Aller au contenu

Wullfk Blog

  • entries
    192
  • comments
    123
  • views
    834 054

RunPE Detector - Pour détecter et éliminer certains processus suspects


blog-0827160001460029170.pngBonjour,

 

RunPE Detector de Phrozen Software

 

Programme de sécurité, qui ne nécessite pas d'installation, spécialement conçu pour détecter et éliminer certains processus suspects. Phrozen Software a créé une nouvelle façon de détecter et de supprimer un logiciel de prise de contrôle à distance (RAT) non légitime.

 

sshot-1.png

Fenêtre principale de l'application

 

sshot-2.png

Résultat Système propre

 

sshot-3.png

Menace détectée, scan des fichiers système

 

sshot-4.png

Menace détectée

 

Description

RunPE Detector est un programme de sécurité, spécialement conçu pour détecter et vaincre certains processus suspects en utilisant une méthode générique. Nous à Phrozen Software faisons les choses différemment, de façon plus créative. Donc, quand nous nous sommes fixé la tâche de créer une nouvelle façon de détecter, désactiver et supprimer les RAT, nous ne voulions pas prendre le même chemin que toutes les autres sociétés anti-virus ont pris avant nous. Phrozen Software a étudié le comportement des RATS et a découvert que les pirates utilisent presque toujours une technique appelée RunPE. Cette technique engendre un processus légitime - souvent le navigateur par défaut ou un processus système Microsoft - et le remplacer par un code de programme malveillant directement dans la mémoire. Votre ordinateur est ainsi trompé et traite le code malveillant comme un processus légitime. L'utilisateur et son programme anti-virus n'ont aucune idée que leur navigateur par défaut est effectivement transformé en virus.

 

Comment ça marche?

Fondamentalement, le RunPE est une méthode très simple, mais en même temps très efficace. Oui, la plupart des anti-virus commerciaux avec analyse heuristique détectent cette astuce, mais tout le monde n'utilise pas une bonne solution anti-virus payante. Quand vous comprenez vraiment la méthode d'injection RunPE, vous pouvez facilement imaginer une façon de se débarrasser de la plupart des versions possibles en utilisant un scan d'en-têtes de mémoire PE de chaque processus et en comparant les en-têtes des mémoires PE au processus dans le Chemin de l'image de la version d'en-têtes PE original. Étant donné que l'en-têtes du Malware PE qui a détourné un processus légitime est très différente du chemin du processus légitime d'en-têtes de l'image PE, nous pouvons alors détecter la présence d'un processus détourné.

 

Est-il efficace?

Oui. Après avoir testé notre programme contre plusieurs types les plus utilisés de logiciels malveillants, le taux de détection est bon. (Technique contre RunPE seulement) Comme bon nombre de RAT (Outils d'administration à distance), les chevaux de Troie, backdoors crypters et Packers utilisent RunPE pour cacher leurs activités suspectes, en utilisant notre outil régulièrement c'est une première étape pour vous assurer que votre système est propre contre la plus part des types de logiciels malveillants les plus destructeurs.

 

Peut-il supprimer les logiciels malveillants?

Oui, il peut, mais nous ne pouvons pas obtenir un bon taux de réussite comme pour les processus de détection. Il est facile de détecter un processus détourné par la méthode d'injection RunPE, mais il est beaucoup plus difficile de détecter ce type de malware chargé de l'attaque. Pour détecter la présence du malware sur le disque que nous scannons pour tous les fichiers d'application dans le système de fichiers (.EXE, .COM, .BAT, .scr, .pif), puis comparer leurs entêtes PE au processus de fonctionnement malveillant. Si un processus en cours d'exécution malveillante d'en-têtes PE est similaire au fichier scanné en cours, alors nous pouvons supposer que nous avons détecté le fichier d'origine de l'infection. Comme la plupart du temps le fichier de processus malveillant injecté sera situé à l'intérieur d'un chargeur (ou fichier stub) utilisé pour exécuter le code malveillant dans la mémoire, la détection RunPE hôte échoue. Pour fonctionner, le chargeur du malware doit se charger dans la mémoire en utilisant RunPE et non dans un package ou compressé.

 

Est-ce qu'il supporte le scan des processus 64bit?

Supporte les systèmes 64bit, mais pas encore le scan des processus 64bit. Nous prévoyons de le supporter, dans un avenir proche. Notez que de nos jours la plus part des malwares sont encore compilé en architecture 32bit, parce que la plupart des hackers se sentent plus à l'aise pour coder et il y a encore un taux d'infection plus élevé. De plus les machines 64bit fonctionnent aussi en code 32bit, il n'y a pas de raisons imminentes pour que les développeurs de logiciels malveillants code à la fois en 64bit et en 32bit.

 

Traduction partiel de la source : Phrozen Software RunPE Detector

 

Téléchargement : RunPE Detector

 

Testé sur VM Windows 7 Pro 32Bits

 

Résultat analyse VirusTotal:

SHA256: 9898a34c63d3e268c42f8719d266b845a44cf85ab3441101d851973033506795

Nom du fichier : runpedetector1-0-3.zip

Ratio de détection : 1 / 56

Date d'analyse : 2016-03-22 22:26:01 UTC (il y a 2 semaines, 1 jour)

https://www.virustotal.com/fr/file/9898a34c63d3e268c42f8719d266b845a44cf85ab3441101d851973033506795/analysis/

 

0 Commentaire


Commentaires recommandés

Il n’y a aucun commentaire à afficher.

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Add a comment...

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...