Les malware sous Windows - Etude d'une infection


Les malware sous Windows - Etude d'une infection


Cette page a pour but de décrire le fonctionnement et la manière dont se greffent des malware sur un système Windows.
  1. Les malware sous Windows - Etude d'une infection
    1. Les vers et les spywares
    2. Les Processus sur un PC sain
      1. Processus systèmes
      2. Processus non systèmes 
    3. PC infecté par des spywares/malware
    4. Désinfection
      1. Les dossiers à surveiller
      2. Les Services
      3. Les BHO
      4. La Redirection DNS
      5. Quelques conseils
      6. Les Manipulations manuelles sans anti-spywares
      7. Les Manipulations avec les anti-spywares
    5. Prévention
      1. Conseils classiques
    6. Liens utiles
      1. Anti-Spywares
      2. Scan d'antivirus en ligne 
      3. Patchs Microsoft

Les vers et les spywares

Les vers sont des malwares qui infectent les PC sous Windows.
Ils utilisent les mêmes méthodes d'infections que les spywares, seuls la propagation et le but diffère.

Les vecteurs de propagation des vers sont :
  • L'exploitation d'une faille de sécurité sur Windows, la simple connexion sur internet sans protection infectera l'ordinateur d'où l'importance des mises à jour et l'installation d'un firewall.
  • L'ouverture de fichiers vecteurs d'infection exploitant aussi généralement des failles sur le système d'exploitation lors de la navigateur sur des sites non sûrs (crack, porno etc..), démonstration :  Les dangers des cracks!
  • L'ouverture de pièce jointes par mail, les vers utilisent beaucoup les mails pour se propager
  • L'ouverture de sites non sûrs, ou l'exploitation de failles sur les messageries instantanées (msn messenger, icq, yahoo messenger etc..).
  • L'ouverture de sites non sûrs via IRC (voir Les Virus IRC sous Windows)
Les buts des vers sont :
  • Les attaques de type DOS vers des sites WEB : 
  • Le contrôle du PC via des connexions IRC souvent aussi pour effectuer des attaques type DOS
  • Utiliser la machine comme serveur de fichiers pour partager des Divx, MP3 etc..
Voir l'article sur les Les PC Zombies
Les Spywares :
  • Collectent des informations sur vos habitudes de navigation, sur votre système et de les envoyer à des sociétés afin de cibler plus facilement le SPAM. 
  • Ouvrent régulièrement des popup de pubs (casino, porn etc..)
  • Certains spywares vous indiquent que vous êtes infecté pour vous vendre un anti-spywares.
  • Les spywares modifient considérablement la configuration de Windows, désactivant souvent des fonctions de sécurités sur les navigateurs et rendant l'infection par des vers plus faciles. De plus, certains spywares désactivent les antivirus.
Les Rogues :
Les Rogues sont des faux anti-spywares. Le but est de vous faire acheter un faux antispywares qui soit disant est le meilleurs.
Parfois des infections installent ces rogues avec des infections... Ces rogues se lancent pour vous montrer qu'ils trouvent ces infections... mais vous devez payer, bien entendu, pour supprimer l'infection.
Ces infections sont aussi accompagnés de messages d'alertes.. vous indiquant que vous êtes infectés et vous proposent de télécharger et installer d'autres rogues.

Enfin, ces deux types de malware ont tendance à ralentir considérablement le PC.

Les Processus sur un PC sain

Lorsque vous êtes infecté, le malware ajoute de nouveaux processus en mémoire.. Il convient donc de connaître les processus par défaut de Windows pour repérer plus facilement ceux des malware.
Si vous avez des processus en plus, dont vous ne connaissez pas la provenance et qui n'est pas une application que vous avez installé, méfiez-vous.

Il est alors de conseiller de faire une recherche du fichier sur le disque pour voir dans quel dossier, il se trouve, selon le nom du dossier, vous pouvez alors voir s'il appartient à une application que vous avez installée.
Vous pouvez aussi utiliser Google pour voir la provenance du fichier.

Pour pouvoir afficher la liste des processus, faites : CTRL+ALT+SUPPR puis gestionnaire de taches, et cliquez sur l'onglet processus en haut.

Processus systèmes

csrss.exe : Microsoft Client/Server Runtime Server Subsystem. Ce qui gère en gros les opérations graphiques.
explorer.exe : C'est le shell par défaut de windows, il gère l'interface graphique bureau
lsass.exe : c'est le serveur d'authentification qui permet en autre de se loguer via le service winlogon
mmc.exe : Microsoft Management Console - ce sont les outils disponibles dans le panneau de configuration / outils d'administration
mstask.exe : is the Windows Task Scheduler process. C'est le plannificateur de tâches.
regsvc.exe : Remote Registry Service - Service permettant de se connecter à la base de registre à distance.
rundll32.exe: Processus permettant de charger DLL en mémoire afin de les rendre utilisables par d'autres programmes.
services.exe : Windows Service Controller - C'est ce qui gère les services, qui permet d'arreter de redémarrer un service existant.
smss.exe :  Session Manager Subsystem - Gère les sessions utilisateurs, permet de supprimer/créer une session
spoolsv.exe : Printer Spooler Service - Gère les mise en attente des travaux d'impression
svchost.exe : Microsoft Service Host Process - c'est le processus hôte générique des services qui sont exécutés à partir des bibliothèques de liens dynamiques. Un processus svhost.exe peut lancer plusieurs services Windows.
wuauclt: client permettant de démarrer windows update en background


Processus non systèmes 

taskmgr.exe : C'est le gestionnaire des tâches de Windows lui-même. Il est donc systématiquement lancé à chaque fois que vous souhaitez voir les processus d'arrière-plan !
winlogon.exe : Windows LogOn Process - Processus servant à gérer l'ouverture et la fermeture des sessions. Le processus WinLogOn est également actif lors de l'ouverture de la fenêtre par alt+ctrl+suppr
wzqkpick.exe : WinZip System Tray Application

Pour valider les programmes installés sur votre ordinateur, je vous conseil de vous rapporter à ce tutorial :
Vérifier la légitimité des programmes

Voici une capture d'un PC sain, sous Windows 2000.
Liste des processus d'un PC non infecté par un spyware

PC infecté par des spywares/malware

L'infection d'une machine par un spyware se fait généralement par l'exploitation d'une faille sur le navigateur WEB.
Etant donné que toutes les failles connues d'Internet Explorer ne sont pas corrigées, il suffit donc d'aller sur des sites de cracks et/ou de type pornographique pour se faire infecter.
Sachez aussi que l'infection est "invisible" dans le sens où aucune demande de téléchargement ne vous sera demandée.

Après deux-trois ouvertures de sites (bien choisis :)) avec Internet Explorer offert avec Windows 2000 - SP4.
Le PC est rempli de jolis spywares/Vers.

Je tiens à préciser que je ne me suis pas amusé à modifier ce joli fond d'écran, mais que cela s'est fait tout seul (haaa la joie des fonds d'écran active desktop :)))
  • On constate aussi une nouvelle icône rouge dans le systray (en bas à droite).
  • J'ai gagné un nouveau programme "PSGuard" pour me protéger des virus&spywares, ce qui n'est pas de trop!
  • La page de démarrage d'Internet Explorer a été modifiée.
  • Un fort ralentissement du PC et de la connexion internet
  • Une ouverture fréquence de Popup de pub (casino, porn, attention vous êtes infecté par un spywares) même lorsque vous ne surfez pas
  • Window est bien sûr devenu instable.
Capture d'un PC infecté par un spyware Capture d'un PC infecté par un spyware

Les Processus
Au niveau des processus on constate plein d'ajouts tels que gmfpjaaa.exe intell32.exe rajepai.exe winldra.exe
et on retrouve une bonne partie de ces processus au démarrage de Windows via la clef dans la base de registre : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices


Dans un sous-dossier de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify, c'est le cas de Look2me afin de charger une .DLL

Notez que pour pouvoir écrire dans ces clefs, il faut avoir les droits administrateur. Ces clefs permettent le démarrage de programmes quelque soit l'utilisateur. Si vous n'êtes pas administrateur de la machine, le malware peut tout de même démarrer sur votre profil utilisateur dans la clef : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run*

La liste des clefs de la base de registre au démarrage)

Ainsi les spywares/vers sont chargés au démarrage de Windows
Listes des Processus par un PC infecté par un spyware Clef du registre d'un PC infecté par un spyware

Les sous-processus :
Enfin un programme comme dll show permet de constater que des dll ( CGKFPBACK.DLL et OFCLJAPP.DLL ) sont chargées avec le processus Explorer.exe ce qui signifie que tant que explorer.exe sera chargé en mémoire, vous ne pourrez pas supprimer ces .dll

Généralement, ces dll ne possèdent pas de Compagny/Version et apparaissent en N/A sur Dll show ce qui permet avec leurs noms de les identifier facilement. N'hésitez pas à vérifier avec Google aussi car N/A ne signifie pas forcemment spywares!

NOTE:
  • Ces DLL ou processus peuvent aussi être en sous processus d'iexplore.exe ( Internet Explorer ) afin d'être lancé lors de l'ouverture d'Internet Explorer.
  • Dll Show contient un module de recherche de processus et Dll ( view / find modules.. ) sur les disques durs, cela peut etre très util  aussi.
Enfin, le vers peut aussi modifier le fichiers hosts afin que les site ou les mises à jour des Antivirus ne soient plus accessibles.

DLL issu d'un spyware dans le processus explorer.exeFichiers hosts modifié par un vers

Les services :
Lorsque vous supprimez un malware d'un ordinateur, vous avez souvent l'habitude de regarder les entrées via un log HijackThis. Cependant, de plus en plus de spywares, s'installent en services, ce qui signifie que ces entrées ne sont pas visibles à travers les logs d'HijackThis. C'est le cas par exemple des malware Ssearch.biz et Home Search Assistant.

Les connexions :
Certains spywares installent des trojans qui peuvent envoyer des mails infectés ou être utilisé pour attaquer des sites WEB, ceci entraînent donc une importante utilisation de votre connexions.
Vous pouvez visualiser les connexions établies avec la manipulations suivantes : Démarrer / Executer / cmd / netstat -a
Si vous voyez beaucoup de connexions vers des adresses sur le port 25, il y a de grandes chances que vous envoyez des mails.
Si cela est vers des adresses sur le port 80, il y a de grandes chances que votre connexion est utilisée pour attaquer un site WEB.

Exemple de la commande netstat avec une Capture connexions établies par un malware utilisée pour envoyer des mails.
  • Les dossiers à surveiller

    • Dans Program Files dont Program Files\Fichiers Communs
    • Dans le profil de l'utilisateur ou AllUser :
    • Documents & Settings\Local Settings\Temp
    • Documents & Settings\Application Data\  ( il faut pouvoir visualier les fichiers systèmes, voir plus bas )
    • Dans Winnt ou un de ses sous-dossiers (ex: C:\Windows\Downloaded Program Files) crées par le spyware ou directement dans system32
Vous pouvez consulter la LIstes des rogues et dossiers %PROGRAMFILES% dangereux
  • Les Services

Certains malwares (généralement les spywares) s'installent en service, cela necessite bien entendu les droits administrateurs. Brièvement, les services sont des programmes qui fonctionnent en arrière plan, même si aucun utilisateur n'est loggué sur Windows. Un service peut être démarré directement via son fichier .exe auquel cas il apparaîtra de manière "normale" dans le gestionnaire de tâches, soit être initialisé par l'intermédiaire du processus svchost.exe au démarrage de Windows. L'avantage dans ce cas est que le processus du malware n'apparaît pas dans le gestionnaire de tâches, seul les processus svchost.exe apparaît. Sous Windows XP, il est possible de lister les processus de chaque service svchost.exe par la commande tasklist /SVC

Pour plus d'informations, reportez-vous à la page :
Les services windows
les malwares et les services

  • Les BHO

Une autre méthode utilisée par les spywares sont les BHO (Browser Helper Object). Les BHO sont des applications de type plug-in qui s'intègrent à Internet Explorer. Ces derniers s'exécutent au démarrage du navigateur. Beaucoup de spywares utilisent les BHO pour modifier les paramètres d'internet Explorer (hijack!) comme la page de démarrage/de recherches ou ajouter des barres d'outils ou faire apparaître des popup de publicités.

Pour valider les BHO installés, reportez-vous à ce tutorial : Vérifier la légitimité des programmes

  • Les Redirections DNS

Certains spywares modifient les clefs du registre de type : HKLM\System\CCS\Services\Tcpip\..\.
Cela permet de modifier les serveur DNS, dans ce cas là, lorsque l'utilisateur tente d'aller sur un site, il est en fait redirigé vers un autre site pour qui en général permette de l'infecter.

Deux infections sont à l'origine de ces redirections DNS :
Vous pouvez visualiser une démonstration de ces redirections sur ce lien : Redirections lors des recherches Google NOTE:
  • Pour corser le tout, un processus peut cacher un autre processus en mémoire, ou un processus peut cacher un fichiers sur le disque.
  • L'infection par ces biais necessite les droits administrateurs donc si vous ne surfez pas avec un utilisateur ayant les droits administrateurs, vous réduisez de façon significative vos chances d'infections

Quelques conseils

Il n'y a pas d'ordre prédéfinis, mais dans un premier temps, supprimez un maximum de processus/dll des spywares. Mais certaines manipulations peuvent être vaines. En effet :

Vous pouvez par exemple modifier la page de démarrage d'Internet Explorer pour supprimer le site qui a été mis par le Spyware ou supprimer une entrée dans la base de registre. Mais si le processus du spyware est encore en mémoire, ce dernier va probablement remettre sa page de démarrage. Si vous supprimez ce processus de la mémoire un autre peut le recharger etc...

A vous de bien vérifier, quand vous faites une manipulation que l'entrée supprimée ne revient pas.
  • Lorsque vous avez trouvé un fichier spyware dans Winnt et ses sous-dossiers, ranger les fichiers par date, afin de trouver les autres fichiers de la même date, cela peut vous aider à trouver d'autres fichiers malicieux.
  • Sans oublier la règle d'or sous Windows, tant que le processus/DLL est en mémoire, vous ne pouvez le supprimer du disque dur, sous peine de recevoir une jolie fenêtre de violation de partage.
  • Installez un firewall sur votre machine ou configurer le. Configuration du Firewall de Windows XP
  • N'utilisez JAMAIS l'ajout/suppression de programmes pour supprimer les programmes malicieux, cela les réinstalle.
  • Pour pouvoir supprimer tous les fichiers malicieux, il faut pouvoir les visualiser, pour cela, dans Dans Menu Options des dossiers / Affichage :
    • Décochez Masquer les fichiers systèmes du système d'exploitation
    • Décochez Masquer les fichiers cachés
    • Vous pouvez aussi utiliser HijackThis pour localiser les fichiers malicieux.
    • Si vous avez la possibilité, notez la liste des fichiers malicieux, et utilisez un CDLive pour supprimer les fichiers. Vous pouvez aussi utiliser le mode sans échec, dans certains cas les fichiers ne sont pas en mémoire.

Les Manipulations manuelles sans anti-spywares

On n'utilisera pas de programmes styles Ad-aware / Spybot. De manière générale, il faut finir le nettoyage à la main après le passage des programmes anti-spywares puisqu'il ne supprime malheuresement pas tous les spywares.
  • Lorsque vous commencez le nettoyage, n'ouvrez plus Internet Explorer, sous peine de réinfecter votre machine.
  • Dans un premier temps, tuez le maximum de processus malicieux. Pour les repérer :
    • Utilisez la liste des processus fournie en haut de cette page, Liste des processus sains de Windows - Liste des processus sains de Windows
    • Utilisez Google en tapant le processus voir les résultats
    • Vérifiez l'emplace du processus, s'il est dans un répertoire avec un nom de programme connu, pas de panique, s'il est dans le dossier Windows ou Windows/System32 ou dans Program Files avec un nom bizarre ou dans Documents & Settings, terminer le processus
  • Vérifiez qu'ils ne reviennent pas. Je vous conseil de laisser la fenêtre du gestionnaire de tâches ouverte.
  • Démarrez regedit et cmd puis tuez le processus explorer.exe pour basculer sur les autres fenêtres utilisez alt+tab
    • Supprimez les entrées malicieux de la base de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (Lancement des programmes au démarrage de Windows) -  (La liste des clefs utilisées au démarrage de l'ordinateur est disponible: Clefs du registre utilisées au démarrage)
    • Vérifiez les entrées HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\LocalSearch\Search Page (page de recherche d'Internet Explorer) et HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page (Page de Démarrage d'Internet Explorer)
    • Vérifiez aussi les programmes au démarrage avec msconfig : Démarrer / executer / msconfig / onglet démarrage - Décochez les programmes suspicieux
    • N'hésitez pas à effectuer les recherches complètes dans la base de registre des noms des fichiers du spyware pour supprimer toutes les entrées des spywares. Vérifiez que les entrées ne reviennent pas.
  • Certains spywares changent votre fond d'écran en mettant une page HTML, Vous devez supprimer des clefs pour pouvoir changer le fond d'écran
    • Supprimer le dossier : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
    • Supprimer le dossier : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • Via Démarrer / executer / cmd allez dans les dossiers où se trouve les EXE et DLL des spywares/vers et supprimez les.
  • Recharcher explorer.exe via le gestionnaire de tâches --> Fichier / Nouvelles Tâches ( executer ) / tapez explorer.exe puis Entrée.
  • Videz le cache internet / cookies / fichiers temporaires / : Poste de travail / clic droit propriétés sur votre disque C / nettoyage / cochez les élements et faites nettoyer.
  • Vérifiez les services à l'aide du programme Getservices.zip et supprimez les services du malware. Pour plus d'informations, consultez ce Comment les malwares s'installent en services
  • Modifiez la page de démarrage d'Internet Explorer SANS ouvrir Internet Explorer : Dans le panneau de configuration / options internet / Page de démarrage
  • Je vous conseil aussi de scanner votre ordinateur avec un antivirus à jour, si vous êtes infecté, il y a des chances que vous n'en aillez pas, utilisez alors un antivirus en ligne : 
  • Si vous rencontrez toujours des problèmes, générez un log à l'aide Téléchargez HickjackThis - mode d'emploi et venez le poster sur le forum

Les Manipulations avec les anti-spywares

Prévention

Conseils classiques

Les conseils sont en général les mêmes que ceux pour se prévenir des vers puisque ces derniers utilisent les memes moyens pour infecter un ordinateur.


RECOMMANDEE : Une page COMPLETE sur la sécurisation de votre ordinateur et les menaces sur internet : Sécuriser son ordinateur et connaître les menaces


  • NE JAMAIS aller sur des sites de cracks ou pornographiques avec Internet Explorer, c'est l'infection à cours sûr!, démonstration :  Les dangers des cracks!
  • Utilisez un OS alternatif à Windows, par exemple GNU/Linux, pour les débutants voir : Presentation de la distribution GNU/Linux Ubuntu
  • Utilisez un navigateur alternatif à Internet Explorer, voir : Présentation du navigateur Libre Firefox
  • N'utlisez pas Windows avec des droits administrateurs. Ainsi, si vous êtes infecté, ce ne sera qu'au niveau de l'utilisateur. Il sera beaucoup plus simple de supprimer l'infecter (supprimer de l'utilisateur etc..)
  • Mettez à jour régulièrement Windows. Via http://windowsupdate.com ou configurez les mise à jour automatiques via Panneau de configuration/Mise à jour.
  • Utilisez un Antivirus et vérifiez régulièrement et que la liste des virus est à jour ( jamais plus d'une semaine ). Vous pouvez installer des antivirus gratuits voir : Tutorial installation et configuration d'Avast!
  • Attention aux applications que vous installez, vérifiez qu'elles n'installent pas de logiciels tiers : c'est le cas de cette version de Kazaa et de MSN Plus3! (les sponsors)
  • N'acceptez jamais de télécharger et installer un programme venant d'une fenêtre vous indiquant que vous êtes infectés ou que votre ordinateur court des risques.
  • Installez un firewall ( zonealarm / look'n stoop... ) et bien configuré, normalement vous n'avez besoin de donner accès qu'à votre navigateur/mail, voir : Tutorial et configuration du Firewall de Windows XP
  • Mettez un *bon* mot de passe administrateur, mélanger les majuscules/chiffres
  • Si votre fichier hosts qui se trouve dans \Windows/system32/drivers/hosts est modifié et contient des sites d'antivirus (symantec/trend-micro etc.. ), vous êtes infecté.
  • Ne surfez pas avec un utilisateur ayant les droits administrateurs, conseultez La gestion des utilisateurs : Pourquoi ne faut-il pas surfer en étant administrateur

Liens utiles

Site de sécurité Spywares / CWS / worms / Hijackers recommandé: http://assiste.free.fr

    Anti-Spywares

    Il est conseillé d'utiliser tous les outils ci-dessous, en en effet, tous les spywares ne sont pas répertoriés par tous les outils, vous avez donc plus de chance en utilisant les trois de supprimer un maximum de spywares.
    * Pensez à mettre à jour avant de scanner *

    Les outils de suppressions de Spywares/Malwares spécifiques

    Scan d'antivirus en ligne 

    Ne garanti pas que votre ordinateur est non infecté... car si un processus cache les fichiers infectés, ils ne seront pas scanné et donc pas de détection de vers. Scanner votre ordinateur en ligne avec un antivirus en ligne
    Liste Anti-Spywares et Anti-trojans
    ( Voir dans la partie gauche la liste, notamment les "faux remover" et CWShredder et CWS.Smartkiller )

    Patchs Microsoft

    Corrige les failles RPC exploités par plusieurs vers ( Blaster, MyDoom, Agobot etc.. ) : Patch correctifs failles RPC
    Découvrez l'univers informatique Avec Francky

    Créer un site gratuit avec e-monsite - Signaler un contenu illicite sur ce site