Aller au contenu


Photo

ZHPDiag : Un outil de diagnostic


  • Ce sujet est fermé Ce sujet est fermé
4 réponses à ce sujet

#1 Nicolas Coolman

Nicolas Coolman

    Responsable FAQ

  • Responsable FAQ
  • 9 180 messages

Posté 22 juillet 2008 - 09:44

Image IPB ZHPDiag : Outil de diagnostic Image IPB

http://www.premiumor...ss/zhpdiag.html

LA CREATION DE ZHPDiag
A partir de la version 2.30, Zeb Help Process se dote de son propre outil de dignostic avec ZHPDiag. Pourquoi un tel outil alors même que d'autres assurent une fonction quasi analogue, la raison se résume en un seul mot l'autonomie. En effet, jusqu'aux précédentes version, ZHP se limitait exclusivement à analyser des rapports en provenance d'autres outils de diagnostic, mais qu'adviendrait-il si tous ces outils venaient à disparaître ?, eh bien la réponse est simple, ZHP serait condamné à disparaître faute de matière première. C'est donc avant tout dans un souci de pérennité que j'ai créé cet outil. J'espère qu'il vous apportera les éléments nécessaires, voire indispensables, à la traque d'éléments nuisibles encombrant votre système d'exploitation.

Le lancement de l'outil se fait en cliquant sur le bouton outils.
Image IPB

L'affichage du rapport se fait dans la zone rapport (Partie supérieure de l'écran) de façon à ce que ZHP puisse l'analyser dans la zone Résultat. Le rapport de ZHPDiag se présente en trois parties, l'en-tête, le corps et les compléments de recherche.


1 - L'EN-TETE DU RAPPORT.
L'en-tête du rapport comporte la version de l'outil, la date d'enregistrement du scan, la plateforme système et la version des navigateurs Internet explorer, Mozilla Firefox et Opera.
Rapport de ZHPDiag v1.0 par Nicolas Coolman	 
Enregistré le 22/07/2008 15:28:43
Platform : Microsoft Windows XP (5.1.2600) Service Pack 2 
MSIE: Internet Explorer v6.0.2900.2180 
OPIE: Opera 9.51 
MFIE: Mozilla Firefox (2.0.0.11)

2 - LE CORPS DU RAPPORT.

Processus lancés
Ce module recense l'ensemble des processus qui sont lancés au démarrage du système. Il proviennent d'une part de données situées dans les clés Run,RunOnce ou RunService de la Base De Registres et d'autre part de données provenant du demarrage de certains services.
---\\ Processus lancés
C:\WINDOWS\System32\alg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

Analyse des lignes F0, F1, F2, F3 - IniFiles, Autoloading programs
- Modification d'une valeur System.ini (F2)
- Modification d'une valeur Win.ini (F3)

Analyse des lignes M1, du navigateur Mozilla Firefox

M1 - Pages de recherche de Mozilla Firefox
Lié au module SPR (Search Page Redirection). De nombreuses extensions sont proposées pour le navigateur Firefox. Certaines d'entre elles, non désirées, peuvent provoquer une redirection de la page de recherche. Afin de pister une éventuelle redirection, l'outil énumère l'ensemble des dossiers comportant une redirection. Ensuite l'analyse de ZHP pourra déterminer la légitimite ou la nocivité de l'adresse spécifiée.
---\\ Pages de recherche de Mozilla Firefox (M1)
M1 - SPR:Search Page Redirection - C:\Program Files\Mozilla FireFox\extensions\talkback@mozilla.org

Analyse des lignes P1, du navigateur Opera

P1 - Plugin de navigateur Opera
Lié au module OPN (Opera Plugin Navigator). Il permet de lister l'ensemble des plugins installés pour le navigateur Opera. Certains plugins peuvent être des programmes malwares. L'analyse de ZHP permettra de les identifier.
---\\ Plugin de navigateur Opera (P1)
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\npdsplay.dll
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\NPSWF32.dll
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\NPSWF32_FlashUtil.exe
P1 - OPN:Opera Plugin Navigator - C:\Program Files\Opera\Program\Plugins\npwmsdrm.dll

Analyse des lignes R0, R1, R3 - Internet Explorer Start/Search pages URLs

R0 - Pages de démarrage d'Internet Explorer
Ce module recherche les paramètres de la page de démarrage par défaut du navigateur Microsoft Internet Explorer. Le piratage de la page de démarrage permet notamment l'affichage de popups indésirables

R1 - Pages de recherche d'Internet Explorer
Ce module recherche les paramètres de la page de recherche par défaut du navigateur Microsoft Internet Explorer

R3 Internet Explorer URLSearchHook
Ce module recherche les paramètres URLSearchHook du navigateur Microsoft Internet Explorer

Analyse des autres lignes (Others)

O1 - Redirection du fichier Hosts
Ce module recherche les détournements du fichier hosts qui contient les mappages de noms d'hôtes en adresses IP.

O2 - Browser Helper Objects de navigateur
Ce module recherche l'ensemble des Browser Helper Objects (BHO) installés. Un BHO est une application qui ajoute certaines fonctionnalités au navigateur Web.

O3 - Internet Explorer Toolbars
Ce module liste l'ensemble des barres d'outils (Toolbars) du navigateur Microsoft Internet Explorer.

O4 - Applications démarrées automatiquement par le registre
Ce module énumère l'ensemble des applications lancées au démarrage du système. Le traitement se fait à partir des clés de Base De Registres Run, RunOnce et RunServices.

O5 - Invisibilité de l'icône d'options IE dans le panneau de Configuration
Ce module affiche les paramètres contenus dans le fichier control.ini et correspondant au panneau de contrôle d'Internet Explorer.

O6 - Restriction de l'accès aux options IE par l'Administrateur
Ce module permet de rechercher dans la Base De Registres s'il y a restriction sur l'accès aux options d'Internet Explorer. A côté de la restriction faite par l'Administrateur, certains logiciels comme Spybot S&D peuvent provoquer la création de cette ligne lorsque l'option Verrouiller la page de démarrage est activée.

O7 - Restriction de l'accès à Regedit par l'Administrateur
Ce module permet de rechercher la valeur de clé de registre DisableRegedit. Selon la donnée de cette valeur ce clé, l'accès à la Base De Registres peut être totalement verrouillé.

O8 - Lignes supplémentaires dans le menu contextuel d'Internet Explorer
Ce module énumère les lignes supplémentaires dans le menu contextuel d'Internet Explorer. Cette action ajoute des éléments au menu contextuel lorsque l'on fait un clic droit sur une page Web.

O9 - Boutons situés sur la barre d'outils principale d'Internet Explorer
Ce module liste les éléments ajoutés dans la barre d'outils d'Internet Explorer ou dans le menu Outils d'IE

O10 - Piratages de Winsock LSP (Layered Service Provider)
Ce module est en cours d'étude et n'est pas encore disponible.

O11 - Onglet supplémentaire dans les options avancées d'Internet Explorer
Ce module traite des Onglets supplémentaires dans les options avancées d'Internet Explorer. Le traitement se fait par lecture de clés de Registre.

O12 - Internet Explorer Plugins
Ce module énumère les programmes d'extension (plugins) d'Internet Explorer. Ces plugins sont lancés au démarrage du navigateur.

O13 - Piratage des prefixes d'URL d'Internet Explorer
Ce module recherche la valeur de la clé de Registre DefaultPrefix. Toutes les URL sont par défaut préfixées avec http://. Des pirates comme CoolWebSearch sont connus pour modifer ce préfixe.

O14 - Paramètres par défaut des options Internet Explorer
Ce module recherche les paramètres du fichier ereset.inf qui contient des options de Microsoft Internet Explorer.
Les lignes légitimes suivantes ne sont pas affichées :
O14 - IERESET.INF: START_PAGE_URL=START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
O14 - IERESET.INF: SEARCH_PAGE_URL=SEARCH_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
O14 - IERESET.INF: SAFESITE_VALUE=SAFESITE_VALUE="http://home.microsoft.com/intl/fr/"

O15 - Site indésirable dans la Zone de confiance d'Internet Explorer
Ce module recherche les sites indésirables placés dans la Zone de confiance d'Internet Explorer. Souvent AOL et CoolWebSearch s'insèrent silencieusement dans cette zone.

O16 - Objets ActiveX (Downloaded Program Files)
Ce module permet d'énumerer les objets ActiveX.
Les lignes légitimes issues de Java Runtime Environment nes sont pas affichées.

O17 - Piratage de domaine (Lop.com)
Ce module liste les modifications des serveurs DNS qui peuvent permettre une redirection vers un site malveillant.

O18 - Protocole additionnel et piratage de protocole
Ce module recense les modifications des protocoles par défaut pour pister les connexions.

O19 - Piratage de feuille de style Utilisateur
Ce module permet de rechercher un éventuel piratage de la feuille de style de l'utilisateur. Le détournement d'une feuille de style peut être utilisé pour l'affichage de popups.

O20 - Valeur de sous-clés Winlogon Notify
Ce module se charge d'énumérer les fichiers chargés via les sous-clés Winlogon Notify. Ces fichiers peuvent provenir d'infection Vundo.

O20 - Valeur de Registre AppInit_DLLs
Ce module se charge d'énumérer les fichiers chargés via la valeur de Registre AppInit_DLLs.

O21 - Clé de Registre autorun ShellServiceObjectDelayLoad
Lié au module SSODL (Shell Service Object Delay Load). Il permet de lister les fichiers chargés via la clé de Registre ShellServiceObjectDelayLoad.

O22 - Clé de Registre autorun SharedTaskScheduler
Ce module recense les éléments de la clé de Registre SharedTaskScheduler. Ces éléments sont lancés au démarrage du système et sont souvent le résultat d'une infection SmitFraud.
Les lignes suivantes légitimes de Windows ne sont pas affichées :
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {...}
  O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {...}

O23 - Services NT non Microsoft et non désactivés
Ce permet énumère l'ensemble des services lancés au démarrage du système. Les services génériques Microsoft et les services désactivés sont volontairement exclus de cette énumération.

024 - Enumération des composants Active Desktop
Ce module recense tous les composants Active Desktop. Ces ajouts de composants se rencontrent par exemple lors d'infections de type SmitFraud, mais pas seulement.
La ligne légitime par défaut Ma page d'accueil n'est pas affichée.

Aperçu dans le rapport
---\\ Enumération des composants Active Desktop (O24)
O24 - Desktop Component 0: Ma page d'accueil - file:About:Home 
O24 - Desktop Component 1: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

3 - LES COMPLEMENTS DE RECHERCHE.
A côté du rapport de base, l'outil dispose maintenant d'un module permettant la sélection d'un ou plusieurs compléments de rapport. Il démarre à partir des lignes de rapport O39
Image IPB


O39 - Tâches planifiées en automatique
Lié au module APT (Automatic Planified Task). De nombreux logiciels ont pour fonction la surveillance ou l'update du système. Pour chacun d'eux, une tâche planifiée peut être créée et se déclencher en fonction d'une périodicité établie. Ce procédé de tâche planifiée pouvant être détourné par certains malwares, l'outil permet l'affichage de l'ensemble de ces événements. Ensuite une analyse de ZHP pourra déterminer la légitimité ou la nocivité d'une telle tâche.
---\\ Tâches planifiées en automatique (O39)
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\desktop.ini
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\Norton AntiVirus - Analyser mon ordinateur.job
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\SA.DAT

O40 - Composants installés (ActiveSetup Installed Components)
Lié au module ASIC (ActiveSetup Installed Components). Il permet de lister tous les composants Active Setup énumérés dans la Base De Registres.
---\\ Composants installés (ActiveSetup Installed Components) (040)
O40 - ASIC: Lecteur Windows Media - {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
O40 - ASIC: Internet Explorer - {26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE
O40 - ASIC: Personnalisation du navigateur - {60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

O41 - Pilotes lancés au démarrage
Ce module liste tous les pilotes (drivers) de périphériques qui sont lancés au démarrage du système.
---\\ Pilotes lancés au démarrage (O41)
O41 - Driver: Suppresseur d'écho acoustique (Noyau Microsoft) (aec) - C:\WINDOWS\system32\drivers\aec.sys	 
O41 - Driver: Environnement de prise en charge de réseau AFD (AFD) - C:\WINDOWS\System32\drivers\afd.sys	 
O41 - Driver: Pilote de processeur AMD K7 (AmdK7) - C:\WINDOWS\System32\DRIVERS\amdk7.sys	 
O41 - Driver: Protocole client ARP 1394 (Arp1394) - C:\WINDOWS\System32\DRIVERS\arp1394.sys


O42 - Logiciels installés
Ce module liste tous les logiciels installés en excluant les mises à jour et correctifs Microsoft Windows.
---\\ Logiciels installés (O42)
O42 - Logiciel: Adobe Flash Player Plugin	 
O42 - Logiciel: Adobe Photoshop 7.0 
O42 - Logiciel: Avira AntiVir Personal - Free Antivirus	 
O42 - Logiciel: CCleaner (remove only)

O43 - Contenu des dossiers Fichiers Communs
*** Disponible seulement avec Zeb Help Process ***
Lié au module CFD (Common File Directory). Il permet de lister tous les sous-dossiers Fichiers Communs et Common Files du dossier %ProgramFiles%
---\\ Contenu des dossiers Fichiers Communs (O43)
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\ACD Systems
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Adobe
O43 - CFD:Common File Directory - C:\Program Files\Fichiers Communs\Borland Shared
O43 - CFD:Common File Directory - C:\Program Files\Common Files\Microsoft Shared

O44 - Derniers fichiers modifiés ou créés sous System32
*** Disponible seulement avec Zeb Help Process ***
Lié au module LFC (Last File Created). Il permet de lister tous les fichiers créés ou modifiés dans les dossiers System32 et System32/Drivers. La période de recherche est limitée aux 3 derniers mois.
---\\ Derniers fichiers modifiés ou créés sous System32 (O44)
O44 - LFC:Last File Created - C:\WINDOWS\System32\dnsapi.dll -->20/06/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\java.exe -->10/06/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\afd.sys -->20/06/2008
O44 - LFC:Last File Created - C:\WINDOWS\System32\drivers\avipbb.sys -->19/07/2008

O45 - Derniers fichiers créés dans Windows Prefetcher
*** Disponible seulement avec Zeb Help Process ***
Lié au module LFP (Last File Create Prefetch). Il permet de lister tous les fichiers créés ou modifiés dans le dossier Prefetcher. La période de recherche est limitée aux 3 derniers mois.
---\\ Derniers fichiers créés par Windows Prefetcher (O45)
045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ACDSEE8.EXE-2C7AF977.pf -->24/07/2008
045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ADDALIAS.EXE-184750BD.pf -->19/07/2008
045 - LFCP:Last File Created Prefetch - C:\WINDOWS\Prefetch\ADDALIAS.EXE-2B12A6B4.pf -->23/07/2008

O46 - ShellExecuteHooks, Opérations et fonctions au démarrage de Windows Explorer.
Lié au module SEH (Shell Execute Hooks). Il permet de recenser toutes les opérations et fonctions au démarrage de Windows Explorer.

Aperçu dans le rapport en version Helper :
---\\ ShellExecuteHooks, Opérations et fonctions au démarrage de Windows Explorer (O46)
O46 - SEH:ShellExecuteHooks - URL Exec Hook - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - shell32.dll  => Microsoft Windows Shell Ortak


O47 - Export de clé d'application autorisée
Lié au module AAKE (Authorized Application Key Export). Il permet de lister toutes les valeurs et données pour les applications autorisées pour les deux clés suivantes :
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]


Aperçu dans le rapport
---\\ Export de clé d'application autorisée (O47)
047 - AAKE:Key Export - "C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorateur Windows"

Equivalence dans les rapports DiagHelp, SDFix
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorateur Windows"

O48 - Déni du service Local Security Authority (LSA)
Lié au module LSA. Pour son fonctionnement, Microsoft Windows NT utilise un service d'autorité Locale de sécurité ou LSA (Local Security Authority). Une requête au service LSA peut être utilisée afin d'exploiter une vulnérabilité de sécurité du système. Une utilisation abusive de cette vulnérabilité permet l'exécution d'un programme en provoquant un déni de service. Ainsi, le service LSA cesse de répondre et demande le démarrage de l'ordinateur. Au redémarrage la ressource malware installée sera automatiquement chargée afin de poursuivre son action.

- Les attaquent portent sur la clé de Base de Registres [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA],
avec remplacement de la donnée des valeurs Notification Packages et Authentication Packages.

- La donnée par défaut de la valeur Authentication Packages est msv1_0 et fait référence à la ressource système %System32%\msv1_0.dll (Microsoft Authentication Package v1.0)

- La donnée par défaut de la valeur Notification Packages est scecli et fait référence à la ressource système %System32%\scecli.dll (Microsoft Moteur du client de l'Éditeur de configuration)

- L'infection Vundo utilise cette vulnérabilité de sécurité et installe sa propre ressource. MalwareByte's AntiMalware (MBAM) recense ce type d'attaque de service LSA.

Appercu dans le rapport en mode Helper (ces deux lignes sont bien sûr traitées légitimes/génériques lors de l'analyse générale de ZHP)
---\\ Déni du service Local Security Authority (LSA) (O48)
O48 - LSA:Local Security Authority Authentication Packages - C:\WINDOWS\System32\msv1_0.dll	   => Microsoft Authentication Package v1.0  
O48 - LSA:Local Security Authority Notification Packages - C:\WINDOWS\System32\scecli.dll	   => Microsoft Moteur du client de l'Éditeur de configuration

O70 - Recherche particulière de dossier, fichier ou clé de BDR
*** Disponible seulement avec Zeb Help Process ***
Ce module complémentaire permet une recherche particulière de dossier, de fichier ou de clé de Base De Registres (BDR). La recherche se fait sur les unités de disque spécifiées et comprend les dossiers/fichiers cachés. La liste des fichiers, dossiers ou clé/valeur de BDR se saisit dans la zone rapport avec obligatoirement la chaine ZHPDiag comme première ligne et en respectant le format ci-dessous :
ZHPDiag
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32
C:\WINDOWS\System32\upml
d:\temp\scr2.jpg
d:\temp\scr3.jpg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTim
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
C:\WINDOWS\System32\upm
Une fois cette opération réalisée, un clic sur le bouton Outils lancera l'exécution de ZHPDiag et intégrera ces lignes au début du rapport avec une indication de présence ou d'absence. Le lancement de l'analyse de ZHP permettra une coloration en rouge des lignes présentes

---\\ Recherche particulière de dossier, fichier ou clé de BDR (O70)
O70 - User: C:\WINDOWS\System32\alg.exe => Fichier PRESENT
O70 - User: C:\WINDOWS\System32 => Dossier PRESENT
O70 - User: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]:SpybotSD TeaTimer => Valeur de clé PRESENTE

O70 - User: C:\WINDOWS\System32\upml => Dossier/Fichier ABSENT


O71 - ZHPSearch, outil de recherche d'infection de Base de Registres
*** Disponible seulement avec Zeb Help Process ***
Lié au module BDRI (Base De Registres Infections). ZHPSearch est un module complémentaire de ZHPDiag. Il permet la recherche d'infections BT, Combo, MSN , SD, SmitFraud directement dans la Base De Registres Windows. Ce module en version bêta a été testé sur plus de 17000 clés/valeurs de BDR.
Image IPB

Aperçu dans le rapport en version Helper
O71 - BDRI:[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:antispy - 
C:\Program Files\IEAntivirus\antivirus.exe  => Infection SmitFraud (IEAntiVirus.Rog)


Description complète de ZHPDiag
http://www.premiumor...ss/zhpdiag.html

Modifié par Nicolas Coolman, 29 janvier 2009 - 11:29 .

  • 0

PUBLICITÉ

    Annonces Google

#2 Nicolas Coolman

Nicolas Coolman

    Responsable FAQ

  • Responsable FAQ
  • 9 180 messages

Posté 06 août 2008 - 10:48

Hello,

Ajout d'une nouvelle rubrique de recherche.

O47 - Export de clé d'application autorisée
Lié au module AAKE (Authorized Application Key Export). Il permet de lister toutes les valeurs et données pour les applications autorisée pour les deux clés suivantes :
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]


Apperçu dans le rapport
---\\ Export de clé d'application autorisée (O47)
O47 - AAKE:Key Export - "C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorateur Windows"

Equivalence dans les rapports DiagHelp, SDFix
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorateur Windows"

Modifié par Nicolas Coolman, 06 août 2008 - 12:48 .

  • 0

#3 Nicolas Coolman

Nicolas Coolman

    Responsable FAQ

  • Responsable FAQ
  • 9 180 messages

Posté 08 août 2008 - 02:16

Hello,

Ajout du module O24 à ZHPDiag

O24 - Enumération des composants Active Desktop
Ce module recense tous les composants Active Desktop. Ces ajouts de composants se rencontrent par exemple lors d'infections de type smitFraud, mais pas seulement.

Apperçu dans le rapport
---\\ Enumération des composants Active Desktop (O24)
O24 - Desktop Component 0: Ma page d'accueil - file:About:Home 
O24 - Desktop Component 1: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

Modifié par Nicolas Coolman, 10 août 2008 - 09:02 .

  • 0

#4 Nicolas Coolman

Nicolas Coolman

    Responsable FAQ

  • Responsable FAQ
  • 9 180 messages

Posté 10 août 2008 - 02:07

Hello,

ZHPDiag : les modules suivants :

O3 - Internet Explorer Toolbars
O5 - Invisibilité de l'icône d''options IE dans le panneau de Configuration
O22 - Clé de Registre autorun SharedTaskScheduler

sont maintenant accéssibles sous la plateforme Vista.

Bonne journée...

Modifié par Nicolas Coolman, 10 août 2008 - 09:02 .

  • 0

#5 Nicolas Coolman

Nicolas Coolman

    Responsable FAQ

  • Responsable FAQ
  • 9 180 messages

Posté 15 août 2008 - 03:08

Hello,

Ajout d'un nouveau complément au rapport ZHPDiag.

O48 - Déni du service Local Security Authority (LSA)
Lié au module LSA. Pour son fonctionnement, Microsoft Windows NT utilise un service d'autorité Locale de sécurité ou LSA (Local Security Authority). Une requête au service LSA peut être utilisée afin d'exploiter une vulnérabilité de sécurité du système. Une utilisation abusive de cette vulnérabilité permet l'exécution d'un programme en provoquant un déni de service. Ainsi, le service LSA cesse de répondre et demande le démarrage de l'ordinateur. Au redémarrage la ressource malware installée sera automatiquement chargée afin de poursuivre son action.

- Les attaquent portent sur la clé de Base de Registres [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA],
avec remplacement de la donnée des valeurs Notification Packages et Authentication Packages.

- La donnée par défaut de la valeur Authentication Packages est msv1_0 et fait référence à la ressource système %System32%\msv1_0.dll (Microsoft Authentication Package v1.0)

- La donnée par défaut de la valeur Notification Packages est scecli et fait référence à la ressource système %System32%\scecli.dll (Microsoft Moteur du client de l'Éditeur de configuration)

- L'infection Vundo utilise cette vulnérabilité de sécurité et installe sa propre ressource. MalwareByte's AntiMalware (MBAM) recense ce type d'attaque de service LSA.

Appercu dans le rapport en mode Helper (ces deux lignes sont bien sûr traitées légitimes/génériques lors de l'analyse générale de ZHP)
---\\ Déni du service Local Security Authority (LSA) (O48)
O48 - LSA:Local Security Authority Authentication Packages - C:\WINDOWS\System32\msv1_0.dll	   => Microsoft Authentication Package v1.0  
O48 - LSA:Local Security Authority Notification Packages - C:\WINDOWS\System32\scecli.dll	   => Microsoft Moteur du client de l'Éditeur de configuration

  • 0









Sujets similaires :     x