Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé trojan. Afficher tous les messages
Aucun message portant le libellé trojan. Afficher tous les messages

lundi 26 septembre 2022

Cheval de troie/Trojan horse: sur iOS ,l'attaque NoReboot simule l'arrêt du téléphone pour vous espionner:

 

 

Cheval de troie/Trojan horse: sur iOS ,l'attaque NoReboot simule l'arrêt du téléphone pour vous espionner:

Sécurité : Cette attaque développée par des chercheurs pourrait être utilisée pour détourner les fonctions du micro et de la caméra.

Des chercheurs ont publié une nouvelle technique permettant de simuler l'arrêt de l'iPhone pour effectuer une surveillance.

Baptisée "NoReboot", la preuve de concept de ZecOps est décrite comme une méthode qui peut contourner la pratique normale de redémarrage d'un appareil pour effacer l'activité malveillante de la mémoire et obtenir la persistance sur l'appareil.

Présentant cette semaine une analyse et un dépôt public GitHub, ZecOps a expliqué que le cheval de Troie NoReboot simule un véritable arrêt de l'appareil tout en fournissant une couverture pour le fonctionnement du malware, qui pourrait inclure le détournement secret des capacités du micro et de la caméra pour espionner le propriétaire du téléphone.

« L'utilisateur ne peut pas sentir de différence entre un véritable arrêt et un "faux arrêt" », indiquent les chercheurs. « Il n'y a pas d'interface utilisateur ni de retour de bouton jusqu'à ce que l'utilisateur remette le téléphone "en marche". »

La technique provoque l'événement d'arrêt attendu en injectant du code dans trois démons : InCallService, SpringBoard, et backboardd.

Lorsqu'un iPhone est éteint, des indicateurs physiques indiquent que l'opération a été effectuée avec succès : une sonnerie ou un son, une vibration et l'apparition du logo Apple à l'écran. Mais en désactivant le « retour d'information physique », le malware peut créer l'apparence d'un arrêt alors qu'une connexion en direct avec un opérateur est maintenue.




« Lorsque vous éteignez l'appareil, il s'agit en fait d'une application système /Applications/InCallService.app qui envoie un signal d'arrêt à SpringBoard, qui est un démon responsable de la majorité de l'interaction avec l'interface utilisateur », expliquent les chercheurs. « Nous avons réussi à détourner le signal en utilisant la méthode Objective-C -[FBSSystemService shutdownWithOptions:]. Maintenant, au lieu d'envoyer un signal d'arrêt à SpringBoard, il notifiera à la fois SpringBoard et backboardd pour déclencher le code que nous y avons injecté. »

L'affichage indiquant un processus d'arrêt peut alors être détourné via backboardd et la fonction SpringBoard peut à la fois être forcée à quitter et bloquée pour ne pas redémarrer. ZecOps précise qu'en prenant le contrôle de SpringBoard, un iPhone cible peut « donner l'impression » qu'il n'est pas allumé, ce qui est le « déguisement parfait ».

Les utilisateurs ont toutefois toujours la possibilité de procéder à un redémarrage forcé. C'est là qu'intervient l'altération du backboardd : en surveillant les saisies de l'utilisateur, notamment la durée de maintien des boutons, un redémarrage peut être simulé juste avant qu'un vrai redémarrage ait lieu, par exemple en affichant le logo Apple plus tôt.

« Empêcher les utilisateurs de redémarrer manuellement un appareil infecté en leur faisant croire qu'ils ont réussi à le faire est une technique notable de persistance des logiciels malveillants », commente Malwarebytes.

Comme la technique se concentre sur la tromperie des utilisateurs plutôt que sur les vulnérabilités ou les bugs de la plateforme iOS, ce comportement ne sera pas corrigé avec un simple patch. ZecOps indique que la méthode NoReboot a un impact sur toutes les versions d'iOS et que seuls des indicateurs matériels pourraient aider à détecter cette forme de technique d'attaque.

https://www.youtube.com/watch?v=g_8JVUVLxTk

REF.:  https://www.zdnet.fr/actualites/ios-l-attaque-noreboot-simule-l-arret-du-telephone-pour-vous-espionner-39935243.htm

mardi 17 mars 2020

Des hackers prennent pour cible d’autres black hats avec un trojan



Des hackers prennent pour cible d’autres black hats avec un trojan

par Bruno Clairet,





Hackers, trojan,



 Un groupe de hackers a lancé une campagne qui vise spécialement les autres black hats. En infectant leurs outils de hacking, ils ont pu prendre le contrôle de leurs machines, mais aussi des ordinateurs de leurs victimes.


Malware, phishing, ransomware, attaque DDoS, les cyberattaques de toutes sortes progressent d’année en année. Elles ne visent plus uniquement les ordinateurs des particuliers et quelques grandes entreprises, mais s’étendent aux objets connectés, et sont même parfois d’origine étatique. Cybereason, une firme spécialisée dans la détection et la protection contre les cyberattaques, a identifié un nouveau type de campagne qui cible les hackers en particulier pour profiter de leurs activités criminelles et contaminer d’autres machines.

Des hackers en contaminent d’autres avec des outils de hacking infectés

Amit Serper de Cybereason a enquêté sur le mode opératoire d’un groupe de pirates qui a profité de sa communauté et de l’imprudence des internautes qui cherchent à cracker un logiciel ou obtenir un numéro de série. Pendant près d’une année, ils se sont procurés des logiciels allant du simple générateur de numéro de licences de logiciels à des outils de hacking pour les infecter avec un puissant cheval de Troie. Ils ont ensuite appâté leurs cibles en les mettant en ligne, notamment sur des forums spécialisés. Ceux qui les ont ouverts ont immédiatement été contaminés par njRat. Le trojan leur offre alors un accès distant et total à la machine de la victime, y compris à ses fichiers, ses mots de passe, mais aussi au microphone et à la webcam.
Amit Serper explique que la technique permet non seulement d’infecter une machine, mais qu’elle offre également un accès à toutes celles que la victime a pu pirater. Les outils de hacking étant eux-mêmes contaminés, ils infectent automatiquement les machines qu’ils ciblent lorsqu’ils en prennent le contrôle. Plus surprenant, son étude suggère que le cheval de Troie a infecté plusieurs serveurs et que la procédure d’infection des logiciels et leur publication seraient entièrement automatisées. La méthode pourrait ainsi fonctionner à grande échelle sans intervention humaine.


Source : Cybereason

lundi 23 avril 2018

Google SafeBrowsing : alerte rouge site trompeur ou dangereux



Lors de l’accès sur un site internet ou une page internet, cet accès peut-vous être refusé avec le message sur fond rouge :
Erreur liée à la sécurité sur Google Chrome ou ce site est trompeur ou contient des programmes dangereux sur Mozilla Firefox.
Ce message de blocage d’accès est lié à Google SafeBrowsing, une fonction qui protège contre les sites internet malveillant.
Quelques explications autour de cette protection Google SafeBrowsing.



Erreur liée à la securité sur page internet ou ce site est trompeur

Les sites internet ont très tôt été utilisés comme vecteur de logiciels malveillants en tout genre mais aussi d’attaques comme le phishing.
Par la suite, des exploits WEB ont aussi été utilisé pour installer des chevaux de troie, ransomware et autre sur les ordinateurs des internautes.
Pour protéger les internautes, les navigateurs internet Google Chrome et Mozilla Firefox embarquent une protection Google SafeBrowsing.
Lorsqu’un site ou une page internet est connu pour être dangereuses, le navigateur internet bloque son accès avec une alerte sur fond rouge.
Google SafeBrowsing est donc un service de Google qui maintient une liste noire de sites connus pour distribuer des malwares de tout type Trojan, Adware ou PUP mais aussi utilisé dans des attaques de phishing et hameçonage.
Mozilla Firefox et Google Chrome interroge cette liste noire lors de l’accès à certains sites internet afin de savoir si ce dernier est connu pour être malveillant.
Enfin cette protection Google SafeBrowsing bloque aussi les téléchargements dangereux.
L’équivalent chez Microsoft est SmartScreen, un article y est consacré : SmartScreen : Protection avec filtrage URL et de fichiers

La protection contre les sites dangereux

La protection inclut deux types de liste et protection, la protection de site trompeur lié à du phishing et des contenus de logiciels indésirables (PUP, Trojan, etc).
Selon le type de contenu dangereux et le navigateur internet, le message peut-être différent.
Les messages Google SafeBrowsing sur Google Chrome :
  • Ainsi pour un site de phishing, le message d’alerte sera : Le site WEB que vous visitez ouvert est trompeur
  • Pour un site de trojan, adware ou PUP, le message : Le site WEB que vous allez ouvrir contient des programmes dangereux ou l’accès à ce site risque d’endommager l’ordinateur
Google SafeBrowsing sur Chrome : Le site WEB que vous visitez ouvert est trompeur
Google SafeBrowsing sur Chrome : Le site WEB que vous allez ouvrir contient des programmes dangereux
Google Safebrowing sur Chrome : l'accès à ce site risque d'endommager l'ordinateur
Les alertes Google SafeBrowsing sur Mozilla Firefox :
  • Pour un site d’hameçonnage, le message d’alerte sera : Ce site est trompeur
  • Pour une page liée à des trojan, adware ou PUP, le message : Ce site peut contenir des programmes dangereux ou encore le message ce site pourrait endommager l’ordinateur
    Google SafeBrowsing sur Firefox : ce site est trompeur
Google SafeBrowsing sur Firefox : ce site pourrait endommager l'ordinateur
Google SafeBrowsing sur Firefox : Ce site peut contenir des programmes dangereux
En cliquant sur les paramètres avancés, vous pouvez forcer la consultation de la page WEB ou du site internet.

Protection contre les téléchargements dangereux

Lorsque vous téléchargez un fichier potentiellement dangereux, le navigateur internet peut bloquer ce dernier.
Ce fichier est dangereux, Chrome l’a bloqué.
En affichant les téléchargement, il est toutefois possible de forcer le téléchargement.

Désactiver la protection Google SafeBrowsing de Mozilla Firefox

Pour désactiver la protection Google SafeBrowsing de Mozilla Firefox, ouvrez les options.
A gauche, cliquez sur Vie privée et sécurité.
Déroulez la page jusqu’à Sécurité, vous pouvez alors désactiver l’option « Bloquer le contenu dangereux ou trompeur« .
Mozilla Firefox permet aussi de désactiver que la protection des sites trompeurs ou des contenus malveillants.

Désactiver la protection Google SafeBrowsing de Google Chrome

Sur Google Chrome, pour désactiver la protection Google SafeBrowser, il faut ouvrir les paramètres.
A gauche dans le menu, déroulez les paramètres avancés puis Confidentialité et Sécurité.
Enfin, désactivez l’option « Assurer votre protection et celle de votre appareil contre les sites dangereux« .


Liens

Plus d’informations sur la sécurité de Windows dans le menu Virus & Sécurité, vous pouvez aussi lire la page : comment sécuriser Windows.

REF.:

dimanche 22 avril 2018

Les anti-Keylogger pour se protéger des keyloggers



Les anti-Keylogger sont des programmes destinés à protéger contre les keyloggers (enregistreurs de frappes claviers).
Les keyloggers sont des logiciels malveillants qui enregistrent les frappes claviers
Voici une présentation rapide et explique autour des anti-keyloggers.

Les Anti-Keyloggers

Les Anti-Keyloggers protègent de l’enregistrement des frappes claviers qui peuvent être récupérés par des cybercriminels.
Voici quelques anti-keyloggers gratuits.

KeyScrambler

KeyScrambler est un anti-keylogger gratuit de la société QFX Software.
Cet anti-keylogger agit comme un keylogger et intercepte les frappes claviers des applications afin de chiffrer le contenu.
D’après nos tests, KeyScrambler protège de l’enregistrement de frappe clavier sur les navigateurs internet.
Le chiffrement des claviers se fait au niveau kernel.
Télécharger KeyScrambler
KeyScrambler : un anti-keylogger gratuit
Ainsi, avec un keylogger de type userland, effectivement cela fonctionne, qui ne parvient pas à récupérer les frappes clavier.
KeyScrambler : un anti-keylogger gratuit
ou encore cet autre Trojan RAT, qui ne parvient pas à récupérer les frappes clavier du navigateur internet.
KeyScrambler : un anti-keylogger gratuit

Zemana AntiLogger

Zemana AntiLogger est un anti-keylogger gratuit qui protège de la récupération de frappes clavier et analyse l’ordinateur à la recherche de logiciels malveillants.
L’utilisation est très simple avec une gestion de la quarantaine.
D’après nos tests, Zemana AntiLogger réussi bien à protéger contre les keyloggers.
Télécharger Zemana AntiLogger
Zemana AntiLogger

SpyShelter Anti-Keylogger

SpyShelter Anti-Keylogger fonctionne lui par des détections de comportements.
Le but est donc de détecter les menaces informatiques et trojans qui tentent d’enregistrer les frappes claviers, effectuer des captures d’écran etc.
Télécharger SpyShelter Anti Keylogger
SpyShelter Anti-Keylogger pour se protéger des keylogger
Sur le Trojan suivant, cela fonctionne bien.
Toutes les actions (keylogger, surveiller le presse papier, activer la webcam) sont détectés.
SpyShelter Anti-Keylogger pour se protéger des keylogger

SpyShelter Anti-Keylogger pour se protéger des keylogger
SpyShelter Anti-Keylogger pour se protéger des keylogger
SpyShelter Anti-Keylogger va emétre des alertes sur la plupart de vos applications.
Ce sera à l’utilisateur de statuer sur celle-ci.
SpyShelter Anti-Keylogger pour se protéger des keylogger
Les programmes peuvent alors être ajoutées dans une liste blanche.

SpyShelter Anti-Keylogger pour se protéger des keylogger

Les anti-keylogger en vidéo

En démonstration, une vidéo qui montrent les anti-keylogger en action :

Conclusion autour des anti-keylogger

Faut-il nécessairement installer un anti-keylogger ?
Non… les keylogger sont très souvent des fonctions de cheval de troie, or si on suit la logique des éditeurs, il faudrait installer un antivirus, un pare-feu, un anti-ransomware, un anti-keylogger.
Bref, on en finit plus d’acheter des logiciels et pour les petites configurations, cumuler tous ces programmes peuvent conduire à de forts ralentissements.
Les keyloggers sont distribués comme des malwares classiques, ainsi, il faut simplement se protéger en amont et surtout avoir de bonnes habitudes pour ne pas infecter son ordinateur.
Connaître la manière dont sont distribués les malwares est donc la première chose à savoir.
Pour éviter les virus, il faut savoir comment les pirates s’y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués

REF.:

mercredi 15 novembre 2017

Trojan avancé : fonctionnement de cheval de troie plus complexe



Trojan avancé : fonctionnement de cheval de troie plus complexe


Un article sur les trojans avancés et sophistiqués.
En général, il s’agit de Trojan banker ou stealer, c’est à dire trojans spécialisés dans le vol de données contenus sur l’ordinateur.
Quand on parle de sophistication ce sont les méthodes de chargement et de fonctionnement du cheval de troie, le but est de se rendre le plus discret possible et contourner les antivirus.
On se rapproche des rootkits en terme de complexité.
L’article est donc plutôt technique et tente d’expliquer le fonctionnement d’un point de vue système.
Le but étant de bien comprendre les points de chargements et le fonctionnement général de ces trojans complexes.
Vous trouverez à la fin de cet article des vidéos illustratives de la théorie.

Introduction

Dans un premier temps, il faut connaître un minimum le fonctionnement des chevaux de troie, pour cela, rendez-vous sur la page : Comment fonctionnent les trojans
Il y a déjà quelques articles et vidéos concernant ce type de Trojans sophistiqués sur le site.
Afin de bien comprendre de ce qu’il est question, vous pouvez lire la page : Trojan RAT (Remote Access Tool).
Dans la capture d’écran ci-dessous de Process Explorer, on peut facilement « voir » les processus
malicieux avec l’habitude.
C’est la même chose, si vous effectuez une surveillance de Windows avec le gestionnaire de tâches.

Le point de chargement, une clé Run classique est aussi visible à partir de l’utilitaire msconfig ou l’onglet Démarrage du gestionnaire de tâches.
En clair donc, pour un utilisateur avancé, ces processus visibles et clés ne sont pas très discrètes et
peuvent attirer l’attention.
Un cheval de troie plus avancé, est plus discret et n’utilise pas de processus apparents.
Ces derniers sont souvent la forme de fichiers DLL et injectent des processus système Windows
Une DLL ou librairie, est un fichier avec l’extension .DLL, une exécutable (fichier .exe) pour charger des DLL en mémoire. Cela permet de partager des codes et bibliothèques entre processus sans avoir à
recoder à chaque fois ces parties et ainsi alléger l’utilisation mémoire. Plus d’informations, lire le premier paragraphe de la page : Réparer les fichiers systèmes de Windows.

Fonctionnement trojan sophistiqué

Comment se présentent ces trojans plus sophistiqués ?
Le cheval de troie est sous la forme d’un fichier DLL et non un binaire .exe qui peut se charger au
démarrage par une clé Run.
Le fichier DLL se « greffe » à un fichier système de Windows (explorer.exe par exemple) ce qui lui
permet de contrôler le processus et effectuer des actions sous nom.
Ainsi, si vous listez les processus dans le gestionnaire de tâches de Windows, rien n’est apparent, vous
avez vos processus systèmes habituels.
Au niveau du chargement du cheval de troie au démarrage de Windows, là aussi, c’est plus discret.
Ci-dessous un exemple avec le Trojan Sathurbot, le chargement se fait à partir d’une clé du registre Windows moins connue et qui permet de charger une DLL dans le processus explorer.exe.

Si on liste les programmes au démarrage de Windows, on ne voit pas cette DLL, puisque l’onglet
démarrage du gestionnaire de tâches se borne à lister les clés Run et les programmes qui se lancent à
partir de ces clés.

La DLL va se charger dans le processus explorer.exe, ce qui va permettre de contrôler ce dernier.
Il s’agit ici d’une injection de DLL.

En résume donc :

  • Le Trojan n’est pas visible dans les processus de Windows, du moins, il n’ajoute pas un 
  • nouveau processus qui pourrait attirer l’attention.
  • Le cheval de troie sophistiqué a de forte chance d’utiliser d’autres points de chargement de 
  • Windows (autorun) qui ne seront pas visibles depuis le gestionnaire de tâches.
Pour s’assurer qu’un cheval de troie de ce type ne soit pas actif et installé dans Windows, il faut
 inspecter plus profondément Windows.
L’utilisation d’outil comme Autoruns ou FRST est nécessaire pour trouver le point de restauration.
Comme vous pouvez le constater, ces trojans sont plus complexes à dénicher au sein du système, bien entendu, si la DLL est détectée par l’antivirus, une analyse du disque peut trouver l’intru.
Windows Defender ne détecte rien, pendant que Malwarebytes Anti-Malware (MBAM) détecte Trojan.Sathurbot

Les protections peuvent aussi détecter les connexions vers le serveur de contrôle du Trojan.
On notera ici que le processus qui initie la connexion est explorer.exe puisque c’est le processus contrôlé
 par le cheval de troie.

Les avantages

Outre le fait, qu’il est plus difficile de détecter manuellement en inspectant le système, du fait que, le
trojan se présente sous la forme d’une DLL camouflée dans un processus système.
L’avantage aussi de contrôler un processus système et de l’utiliser pour établir les connexions sortantes permettent aussi de tirer partie de règles de pare-feu trop laxistes.
Si les règles de pare-feu sont mal faites, trop larges ou étendues, la connexion pourra s’effectuer sans problème depuis le processus.
C’est une manière de contourner les firewall, là où avec un nouveau processus, ce dernier pourrait
émettre une alerte pour demander si ce nouveau processus peut se connecter à internet.

svchost.exe injecté et connexions sortantes vers internet

En vidéo

Voici quelques vidéos montrant des Trojans évolués.
En vidéo avec le Trojan Sathurbot :
En vidéo les injections de processus effectuées par le Trojan Bedep :
Enfin dans la vidéo suivante, comment détecter une injection de DLL non signée provenant du
Trojan Bedep :

Trojan FileLess

Et puis il existe des cheval de troie tout aussi complexe sans fichier « FileLess ».
Pour faire simple, ce sont des chevaux de troie sous la forme de scripts PowerShell qui se lancent au démarrage de Windows.
Ce script permet ensuite de charger une DLL en mémoire et s’injecter dans un processus système.
Il existe des dossiers qui décrivent ces menaces informatiques.
Se reporter au pages suivantes :

Liens autour des trojans

Résumer tout le monde des trojans et logiciels malveillants serait très compliqués.
Pour la partie fonctionnement des cheval de troie : Comment fonctionne les trojans ?
Il existe divers types et de familles plus ou moins évolués selon le but recherché par les pirates, voler des infos bancaires, mot de passe ou permettre le contrôle de l’ordinateur.
Vous trouverez une liste des familles de cheval de troie sur la page : Index des menaces et programmes malveillants/Malwares
Concernant les Trojans spécialisés dans le vols de données bancaires, vous pouvez lire la page :
 Les Trojans Banker
Les liens généraux sur les menaces informatiques :
REF.:

samedi 5 août 2017

Désinfection manuelle de Windows (Trojan, Adware etc)



Dans cet article, j’explique le principe des désinfections manuelles qui s’effectuent généralement sur les forums.
Cela peut servir aux geek de la famille à qui on ramène les Windows malades.
Le but est de bien comprendre sur quoi repose ces désinfections de virus et comment procéder.
Ceci est donc une illustration des désinfections faites à partir de l’utilitaire FRST.
Cette page est donc à destination des personnes à l’aide en informatique et ayant une connaissance minimale en informatique et Windows.

Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.

Principe

Avant d’entrer dans le vif du sujet, il faut comprendre sur quoi repose ces désinfections.
Tout d’abord, nous allons juste rappeler de quoi est composé un logiciel malveillant.
  • Une partie active, c’est le processus en mémoire actif qui effectue les actions, ce pourquoi, le logiciel malveillant a été conçue. Ce processus peut prendre la forme d’un .exe ou d’une DLL
  • L’utilisation d’un point de chargement de Windows, cela permet au virus informatique de se charger à chaque démarrage de Windows. Il existe beaucoup de point de chargement sur Windows.
Bien entendu, on a toujours des exceptions, comme par exemple, le remplacement de fichiers systèmes : Trojan Patched et remplacement de fichiers systèmes de Windows.
FRST est un programme qui effectue un analyse de Windows et génère des rapports.
Ces rapports contiennent des points de chargements de Windows, les processus en cours d’exécution, une partie des DLL chargées en mémoire, les derniers fichiers modifiés dans le système et bien d’autres données.
A partir, d’une analyse de ces informations, il est possible de trouver certains logiciels malveillants et de les éradiquer.
La suppression se fait à partir d’un script de correction que l’on fournit à FRST et qui indique les fichiers, clés et autres éléments à supprimer de Windows.
Pour les plus anciens des internautes, il s’agit du même principe que le fameux HijackThis qui est devenu trop limité sur le contenu de l’analyse système et plus maintenu.
Avec une bonne pratique, les avantages sont de pouvoir vérifier et supprimer les virus qui ne sont pas détectés par les programmes traditionnels : RogueKiller, ZHPCleaner, AdwCleaner, Malwarebytes-Anti Malware.
On se rapproche plutôt des outils proposés sur cette page : Comment vérifier si ordinateur a été hacké ou piraté ?
A travers l’analyse des processus en cours de chargement et des points de chargement de Windows.
L’inconvénient concerne ceux qui ne veulent pas avoir à réfléchir et passer des outils automatiques.
pjjoint est l’outil idéal, ce dernier permet d’analyser les rapports FRST, ainsi vous pouvez avoir déjà un aperçu à travers une base de données recensant les programmes légitimes.

Analyse rapport FRST

Quelques informations sur les rapports FRST et leur composition.
Les rapports FRST sont composés de trois rapports (si vous cochez bien les options comme indiqué dans le tutoriel FRST)
  • FRST.txt : contient les processus, clés RUN, informations navigateurs WEB, pilotes et derniers fichiers modifiés
  • Addition.txt : liste les programmes installés, les tâches planifiées
Les couleurs de pjjoint :
  • En rouge gras : connus pour être malveillant
  • En rouge : détection générique afin d’attirer l’attention, pas forcément malveillant mais peut l’être
  • En vert : légitime
  • En gris : pas de statut

FRST.txt

L’en-tête fournit les informations du rapport FRST.txt, l’utilisateur Windows et les versions de Windows.
puis la liste des processus en cours d’exécution durant le scan FRST.

Vient ensuite les clés Run et startup.
On peut aussi y trouver les clés IFEO.

puis la configuration des navigateurs WEB, listant les extensions installées.

puis les services Windows et pilotes.

les derniers fichiers modifiés ou créés, sur un mois.


Enfin le rapport FRST se termine par les hashs de fichiers systèmes afin de détecter d’éventuel patch.
FRST indique si les fichiers systèmes sont signés numériquement.
Si l’option BCD a été coché, le contenu du BCD est donné.

Addition.txt

Les rapports Addition.txt ne sont pas évalués par pjjoint.
Voici l’en-tête du rapport Addition.txt assez similaire à FRST.txt
puis on enchaîne sur les informations utilisateurs, ainsi que les antivirus installés.
Du moins, la liste retournée par Windows (qui peut-être fausse).
puis la liste des programmes installés dans Windows.

puis les raccourcis, souvent modifiés par des Browser Hijacker pour forcer des moteurs de recherche.
Les modules chargés dans explorer.exe
Puis les tâches planifiées de Windows.

Pour les raccourcis, vous pouvez générer un fichier Shortcut.txt qui liste tous les raccourcis et permet de récupérer les raccourcis Windows modifier afin de faire lancer un moteur de recherche en particulier. Exemple launchpage.org où on voit que Shortcut.txt en liste beaucoup plus :


puis d’autres infos dont un aperçu du fichier HOSTS de Windows qui peut-être modifiés (Hijack.HOSTS).
On trouve aussi les informations DNS.
et les entrées mconfig, si l’utilisateur a désactivé certains programmes au démarrage de Windows.

les règles du pare-feu de Windows

Quelques informations comme les points de restauration de Windows, puis les périphériques non installés (gestionnaires de périphériques) et certains contenu de l’observateur d’événements de Windows.

Enfin la configuration matérielle de l’ordinateur.

Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.

Désinfection virus

Aidez vous de pjjoint pour analyser les rapports FRST.
En cas de doute sur un fichier ou autres, vous pouvez :
  • une analyse VirusTotal de ce fichier,
  • une recherche Google incluant si possible le chemin complet avec des “, exemple : “C:\Windows\system32\csrss.exe”
  • vérifiez avec herdprotect, exemple sur Google : herdprotect c:\windows\system32\csrss.exe
Pjjoint aide à mettre de côté les fichiers légitimes. Avec l’habitude, vous verrez que c’est à peu près toujours les mêmes programmes qui reviennent.
Le but est de noter chaque ligne malveillante et liés à des cheval de troie, virus et autres afin de constituer une correction FRST.
C’est parti pour quelques exemples et subtilités.

Startup, clé Run et services Windows

Rien d’exception, il suffit de vérifier ces derniers.
En général, pjjoint les reconnaît.

Prêtez une attention au fichier non signé numériquement.


Clé IFEO

Les clés du registre Windows IFEO pour Image File Execution Options sont des clés, initialement prévus pour débugger permettant l’exécution d’un exécutable lorsqu’un exécutable en particulier se lance.
La clé se trouve dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options suivi du nom de l’exe.
Dans l’exemple ci-dessous, à chaque exécution de GoogleUpdate.exe (légitime), un exécutable avec des chiffres (malveillant) sera aussi lancé.

Si aucun exécutable n’est spécifié alors le fichier ne pourra se lancer.
Ci-dessous, le gestionnaire de tâches (taskmgr.exe) ne pourra être démarré.

Même chose ci-dessous pour prévenir de l’exécution de FRST, HijackThis etc :

Malwarebytes Anti-Malware peut détecter ces derniers en PUP.Optional.IFEO

Extension malveillante sur Chrome

Les extensions malveillantes (Adwares/PUPs)  sur Chrome et Firefox sont identifiées par des ID.
Il suffit alors d’effectuer une recherche Google afin de vérifier si celle-ci se trouve dans le magasin de Chrome et si elle est “connue”.

Drivers malveillants

Exemple de pilotes malveillants avec ucguard / UCBrowser et Netutils


Trojan RAT

Quelques exemples de rapports FRST avec des Trojans RAT.
La plupart du temps, ces derniers se chargent par des clés RUN ou Startup.
Parfois des tâches planifiées.
La tâche planifiée et les dossiers du Trojan RAT qui correspondent :



Un Trojan RAT qui se chargent par des clés RUN et Startup :

De multiples dossiers dans %APPDATA%, l’attribut H montre que ces derniers sont attributs cachés (hidden).

Malware Filess

Ces derniers se chargent par des clés Run qui contiennent un script dans la clé.
Plus d’infos : Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit et les Les virus ou trojan Powershell
Clé Run avec mshta :

Signature fichiers systèmes

Ci-dessous un exemple de fichier système patché (modifié afin d’effectuer des opérations malveillantes).
Le fichier dnsapi.dll est modifé et donc, il n’est plus signé numériquement.
FRST indique le MD5 du fichier, vous pouvez éventuellement effectuer une recherche sur Google.

Correction FRST

Une fois, les lignes malveillantes repérées et notées.
Vous pouvez effectuer une correction FRST afin de supprimer les logiciels malveillants de Windows.
Pour cela, il faut créer un fichier fixlist.txt qui doit impérativement se trouver dans le même dossier que Windows.

  • CreateRestorePoint: demande la création d’un point de restauration système.
  • CloseProcesses: tue tous les processus non essentiels de Windows
  • cmd: permet de lancer une commande cmd, dans l’exemple on vide le catalogue Winsock.
  • reg: permet de passer une commande reg, même syntaxe que celle de l’invite de commandes de Windows.
    • reg add, vous pouvez créer des clés en indiquant la valeur etc
    • reg delete, vous pouvez supprimer des clés du registre Windows
  • HOSTS: vide le fichier HOSTS de Windows.
  • EmptyTemp : vide les fichiers temporaires
  • RemoveProxy : supprimer tous les proxys de Windows
  • Reboot: fait redémarrer l’ordinateur une fois la correction effectuée.
Vous pouvez donc indiquer les clés Run, Services et autres directement, ainsi que les lignes de fichiers modifiés.
Vous pouvez aussi donner le chemin complet d’un fichier ou dossier afin de faire supprimer ce dernier.
Pour une syntaxe complète des scripts FRST, rendez-vous sur la page:  FRST Tutorial – How to use Farbar Recovery Scan Tool
Relancez alors FRST puis cliquez sur le bouton Correction (Fix en anglais) pour lancer l’opération.

En vidéo

Exemple de suppression de cheval de troie et désinfection Windows en vidéo :

Liens autour de la suppression de virus

Sans oublier, le menu du site : Virus & Sécurité.

REF.: