[Guide] Guide anti-spywares v2.0 (rootkits inside)

Posez toutes les questions concernant internet en général et son utilisation, les comptes Email, le chat, les opérateurs téléphoniques et fournisseurs d'accès, FTP etc...

Modérateur: Modérateurs

[Guide] Guide anti-spywares v2.0 (rootkits inside)

Messagepar Falkra » 24 Oct 2005 11:19

ImageGuide anti-spywares (v. 2)

Image

Dernière mise à jour : 29/08/2006

Ce guide est désormais obsolète, consultez des informations plus à jour dans la section sécurité du forum.
http://www.libellules.ch/phpBB2/securite-virus-et-nuisances-f35.html

Préambule

Bonjour à tou(te)s,

les choses étant ce qu'elles sont, l'utilisateur est amené à faire attention à de menaces de plus en plus nombreuses, et de plus en plus sophistiquées.
Ce guide avait besoin d'une mise à jour, pour prendre en compte, dans la grande famille des malwares, les rootkits, une menace relativement nouvelle, du moins à grande échelle.

Ce guide est donc destiné à faire découvrir les logiciels courants afin d'éradiquer les deux grandes familles de malwares : spywares et rootkits. Pour les virus et chevaux de Troie, la chose est plus aisée, les outils sont maintenant très performants et d'un usage facile.

Des solutions très abouties existent maintenant, tant pour le milieu professionnel que pour les particuliers, tant gratuites que payantes. Ce guide présentera les solutions gratuites les plus courantes, la manière de les utiliser et surtout les principes de leur fonctionnement. Ainsi, sans frais, l'utilisateur peut se faire une idée des besoins, et éventuellement s'orienter vers une solution payante si nécessaire, en conaissance de cause.

Pour ceux qui souhaitent se perfectionner, j'ai tenté de détailler certaines fonction mal connues de ces programmes, et j'ai inclus des liens vers des sites plus pointus, afin que tous s'y retrouvent. Un logiciel comme spybot search and destroy permet de passer en revue le fonctionnement des spywares, vous trouverez donc en même temps qu'un descriptif du programme, les explications sur ce qu'est un BHO, un ActiveX, etc...

Concernant les rootkits, vous trouverez mes sources à la fin du guide, et les quelques emprunts réalisés sont signalés. Je mettrai à jour ce guide au fur et à mesure que les logiciels évoluent, ou que de nouveaux programmes font leur apparition.

Je remercie les nombreux lecteurs de la première version du guide.
Dernière édition par Falkra le 06 Nov 2007 12:51, édité 27 fois.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 02 Mai 2006 22:00

Sommaire


* Les malwares, une grande famille...[/color]
Symptômes
Antispyware et antivirus ?

* Les spywares
Sélection de logiciels anti spywares
Préalable avant nettoyage

- Spybot search & destroy
Téléchargement
Installation
Vaccination
Scan
Outils inclus

- Ad-aware SE personal
Téléchargement
Installation
Les différents scans

- A squared free
Installation et mise à jour
Scan et les différents options
Interprétation des résultats

* Autres outils

- Hijackthis, et ses fameux logs
Qu'est-ce que c'est ?
téléchargement, installation
Créer un log
Publier un log
Analyser un log
Structure du log

- Killbox

- CWShredder

* Liens et sites utiles

* Eviter d'installer des spywares

* Les rootkits
Définition, fonctionnement, historique
Comment s'en débarrasser ?

- Rootkit revealer
- Blacklight (F-secure)
- IceSword
- DarkSpy
- Sophos anti rootkit (nouveauté)


* Sources, liens, compléments

- Lien vers le topic pour commenter le guide
Dernière édition par Falkra le 29 Aoû 2006 11:43, édité 11 fois.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:24

Les malwares, une grande famille...

On désigne sous le terme de malware un programme nuisible, conçu pour porter atteinte au bon fonctionnement d'une machine ou le détourner, ou provoquer toutes sortes de niusances pour l'utilisateur, aussi bien au niveau du fonctionnement de la machine hôte qu'au niveau de la confidentialité des données.

Les spywares font donc partie, comme les virus (virii), les rootkits, les dialers, les browser hijackers, les chevaux de Troie, de la grande famille des malwares.

Symptômes ?

Bien souvent on ne se rend pas compte qu'on est infecté par ces programmes... le remède est simple, mais il faut savoir quand l'appliquer. Dans la plupart des cas, les spywares provoquent :
- Des changements dans la page de démarrage du navigateur (surtout IE)
- L'apparition de (trop) nombreux pop-ups publicitaires.
- Le ralentissement de la connexion, de l'affichage des pages.
- Des dysfonctionnements du système (impossiblité de charger certains programmes, blocages d'internet, gros ralentissements...

Si vous avez des doutes, ici l'automédication a du bon, scannez votre pc contre les spywares, ça fait partie de la maintenance régulière à faire.


Antispyware et antivirus ?

Un antispyware est donc le complément idéal d'un anvitirus, et même s'il propose des modules de surveillance, il ne consomme que peu comparé à un antivirus, donc pas de problèmes de ressources. On peut par ailleurs avoir plusieurs antispywares installés, c'est recommandé, contrairement aux antivirus.

Certains antivirus intègrent désormais un IDS (Système de détection d'intrusion), et des modules de protectin des processus, comme Kasperky ou F-Secure, entre autres. Ces logiciels se chargent de surveiller toute activité suspecte, parasitage de processus, etc... la seule précaution est de ne pas en faire tourner deux sur la même machine, cela fait double emploi. Nous y reviendrons, pour les rootkits.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:25

Les Spywares


Un Spyware (logiciel espion) est un programme qui s’installe à votre insu sur votre machine, comme pendant l’installation d’autres logiciels gratuits. C'est pour ça qu'on recommande toujours d'installer les logiciels téléchargés sur les sites officiels ou des sites de téléchargement connus (telecharger.com, clubic, etc)

Le spyware va récolter de façon dissimulée et invisible des informations et peut espionner votre vie privée, par exemple en analysant vos habitudes de surf, en récoltant la configuration du matériel, etc. Ensuite ces informations sont envoyées à des sociétés peu scrupuleuses, qui vous envoient des publicités ciblées grâce à cette collecte d'informations, sous forme de spam, ou de pop-ups par exemple.

Dans les spywares, il y a plusieurs familles, les dialers par exemple sont de petits programmes qui utilisent les modems téléphoniques (non adsl) pour appeler un numéro surtaxé. Cela peut coûter très cher... Ces dialers s’installent très souvent via des contrôles ActiveX (cf. plus bas), ou depuis des sites pornographiques. A noter qu'ils sont en perte de vitesse, puisque le modem 56k est de moins en moins présent sur nos machines. Il y a aussi les BHO (browser help objects), sortes de "plugins", parfois nuisibles, pour internet explorer. Parfos certains spywares diminuent la vitesse de la connexion internet. D'autres font changer la page de démarrage du navigateur web (le plus souvent vers une page anglophone de site de recherche), et quand on veut remettre la nôtre, rien à faire. Il y en a plein d'autres, qui inondent de pop-ups, qui bloquent la machine, qui consomment des ressources, font tourner le processeur à 100%, etc... c'est une grande famille, nous y reviendrons.

Sélection de logiciels anti spywares

Voici une présentation et un guide pour certains logiciels, ici en priorité ceux qui sont gratuits. Il existe de nombreuses solutions payantes performantes, à vous de voir, mais dans un premier temps, autant tester les logiciels gratuits, justement ça ne coûte rien d'essayer...


:!: Préalable avant nettoyage :!: :


* Fermer toutes les fenêtres des navigateurs web, et tous les programmes actifs. Il ne doit rien y avoir dans la barre des tâches, et le moins possible d'icônes dans la systray (les icônes à côté de l'horloge). Vous pouvez même fermer toutes les tâches inutiles via le gestionnaire des tâches (Ctrl-Alt-Del, onglet "Processus").
:arrow: Désactiver la restauration système : Tuto sur libellules
* Vider le cache du navigateur. Tuto sur libellules
* Mettre à jour les logiciels anti-spyware et antivirus.
* Si nécessaire (pas toujours) démarrer en mode sans échec, en appuyant sur F8 au démarrage de Windows.
* Désactivez le service d’affichage des messages de Windows, sous 2000 et XP : Démarrer – Exécuter, tappez «services.msc» (sans les guillemets) et désactivez le service d’affichage des messages.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:25

Spybot search and destroy :

Image
Site officiel : http://www.safer-networking.org/fr/index.html

Outre sa gratuité, ce logiciel a de gros avantages, il intègre énormément d'outils annexes (éditeur de fichier hosts, liste des BHO), il scanne très bien les caches des navigateurs alternatifs, et son interface est très claire.

Téléchargement :
http://www.safer-networking.org/fr/download/index.html
Sur cette page vous trouverez des liens pour télécharger la dernière version (actuellement 1.4), les mises à jour si vous avez besoin de les télécharger manuellement (pour utiliser sur un pc qui n'a pas internet ou ne peut plus se connecter...), et des skins.
L'installation ne pose pas de problème particulier. Si le setup propose d'activer teatimer, dites non, ce sera fait par la suite.
Au premier démarrage vous pouvez éventuellement voir quelques avertissements apparaître, sur la présence d'autres logiciels qui pourraient poser problème, surtout avec les sauvegardes que fait SpyBot. Il peut vous parler d'ad-aware ou pest patrol. N'en tenez pas compte et faites disparaître cette fenêtre. A propos des sauvegardes de spybot, elles sont zippées avec mot de passe, si lors d'un scan votre antivirus déclare ne pas pouvoir scanner certains fichiers dans le dossier de spybot, ce sont ceux-là, pas d'inquiétude donc.


Première chose à faire, changer la langue :
Image

Voici l'écran principal :
Image

Cliquez sur recherche de mises à jour.

Si des mises à jour sont disponibles, elles apparaîtront comme ceci:
Image
Les "detection rules" sont les définitions de scan. Cochez tout.

Notez que vous pouvez les télécharger sur différents serveurs si jamais il y avait un problème pendant le téléchargement ("erreur de parité", serveur non disponible...)
Image
A ce moment, attendez que le programme ait fini d'afficher erreur de parité sur chaque fichier, puis essayez avec d'autres serveurs. Si ça ne marche toujours pas (ce qui est rare), il peuty avoir un problème de langue, si les mises à jour sont marquées comme "English detection rules" par exemple, passez le logiciel en anglais avant de retenter les mises à jour.

Cliquez sur "télécharger". Une fenêtre s'affiche avec la progression. Une fois terminée, les icônes deviennent vertes, les mises à jour sont téléchargées et installées.
Image


La vaccination

C'est une protection supplémentaire que propose spybot, contre les contrôles activeX nuisibles par exemple. Chaque activeX possède un identificateur (le fameux clsid), spybot les inscrit dans la liste noire de la base de registre. La technologie activeX appartient à Microsoft, et permet sur un site de lancer un "module", exécuté sur le pc de l'utilisateur, très utile pour des scans antivirus online, très dangereux lorsqu'il s'agit de programmes nuisibles.
Voilà à quoi ça ressemble, prenez le temps de les lire avant de cliquer...
Image
La vaccination ne consomme pas de ressources mémoire. Après des mises à jour, il y a souvent de nouvelles entrées de vaccination à valider.

Dans la fenêtre principale, cliquez sur "vaccination" dans la colonne de gauche.
Spybot cherche et compte le nombre d'activeX déjà blacklistés (0 si vous installez spybot pour la première fois) :
Image

Cliquez sur "vacciner".
Image
En dessous, vous trouverez un bloqueur de BHO (browser help object) pour internet explorer. Utilisateur de firefox, passez votre chemin. Les BHO sont des plugins pour IE, certains, qui s'installent discrètement, sont nuisibles. Cet utilitaire se propose de les filtrer, et peut demander la permission.
Image

Le scan lui même :

Après les mises à jour et vaccinations, il va falloir passer au scan en lui-même. N'oubliez pas les préalables (désactiver restauration système, nettoyage du cache, etc).

Si spybot trouve des choses à enlever, cela se présente comme ça dans la liste :

Exemples de spywares trouvés :
Image

Choisissez ceux que vous voulez enlever (souvent, tout) et faites "corriger les problèmes"
Image

S'il n'y a pas de modules chargés en mémoire, tout se règle immédiatement,
Image
sinon, le programme demande à redémarrer, et il se réexécutera avant le chargement complet du système.
A noter que le programme effectue par défaut une sauvegarde des éléments enlevés, on y accède par le bouton sauvegardes de la page principale. Une fois là, il est possible de restaurer ou purger les éléments sauvegardés.


Les outils

Cliquez sur outils dans la colonne de gauche (si besoin allez dans le menu "mode" et activez le mode avancé).
Image

Dans la longue liste affichée se trouvent de nombreux outils, tous rassemblés dans l'interface de spybot.

L'effaceur de sécurité (en anglais Wiper), permet d'effacer les fichiers du disque dur en plusieurs passes, pour éviter la récupération postérieure de ces données par des logiciels spécialisés. Pour paranoïaques avertis. :mrgreen:
Le petit menu "modèles" permet de récupérer directement la liste des fichiers temporaires, des cookies ou du cache d'Internet Explorer. Autrement un clic droit dans la liste permet d'ajouter ou supprimer manuellement des fichiers dans la liste.

Les modules résidents.

Spybot propose deux modules résidents, tournant à l'arrière plan en continu, TeaTimer et SDHelper.

- Teatimer

(Le texte suivant est en partie tiré du FAQ du site officiel de Spybot)
Teatimer surveille les processus qui sont lancés par le système. Il détecte les processus connus pour être malveillants qui veulent démarrer et les arrête, en vous donnant quelques options sur la façon de traiter ces processus à l'avenir. Vous pouvez demander à TeaTimer:
* de vous informer quand le processus essaiera de démarrer de nouveau
* de tuer automatiquement le processus
* ou d'autoriser l'exécution du processus
Il y a aussi une option pour supprimer le fichier associé à ce processus.
TeaTimer détecte également quand un programme veut modifier certaines clés vitales du Registre.
Il peut protéger le système contre de telles modifications en donnant le choix: Vous pouvez soit "Autoriser" soit "Refuser" ce changement.

Exemple :
Image

TeaTimer tourne en permanence en arrière-plan, et utilise environ 5 MB de mémoire vive selon le site officiel.

En cas de bug d'affichage de TeaTimer, comme ci dessous :
Image

Ce bug est dû à l'utilisation d'une librairie Delphi qui modifie la disposition des boutons au moment de la compilations. On rencontre le problème sur la version 1.4 de teatimer. La version 1.3 peut être installée à la place.

Téléchargez la version 1.3 depuis le lien ci dessous, sur assiste.com, excellent site en ce qui concerne la sécurité informatique.
Faites un clic droit > Enregistrer sous > Selectionner la racine de votre installation de Spybot S&D, là ou se trouve déjà un fichier nommé TeaTimer.exe
http://assiste.files.free.fr/f/SpyBot%20-%20TeaTimer%20-%20version%201.3.exe
Renommez le TeaTimer.exe actuel (la version 1.4) en TeaTimer.exe_
Renommez le TeaTimer que vous venez de télécharger, SpyBot - TeaTimer - version 1.3.exe, en TeaTimer.exe
Le tour est joué, et on peut toujours, en renommant, revenir à la version 1.4
Les définitions de programmes malveillants sont indépendantes du programe lui même (teatimer.exe), donc on ne "revient pas en arrière", on reste à jour au niveau des définitions.

- SDHelper :

Cet autre programme résident est ceuli qu'on a rencontré dans la section vaccination, il surveille les BHO (plugins) d'internet explorer (uniquement, firefox n'ayant pas de bho pour éviter ce type de spywares), l'activer ici ou dans la section vaccination revient au même.


ActiveX

La technologie ActiveX est un langage de programmation développé par Microsoft et qui concurrence Java. Les module ActiveX permettent de déployer les applications sur le WEB, téléchargés par l'utilisateur et exécutés sur sa machine. C'est là que réside le danger, certains activeX peuvent être nuisibles.
Néanmoins ces applets permettent d'enrichir une page internet de fonctions complexes (exécutables uniquement sur un ordinateur sous Windows), comme un scan online d'antivirus, par exemple, un utilitaire de détection et téléchargement de drivers, windows update, etc.
La secion activeX de Spybot liste ceux qui sont installés et vérifie qu'ils n'y en a pas de connus comme étant nuisibles. En cliquant on obtient des détails sur le fichier.

Les BHO.

BHO ou Browser Help Object, pour résumer, ce sont des plugins sous forme de DLL qui s'installent dans internet explorer (uniquement), et sont chargés en mémoire et exécutés chaque fois que le navigateur est lancé. D'où les risques potentiels.
Spybot en propose également la liste et voit s'ils sont sains, et permet de s'en débarasser. Il existe de nombreux autres programmes qui ne font que ça (cf liens, à la fin de ce document). De nombreux spywares (les browser hijackers), changent systématiquement la page de démarrage d'internet explorer... ce sont bien souvent des BHO.

Les pages du navigateur.

Ce module permet simplement de vérifier les pages par défaut du navigateur, dont la page de démarrage. Vous pouvez les changer en les sélectionnant, le bouton changer se trouve en plus haut sur la page (j'ai mis du tmeps à le trouver).

Ajustements IE

Au cas où vous seriez encore sous IE :roll: il reste possible de le sécuriser enocre un peu plus, en verrouillant les pages de démarrage, et le fichier hosts (cf. plus bas pour définition et utilisation), pourquoi pas.

Le fichier Hosts.

Ce petit fichier de windows, qui n'a pas d'extension, permet de créer une liste noire des serveurs web, ce fichier est considéré comme un serveur DNS personnel.

Où le trouver ?

:arrow: Sous Windows XP Home/XP Pro
c:\windows\system32\drivers\etc\hosts

:arrow: Sous Windows NT/2000
c:\winnt\system32\drivers\etc\hosts

:arrow: Sous Windows 95/98/Me
c:\windows\hosts

Spybot propose d'ajouter dans le fichier host de votre machine sa propre liste de serveurs à bannir.

OptOut

Une liste d'adresses mails et de sites pour se désinscrire du spam. J'en déconseille l'usage, répondre à un spammeur fait recevoir plus de spam, et montre que le compte email spammé est actif, qu'il y a quelqu'un derrière...
Quand aux autres adresses, elles ne fonctionnent pas toujours. A éviter.

Liste des tâches

Ce module est un gestionnaire des tâches amélioré, qui indique les dépendances des différents programmes.

Intérieur du système

Ce module permet de chercher des liens morts dans la base de registre ou dans les raccourcis du menu démarrer. De nombreux programmes s'acquitent de cette tâche de façon plus approfondie.

Démarrage système

Ce module peut rendre des services, dans la mesure où il examine ce qui démarre avec le système et donne son avis sur les programmes par un code de couleur.
Image

Infos de désinstallation

Si vous n'avez pas envie de toucher à la base de registre pour supprimer une entrée dans "ajout/suppression de programmes", ou que vous ne voulez pas passer par unautre programme, spybot permet de modifier et supprimer ces entrées.

WinSock LSP

Les LSP (Layered Service Providers) sont les couches de services Winsock (les sockets Windows) et la couche réseau.
Ce sont des drivers des services du réseau de Windows. Certains programmes, très coriaces s'installent en se faisant passer pour un service LSP. Ils peuvent rediriger l'intégralité des données vers d'autres sites, puisqu'ils y accèdent par la couche réseau...
Les plus connus de ces spywares sont coolwebsearch, new.net, commonname ou webhancer...

Spybot propose aussi de vérifier l'intégrité des LSP.
Dernière édition par Falkra le 22 Juil 2006 21:50, édité 4 fois.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:26

Ad-Aware SE personal :
Image

Ad-aware est comme spybot, d'emploi très simple (plus encore peut-être). Les mises à jour sont régulières et faciles à faire. La version SE personal est gratuite.

Téléchargement :
http://www.lavasoftusa.com/support/download/
Lien direct chez PCwolrd, proposé par le site officiel.

Sur cette page vous trouverez des liens pour télécharger la dernière version (actuellement 1.06), les mises à jour si vous avez besoin de les télécharger manuellement (pour utiliser sur un pc qui n'a pas internet ou ne peut plus se connecter...), des packs de langues des skins et plugins.

L'installation ne pose pas de problème particulier, et propose à la fin de mettre à jour le logiciel et faire un scan complet. Si vous optez pour la mise à jour, vous n'aurez qu'à dire oui à un message de ce type :
Image

Une fois le pack de langues installé, cliquez sur le bouton de configuration Image puis sur la section "interface", c'est ici que vous pouvez changer la langue.
Image
C'est également ici que vous pouvez changer les skins du programme. Appliquez et retournez à l'interface principale.
La configuration par défaut est fonctionelle, je n'entre pas dans les détails. Le bouton de mises à jour est dans "rechercher des màj maintenant", ensuite faites connexion pour vérifier la présence de nouvelles définitions.
Image

Les différents scans possibles :

Depuis l'interface principale, cliquez sur le bouton Image

Image
Plusieurs choix sont possibles, le scan accéléré du système, option la plus souvent employée, scanne windows, la mémoire, le cache des navigateurs, etc... elle est rapide et ciblée.
L'analyse complète du système va scanner tout le(s) disque dur(s) à la recherche de spywares, à mon avis peu utile, car 99% des spywares vont s'installer directement dans les emplacement scannés par l'analyse accélérée...
L'analyse personnalisée permet de désactiver certains critères de recherche comme le scan du fichier hosts, des favoris IE, des processus actifs, etc...
Enfin "vol analyse pr ADS" :mrgreen: permet tout simplement de faire scanner un ou plusieurs dossiers sans parcourir tout le système auparavant.

Les "entrées à risque négligeable" sont les "MRU" (most revent used), autrement dit les listes de fichiers dernièrement ouverts dans le programmes (lorsque vous ouvrez le menu "fichier" d'un programme et qu'on peut lancer directement les quelques 4-5 fichiers dernièrement enregistrés. Cette option est présente pour la confidentialité on peut vous "espionner" avec, mais ces listes MRU ne sont en aucun cas nuisibles pour l'ordinateur.

Pendant le scan, ad-aware va passer en revue les processus actifs, diverses sections de la base de registre (ici les fameux CLSID), les cookies, le cache des navigateurs etc...
Image

Une fois l'analyse terminée, si des fichiers ont été trouvés, voici un aperçu de ce qui peut apparaître :
Image
Cliquez sur suivant pour obtenir des détails.

L'onglet "objets critiques" est à voir en premier :
Image
Ici des cookies, mais surtout des malwares, dont l'abominable coolwebsearch, qui a mis des fichiers et des inscriptions dans la base de registre (regvalue).

Pour tout sélectionner, faites un clic droit sur un des éléments et cliquez sur "sélectionner tous les objets".
Image

Faites suivant, et les éléments seront mis en quarantaine, puis supprimés du système. S'il y ades processus actifs en mémoire, ad-aware peut demander à redémarrer l'ordinateur pour finir la désinfection avant le chargement complet de windows.


Informations supplémentaires :

Ad-aware possède comme spybot un module actif, appelé ad-watch, disponible dans la version payante d'ad-aware.

Les addons

Ce sont des plugins pour ad-aware, téléchargeables sur le site officiel, qui permettent d'ajouter des fonctions au programme, ou scanner contre certains programmes particulièrement coriaces.
Vous en trouverez un exemple sur le blog ici
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:26

A² free (A squared)

Voici un autre logiciel antispyware gratuit, dont on a beaucoup parlé. Voici donc le petit tour d'horizon. Le téléchargement se fait à cette page :
http://www.emsisoft.fr/fr/software/free/

Il faudra vous inscrire par mail (gratuitement et sans spam), afin d'utiliser le logiciel. Cela se passe ici : http://www.emsisoft.fr/fr/software/account/


ImageImage

Après téléchargement, lancez l'instalaltion,n il faudra entrer les données du compte email et le numéro d'enregistrement reçu.

ImageImage

Le logiciel se met à jour immédiatement :

Image

Vous arrivez à la fenêtre principale :

Image

Vous pouvez changer la langue ici, directement, ce qui est très pratique.

Le premier bouton permet le scan classique et attendu de dossiers ou du disque dur.

Le second n'est actif que dans la version personal (et non free), il faudra donc acheter une licence pour utiliser le gardien d'arrière plan, un IDS (intrusion detection service) qui n'est pas dans la version gratuite. Dommage, on ne peut pas tout avoir. Le blog vous fournira des logiciels comparables, comme CyberHawk.

Pour l'analyse tools, même constat : version personal. Il s'agit d'un module temps réel (comme adwatch dans ad-aware, même principe). A noter qu'il ne figure pas dans la version gratuite d'ad-aware non plus.

Enfin, le dernier bouton effectue les mises à jour. Les fichiers téléchargés ne sont pas lourds, et le processus est rapide.

Passons donc au scan. Vous choisisez vos disques ou dossiers, et le type de scan, en cochant ou non les cases de droite.

Image

Scan registry va s'occuper de la abse de registre. Indispensable.
Rechercher dans la mémoire va partir en quête de processus actifs. vivement recommandé.
Rechercher les riskwares est une option intéressante, qui done des résultats étonnants, nous y reviendrons, cela liste les programmes installés pouvant être problématiques. Y compris des programmes d'usage relativement courant.
Rechercher des malwares inconnus va tenter de trouver des entrées potentiellement dangereuses. Résultats aléatoires.

J'ai fait le test en cochant tout : 20 minutes pour 200 Go, tous les fichiers sont passés à la moulinette.

Image

Un grand nombre de malwares est trouvé, sur ce que j'imaginais un système sain. Une bonne chose, car cela prouve que les bases de données de détections ne sont pas les mêmes, par rapport à d'autres logiciels.

Les résultats apparaissent :

Image

La notion de riskware prend tout son sens. RealVNC, installé sur la machine, est détecté comme logicile potentiellement dangereux, car il peut donner l'accès à la machine (sans mot de passe ou vérification d'IP, bien sûr). MIRC, en tant que client IRC, peut ramener son lot de virus, mais là encore, tout dépend de l'utilisation du logiciel, ici reconnu par son setup, il n'était pas installé.
Current Ports, copylock et ImgBurn (affichage ports ouverts, déblocage de fichiers, comme unlocker, et logiciel de gravure), sont également catalogués comme logiciels à risques, voire troyen. Ce sont des "faux positifs", de fausses alertes. Ces logiciels n'ont posé aucun problème. Une mise à jour corrigera certainement ces erreurs de scan, souvent déplorées par la communauté d'utilisateurs.
Saluons tout de même la précision du moteur de scan qui reconnait des programmes par leur simple setup.

Image

Plus bas, des clés de registres que spybot et ad-aware n'avaient pas vu. Un très bon point. A éliminer.
J'ai laissé les fichiers de VNC. Ici il ne s'agit pas de faux positif, VNC contient des dll de hook (crochetage), qui interceptent les fonctions windows. Mais VNC était légitimement installé. Reste que, d'autres dll du même type peuvent être utilisées par des rootkits. Prudence donc, et très bonne détection.
Un cookie, pour la forme.

Le logiciel s'intègre au menu du clic droit de windows, et propose ainsi de scanner un dossier et ses sous-dossier, cela peut s'avérer très utile, et rapide pour détecter une menace potentielle sur un fichier douteux. bien plus rapide que le scan complet, que j'ai trouvé lent. Cette fonction permet de compenser cela.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:26

Autres outils :

Ici nous allons voir comment utiliser certains outils bien utiles pour diagnostiquer des problèmes ou se débarrasser de fichiers coriaces.

Hijackthis, et ses fameux logs

Qu'est-ce que c'est ?

Hijackthis (to hijack ou highjiack : détourner) est un programme qui tire son nom d'une famille de spywares : les browser hijackers, ces programmes qui modifient la page de démarrage du browser, et empêchent que l'utilisateur puisse la choisir ou modifier.

Hijackthis fait plusieurs choses :

- il dresse une liste de tout ce qui démarre avec la machine et le navigateur internet, y compris certains paramètres comme les LSP (cf. plus haut dans la section spybot).
La liste qu'il génère peut être analysée en ligne, ou postée sur des forums, ce qui a l'inconvénient de créer des sujets souvent immenses. Le but de ce tuto est de vous montrer comment les interpéter et analyser sans aide extérieure.

- il permet d'éliminer des éléments de cette liste. Souvent des spywares ou virus ne peuvent être éliminés car chargés en mémoire. Hijackthis permettra, une fosi que vous aurez identifié la(es) bonne(s) ligne(s), de retirer les points d'entrée du programme dans windows. Ainsi le programme malveillant ne sera plus chargé en mémoire, et par conséquent effaçable sans autre forme de procès.

Il est recommandé de faire cette analyse après avoir scanné le pc avec des logiciels antispywares, ça permet d'y voir bien plus clair. Ne commencez pas par cette analyse avant d'avoir déjà nettoyé un peu le pc avec des outils classiques.

Téléchargement :
Derniière version 1.99.1
http://www.merijn.org/files/hijackthis.zip
ou
http://downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
http://castlecops.com/zx/Merijn/hijackthis.zip

Nous allons détailler les différents possibilités du logiciel :

- créer un log hijackthis (rapport / fichier journal), et le publier.
- analyser un log, afin de trouver les entrées indésirables.
- nettoyer les entrées indésirables.

Installation

Image

Aucune installation n'est nécessaire, décompactez le fichier zip et double cliquez sur hijackthis.exe
Image

Créer un log

Image

Les deux premiers boutons nous intéressent : le premier analyse le pc, et crée un rapport, immédiatement ouvert par le bloc-notes ; le second se contente d'analyser le pc (le rapport peut tout de même être sauvegardé).

Cliquez sur le premier bouton : le programme va afficher la liste et ouvrir le bloc notes avec le log crée (un fichier hijackthis.log est crée dans le même dossier, c'est ce fichier qui est ouvert par le bloc notes).

Image

A ce stade, votre raport (log), est donc sauvegardé dans le dossier d'où hijackthis a été exécuté.
Image

Publier un log

Rien de plus facile, ouvrez le fichier avec le bloc notes, ou utilisez la fenêtre récemment ouverte. Pressez CTRL+A (ou clic droit, sélectionner tout), puis CTRL+C (ou clic droit, copier), pour copier le contenu du raport dans le presse-papiers. Ouvrez un post, puis pressez CTRL+V (ou clic droit, coller), pour y insérer le contenu du rapport :

Image

Analyser un log

Mieux encore, un site est mis gratuitement à votre disposition pour analyser automatiquement les rapports :

En français : http://www.hijackthis.de/fr
(une donation n'est pas refusée par l'équipe qui l'a mis en place)

Image

Copiez-collez votre raport dans ce rectangle blanc et cliquez sur le bouton "Evaluer", ou bien recherchez au moyen du bouton "parcourir" le fichier hijackthis.log, qui a été sauvegardé précédemment, puis cliquez sur "Evaluer".


Cette analyse fonctionne avec une base de données et des entrées publiées par les utilisateurs, pour les programmes moins connus ou non référencés.


On l'oublie toujours, mais on peut également interroger cette base directement à l'adresse suivante :

http://filedb.hijackthis.eu/

Image

Dans l'analyse du rapport, il y a différents statuts possibles pour chaque ligne du log :

Image

Les rouges, vous pouvez les éliminer sans crainte, ils sont répertoriés comme nuisibles (virus, spyware etc).
Les oranges sont plus délicats à traiter, regardez les jugements des visiteurs pour vous faire une idée (cliquez sur les étoiles, et laissez un avis si vous en avez un).
Image
Les verts sont bons, vous pouvez les ignorer.
Enfin les inscriptions inutiles, vous pouvez les laisser, si vous avez plus urgent à traiter, ce sont souvent des fichiers manquants (ou créés temporairement, auquel cas il faut les laisser). Par défaut, je n'y touche pas.



Structure du log

Les différentes section du log correspondent à des entrées particulières :

Pour plus de détails, je vous recommande l'excellent article sur zebulon.fr :
http://www.zebulon.fr/articles/HijackThis.php


R0, R1, R2, R3 - Démarrage Internet Explorer/Search pages URLs
F0, F1 - Programmes qui démarrent automatiquement au démarrage
N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
O1 - Hosts file redirection
O2 - BHO (Browser Help Objects)
O3 - Barres d'outils Internet Explorer
O4 - Démarrage automatique de programmes à partir du registre ou de la Startup List.
O5 - Options Internet non visbles dans le panneau de configuration
O6 - Accès aux options Internet refusées
O7 - Accès à l'éditeur de registre refusé
O8 - Menu contextuel IE (clique-droit) modifié
O9 - Bouton supplémentaire dans la barre des tâches IE, ou item supplémentaire dans le menu "Outils"
O10 - Winsock hijacker
O11 - Groupe supplémentaire dans les "options avancées" de IE
O12 - IE plugins
O13 - IE DefaultPrefix hijack
O14 - 'Reset Web Settings' hijack
O15 - Sites non souhaités dans la zone de confiance
O16 - ActiveX Objects (aka Downloaded Program Files)
O17 - Lop.com domain hijackers
O18 - Extra protocols and protocol hijackers
O19 - User style sheet hijack
O20 - Valeur de Registre AppInit_DLLs en démarrage automatique
O21 - Clé de Registre ShellServiceObjectDelayLoad en démarrage automatique
O22 - Clé de Registre SharedTaskScheduler en démarrage automatique
O23 - Services NT


:!: Note : Méfiez vous des O20...
Exemple :
O20 - Winlogon Notify: C:\WINDOWS\system32\lv8209loe. dll
Ce type de dlls est parfois employé par des spywares et virus, qui passent à travers les firewalls et le gestionnaire de tâche, qui n'affiche pas les dll. Ils utilisent le composant winlogon de windows pour s'exécuter, et faisant sauter la ligne via hijackthis, vous réglez le problème, il n'y a plus qu'à effacer la dll après coup, certaines de ces dll correspondent à des virus qui
utilisent votre machine pour relayer du spam, par exemple.

Utilisez ce programme pour vous débarrasser de BHO envahissants ou autres... sélectionnez simplement la ou les lignes posant problème, et appuyez sur le bouton "fix checked".

A noter qu'il existe un autre programme similaire, qui inclut l'analyseur de rapport : X-ray PC.

Image
Liste des fonctions et détails sur le blog
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:27

Killbox

Téléchargement :

http://www.downloads.subratam.org/KillBox.zip
http://www.bleepingcomputer.com/files/s ... illBox.zip

Ce petit utilitaire permet entre autres choses de se débarrasser de fichiers qui reviennent systématiquement et que l'on ne peut effacer car ils sont actifs... ça arrive souvent avec certaines dll spywares impossibles à décharger de la mémoire, même avec des programmes comme unlocker (blog) ou coppylock

Voici l'interface générale :
Image

Pour programmer l'effacement d'un (ou plusieurs) fichiers au redémarrage, procédez comme suit
Image

Cochez "Delete on reboot", cliquez sur le bouton avec l'icône de dossier et indiquez le chemin du fichier à enlever, puis cliquez sur le bouton ave cla croix blanche dans le rond rouge. Killbox demandera à redémarrer la machine.
Attention, certains fichiers vont revenir si vous n'avez pas désactivé la restauration système auparavant... ne l'oubliez donc pas.

Unloacker et CopyLock permettent également de débloquer les fichiers interdits en accès, si nécessaire. Ils peuvent s'avérer utiles en cas de nettoyage urgent.

WhoLockMe vous donnera le nom et l'emplacement du programme responsable du verrouillage, à garder sous le coude, également.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:27

CWShredder

CWShredder est un petit utilitaire qui se charge de débarrasser la machine du cheval de troie/spyware coolwebsearch.
Image

Ce spyware est très difficile à éliminer (je l'ai eu, à l'époque il faisait partie d'un anti pop-up que j'avais testé...), les symptômes étaient des redirections vers les sites coolwebsearch, changement de la page de démarrage (un classique), d'énormes ralentissements de la connexion et j'en passe.
Ce petit utilitaire nettoie tout, et en une seule fois. La plupart des antispywares classiques (y compris spybot) ont du mal avec coolwebsearch, ou en laissent toujours quelques morceaux, ce logiciel est donc la seule option valable pour s'en débarrasser définitivement, car il en élimine toutes les variantes connues, et est mis à jour en cas de "nouveautés".
Je vous recommande la lecture de l'article du blog (par Krigou).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:27

Liens et sites utiles

Ce tutoriel n'est qu'une initiation au nettoyage des spywares, il y aurait beaucoup à ajouter, mais la place (et le temps) me manquent. Je vous propose donc un certain nombre de liens où vous pourrez trouver d'autres informations plus détaillées, d'autres tutos, etc


D'abord l'incontournable assiste.com, véritable encyclopédie de la sécurité informatique, dont la section spywares est excellente. Vous trouverez tout sur ce site.
http://assiste.free.fr/index.html

Des outils de nettoyage sur le site subratam :

(éditeurs de bho, de listes de démarrage, etc etc)
http://www.subratam.org/main/index.php? ... &Itemid=41

Et n'oubliez pas le blog libellules, où sont déjà en ligne par exemple
Un éditeurs de hosts
Un autre

Un article général sur secuser.com, expliquant le fonctionnement des spywares:
http://www.secuser.com/dossiers/spywares_generalites.htm

Un éditeur de BHO :
http://www.definitivesolutions.com/bhodemon.htm

Une liste de spywares et les instrucitons pour s'en débarrasser :
http://www.pchell.com/support/spyware.shtml


D'autres anti-spywares, certains payants mais essayables

SpywareBlaster :
Fonctionne sur le même principe que la vaccination de spybot. Une version gratuite est disponible, les mises à jour sont à faire manuellement.
http://www.javacoolsoftware.com/spywareblaster.html

Windows Defender (ex "Microsoft Antispyware") :
http://www.microsoft.com/athome/security/spyware/software/default.mspx

Counterspy :
http://www.sunbeltsoftware.com/CounterSpy.cfm

Ewido : (essai 30 jours)
http://www.ewido.net/fr/

SpySweeper (essai 30 jours)
http://www.webroot.com/consumer/products/spysweeper/

Spysubstract :
http://www.intermute.com/products/spysubtract.html

PestPatrol :
http://www.pestpatrol.com/home.htm

etc etc il y en bien d'autres...
Dernière édition par Falkra le 23 Juil 2006 15:40, édité 2 fois.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:28

Eviter d'installer des spywares

* Méfiez-vous des logiciels de Peer to peer ! A l'installation, bien souvent de nombreux problèmes apparaîssent. KaZaA est par exemple connu pour ça.

* Si vous utilisez Internet Explorer, faites attention aux contrôles ActiveX ! Bien souvent ils installent une barre de recherche ou un dialer. Beaucoup de spyware apparaissent après avoir cliqué sur « oui » dans une fenêtre qui est apparue brusquement dans Internet explorer. Si la demande vous paraît louche, ne l’acceptez pas.

* Vérifiez que le logiciel que vous voulez installer est sans publicité (ad-free). Soyez attentifs pendant l’installation qu’on ne vous installe pas le sponsor (comme MsgPlus ! qui installe une variante de C2.lop).

* Concernant le courrier électronique, n’ouvrez pas les spams... et répondez-y encore moins, même par la méthode de soi-disant désinscription 'y répondre prouve qu'il y a quelqu'un à cette adresse, et qui réagit vite...

* Faites régulièrement des scans avec des anti spywares à jour.

* Comme vous l'avez remarqué, internet explorer est particulièrement exposé aux spywares... essayez firefox. :wink:

* La plupart des spywares courants sont inclus dans des barres d'outils pour navigateurs.
Méfiez-vous de ces barres, si le site qui les propose n'est pas fiable (celle de libellules, pas de problème).

* Téléchargez les installateurs de vos programmes sur les sites officiels.

* Utilisez des logiciels alternatifs, les grands standards sont sujets à plus d'attaques, car cela permet de toucher potentiellement plus de monde.
Donc Linux (he oui), Firefox, Opera, OpenOffice, et tant d'autres, gratuits et moins exposés la plupart du temps. Bien sûr, il y a toujours une contrepartie, lorsqu'on ne passe pas par les logiciels standards, mais c'est une autre question.

* N'installez pas de sponsors, ou lisez bien, voici quelques exemples d'adwares déclarés dans le setup :

WhenU (adware) :
ImageImage

C2.Lop
Image

Ceux-cis sont éradicables facilement, et surtout faciles à éviter..
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:28

Image
Les Rootkits


Définition :

Non, ce ne sont pas des kits de racines à planter. Le terme de rootkit vient des systèmes UNIX, où l'utilisateur root possède tous les droits et permissions. Un rootkit est donc un programme qui a des droits particuliers sur le système, et qui peut mettre en place des portes dérobées (backdoors), utilisables à distance de préférence, afin de voler des informations ou s'introduire dans le système, (un peu comme un troyen).

La différence avec un cheval de troie classique est que le rootkit intercepte des fonctions windows (appels de DLLs par exmple) et les modifie pour cacher ses composants. Il modifie les informations manipulées par windows, ainsi, il cachera des connexions au réseau, des fichiers, des clés de registre, etc...

Le rootkit a donc absolument besoin des droits administrateur. La chose existe depuis des années sous linux, et prend de l'essor avec windows et la montée des spywares.

Fonctionnement :
(pour plus d'information, lire le document d'3psilon (AL), sur lequel ce paragraphe se base en partie : http://3psilon.info/index.php?pa=320)

Les API sont des ensembles de fonctions windows utilisables par des programmes, une sorte de bibliothèques de tâches à faire, parmi les plus courantes. Un programmeur n'a pas besoin d'écrire tout le processus d'ouverture d'un fichier, son programme appelera l'API OpenFile().

Kernel32.dll prend en charge l'appel et le redirige vers l'API NTOpenFile() de ntdll.dll, à un niveau supérieur dans le système. Là, nous sommes encore en mode utilisateur (user mode), le noyau du système (kernel), n'entre pas en jeu.
NTOpenFile() va faire appel à son tour au noyau cette fois, dernier degré hiérarchique, qui par ntoskrnl.exe exéctuera la fonction ZwOpenFile(). Le fichier sera ouvert. Pourquoi faire tout ce chemin et passer par le noyau ? Le noyau a accès direct au matériel et s'occupe des drivers...

Ceci est la procédure standard. Un rootkit peut agir au niveau NTOpenFile() ou ZwOpenFile(), par interception ("hook", crochet) sur les fonctions de ntdll.dll, ou via un driver (nuisible), qui sera traité par le noyau, directement. Le rootkit modifiera également la SSDT (System Service Descriptor Table), la zone en ram où est stocké l'index des fonctions du noyau, qui fait quoi, en utilisant quoi. C'est extrêmement grave, car cela agit au plus haut niveau du système (à telle adresse dans la ram, se trouvent les instructions processeur pour telle fonction).
Une fois qu'il a obtenu accès à la SSDT, il peut détourner n'importe quelle fonction par modification des emplacements mémoire (en fait c'est là qu'il faut aller pour ouvrir le fichier...).

Un rootkit emploie donc traditionellement un driver (.sys) pour l'accès au noyau, une librairie pour le mode utilisateur (.dll), un programme (.exe) pour exécuter le travail principal, et un fichier de configuration (.ini). D'autres fichiers de données diverses peuvent se greffer là dessus. Les rootkits utilisent souvent un faux service windows pour dissimuler leurs actions, une fois que le service est neutralisé, les fichiers sont accessibles en clair, et votre antivirus devrait se régaler.

Comment est-ce que cela a commencé ?

Les rootkits se sont fait connaître de la communauté windows avec l'affaire Sony-BMG, dont certains CD-audio installaient des rootkits déguisés en gestionnaire des droits numériques (DRM). Mark Russinovich, de Sysinternals, avait porté l'affaire au grand jour.

L'article (technique), sur son blog, (en anglais) :
http://www.sysinternals.com/blog/2005/1 ... ights.html

Des noms ! (de rootkits)

En voici une liste non exhaustive, évidemment.

Hacker Defender (très connu), Fu, Vanquish, NtIllusion rootkit, Hacktool.Rootkit, Ducoci rootkit, MonKit, OpticKit, LOC rootkit, Romanian rootkit, Suckit rootkit, Volc rootkit, Gold2 rootkit, Annonoying rootkit, ZK rootkit, ShKit rootkit, AjaKit rootkit, zaRwT rootkit.

Et arrivent
Backdoor.Rustock.A / Mailbot.AZ (c'est le même) : + d'infos (Dellinfos)

Comment s'en débarrasser ?

Il faut passer par des logiciel spcialisés, qui sont complémentaires (encore une fois) à des antivirus / firewalls. Certains antivirus intègrent des fonctionnalités antirootkits, certains firewalls (jetico notamment) peuvent les bloquer s'ils sont bien paramétrés, mais cela ne suffit pas, dans la plupart des cas, du moins tant que le rootkit n'est pas détecté.

Attention à ne pas cumuler les logiciels de surveillance de processus (comme ProcessGuard ou Cyberhawk parmi d'autres), sous peine de conflits de drivers, et à bien les désactiver le temps d'un scan avec les outils que nous allons présenter.

Une fois le rootkit mis en évidence et identifié, la désinfection est relativement aisée, en utilisant des logiciels qui proposent un accès non-API à la base de registre et au système de fichiers. Nous allons en présenter, parmi les logiciels gratuits et populaires, ce qui les met à portée de tous.

Par la suite, d'autres programmes pourront être ajoutés au guide.
Dernière édition par Falkra le 27 Juil 2006 11:26, édité 1 fois.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:28

Rootkit revealer

Téléchargement :
http://www.sysinternals.com/utilities/rootkitrevealer.html

L'interface est sobre, comme souvent dans leurs programmes. C'est avant tout le fonctionnel qui prime.

Le logiciel va opérer plusieurs comparaisons pour déterminer des différences entre un appel d'accès au fichier par les API (fonctions) de windows, et sa propre version de l'appel, réalisé sans passer par les API windows (il utilise du code de bas niveau). S'il trouve une différence, il l'affiche.
Une différence entre un appel via API windows et un appel de bas niveau tendrait à prouver que les API windows sont corrompues ou qu'un intrus s'est glissé. En clair, windows peut ne pas voir certaines choses, que le code de bas niveau révèlera.

Ces comparaison vont être effectuées pour :
- l'accès aux fichiers (qui permettra de révéler la présence de fichiers sur le disque qui seraient cachés à windows).
- la lecture des paramètres de la base de registre (qui permettra de révéler la présence de clés cachés à windows ou surtout maquillées).
pour la base de registre le logiciel va faire un "dump" (sauvegarde depuis la ram) de la base de registre, et ses différentes "ruches" (hives : ses sections), et les comparer à la version disque dur, qu'il va décoder lui même, sans windows.

Par conséquent : si des modifications sont opérées sur les fichiers ou les clés de registre pendant le scan, ils apparaîtront. Ce sont donc de fausses alertes (comme sur ma copie d'écran), car certains programmes (firewalls, traitement mySQL), écrivent en permanence dans la base de registre.
Bref, pendant le scan, n'effacez rien, ne renommez rien, et faites taire le plus de programmes possibles. L'antivirus ne pose de problèmes. Laissez tourner votre firewall, mais ne vous étonnez pas si des références dans la base de registre, ou des logs de firewalls sont trouvés par rootkit revealer, c'est normal, et logique.


Voici l'interface :

Image

Il y a deux options possibles, cochées par défaut, à laisser cochées :
- Hide standard NTFS metadata files : les méta-données, sont des données sur des données. Les métadonnées décrivent les fichiers du disque (en partition NTFS). Ce sont par exemple les droits d'accès lecture/écriture, les dates (création accès modification), taille, type (fichier, dossier, lien spécial), autrement dit : des attributs de fichiers, évolués. Si vous décochez cette option, les métadonnées classiques (que tout système comporte, vont s'afficher). Certains défragmenteurs (perfect dixk, par exemple) les prennent en compte et les défragmentent. Bref, laissez coché.
- Scan Registry : une vérification de la base de registre, à faire aussi, car les rootkits cachent des ifchiers et paramètres de la base de registre.

Lancez le scan, par le menu "File" ou le bouton en bas à droite.

Un certain nombre de lignes va faire son apparition, soit des alertes logiques et non problématiques, soit un vrai rootkit... comment trier et comprendre les données ? Rootkit revealer ne permet pas de se débarrasser d'un rootkit, comme son nom l'indique, il le dévoile.

Voici les descriptions possibles (liste dans le fichier d'aide, ceci n'est pas une simple traduction) :

- Hidden from Windows API : Un classique, un fichier n'est pas accessible par les API windows. Si vous n'avez pas coché l'option qui masque les métadonnées des fichiers ntfs, la liste peut être très longue. Certains antivirus (Kaspersky), utilisent des techniques de type rootkit pour stocke de l'information sur les fichiers analysés. Tous les fichiers risquent de s'afficher.

- Access is Denied : normalement, il ne s'affiche pas, car rootkit revealer doit avoir accès à tous les fichiers, grâce à ses routines de bas niveau. Si cela s'affiche, il y a un sérieux problème...

- Visible in Windows API, directory index, but not in MFT.
Visible in Windows API, but not in MFT or directory index.
Visible in Windows API, MFT, but not in directory index.
Visible in directory index, but not Windows API or MFT.


Le scan du système de fichiers utilise les api windows, la MFT (master file table) et l'index des répertoires, si un fichier n'apparaît pas dans les trois, c'est soit qu'il a été effacé ou créé pendant le scan. Pas d'inquiétude, a priori.

- Windows API length not consistent with raw hive data : Une différence est remarquée dans la longueur d'une clé de registre. Certains rootkits trichent sur la taille d'une clé et y stockent de l'information. A vérifier (quitte à recréer la clé soi-même), à moins que la taille de la clé ait changé pendant le scan.

- Type mismatch between Windows API and raw hive data : Les types de clés de registre (DWORD, REG_SZ, REG_BINARY), ne collent pas. Là, windows ne pourra accéder comme il faut. Ce n'est pas un programme innofensif qui peut faire cela.

- Key name contains embedded nulls : certaines clés mal formatées (terminaison) vont être lisibles par le système mais pas regedit. Utilisé par des rootkits. Ces clés peuvent être nettoyées par un outil de sysinternals, RegDelNull.

- Data mismatch between Windows API and raw hive data : Une mise à jour d'une clé effectuée pendant le scan. si c'est un antivirus un firewall ou une valeur uptime (temps depuis le démarrage) pas de panique !


Après :

Plusieurs options, soit votre analyse des résultats montre que les alertes sont innofensives, et il y a des chances que cela le soit (comme sur ma copie d'écran), soit l'analyse montre la présence d'un rootkit (plusieurs fichiers bien regroupés, dans la même arborescence, un exéutable notamment), et là il faudra nettoyer...
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:28

Blacklight (F-secure)

Passons donc à un logiciel plus lourd, F-Secure BlackLight, qui détecte et élimine les rootkits. N'oublions pas que les antivirus classiques ne les détectent pas (à part Kaspersky, Nod32 et Sophos au moment de la rédaction de ces lignes).

Ce logiciel est encore en version beta (avec les restrictions que cela implique) et cessera de foncionner le 1er septembre 2006 (date qui résulte d'un prolongement). Il s'intègre dans la suite logicielle éditée par F-Secure.

Téléchargement :
https://europe.f-secure.com/blacklight/

Voici la première fenêtre que vous verrez, qui rapelle l'expiration du programme.

Image

Il ne vous reste plus qu'à appuyer sur le bouton "scan".

Image

L'examen commence

Image

S'il ne trouve rien (et c'est tant mieux) :

Image

Vous pouvez afficher les processus examinés, avant de quitter.

Image

Par contre, s'il trouve un rootkit ou un fichier suspect, voici à quoi devrait ressembler la fenêtre (la copie d'écran a fait le tour du web) :

Image

Vos pourrez renommer le fichier et l'éliminer. Un fichier log nommé fsbl-[date].log sera créé, afin de garder une trace des opérations effectuées.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:29

IceSword

Originellement en chinois, ce programme a su évoluer et se compléter au fil de ses versions.

La page de l'auteur :
http://www.blogcn.com/user17/pjf/index.html

http://www.xfocus.org/ (en)

Cherchez à télécharger un fichier nommé IceSword1.18en.rar, à moins que vous ne soyez à l'aise avec la langue chinoise, bien sûr.

http://www.xfocus.net/tools/index.html (cn)

Téléchargement sur rapidshare :
http://rapidshare.de/files/21074291/IceSword1.18en.rar.html

Aucune installation n'est nécessaire. si le programme refuse de démarrer, vérifiez ceci :

- Vous devez avoir les droits administrateurs.
- Désactivez des logiciels équivalents, qui surveillent le noyau, icesword doit pouvoir installer son propre driver.


Voici la fenêtre principale :

Image
Vous remarquerez le nom "bizarre" en barre de titre, il s'agit d'un titre de fenêtre généré aléatoirement, car certains programmes malveillants se basent sur les titres de fenêtres pour empêcher des programmes de contre mesures de se lancer...

La partie gauche de l'interface contient les différentes rubriques du programme :
Image

Tout ce qui est affiché en rouge est potentiellement suspect. Reste à trier, certains programmes normaux peuvent avoir ces lignes en rouge, comme les antivirus ou firewalls, selon leur degré d'intégration au système. IceSword contrôle tout ce qui a un point d'entrée dans le système.

Beaucoup sont informatives :

Process :

Image

Affichage de la liste des processus actifs sur le système. On notera la possibilité d'arrêter chaque processus, avec deux méthodes ("terminate" et "kill" pour les récalcitrants.) Un gestionnaire de processus alternatif peut dépanner lorsqu'un virus parasite l'original, par exemple, et l'empêche de s'ouvrir.

Port :

Image

La liste des ports ouverts sur la machine, avec l'adresse distante et locale, et l'application qui est à l'origine de l'ouverture. Comme TCPview.

Kernel Module :

Image

Tout ce qui est chargé par le noyau lorsqu'un programme ou le système en a besoin se trouve ici, listé avec les chemins d'accès des fichiers chargés. Informatif : les modules ne sont pas déchargeables (le système n'apprécierait pas).

Startup :

Image

Une liste succinte de ce qui démarre dans le système, par les clés de registre "run" et le dossier "démarrage" du menu démarrer. Si seule cette fonction vous intéresse, utilisez hijackthis, qui regroupe tout en une seule interface (et permet de supprimer des entrées).

[bWin32 services :[/b]

Image

Un gestionnaire alternatif pour les services windows, relativement proche de la console microsoft. Gros avantage pour les recherches : le nom anglais est donné à côté du nom dans la langue du système. Votre moteur de recherche devrai apprécier, si vous souhaitez étendre vos recherches en dehors de la zone francophone d'internet.

SPI :

Image

"Service Provider Interface", ce module liste les services d'accès à la couche réseau.

BHO :

Image

"Browser Help Object", les plugins pour internet explorer, et leur inscription en base de registre. Des spywares peuvent s'y trouver.

SSDT :

Image

"System Service Descriptor Table", il s'agit du tableau des API windows, pour voir quel module appelle quelle API. C'est ici qu'un rootkit agit pour intercepter les API windows, il s'introduit dans ce tableau. Les lignes en rouge montrent les autres modules que ntoskrnl.exe, ce ne sont pas forcément des rootkits. (ici vsdatant. sys partie du service TrueVector du firewall Zone Alarm)

Message hooks :

Image

Les "crochets de messages", un hook est une interception qu'opère le système. Voici donc la liste des processus qui interceptent les API du système. Là encore, vous trouverez firewalls et antivirus, c'est tout à fait légitime.

Log Process / Thread Creation :

Image

Une liste des événements liés aux processus et à leur création, ave l'identificateur de processus (PID) et de tâche (TID thread identifier). Difficile à décrypter, les rootkits pouvant injecter du code dans un thread. Par contre, un programme peut créer plusieurs threads de façon légitime, mais à moins d'avoir tout programmé...

Log Process Termination :

Image

La même chose pour la fermeture des tâches.

System Ckeck :

Image

Le test d'IceSword, afin de vérifier que rien d'anormal n'est détecté.

Les deux parties Registry et File donnt accès à un éditeur de base de registre et un explorateur alternatifs, qui n'utilisent pas les API windows.
Avec, vous pouvez donc effacer les fichiers et clés de registre nuisibles détectés.

Image......Image
Dernière édition par Falkra le 22 Aoû 2006 21:19, édité 2 fois.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:29

DarkSpy


Page d'accueil et téléchargement :
http://www.fyyre.net/~cardmagic/index_en.html

DarkSpy est un autre freeware de détection de rootkits, basé sur les mêmes principes que les logiciels évoqués précédemment. Une de ses particularités et de fonctionner sur deux modes, un mode normal et un mode "super", ave plus de fonctions, accessible après un redémarrage. Donc lorsqu'il vous demandera à redémarrer au premier lancement, répondez oui.

L'interface se divise en plusieurs onglets en fonction des méthodes de détection.

Process :

Image

La liste des processus, y compris les cachés, qui apparaissent en rouge.
Deux méthodes puor tuer un processus, comme dans les autres programmes.

Driver module :

Image

Là encore les éléments cachés apparaissent en rouge. Ici sont listés tous les pilotes du noyau. Un rootkit y aura forcément une entrée.

File :

Image

Un explorateur de disque sans passage par les API windows, afin de détecter et effacer (clic droit / delete) un fichier dissimulé. Vous pouvez copier et effacer les fichiers. Copier peut être utile afin de garder une trace de l'infection, ou décortiquer le fichier. En outre, si vous effaciez par mégarde un fichier sain...
La fonction d'effacement passe à travers les barrières du système. On peut l'utiliser pour des fihciers récalcitrants (sinon utilisez unlocker pour en déverrouiller).

Port :

Image

La liste de tous les ports ouverts, dont d'éventuels ports cachés. Peu de choses à dire de plus.

Registry :

Image

Voilà une partie spécifique à DarkSpy. Les "hives" (= ruches) sont les fichiers qui abritent le contenu de la base de registre, segmenté en différentes parties. Les boutons à droite permettent différents traitements de tout ou partie de la base de registre.

Soft Save va sauvegarder une clé (sélectionnez sa ruche dans la partie gauche) ou une ruche complète.

Image

Une fenêtre va s'ouvrir pour demander la clé à sauvegarder, laissez vide pour la ruche complète.

Soft Restore va restaurer une clé ou ruche qui a été sauvegardée.

Raw Save sauvegarde une ruche, le mode mode raw procède par lecture des données brutes du disque dur.

Boot Script va créer le script de démarrage complet de la machine (cf cette page (Generation-NT) pour en savoir plus). Sélectionnez la ruche à sauvegarder, puis choisissez l'meplacement de sauvegarde. Pour analyse ultérieure.

Offline Analyze va donner une vue complète d'une sauvegarde réalisée précédemment, vous pourrez modifier ou supprimer la ruche ou ses clés.

Online Analyze réalise les mêmes opérations, mais depuis la base de registre. Aucune connexion internet n'est requise, cet "online" vaut pour "actif".

A moins de tomber sur un rootkit particulièrement coriace, les modules d'"offline analyze" doivent suffire, précédés d'un "soft save" ou "raw save", et éventuellement d'un soft restore si nécessaire.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:29

Sophos anti-rootkit

Sophos a développé également un outli anti-rootkits, gratuit et très simple d'utilisation, comme peut l'être blacklight de F-Secure. Un outil à mettre entre toutes les mains. Il n'est pas limité dans le temps.

Page d'accueil (FR) et téléchargement (EN) :
http://www.sophos.fr/products/free-tools/sophos-anti-rootkit.html

Aucune installaton n'est requise, les fichiers sont à décompacter où bon vous semble.

Voici l'écran d'accueil, difficile de faire plus sobre et simple :

Image
(cochez tout, bien sûr, puis faites start scan).

L'analyse commence par les processus (très rapide), puis le logiciel va procéder à un dump des différentes parties (ruches/hives) de la base de registre afin de les comparer au contenu lisible par windows, et détecter des clés cachées par un rootkit. Cette partie est un peu plus longue.

Image

Vient ensuite l'analyse des fichiers : même principe, on compare ce que windows voit, et que le le logiciel voit, avec des routines de bas niveau sans appel direct au système.

Image

Quand tout va bien :
Image
(temps constaté pour un 200Go sata plein à craquer)

Quand il en trouve :
Image
(image tirée du guide Sophos, retouchée pour mises en évidence)

Cliquez sur clean checked items, et il nettoiera les fichiers.
Dernière édition par Falkra le 29 Aoû 2006 11:39, édité 3 fois.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 22 Juil 2006 21:30

Sources, liens, compléments

Je dois commencer par citer le très long article d'open-files :
http://www.open-files.com/forum/index.php?s=&showtopic=25524&view=findpost&p=459701
Ma première source utilisée pour les tests des logiciels, dont j'ai repris quelques éléments (signalés).
Ainsi que ces deux articles :
http://www.open-files.com/forum/index.php?showtopic=29383
http://www.open-files.com/forum/index.php?showtopic=29788

L'article de la wikipédia sur les rootkits riche en liens, et celui sur les IDS :
http://fr.wikipedia.org/wiki/Rootkit
http://fr.wikipedia.org/wiki/Syst%C3%A8me_de_d%C3%A9tection_d%27intrusion

Un autre sur commentcamarche :
http://www.commentcamarche.net/detection/ids.php3

Le site 3psilon (AL), et particulièrement cet article :
http://3psilon.info/index.php?pa=320

Les fonctionnalités des rootkits et comment les contrer sur viruslist.com :
http://www.viruslist.com/fr/analysis?pubid=167948065

Les liens contenus dans les pages ci-dessus (ce qui fait long). :wink:


De manière générale, je vous conseille la lecture d'assiste.com :
http://www.assiste.com
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Messagepar Falkra » 29 Aoû 2006 11:23

Pour des raisons de maintenance et de lisibilité, les commentaires (qui ont été conservés, bien sûr) sont dans un sujet séparé, disponible ici :

http://www.libellules.ch/phpBB2/viewtopic.php?t=18773
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1


Retourner vers Internet

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités
cron