Aller au contenu
Nicolas Coolman

O67 - File Association Shell Spawning (FASS)

Messages recommandés

Origine

- Le module O67 (FASS) a été crée le 22 mars 2010 par Nicolas Coolman.

 

 

Caractéristiques

- Lié au module FASS File Association Shell Spawing).Il permet d'énumerer les extensions de fichiers succeptibles d'être détournés par des malwares. Ce module s'interesse particulièrement aux extensions de fichier capables de démarrer un processus comme par exemple les extensions ".com" ou ".exe". Certains malwares détournent les extensions de fichier vers leur propre processus malware. C'est le cas notamment de certains rogues qui remplacent la valeur par défaut 'exefile' de la clé de BDR au profit de leur propre valeur "{Random}file". Ensuite une clé du même nom est crée afin de pointer vers l'exécution d'un processus malware par le biais d'un "ShellOpenCommand". Ainsi l'utilisateur est systèmatiquement rédirigé à chaque lancement d'une application.

 

- La recherche est effectuée sur certaines clés d'extension des clés suivantes :

[HKLM\SOFTWARE\Classes]

[HKEY_USERS\.DEFAULT\Software\Classes]

[HKEY_USERS\S-1-5-XX\Software\Classes]

 

- Ajout du propriétaire et de la désignation du fichier. v1.25.13

 

 

 

Aperçu ZHPDiag

 

---\\ File Association Shell Spawning (FASS) (O67)

O67 - Shell Spawning: <.exe> <exefile>[HKLM\..\open\Command] "%1" %* (.not file.)

 

 

---\\ File Association Shell Spawning (FASS) (O67) v1.25.13

O67 - Shell Spawning: <.html> <htmlfile>[HKLM\..\open\Command] (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\IEXPLORE.exe

 

 

 

Equivalence OTL

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 

 

 

Equivalence RSIT

.js - edit - C:\Windows\System32\Notepad.exe %1

.js - open - C:\Windows\System32\WScript.exe "%1" %*

 

 

 

Action ZHPFix

O67 - Shell Spawning: < {KeyExt} > < [KeyExtFile} >[HKLM\..\open\Command] (...) -- {FileName}

 

{Key} : Clé "Classes" de la Base de Registre comme par exemple [HKLM\SOFTWARE\Classes]

{KeyExt} : Clé d'extension de la clé {Key} comme par exemple [HKLM\SOFTWARE\Classes\.exe]

{KeyExtFile} : Clé d'extension dile de la clé {Key} comme par exemple [HKLM\SOFTWARE\Classes\exefile]

{FileName} : Donnée de la valeur par défaut de la clé 'Command', par exemple [HKLM\SOFTWARE\Classes\exefile\Shell\Open\Command]

 

1) L'outil restaure la donnée par défaut de la clé {KeyExtFile}.

2) L'outil supprime le fichier {FileName}.

 

 

 

Exemple d'infection

O67 - Shell Spawning: <.exe> <secfile>[HKCU\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\LAUREN~1\LOCALS~1\Temp\av.exe => Infection Rogue (Trojan.Sinkin)

O67 - Shell Spawning: <.exe> <secfile>[HKU\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Windows\TEMP\AUTMGR32.exe => Infection Diverse (Trojan.Dropper)

 

 

Rapport ZHPFix

O67 - Shell Spawning: <.exe> <exefile>[HKLM\..\open\Command] "%1" %* (.not file.)

 

Rapport de ZHPFix 1.12.3211 par Nicolas Coolman, Update du 14/10/2010

 

========== Elément(s) de donnée du Registre ==========

O67 - Shell Spawning: <.exe> <exefile>[HKLM\..\open\Command] "%1" %* (.not file.) => Donnée supprimée avec succès

 

========== Récapitulatif ==========

1 : Elément(s) de donnée du Registre

 

 

Liens :

Malicius Software Information

Modifié par Nicolas Coolman

Partager ce message


Lien à poster
Partager sur d’autres sites

Votre contenu devra être approuvé par un modérateur

Invité
Vous postez un commentaire en tant qu’invité. Si vous avez un compte, merci de vous connecter.
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×