Aller au contenu


Photo

O67 - File Association Shell Spawning (FASS)


  • Veuillez vous connecter pour répondre
1 réponse à ce sujet

#1 Nicolas Coolman

Nicolas Coolman

    Responsable FAQ

  • Responsable FAQ
  • 9 182 messages

Posté 08 juin 2013 - 10:40

Origine
- Le module O67 (FASS) a été crée le 22 mars 2010 par Nicolas Coolman.


Caractéristiques
- Lié au module FASS File Association Shell Spawing).Il permet d'énumerer les extensions de fichiers succeptibles d'être détournés par des malwares. Ce module s'interesse particulièrement aux extensions de fichier capables de démarrer un processus comme par exemple les extensions ".com" ou ".exe". Certains malwares détournent les extensions de fichier vers leur propre processus malware. C'est le cas notamment de certains rogues qui remplacent la valeur par défaut 'exefile' de la clé de BDR au profit de leur propre valeur "{Random}file". Ensuite une clé du même nom est crée afin de pointer vers l'exécution d'un processus malware par le biais d'un "ShellOpenCommand". Ainsi l'utilisateur est systèmatiquement rédirigé à chaque lancement d'une application.

- La recherche est effectuée sur certaines clés d'extension des clés suivantes :
[HKLM\SOFTWARE\Classes]
[HKEY_USERS\.DEFAULT\Software\Classes]
[HKEY_USERS\S-1-5-XX\Software\Classes]


- Ajout du propriétaire et de la désignation du fichier. v1.25.13



Aperçu ZHPDiag

---\\ File Association Shell Spawning (FASS) (O67)
O67 - Shell Spawning: <.exe> <exefile>[HKLM\..\open\Command] "%1" %* (.not file.)


---\\ File Association Shell Spawning (FASS) (O67) v1.25.13
O67 - Shell Spawning: <.html> <htmlfile>[HKLM\..\open\Command] (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\IEXPLORE.exe



Equivalence OTL
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*



Equivalence RSIT
.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*



Action ZHPFix
O67 - Shell Spawning: < {KeyExt} > < [KeyExtFile} >[HKLM\..\open\Command] (...) -- {FileName}

{Key} : Clé "Classes" de la Base de Registre comme par exemple [HKLM\SOFTWARE\Classes]
{KeyExt} : Clé d'extension de la clé {Key} comme par exemple [HKLM\SOFTWARE\Classes\.exe]
{KeyExtFile} : Clé d'extension dile de la clé {Key} comme par exemple [HKLM\SOFTWARE\Classes\exefile]
{FileName} : Donnée de la valeur par défaut de la clé 'Command', par exemple [HKLM\SOFTWARE\Classes\exefile\Shell\Open\Command]

1) L'outil restaure la donnée par défaut de la clé {KeyExtFile}.
2) L'outil supprime le fichier {FileName}.



Exemple d'infection
O67 - Shell Spawning: <.exe> <secfile>[HKCU\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\LAUREN~1\LOCALS~1\Temp\av.exe => Infection Rogue (Trojan.Sinkin)
O67 - Shell Spawning: <.exe> <secfile>[HKU\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Windows\TEMP\AUTMGR32.exe => Infection Diverse (Trojan.Dropper)



Rapport ZHPFix
O67 - Shell Spawning: <.exe> <exefile>[HKLM\..\open\Command] "%1" %* (.not file.)

Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010

========== Elément(s) de donnée du Registre ==========
O67 - Shell Spawning: <.exe> <exefile>[HKLM\..\open\Command] "%1" %* (.not file.) => Donnée supprimée avec succès

========== Récapitulatif ==========
1 : Elément(s) de donnée du Registre



Liens :
Malicius Software Information

Modifié par Nicolas Coolman, 09 juin 2013 - 09:48 .

  • 0

PUBLICITÉ

    Annonces Google

#2 Nicolas Coolman

Nicolas Coolman

    Responsable FAQ

  • Responsable FAQ
  • 9 182 messages

Posté 24 septembre 2013 - 12:52

 *** Pour incrémentation du compteur de vue ***


  • 0









Sujets similaires :     x