ou de certains vers ayant des caractéristiques de porte dérobée comme KoobFace. La première chose à observer est la donnée de la valeur « ProxyEnable », c’est elle qui va autoriser ou refuser la connexion au proxy.
C’est ce dernier cas qui intéresse plus particulièrement le helper car il permet une utilisation frauduleuse d’un proxy. La deuxème valeur intéressanteest celle de « ProxyServer » qui donne la description du port utilisé. Il s’agit généralement de l’IP de boucle local accouplée avec un port aléatoire différent de 8080. Cette astuce permet de faire croire que l’on est en présence d’une adresse IP légitime de boucle locale « 127.0.0.1 ».
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyEnable = 1
R5 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,Proxyserver = http=127.0.0.1:5555

—\\ Redirection du fichier Hosts (O1)

Ce module recherche les détournements du fichier « Hosts » qui contient les mappages de noms d’hôtes en adresses IP. Le fichier Hosts est situé dans le dossier « %System32%\drivers\etc ». Il peut comporter jusqu’à plusieurs centaines de milliers d’adresses. La recherche s’effectuera sur les 15000 premières lignes.
O1 – Hosts: 128.0.0.1 www.007guard.com
O1 – Hosts: 129.0.0.1 007guard.com

—\\ Browser Helper Objects de navigateur (O2)

Ce module recherche l’ensemble des Browser Helper Objects (BHO) installés. Un BHO est une application qui ajoute certaines fonctionnalités au navigateur Web. En cas d’absence de startup et de fichier, et donc de propriétaire et de déscription du fichier, il y a affichage de la mention « Clé orpheline ». Les clés orphelines proviennent généralement d’une désinstallation logicielle mal faite ou d’une désinfection partielle.
O2 – BHO: IEPlugin – {C63CD127-A1CB-4D49-A4F7-D6F88A917BE6} . (.Symantec Corporation – Symantec VIP Access Add-On.) — C:\Program Files (x86)\Symantec\VIP Access Client\64bit\VIPAddOnForIE64.dll

—\\ Internet Explorer toolbars (O3)

Ce module liste l’ensemble des barres d’outils (Toolbars) du navigateur Microsoft Internet Explorer. En cas d’absence de startup et de fichier, et donc de propriétaire et de déscription du fichier, il y a affichage désormais de la mention « Clé orpheline ». Les clés orphelines proviennent généralement d’une désinstallation logicielle mal faite ou d’une désinfection partielle.
O3 – Toolbar: Allin1Convert – [HKLM]{cd1a63ba-a08c-431b-9a34-f240aadc728d} . (.MindSpark – MindSpark Toolbar Platform.) — C:\Program Files\Allin1Convert_8h\bar\1.bin\8hbar.dll

—\\ Autres liens utilisateurs (O4)

Lié au module ADLS, il permet d’énumerer un grand nombre de raccourcis d’applications. La recherche s’effectue principalement au niveau des dossiers Accessories, Desktop, Programs, QuickLaunch et Tastbar.
O4 – GS\TaskBar [Coolman]: Paint.lnk . (.Microsoft Corporation – Paint.) — C:\Windows\System32\mspaint.exe

—\\ Applications lancées au démarrage du système (O4)

Ce module énumère l’ensemble des applications lancées au démarrage du système. Le traitement se fait à partir des clés de Base De Registres Run, RunOnce et RunServices.
O4 – HKCU\..\Run: [Sidebar] . (.Microsoft Corporation – Gadgets du Bureau Windows.) — C:\Program Files\Windows Sidebar\sidebar.exe
O4 – HKCU\..\Run: [SkyDrive] . (.Microsoft Corporation – Microsoft OneDrive.) — C:\Users\Coolman\AppData\Local\Microsoft\SkyDrive\SkyDrive.exe

—\\ Boutons situés sur la barre d’outils principale d’Internet Explorer (O9)

Ce module liste les éléments ajoutés dans la barre d’outils d’Internet Explorer ou dans le menu Outils d’IE. La recherche s’effectue sur les sous-clés CLSID de la clé de Base de Registres utilisateur « CmdMapping ».
O9 – Extra button: Skype Plug-In – {B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} . (.Pinball Corporation – ClickPotato.) — C:\Program Files\ClickPotatoLite\bin\10.0.668.0\ClickPotatoLiteSABHO.dll
O9 – Extra ‘Tools’ menuitem: GamesBar – {1A93C934-025B-4c3a-B38E-9654A7003239}

—\\ Winsock hijacker (Layered Service Provider) (O10)

Ce module liste toutes les ressources se trouvant dans les sous-clés Winsock2. L’analyseur ZHP permet de définir la légitimité ou la nocivité des ressources.
O10 – WLSP:\000000000001\Winsock LSP File . (.Microsoft Corporation – Network Location Awareness 2.) — C:\Windows\system32\NLAapi.dll
O10 – WLSP:\000000000002\Winsock LSP File . (.Microsoft Corporation – Fournisseur Shim d’affectation de noms de m.) — C:\Windows\system32\napinsp.dll

—\\ Modification Domaine/Adresses DNS (O17)

Ce module liste les modifications des serveurs DNS qui peuvent permettre une redirection vers un site malveillant. La recherche s’effectue dans de nombreuses valeurs de registre comme par exemple NameServer, Domain, SearchList ou DhcpNameServer.
O17 – HKLM\System\CCS\Services\Tcpip\..\{DA129D76-9B80-4220-AABC-A80CF9093CC1}: DhcpNameServer = 192.168.1.1
O17 – HKLM\System\CCS\Services\Tcpip\..\{E9C44116-C989-402F-BA29-44D3E9BDD13C}: NameServer = 93.188.162.230,93.188.166.210

—\\ Protocole additionnel et piratage de protocole (O18)

– Ce module recense les modifications des protocoles par d éfaut pour pister les connexions. La recherche s’effectue sur certaines clés de Base de Registres comme par exemple Deflate, gzip ou msnim.
O18 – Handler: about – {3050F406-98B5-11CF-BB82-00AA00BDCE0B} . (.Microsoft Corporation – Visionneuse HTML Microsoft (R).) — C:\Windows\System32\mshtml.dll
O18 – Handler: cdl – {3dd53d40-7b8b-11D0-b013-00aa0059ce02} . (.Microsoft Corporation – Extensions OLE32 pour Win32.) — C:\Windows\system32\urlmon.dll
O18 – Filter: text/html – {DA9BFF20-80CE-4D4B-95B4-35A0BDC38CB2} – C:\WINNT\System32\mde.dll

—\\ Valeur de Registre AppInit_DLLs et sous-clés Winlogon Notify (autorun) (O20)

Ce module se charge d’énumérer les fichiers chargés via la valeur de Registre AppInit_DLLs. La recherche s’effectue au niveau la valeur « AppInit_DLLs ».
Il permet aussi d’énumérer les fichiers chargés via les sous-clés Winlogon Notify.
O20 – Winlogon Notify: AtiExtEvent . (.ATI Technologies Inc. – ATI External Event Utility DLL Module.) — C:\WINDOWS\System32\Ati2evxx.dll
O20 – AppInit_DLLs: . (.Discordia Limited – BndHook.) – c:\progra~1\bandoo\bndhook.dll O20 – Winlogon Notify: acfe08c9982 . (.Borland Software Corporation – IDE XML Parser interface.) — C:\WINDOWS\system32\dot3msm32.dll
O20 – AppInit_DLLs: . (.Inprise Corporation – Dynamic Link Run Time Library (VCL MT).) – C:\WINDOWS\System32\fdWNet32.dll

—\\ Clé de Registre autorun ShellServiceObjectDelayLoad (SSODL) (O21)

Lié au module SSODL (Shell Service Object Delay Load). La recherche s’effectue dans la clés de Base de Registres suivante « ShellServiceObjectDelayLoad ». l
es données énumérées sont chargées par l’explorateur au démarrage de Windows.
O21 – SSO: WebCheck – {E6FB5E20-DE35-11CF-9C87-00AA005127ED} . (.Microsoft Corporation – DLL commune du shell Windows.) — C:\WINDOWS\system32\SHELL32.dll
O21 – SSO: zip – {63f730da-63de-4036-a8e9-68f6e5270449} – C:\WINDOWS\Installer\{63f730da-63de-4036-a8e9-68f6e5270449}\zip.dll => Trojan.BHO-CT
O21 – SSODL: zip – {63f730da-63de-4036-a8e9-68f6e5270449} – C:\WINDOWS\Installer\{63f730da-63de-4036-a8e9-68f6e5270449}\zip.dll => Trojan.BHO-CT

—\\ SharedTaskScheduler (O22)

Ce module recense les valeur CLSID de la clé de Registre SharedTaskScheduler. Ces éléments sont lancés au démarrage du système et sont souvent le résultat d’une infection FakeAlert.
O22 – SharedTaskScheduler: Pré-chargeur Browseui – {438755C2-A8BA-11D1-B96B-00A0C90312E1} – C:\WINDOWS\System32\browseui.dll
O22 – SharedTaskScheduler: coexpire – {d4c4bc43-0974-4dec-a669-9f7bfcb3503d} – (.Microsoft Corp – Multiple Interface User) — C:\WINDOWS\system32\vmlwp.dll => Infection FakeAlert
O22 – SharedTaskScheduler: andropogon – {655560a9-3ca8-4509-9632-6abbef21426b} – (.Microsoft Corp – Multiple Interface User) — C:\WINDOWS\system32\lgaac.dll => Infection FakeAlert

—\\ Liste des services NT non Microsoft et non désactivés (O23)

Ce module permet énumère l’ensemble des services lancés au démarrage du système. Les services génériques Microsoft et les services désactivés sont volontairement exclus de cette énumération.
La recherche s’effectue sur la valeur  »ImagePath » de toutes les sous-clés de la clé de Base de Registres « Services ».
O23 – Service: Avira AntiVir Planificateur (AntiVirSchedulerService) . (.Avira GmbH – Antivirus Scheduler.) – C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 – Service: MAJTuto (MAJTuto) . (…) – C:\Users\Coolman\AppData\Local\MAJTuto\MAJTuto.exe
O23 – Service: supt4pc_fr_14 (supt4pc_fr_14) . (…) – C:\Users\alien\AppData\Local\tuto4pc_fr_14\supt4pc_fr_14.exe

—\\ Clés Session Manager (AppCertDlls,KnownDLLs) (O36)

– Le module O36 SMK (Session Manager Key) a été crée le 16 décembre 2011. Pour son fonctionnement, Microsoft Windows NT utilise au démarrage une Session Manager. Quelques trojans (Trojan.Papras, Trojan.FakeAV, Trojan.FakeAlert) utilisent les fonctionnalités de certaines clés et valeurs de clés pour exécuter des ressources malwares. La sous-clé « AppCertDlls » est souvent créée à cet effet. La recherche porte sur la clé de Base de Registres « Session Manager », au niveau des sous-clés « AppCertDlls » et « KnownDLLs ».
O36 – KnownDLLs: (clbcatq) . (.Microsoft Corporation – COM+ Configuration Catalog.) — C:\Windows\System32\clbcatq.dll
O36 – KnownDLLs: (ole32) . (.Microsoft Corporation – Microsoft OLE pour Windows.) — C:\Windows\System32\ole32.dll
O36 – AppCertDlls: (x86) . (…) — C:\Program Files (x86)\Search Results Toolbar\Datamngr\apcrtldr.dll
O36 – AppCertDlls: (x64) . (…) — C:\Program Files (x86)\Search Results Toolbar\Datamngr\x64\apcrtldr.dll

—\\ Recherche de clés de registre Tracing (O100)

Ce module permet d’énumérer les clés de registre « Tracing » nuisibles. Certaines de ces clés peuvent avoir un fichier de rapport « .log » sous %WindDir%\Tracing.
HKLM\SOFTWARE\WOW6432Node\Microsoft\Tracing\eMule_RASAPI32 => P2P.eMule
HKLM\SOFTWARE\WOW6432Node\Microsoft\Tracing\Mobogenie12_RASAPI32 =>PUP.Mobogenie

—\\ Recherche de clés de registre CLSID (O101)

Ce module permet d’énumérer les clés de registre « CLSID ». Ces clés sont largement utilisées par les malwares.
La chaine de caractère entre parenthèse correspond à la donnée de la valeur par défaut de la clé CLSID.
[HKCR\CLSID\{00000001-0000-0000-C000-000000000000}] (Crimsolite) =>PUP.CrimSolite[/fusion_text]

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut