RunScanner - Analyse de tous les emplacements de démarrage

Ce qui relève de la sécurité mais n'est pas une désinfection : discussions sur les antivirus, firewalls, hips, méthodes de protection, prévention des infections, mises à jour. Conseils et coups de main pour sécuriser une machine, choisir un logiciel de sécurité, et au sens large parler de ce domaine.
-- Pas de demandes d'analyse. --

Modérateur: Modérateurs

RunScanner - Analyse de tous les emplacements de démarrage

Messagepar Pierre (aka Terdef) » 16 Mar 2007 02:13

Bonjour à tous,

RunScanner - Analyse de tous les emplacements de démarrage de Windows

J’observe, depuis 1 mois environ, les diverses versions en bêta test d'un nouvel outil qui me paraît très prometteur et auquel j'apporte tout mon soutien - c'est un vrai coup de cœur. Les habitués de HijackThis, pourriez-vous le tester et uploader vos journaux d’analyse afin d’enrichir la base de données.

J’ai fait un papier en anglais pour nos amis de l’autre côté de la grande mer et j’ai la flemme de le traduire en français (désolé - mais nous en parlons, en français, sur http://assiste.forum.free.fr/viewtopic. ... sc&start=0 )


RunScanner
A new tool to analyze all autostart locations
A replacement for HijackThis / Autoruns...
state : betaRunScanner is compatible with those versions of Windows
All versions of Windows beginning at Windows 2000

What does it do ?
  • Do a log of (at that time) 73 autostart locations
  • Do an on line analysis of the log
  • Very easy to read and comfortable
  • Ability to fix
  • Use hashes (ie : official from Microsoft and an internal DB)
  • And the best for us (helpers and experts)
    • A user can save the .run file
    • A user can send the .run file to an expert - (We can receive a .run file)
    • We can analyze the .run file with RunScanner
    • We can mark items that need fixing
    • We can send the .run file back to the user with items marked
    • The user re-open the .run file with his RunScanner and fix what we check
    Miscellaneous
    • Check to see if user has administrator rights
    • Lookup at google.com to maingrid
    • Process killer : Start explorer (if all your explorers are killed)
    • Kill process popup menu
    • - Kill and rename of process
    • - Kill and delete of process
    • - Delete at next reboot of process file
    • - Copy to clipboard
    • - Open location
    • - Show file properties
    • Many ways for marking of items (space, doubleclick, popupmenu)
    • Whitelist
    • Importing of .run files directly from internet links
    • Possibility to save text .log files. (to post in forums, ...)
    • Service information (enabled, disabled, automatic)
    • Driver infromation (kernel, IO, enabled, disabled, automatic)
    • Username/Domain in the process killer list
    • Regedit jump jumps to values
    Currently scanned items
    000 Items in the header of the log
    • General info:
    • Runscanner Version
    • Time of scan
    • Type of scan (full, quick)
    • Productname
    • Service Pack
    • Version Build
    • Language
    • Internet explorer version
    • Windir
    001 Running processes
    002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
    003 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
    004 C:\Documents and Settings\<CurrentUser>\Start Menu\Programs\Startup
    005 C:\Documents and Settings\<AllUsers>\Start Menu\Programs\Startup
    006 %ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup
    007 %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
    010 Windows services
    011 Windows drivers
    030 HKLM\SOFTWARE\Classes\PROTOCOLS\Filter
    031 HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
    032 HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
    033 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
    034 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
    035 HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
    036 HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
    037 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System
    038 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
    040 HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
    041 HKCU\Software\Microsoft\Internet Explorer\Toolbar
    041 HKCU\Software\Microsoft\Internet Explorer\Toolbar
    042 HKLM\Software\Microsoft\Internet Explorer\Extensions
    043 HKCU\Software\Microsoft\Internet Explorer\Extensions
    044 HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser
    045 HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
    050 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
    051 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
    052 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
    060 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    061 HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
    062 HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
    063 HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute
    064 HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
    065 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options (Debugger)
    066 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
    067 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
    068 HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\ (Current_Protocol_Catalog)
    107 HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\ (Current_NameSpace_Catalog)
    069 HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitor
    070 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
    071 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages
    072 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
    073 %windir%\Tasks
    074 %windir%\System32\Tasks
    100 Internet Explorer settings Start Page HKCU
    100 Internet Explorer settings Start Page HKLM
    100 Internet Explorer settings Search Page HKCU
    100 Internet Explorer settings Search Page HKLM
    100 Internet Explorer settings Default_Page_URL HKCU
    100 Internet Explorer settings Default_Page_URL HKLM
    100 Internet Explorer settings Default_Search_URL HKCU
    100 Internet Explorer settings Default_Search_URL HKLM
    100 Internet Explorer settings SearchAssistant HKCU
    100 Internet Explorer settings SearchAssistant HKLM
    100 Internet Explorer settings CustomizeSearch HKCU
    100 Internet Explorer settings CustomizeSearch HKLM
    100 Internet Explorer settings ProxyServer HKCU
    100 Internet Explorer settings ProxyServer HKLM
    100 Internet Explorer settings ProxyOverride HKCU
    100 Internet Explorer settings ProxyOverride HKLM
    100 Internet Explorer settings SearchUrl HKCU
    100 Internet Explorer settings SearchUrl HKLM
    100 Internet Explorer settings ShellNext HKCU
    100 Internet Explorer settings ShellNext HKLM
    102 HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars
    102 HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars
    104 HKLM\Software\Microsoft\Code Store Database\Distribution Units (activeX xontrols)
    106 HKLM\Software\Microsoft\Windows\CurrentVersion\URL (Default url handlers)
    120 Domain/DNS hijacking SYSTEM\CurrentControlSet\Services\VXD\MSTCP : Domain
    120 Domain/DNS hijacking SYSTEM\CurrentControlSet\Services\VXD\MSTCP : NameServer
    120 Domain/DNS hijacking SYSTEM\CurrentControlSet\Services\Tcpip\Parameters : Domain
    120 Domain/DNS hijacking SYSTEM\CurrentControlSet\Services\Tcpip\Parameters : NameServer
    120 Domain/DNS hijacking SYSTEM\CurrentControlSet\Services\Tcpip\Parameters : SearchList
    120 Domain/DNS hijacking SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony : DomainName
    120 Domain/DNS hijacking SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces (Nameserver, Domain)
    121 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
    122 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
    135 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce (+subkeys)
    136 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce (+subkeys)
    137 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx (+subkeys)
    138 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx (+subkeys)
    139 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows :Load
    140 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows :Run
    145 HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\UpperFilters
    146 HKLM\System\CurrentControlSet\Control\SafeBoot : AlternateShell
    147 HKLM\System\CurrentControlSet\Control\SecurityProviders :SecurityProviders
    148 HKLM\System\CurrentControlSet\Control\WOW :cmdline
    149 HKLM\System\CurrentControlSet\Control\WOW :wowcmdline
    150 HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
    151 HKLM\Software\Microsoft\Command Processor :Autorun
    152 HKCU\Software\Microsoft\Command Processor :Autorun
    160 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
    161 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
    166 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run (+subkeys)
    167 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run (+subkeys)
    170 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
    171 HKCU\Control Panel\Desktop : SCRNSAVE.EXE
    172 HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
    173 HKCR\*\shellex\ContextMenuHandlers
    180 FileType Hijacking
Exemple of an online analysis
http://www.runscanner.net/report.aspx?repo...33-b8e3d15e9a7b

Exemple of the (future) rating of the files - we can see the template of those pages
http://www.runscanner.net/getmd5.aspx?md5=...ess=svchost.exe

Reading the log
  • State Icons - Far left column
    • Image Driver or service starts up automaticly
    • Image Driver or service starts up manually
    • Image Driver or service is disabled
    • Image IO Driver
    • Image Kernel Driver
  • Shield Icons - Second colomn
    • Image Certified with an MD5 - The signature of this file is verified (it is from a trusted source and signed by Verisign, ...).
    • Image No wintrust signature - the file is not signed (this does not mean that the file is malware) - (This function is buildin into windows "wintrust.dll").
    • When hashes will be rated, it will exist a red shield for parasites. The MD5 hash is used to store the file in the online database. As soon as the final version is ready there will be a rating of the files on the website - At this moment, rating of processes begins.
Dream of the day
The good thing would be that RunScanner act as a front end for DBs like
  • Castlecops
    http://hashes.castlecops.com/Hashes.html (31 743 604 file hash entries including parasites (this is what we are looking for))
  • File Advisor File Identification
    http://www.bit9.com/index.php (2 054 736 194 file hash entries without parasites (!))
  • Or redo, in internal, a same db
  • Or work with distributed DB (RunScanner + Castlecops + File Advisor + Microsoft + Others SW editors proposing such DB)
I do believe in this tool
(and, if Trend do the same with HijackThis as they do with CWShredder...)

Need beta testing and upload of logs to feed the DB
If many people do an online analysis, it will rapidly grow.

HowTo
Download > Unzip > Run (no install) > Do a scan > do an « Online Analysis »

Links

Sincerely
Avatar de l’utilisateur
Pierre (aka Terdef)
 
Messages: 9
Inscription: 16 Mar 2007 01:22

Messagepar Frankie » 16 Mar 2007 07:51

Bonjour Pierre,
Je vient d'essayer ce logiciel et il a l'air vraiment bien,très pratique a utiliser!
Merci pour l'avoir signalé :-D
Avatar de l’utilisateur
Frankie
Maître Libellulien
Maître Libellulien
 
Messages: 572
Inscription: 08 Déc 2004 07:49
Localisation: Geneve

Messagepar Falkra » 16 Mar 2007 13:47

Bonjour Pierre, et bienvenue sur libellules, on s'était croisés sur assiste à propos de cyberhawk, si je retrouve mon mot de passe je posterai un petit quelque chose ici ou là.

Entre temps, je le présenterai sur le blog, merci beaucoup pour ces infos, avec le rachat de hijackthis, celui-là tombe à pic on dirait... :-D

Ca me plait bien en tout cas.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Messagepar Pierre (aka Terdef) » 16 Mar 2007 19:34

Bonjour Falkra

Si tu as un oublié ton MdP je t'en met un transitoire et je te le communique en MP. A toi de le changer aussitôt après.

RunScanner.
Je crois que l'on tient un bon truc. Moi aussi il me plaît bien c'est pourquoi je lui fais un peu de promo. Il est encore en bêta mais on est proche de la version finale.

Il y a des détails qui m’interpellent (du bon côté) :
La réactivité du développeur
La vision qu’il a de son produit
Les signatures MD5 qui nous donnent des certitudes, peu importe qu’elles soient certifiées ou non – les signatures sur le serveur crl.microsoft.com, (le serveur de certificats de Microsoft ( crl = Certificate Revocation List )) sont par essence des certitudes pour nous.
La recherche directe Google
Le formatage du log (structuration forte des champs) comparé au .txt du log HJT

Un détail qui a son importance pour moi : dans la précédente version bêta 0.8.0.0 de RunScanner, le journal d'analyse (« Online Analysis ») comportait des insertions publicitaires (Google AdSense). Je peux parfaitement comprendre cela car il faut assumer le frais d'hébergement et de bande passante. Si le produit décolle il va être très largement employé et les analyses en ligne vont être très lourdes en temps serveur ! Evidemment, les insertions de Google sont orientées "logiciels de sécurité". J'ai simplement fait remarquer à Geert, en privé, qu'une insertion de Google pointait vers un logiciel présent dans ma Crapthèque. En quelques minutes je recevais un message : "I was hoping to let the google ads pay my hosting cost - ads are removed" (J'espérais que les pubs Google paieraient mon hébergement. Pubs retirées). Bon, elles restent sur les pages du site : ie
http://www.runscanner.net/getmd5.aspx?m ... vchost.exe

La possibilité d’uploader et de downloader les logs et très agréable
un visiteur fait un log et le sauvegarde sur le site de RunScanner
il communique l’identificateur dans un forum
l’expert sur le forum récupère de log et l’analyse avec sa propre copie de RunScanner (on ne change pas d’outil)
l’expert note des corrections à faire et renvoie l’analyse du log
le visiteur récupère son analyse amandée par l’expert et, avec sa propre copie de RunScanner, corrige (fix) les problèmes

Pour le reste, nous sommes dans le même contexte qu’avec HJT donc prudence (toujours passer par un forum d’experts – utilisation de tous les autres outils habituels autour des logs HJT).

J’ai suggéré que la quotation des entrées dans la base de données ne soit pas faite par tout le monde et n’importe qui, comme c’est le cas sur hijackthis.de, avec les incohérences et la pollution que l’on sait, mais par un petit groupe d’experts cooptés et agréés (ou un truc dans le genre).

Dommage que la PacMan ne soit pas structurée.

Si l’outil ne peut pas attaquer directement des bases de données comme CC ou File Advisor à la volée lors de l’analyse d’un log (File Advisor a une action commerciale autour de sa base et, d’autres part, des centaines de logs analysés à la minute à travers le monde feraient un DDoS sur le serveur de File Advisor), je lui suggère d’ajouter, dans la grille du log, un clic droit > CC et un clic droit > File Advisor – ce serait génial.

Cordialement
Avatar de l’utilisateur
Pierre (aka Terdef)
 
Messages: 9
Inscription: 16 Mar 2007 01:22

Messagepar Pierre (aka Terdef) » 16 Mar 2007 19:45

Re,

J'avais préparé mon post précédent, pour te répondre, il y a plus de 2 heures et j'étais passé à autres choses en le laissant en plan.

L'une des "autres choses", était 2 idées communiquées à Geert.

Et bien cela n'a pas trainé ! Les voici avec ses réponses dans la foulée. Sa manière de penser et de travailler me plait ainsi que sa vivacité.

Pierre a écrit:Hi,

As for "Lookup at Google.com" in the main grid

Right Clic > "Lookup at File Advisor"
The url to use is
http://fileadvisor.bit9.com/services/ex ... px?md5=MD5
as in
http://fileadvisor.bit9.com/services/ex ... 9cc381ee40

The user must be registered (free) to get the result page of the querry



Geert a écrit:Funny, I was just experimenting with this five minutes ago Anxious
The bad thing is that you have to register, I don't like that.



Pierre a écrit:Hi,

As for "Lookup at Google.com" in the main grid

Right Clic > "Lookup at MD5 Hashes in Castlecops DB"
The url to use is
http://hashes.castlecops.com/qhash-MD5-3.html
as in
http://hashes.castlecops.com/qhash-825A ... CA1-3.html

and

Right Clic > "Lookup at File name in Castlecops DB"
The url to use is
http://hashes.castlecops.com/qhash-FILE NAME-1.html
as in
http://hashes.castlecops.com/qhash-io.sys-1.html

The -1 or -3 after the parameter passed in the url is a code that stand for

-1 the parameter is a file name
-2 the parameter is a SHA-1 hash
-3 the parameter is a MD5 hash
-4 the parameter is a CRC32

And there are rules for special characters in file names.

This would be great, Yeeeeeeeesssssssss !

Hum.... Ask Paul Laudanski before.


Geert a écrit:Even funnier (if that's an English word)

I asked him 2 minutes ago


Cordialement
Avatar de l’utilisateur
Pierre (aka Terdef)
 
Messages: 9
Inscription: 16 Mar 2007 01:22


Retourner vers Discussions, prévention, protection

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités