Process Guard, Apt.exe et Zapass

[Montano5]

Bonjour à tous !

 

J'ai lu les consignes de megataupe à propos d'arret de processus avec apt.exe ou d'injection de code avec Zapass.

 

Ce sont des techniques bien connu des troyens qui essaient de tuer les processus des anti-virus pour ne pas être repérés (si leur signature est déjà connue) et de supprimer les blocages dû au firewall (pour envoyer les informations collecter vers l'extérieur).

 

Je pensais être bien protéger. Petit réseau derrière un routeur, Kerio pour filtrer les données sortants, AntiVir à jour pour les virus. Alors j'ai testé Apt.exe.

Il me tue en une fois (Kill 1) l'agent d'AntiVir qui refuse de redémarrer même manuellement....

 

Avec Process Guard tout les tests sont refusés et Antivir survit. (Enfin après quelques réglages parce que je l'avais laissé en Learning Mode)

 

Avec Zapass, j'ai été surpris que Kerio ne détecte pas la tentative d'injection! Un troyen qui se lance est en général encapsuler dans un autre programme d'apparence innofensive. Kerio détecte donc un programme (l'innofensif) en lançant un autre (le troyen) est émet un message pour autoriser ou non l'action.

 

Mais avec zapass il n'y a pas d'encapsulation donc pour Kerio c'est un programme sain...

Seul mon routeur bloque le retour d'information avec zapass donc la tentative de download est un échec mais je suppose que l'information est bien "sortie" de mon ordi qui n'est donc pas assez sécurisé.

 

Avec Process Guard, toujours aucun problème, Zapass est bloqué et rien ne se passe.

 

 

Bref, avec un p'tit tryptique anti-virus, firewall, et Process Guard je crois qu'on bloque un maximum de portes à un fichier malveillant. On rajoute Spybot pour les insupportables malwares et No-script pour le fishing et la sécurité est à son maximum non?

 

Enfin voilà j'aimerais bien avoir vos avis pour un petit récapitulatif (encore? ) des protections à envisager et des reflexes à avoir. On en parle jamais assez.

 

 

Montano5

[Montano5]

Bon je viens de voir le sujet de le canard et c'est un peu pareil... désolé pour la redondance...

[megataupe]

Bonjour Montano5. Merci pour ce retour "d'essai" grandeur nature qui démontre

bien des techniques utilisés par certains trojans et des dangers bien réels de lancer

n'importe quel exécutable ou prog inconnu qui se présente. Pour les inconscients ou

les têtes blondes insouciantes (je parle des ados en général), ProcessGuard a d'autres

vertus, en version full toutefois, puisqu'il peut interdire toute installation d'un exe qui

serait chargé disons de façon pas très claire ou, à l'insu de ton plein gré , et

également interdire toute modification d'une appli surveillée, tout cela sous contrôle

d'un mot de passe (à ne pas laisser traîner bien sur). Ca me semble être une protection

supplémentaire non négligeable pour des parents anxieux et déboussolés de retrouver

leur PC vérolé après une séance prolongée de P2P ou MSN par exemple.

Modifié le 27 octobre 2005 par megataupe

[Xerta]

Plus précisément s'agissant de Zapass lorqu'on a dézippé son contenu et exécuté le programme le test n'est réussit que lorsqu'on après avoir cliqué sur "inject implant" quelque chose empêche l'implant de "s'implanter" (LOL)

 

Le contrôle d'application de Kerio n'intercepte pas cette action et échoue le test, celui de Processguard non plus mais celui-ci s'il est correctement paramétré, même en version freeware, réussit le test grâce à une protection en modification. Cela dit tu devrait élargir le champ des leaktests testés après avoir autorisés de façon permanente tes navigateurs internet à s'exécuter avec Kerio et Processguard, sans les faire tous ce n'est pas nécessaire. Sont interessant (entre autres) walbreaker le 11 dans la liste ci-dessous (4 tests) un des plus plus difficile à réussir, Thermite et Firehole.

 

http://www.firewallleaktester.com/

[megataupe]

Bonjour Xerta . Walbreaker, Thermite et Firehole sont bloqués par Look'n'Stop

sans problème, même en autorisant ProcessGuard a lancer l'exe. De plus, si tu

surfes sur Firefox, on constate que Walbreaker, par exemple, veut lancer Internet

Explorer qui est lui aussi interdit de sortie par Look'n'Stop. Un certain nombre de

firewall passent bien ces tests mais, il me semble que Kerio est l'un des firewall

les plus perméable aux leaktests (au risque d'en décevoir beaucoup).

[Sacles]

Bonjour,

 

il me semble que Kerio est l'un des firewall

les plus perméable aux leaktests (au risque d'en décevoir beaucoup).

C'est ce que je dis depuis longtemps à gauche et à droite mais il existe une sorte "d'idolâtrie" à propos de ce pare-feu.

 

Cordialement.

[megataupe]

Bonjour Sacles . Je pense que l'auréole de Kerio vient de l'époque

ou les firewall étaient testés sur le seul filtrage entrant et il est clair

que Kerio n'a pas suffisamment évolué au niveau du filtrage sortant

car, même en version payante, les résultats des leaktests sont tout

simplement calamiteux :

 

Le firewall n'atteint que le score de 5/24 face aux leaktests. C'est un

mauvais résultat. Leaktests passés avec succés : Leaktest, FireHole,

Yalta, MBtest.

Source :

 

http://www.firewall-france.com/comparatif_kerio.php

[Xerta]

Normalement procesguard échoue le test 2 de walbreaker s'il est le seul programme utilisé pour le test (il le confond avec le navigateur internet qu'il a autorisé à s'exécuter) Thermithe est réussit même en version freeware par processguard (protection en modification) Firehole (leaktest à injection de DLL) la version free échoue le test mais la pro devrait le réussir.

 

Kerio 422 échoue le test de Zapass mais se débroulle (en version complète) avec wallbreaker, thermite et Firehole.

 

Perso j'utile le firewall sygate 5.6 qui ne réusit que très peu de leaktests mais aussi le contrôleur d'application "Antihook" qui est beaucoup plus doué et les réussit tous.

[megataupe]

Salut Xerta . Toujours très intéressant tes commentaires .

ProcessGuard full bloque en effet les injections de DLL mais, à mon avis,

ce devrait être le rôle du firewall de faire ce travail. D'ailleurs et pour

reprendre mon avis sur Look'n'Stop (l'un, si ce n'est le meilleur firewall

a passer les leaktests), on constate que le filtrage des DLL est assuré et

surtout efficace.

 

"'Contrôle de l'injection de thread': pour Windows 2000/XP seulement, permet

de détecter les applications qui se connectent par un thread qui a été injecté

via une autre application (en injectant un thread dans une application déjà

autorisé un troyan peut réussir à se connecter)".