Une collection d'emplacements de démarrage automatique

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Une collection d'emplacements de démarrage automatique

Messagede nickW » 27 Fév 2008, 22:59

Bonjour,

Avec l'aimable autorisation de l'auteur,
Sujet d'origine: http://gladiator-antivirus.com/forum/in ... opic=24610

.................................................................................Mise à jour: 09/02/2015


Une collection d'emplacements de démarrage automatique, par TonyKlein


Voici une liste d'emplacements de démarrage automatique Windows. N'importe lequel de ces emplacements de démarrage peut être et, bien évidemment, sera utilisé à la fois par des applications légitimes et par des nuisibles comme des chevaux de Troie, des virus, des vers, des espiogiciels et des logiciels publicitaires.


1. Dossier Démarrage


Windows 95, 98, Millennium

Le dossier Démarrage de l'utilisateur ayant ouvert la session:

C:\Windows\Menu Démarrer\Programmes\Démarrage

et le dossier Démarrage "Global" (tous utilisateurs):

C:\Windows\All Users\Menu Démarrer\Programmes\Démarrage


Windows XP et 2000:

C:\Documents and Settings\"Nom utilisateur"\Menu Démarrer\Programmes\Démarrage

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage


Windows Vista/7:

C:\Users\"Nom utilisateur"\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup


Le nom et l'emplacement de ce dossier de démarrage automatique sont inscrits dans les clés de Registre:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
Startup="C:\Windows\Menu Démarrer\Programmes\Démarrage" (Windows 9x, ME)

Startup="C:\Documents and Settings\"Nom utilisateur"\Menu Démarrer\Programmes\Démarrage"


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Startup="C:\Windows\Menu Démarrer\Programmes\Démarrage" (Windows 9x, ME)

Startup="C:\Documents and Settings\"Nom utilisateur"\Menu Démarrer\Programmes\Démarrage"


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Shell Folders
"Common Startup"="C:\Windows\Menu Démarrer\Programmes\Démarrage" (Windows 9x, ME)

"Common Startup"="C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage"


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\User Shell Folders
"Common Startup"="C:\Windows\Menu Démarrer\Programmes\Démarrage" (Windows 9x, ME)

"Common Startup"="C:\Documents and Settings\All UsersMenu Démarrer\Programmes\Démarrage"

Remplacer ce dossier de démarrage automatique par autre chose que les valeurs ci-dessus entraînera l'exécution de TOUS les programmes (ou liens vers les programmes) situés dans le nouveau dossier.

Exemples de nuisibles utilisant cette méthode ou des méthodes similaires:

W32/Toffus.A
Troj/Wock32-A
Troj/Optix-03C


2. Win.ini

Windows 9x

[windows]
load=file.exe
run=file.exe


Windows NT/2000/XP/Vista:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
"run"=""
"load"=""

Programs Automatically Start When User Logs on to Windows

Si, dans des systèmes basés sur NT, Windows trouve dans des fichiers .ini des sections qui ne sont pas présentes dans le Registre, ces sections seront automatiquement inscrites dans le Registre.

Exemples:

Backdoor.Cycbot
WORM_LOVGATE.AB
VBS.Grez



3a. System.ini (Windows 95/98/Millennium)

[boot]
Shell=Explorer.exe file.exe


3b. Winlogon\\Shell (Windows XP/NT/2000/Vista/7)

Windows XP/NT/2000

Lors du démarrage système, Windows XP, NT et Windows 2000 consultent la valeur "Shell" de la clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon pour trouver le nom de l'exécutable qui doit être chargé en tant que Shell (interpréteur de commandes).

Par défaut, cette valeur désigne Explorer.exe.

Ceci peut aussi être indiqué en fonction du profil de l'utilisateur (c-à-d., dans les clé & valeur de Registre similaires sous HKEY_CURRENT_USER).

Exemples de nuisibles utilisant cette méthode de démarrage:

Trojan.Astry
W32.Imaut.BH


De même dans les clés ci-dessous, une valeur "Shell" peut être utilisée pour désigner une autre interface utilisateur (Windows 2000/XP/Vista/7):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system


En outre, le système recherche Explorer.exe au démarrage, en commençant dans le dossier racine C:\ et en s'arrêtant sur C:\Windows\explorer.exe

Si le nuisible se nomme "explorer.exe" et s'il est situé à la racine de la partition, le fichier sera lancé sans qu'il soit nécessaire de modifier le moindre fichier de démarrage, et il pourra ensuite lancer le véritable explorer.exe sans que l'utilisateur s'aperçoive de quoi que ce soit.



4. c:\windows\winstart.bat (Windows 95, 98)

Se comporte comme un fichier batch .bat normal. Utilisé pour copier ou supprimer des fichiers particuliers. En démarrage automatique à chaque fois.

Parfois utilisé aussi par des nuisibles:

Backdoor.Optix
VBS/Cuerpo@MM
Troj/Nettroj-A



5a. Clés de Registre Run/RunOnce/RunServices


HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices (Windows 95/98/ME seulement)
"Quelconque"="c:\dossier\programme.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce (Windows 95/98/ME seulement)
"Quelconque"="c:\dossier\programme.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Quelconque"="c:\dossier\programme.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
"Quelconque"="c:\dossier\programme.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Quelconque"="c:\dossier\programme.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
"Quelconque"="c:\dossier\programme.exe"

Uniquement sur Windows 7 64-bit, il y a aussi:

HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\run

... utilisé pour stocker les éléments en démarrage automatique pour les logiciels 32-bit sur les systèmes 64-bit


INFO : Run, RunOnce, RunServices, RunServicesOnce et Startup (Q179365)

Definition of the RunOnce Keys in the Registry (Q137367)

A definition of the Run keys in the Windows XP registry (en français: Définition des clés Run dans le registre de Windows XP)

Exemples de nuisibles utilisant ces clés:

Backdoor:MSIL/Noszbot
Worm:Win32/Slenfbot.AKD
Worm:VBS/Cantix.A
Worm:Win32/Arhost.A


5b. Clé RunOnceEx (tous systèmes d'exploitation)


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx


Description of the RunOnceEx Registry Key (en français: Description de la clé de registre RunOnceEx)

Syntax for the RunOnceEx Registry Key (en français: Syntaxe de la clé de Registre RunOnceEx)


5c. Terminal Server, Clés de Registre Run/RunOnce/RunonceEx (Windows NT/2000/XP/Vista/7)


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run

Fréquemment utilisé par des nuisibles:

Worm:Win32/Pushbot.QV
Worm:Win32/Neubreku.C
W32/Spybot.worm!dy



6a. wininit.ini (Windows 9x)

Souvent utilisé par des programmes d'installation; lorsque le fichier existe il est lancé UNE SEULE FOIS puis il est supprimé par Windows.

Exemple de contenu de wininit.ini:

[Rename]
NUL=c:\windows\picture.exe

Dans cet exemple, C:\Windows\picture.exe est envoyé vers NUL, ce qui signifie qu'il est supprimé. Ceci ne nécessite aucune interactivité avec l'utilisateur, et peut être exécuté de façon complètement furtive.

Plus d'infos sur Wininit.ini: HOWTO: Move Files That Are Currently in Use

Exemples de nuisibles utilisant Wininit.ini:

W97M.Heathen.12288.A
W32/Netlip
W32.Netlip.Worm


6b. PendingFileRenameOperations (Windows NT/2000/XP/Vista/7)

Windows XP/NT n'utilisent pas Wininit.ini. A la place, ils utilisent une valeur "PendingFileRenameOperations" de type REG_MULTI_SZ dans la clé de Registre ci-dessous:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
"PendingFileRenameOperations"

Plus d'infos sur la valeur de Registre PFRO: How to replace in-use files at Windows restart

Exemples de nuisibles utilisant PendingFileRenameOperations:

Trojan.Alemod
W32.Goner.A@mm
W32.Stration.DE@mm


On peut aussi trouver ici une autre valeur de type Chaîne multiple: ExcludeFromKnownDlls

En voici l'explication: La clé KnownDlls liste les DLLs qui ne peuvent être lancées que depuis le dossier système. Si un fichier de même nom se trouve dans le dossier d'un programme, il ne sera pas exécuté. La version située dans System32 sera exécutée à sa place.

Voici l'article de MS: INFO: Windows Uses KnownDLLs Registry Entry to Find DLLs



7. Autoexec.bat (Windows 95, 98)

Vient de automatically executed batch file - fichier batch exécuté automatiquement, le fichier que DOS exécute automatiquement quand un ordinateur démarre.

Note: Windows Millennium ignore AutoExec.bat sauf pour en extraire les déclarations Set, Path et Prompt puis les intégrer dans le Registre.


8. Clés de Registre de génération de commandes (Windows NT 4.0/2000/XP/Vista/7)

HKEY_CLASSES_ROOT\exefile\shell\open\command
HKEY_CLASSES_ROOT\comfile\shell\open\command
HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
HKEY_CLASSES_ROOT\batfile\shell\open\command
HKEY_CLASSES_ROOT\htafile\shell\open\command
HKEY_CLASSES_ROOT\http\shell\open\command
HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
HKEY_CLASSES_ROOT\htmlfile\shell\print\command
HKEY_CLASSES_ROOT\inffile\shell\install\command
HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
HKEY_CLASSES_ROOT\piffile\shell\open\command
HKEY_CLASSES_ROOT\regfile\shell\open\command
HKEY_CLASSES_ROOT\regfile\shell\merge\command
HKEY_CLASSES_ROOT\vbsfile\shell\open\command
HKEY_CLASSES_ROOT\vbefile\shell\open\command
HKEY_CLASSES_ROOT\jsfile\shell\open\command
HKEY_CLASSES_ROOT\jsefile\shell\open\command
HKEY_CLASSES_ROOT\wshfile\shell\open\command
HKEY_CLASSES_ROOT\wsffile\shell\open\command
HKEY_CLASSES_ROOT\scrfile\shell\open\command
HKEY_CLASSES_ROOT\scrfile\shell\config\command
HKEY_CLASSES_ROOT\txtfile\shell\open\command

... et caetera

La valeur par défaut pour les clés de ce type devrait être "%1" %*
Si ceci est modifié en server.exe "%1 %*", le programme server.exe sera exécuté A CHAQUE FOIS qu'un fichier exe/pif/com/bat/hta/txt sera lancé.

Cette méthode de lancement est utilisée par un grand nombre de vers et chevaux de Troie:

VBS.Invadesys.A


Quelques exemples d'autres sous-clés dont la valeur par défaut peut aussi être modifiée par un nuisible:

HKEY_CLASSES_ROOT\Unknown\shell\openas\command
HKEY_CLASSES_ROOT\Directory\Shell\"KeyName"\Command
HKEY_CLASSES_ROOT\Folder\shell\open\command
HKEY_CLASSES_ROOT\Folder\shell\explore\command
HKEY_CLASSES_ROOT\Drive\shell\find\command
HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command

Quelques lectures:

W32.Autex.C
VBS_IPNUKER.A
TR/PSW.Lmir.51944


... ainsi que la valeur par défaut de la chaîne "Command" dans les clés:

HKEY_CLASSES_ROOT\.lnk\ShellNew
HKEY_CLASSES_ROOT\.bfc\ShellNew

Voir Infostealer.Wowcraft.B


De plus, dans les systèmes basés sur NT, la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts peut être utilisée pour associer à une extension de fichier donnée une application autre que celle définie à l'origine.

Par exemple, allez jusqu'à la clé HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt

Cliquez sur .txt et vous verrez dans le panneau de droite une valeur chaîne nommée "Application". Changez sa valeur et saisissez le nom de l'exécutable que vous voulez utiliser. Pas de chemin d'accès. Seulement Notepad.exe ou EditPad.exe ou Wordpad.exe, etc. S'il n'y a pas de valeur chaîne nommée "Application", créez-la.
Faites ensuite un double clic sur un fichier texte, et il sera ouvert dans l'application que vous avez saisie. De la même manière, un nuisible peut détourner n'importe quelle sous-clé de ce genre afin qu'il soit lui-même exécuté quand un fichier du type concerné est lancé.

Une lecture utile: Mastering File Types in Windows XP

Un exemple de nuisible utilisant cette méthode:

TR/KillFiles.JA



9. Icq Inet

HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test
"Path"="test.exe"
"Startup"="c:\\test"
"Parameters"=""
"Enable"="Yes"

HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\

Quand ICQNET détecte une connexion internet TOUTES les applications présentes dans cette clé sont exécutées.

Exemples de nuisibles utilisant cette méthode de démarrage:

Trojan-PSW.Win32.Coced.219.b
W32/Ronoper-G



10. Dosstart.bat (Windows 95, 98 )

C'est un fichier batch normal en format texte. Il contient des instructions identiques à celles contenues dans autoexec.bat mails il y a une différence importante: le moment où il est exécuté.
Alors que autoexec.bat s'exécute tout de suite lors du démarrage du système, dosstart.bat ne s'exécute que lorsque, sous Windows 95/98, vous sélectionnez l'option "Redémarrer en mode MS-DOS" depuis le menu Arrêter.
A ce moment-là Windows s'arrête avec des instructions pour redémarrer DOS mais pas l'interface Windows. DOS exécute alors le fichier dosstart.bat qui en général charge un pilote souris, un pilote pour le CD ROM, et parfois quelques autres pilotes.



11. Composant Active-X (tous systèmes d'exploitation)

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\KeyName
StubPath=C:\CheminVersLeFichier\NomDuFichier.exe

HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\KeyName
StubPath=C:\CheminVersLeFichier\NomDuFichier.exe


Ceci lance NomDuFichier.exe AVANT le shell (interpréteur de commandes) et tout autre programme lancé via les clés Run.
A chaque fois qu'un NOUVEL utilisateur ouvre une session, la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{GUID} sera comparée avec la clé similaire de la branche CurrentUser, et la commande définie dans StubPath (qui peut être n'importe quoi) sera exécutée.

Exemples de nuisibles utilisant cette méthode:

Worm:Win32/Hamweq.A
PWS:Win32/OnLineGames.GR
Backdoor.Bifrose.E
Trojan.Dazheb



12. Valeur de Registre UserInit (NT/2000/XP/Vista/7)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit"="C:\WINDOWS\system32\userinit.exe,

Exécutée lorsqu'un utilisateur ouvre une session. Un autre programme peut être ajouté après la virgule.

Exemples de nuisibles utilisant cette méthode:

W32.Ramnit.B
Trojan.Zbot
Trojan.Astry
W32.Mabezat.A



13. AppInit_DLLs (Windows NT 4.0/2000/XP/Vista/7)

Clé de Registre:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs"=""

Les DLLs indiquées dans cette valeur sont chargées en mémoire processus des applications qui sont lancées après cette modification du Registre.

Infos: Working with the AppInit_DLLs Registry Value


Exemples de nuisibles utilisant cette méthode:

Backdoor.Ginwui
W32/Elkern.cav
Trojan.Riler.E


14. Clés de Registre RunOnce\Setup (tous systèmes d'exploitation)

Normalement utilisé seulement lors d'une installation (setup) de programme. Une boîte de dialogue affichant la progression est affichée car les clés sont lancées l'une après l'autre.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup
Valeur chaîne > un programme ou un fichier

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
Valeur chaîne > un programme ou un fichier



15. ShellServiceObjectDelayLoad (tous systèmes d'exploitation)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

Exécuté par Explorer.exe dès qu'il a été chargé.
Le format des valeurs dans cette clé est en quelque sorte similaire à celui trouvé dans les clés Run, mais elle pointe vers le InProcServer du CLSID au lieu de pointer vers un fichier.

Exemples de nuisibles utilisant cette méthode de démarrage:

Trojan.Mixpel
Trojan.SpamThru
W32.Banwarum.G@mm



16. Démarrage via le Planificateur de tâches

Windows exécute des instructions de lancement automatique dans le Planificateur de tâches Windows (ou tout autre planificateur qui complète ou remplace le Planificateur de tâches Windows). Le Planificateur de tâches est un composant officiel de toutes les versions de Windows à l'exception de la première version de Windows 95, mais il est inclus dans Windows 95 si le Pack Microsoft Plus! a été installé.

Un fichier .job décrivant la tâche est placé dans le dossier %WinDir%\Tasks ( Vista+: %WINDIR%\System32\Tasks\ ):

Exemple de nuisible utilisant cette méthode:

W32.Cone.D@mm



17. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler (tous systèmes d'exploitation)

Les DLLs référencées dans cette clé de Registre sont chargées au démarrage.

Exemples de nuisibles utilisant cette méthode de démarrage automatique:

Adware.CWSConyc
Trojan.Desktophijack
Troj/Hasum-A



18. Clés Policies Run (Windows ME/NT/2000/XP/Vista/7)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\n'importe quelle sous-clé

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
Valeur chaîne > chemin vers un programme ou un fichier

Exemples de nuisibles utilisant cette méthode de démarrage:

Backdoor.Samkams.B
W32.Spyrat
WORM_AUTORUN.BSE
Troj/Prorat-D



19a. HKEY_CLASSES_ROOT\PROTOCOLS\Filter (tous systèmes d'exploitation)

Ce n'est pas vraiment une méthode de lancement automatique, mais un emplacement où certains nuisibles enregistrent un filtre permanent afin de mettre en oeuvre un détournement (hijack):

Trojan.Popdis
Adware-LinkMaker
Troj/Tofger-AI


Lire l'article technique de Microsoft: Pluggable MIME Filters



19b. HKEY_CLASSES_ROOT\PROTOCOLS\Handler (tous systèmes d'exploitation)

Des gestionnaires (handlers) peuvent être enregistrés pour divers protocoles.

Exemples de nuisibles utilisant cette clé:

W32/FunLove.gen!4218105ea36b
Total Protect 2009



20. Fichiers Virtual Device Driver (VxDs) (pilote de périphérique virtuel) dans les systèmes Windows 9x

Chargés depuis System.ini ( section [386enh] )

Et depuis la clé de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\VxD


Plus d'infos sur les VxDs: The Windows 98 Startup Process et sur Wikipedia: VxD

Exemples de nuisibles utilisant cette méthode:

DonaldD.Trojan.C
Virus.Win9x.MrKlunky.a
Keylog-Skin98



21. Services (systèmes basés sur NT comme Windows XP, Vista, Win7)

Dans le Registre: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

De nombreux vers et chevaux de Troie utilisent aussi cette méthode de lancement:

TrojanDropper:Win32/Machime.A
W32.Zimuse.B
Trojan.Daum
Trojan.Boxed.A

De même, un nuisible peut corrompre un service existant en modifiant sa valeur chaîne ServiceDLL, de façon à ce que le nuisible soit exécuté à la place du fichier légitime lorsque le service est démarré, ce que l'on voit ici (Backdoor.Wualess.B)


Remarque: Dans Windows NT/2000/XP on peut utiliser l'utilitaire du NT resource kit nommé AUTOEXNT (autoexec pour NT)
Le service AutoExNT vous permet de lancer un fichier batch personnalisé, Autoexnt.bat, au démarrage de l'ordinateur - sans avoir à ouvrir une session sur l'ordinateur sur lequel il sera exécuté.

Voir: How to Run a Batch File Before Logging on to Your Computer



22. Layered Service Providers

Dans des sous-clés de la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries

Les LSPs (Layered Service Providers) sont des petits programmes qui peuvent être ajoutés ou insérés dans la chaîne du contrôleur Windows TCP/IP par un autre programme. Les données sortant de votre ordinateur vers une destination légitime sur l'Internet peuvent être interceptées par un LSP et envoyées vers une autre destination non prévue.

Il sont exécutés avant l'ouverture d'une session par l'utilisateur.

Exemples de nuisibles mettant en oeuvre des LSPs:

Trojan.Riler.C
TR/PSW.Maran.G.5
BackDoor-CZX



23. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW (Windows NT 4.0/2000/XP/Vista/7)

Définit la ligne de commande qui est lancée quand une application basée sur MS-DOS est exécutée sous Windows NT+. Cette ligne de commande continue à être exécutée jusqu'à ce que l'application associée soit fermée.

La valeur wowcmdline définit la ligne de commande qui est exécutée quand une application Windows 16-bit est lancée. Les commutateurs disent à Windows NT de lancer soit une "VDM" (Virtual Dos Machine - Machine DOS virtuelle) MS-DOS soit une "VDM" WOW.

Plus d'informations: REG: CurrentControlSet Entries PART 3 et dans cet article (en anglais).



24. Démarrage de l'Économiseur d'écran (Windows NT·4.0/2000/XP/Vista/7)

Windows NT+:

HKEY_CURRENT_USER\Control Panel\Desktop

Valeur chaîne scrnsave.exe = nuisible.scr

Exemples de nuisibles utilisant cette méthode:

Trojan.Hiween
Backdoor.Botex


Dans les systèmes sous Windows 9x, le fichier System.ini est utilisé:

[boot]
SCRNSAVE.EXE=nuisible.exe

Exemple de nuisible utilisant cette méthode:

W32.HLLP.Lassa



25. Config.nt et Autoexec.nt dans Windows NT4/2000/XP

Fichier:

%SYSTEMROOT%\SYSTEM32\config.nt
%SYSTEMROOT%\SYSTEM32\autoexec.nt

Un exemple: VBS/Calma (ajout dans la traduction française)



26. La valeur de Registre BootExecute dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager (NT/2000/XP/Vista/7)

Contient les noms et arguments des programmes qui sont exécutés par le Gestionnaire de session (Session Manager). Le Gestionnaire de session recherche dans le dossier %WinDir%\system32 les exécutables listés ici.

Exemple d'un cheval de Troie utilisant cette méthode:

Troj/TheMouse-A

Autres valeurs intéressantes dans cette clé:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
"Execute"=
"SetupExecute"=



27. Winlogon\Notify (Windows XP/2000/NT)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Une autre clé de Registre bien connue, ajoutée pour transmettre à Winlogon.exe et lui indiquer quelles procédures lancer lors d'une notification d'événement. Une DLL référencée ici sera exécutée dans un processus niveau SYSTEM, sans se soucier de l'ouverture d'une session par l'utilisateur.

Exemples de nuisibles utilisant cette méthode:

W32/Lamud.worm
Adware.Look2Me
Troj/Haxdoor-U
W32.Naras



28. La valeur "AutoRun" dans les clés de Registre HKEY_LOCAL_MACHINE (et HKEY_CURRENT_USER)\Software\Microsoft\Command Processor (Windows NT 4.0/2000/XP/Vista/7)

Lorsque CMD.EXE se lance, il cherche les variables de Registre de type REG_SZ/REG_EXPAND_SZ ci-dessus, et si l'une ou les deux sont présentes, elles sont exécutées avant.

Exemples de nuisibles utilisant cette méthode:

W32/Autorun-ZI
Trojan.Watsoon.A
W32.Rungbu.C



29. Stratégies de script (Script Policies) (Windows NT/2000/XP/Vista/7)

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System\Scripts
Startup = C:\winNT\system32\GroupPolicy\Machine\Scripts\Startup
Startup = C:\winNT\system32\GroupPolicy\User\Scripts\Logon

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts (Vista+)


De même, un script d'ouverture de session, qui n'est lancé que pour un utilisateur lorsqu'il se connecte à un Terminal Server via le client Terminal Server ou via la console, peut être ajouté dans

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"AppSetup"=



30. GinaDLL (Windows NT/2000/XP/7)

Windows NT par défaut charge et exécute la DLL GINA standard de Microsoft (MSGina.dll). Pour charger une autre DLL GINA (Graphical Identification and Authentication dynamic-link library - bibliothèque de liens dynamiques d'identification graphique et d'authentification) , une valeur "GinaDLL" doit être créée dans la clé de Registre ci-dessous:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

La valeur GinaDLL doit contenir le nom d'une DLL GINA, que Winlogon chargera et utilisera.

Un exemple de nuisible utilisant cette méthode:

Troj/Gina


A suivre ...
Dernière édition par nickW le 09 Fév 2015, 18:36, édité 10 fois.
Raison: .
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 27 Fév 2008, 23:01

La suite ...
.................................................................................Mise à jour: 09/02/2015


31. MPRServices (Windows 95, 98, ME)

De façon quelque peu analogue à la sous-clé "Notify" dans les systèmes NT, dans Windows 9x la clé de Registre ci-dessous peut être utilisée pour charger une DLL:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\MPRServices\"Subkey"
DllName =
EntryPoint =
StackSize =

Exemples:

Backdoor.Haxdoor.B
WORM_LAMUD.A
PWS-Banker.be



32. Valeur chaîne "System" dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon (Windows NT 4.0/2000/XP/Vista/7)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"System"= "(Chemin d'accès à) Nuisible.exe"

Cette valeur est présente dans les versions NT, 2000 et XP de Windows. Elle contient la liste de fichiers exécutables lancés par Winlogon dans un contexte système lors de l'initialisation du système. Cette liste peut être changée en modifiant cette valeur.

Exemples de nuisibles utilisant cette méthode:

W32.Iretsim
Troj/Zlob-AEQ


33. VMApplet (Windows NT 4.0/2000/XP/Vista/7)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"VmApplet"=

Cette valeur de Registre stocke le nom du fichier qui est chargé par le processus Winlogon pour permettre à l'utilisateur de régler les paramètres de mémoire virtuelle au cas où le volume système ne contient pas de fichier d'échange (swap) de pagination. L'extension de fichier n'est pas obligatoire.

La valeur par défaut est: «rundll32 shell32, Control_RunDLL "sysdm.cpl"».



34. Browser Helper Objects, et autres greffons (add-ins) et extensions d'Internet Explorer, Pages de navigateur

Un Browser Helper Object ou BHO est en réalité un petit programme qui est lancé automatiquement à chaque fois que vous faites démarrer votre navigateur Internet Explorer.

A chaque fois qu'une instance d'Internet Explorer est démarrée, elle recherche dans le Registre des CLSIDs stockés dans la clé ci-dessous:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Si cette clé existe et si elle liste des CLSIDs, Internet Explorer va essayer de créer une instance de chaque objet listé en tant que sous-clé de cette clé.

Voici l'article officiel de Microsoft:

Browser Helper Objects: The Browser the Way You Want It


Exemples de nuisibles utilisant cette méthode:

Trojan.Koutodoor
BrowserModifier:Win32/BaiduSobar
Troj/Puper-AD
Trojan.Smartallyes
Troj/Lixy-B

Autres emplacements pour les greffons (Add-Ins), Barres d'outils (Toolbars) et extensions d'IE, et apparentés:

HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKCU\Software\Microsoft\Internet Explorer\Extensions
HKLM\Software\Microsoft\Internet Explorer\Extensions

De plus, des barres d'outils Explorer sont enregistrées dans une des clés de Registre suivantes:

HKCU\Software\Classes\CLSID\{CLSID}\Implemented Categories\{00021493-0000-0000-C000-000000000046} (barre d'outils Explorer verticale)
HKCU\Software\Classes\CLSID\{CLSID}\Implemented Categories\{00021494-0000-0000-C000-000000000046} (barre d'outils Explorer horizontale)


Pages de navigateur:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant"=
"CustomizeSearch"=
"Default_Search_URL"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=
"Local Page"=
"Start Page"
"Start Page_bak"=-
"HOMEOldSP"=-
"Default_Search_URL"
"Search Page"=

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=
"Local Page"=
"Start Page"
"Start Page_bak"=-
"HOMEOldSP"=-
"Search Page"
"Search Bar"=

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
""=

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main]
"Search Page"
"Search Bar"
"Use Custom Search URL"=



35. La clé de Registre HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options (Windows NT/2000/XP)

Une sous-clé peut être ajoutée dans cette clé de Registre, ayant pour nom celui d'une application légitime, par exemple Explorer.exe. Dans cette sous-clé Explorer.exe créez une valeur chaîne nommée "Debugger", dont les données contiennent le chemin d'accès à un fichier, comme "%Windows%\mauvais.exe" , et mauvais.exe sera exécuté à chaque fois qu'une instance d'explorer.exe sera lancée.

Exemples de nuisibles utilisant cette méthode:

W32/Webbew.worm
W32.Proyo
Win32/Scano.NBC
W32.Ridnu.B



36. ContextMenuHandlers (gestionnaires de menu contextuel), CopyHookHandlers (gestionnaires copie/déplacement/suppression/renommage), DragDropHandlers (gestionnaires glisser-déposer)

Quand un utilisateur fait un clic droit sur un "objet Shell", son menu contextuel est affiché. Un gestionnaire de menu contextuel est un objet Component Object Model (COM) qui ajoute des commandes à ce menu contextuel.
Un exemple bien connu est l'élément de menu contextuel "Ouvrir avec" affiché après un clic droit sur un fichier. Dans le Registre, cela apparaît comme ceci:

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With
@="{09799AFB-AD67-11d1-ABCD-00C04FC30936}"

Le CLSID (CLasS IDentifier - identifiant de classe) {09799AFB-AD67-11d1-ABCD-00C04FC30936} renvoie vers une sous-clé du même nom dans HKEY_CLASSES_ROOT\CLSID, dont la sous-clé InProcServer contient le chemin d'accès vers la DLL du gestionnaire de menu contextuel, dans ce cas Shell32.dll.

Récemment, on a découvert que cette méthode était utilisée par des nuisibles, comme par exemple le cheval de Troie Qoologic:

HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\gxmmxn
@="{f1445181-385e-4b9f-ba55-4fec86b25d01}

La sous-clé InProcServer de la clé HKEY_CLASSES_ROOT\CLSID\{f1445181-385e-4b9f-ba55-4fec86b25d01} affiche le chemin de la DLL "crapuleuse" ("rogue") qui est chargée en mémoire.


Autres clés de type ContextHandler:

HKEY_CURRENT_USER\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
HKEY_CURRENT_USER\Software\Classes\Folder\ShellEx\ContextMenuHandlers
HKEY_CURRENT_USER\Software\Classes\Directory\ShellEx\ContextMenuHandlers
HKEY_CURRENT_USER\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
HKEY_CURRENT_USER\Software\Classes\*\ShellEx\ContextMenuHandlers
HKEY_CURRENT_USER\Software\Classes\AllFilesystemObjects\ShellEx\ContextMenuHandlers


Autres exemples de nuisibles utilisant ce moyen de lancement:

Troj/Cimuz-E
TROJ_QOOLAID.R


Autres clés en rapport avec ce groupe:

HKCU\Software\Classes\*\shellex\CopyHookHandlers
HKCU\Software\Classes\*\shellex\DragDropHandlers
HKCU\Software\Classes\*\shellex\PropertySheetHandlers

HKCU\Software\Classes\AllFilesystemObjects\shellex\CopyHookHandlers
HKCU\Software\Classes\AllFilesystemObjects\shellex\DragDropHandlers
HKCU\Software\Classes\AllFilesystemObjects\shellex\PropertySheetHandlers

HKCU\Software\Classes\Directory\shellex\CopyHookHandlers
HKCU\Software\Classes\Directory\shellex\DragDropHandlers
HKCU\Software\Classes\Directory\shellex\PropertySheetHandlers

HKCU\Software\Classes\Directory\Background\shellex\CopyHookHandlers
HKCU\Software\Classes\Directory\Background\shellex\DragDropHandlers
HKCU\Software\Classes\Directory\Background\shellex\PropertySheetHandlers



37. La clé de Registre HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks (tous systèmes d'exploitation)

La clé de Registre ShellExecuteHooks contient la liste des objets COM (généralement des DLLs) qui s'accrochent aux commandes Exécuter (et les détournent dans le cas des nuisibles). Le nom de la valeur est le GUID (CLSID) (identifiant de classe) de l'objet COM en question.

Quelques lectures techniques sur ce sujet:

Creating a shell extension with C#
Logging the Shell Activity

Exemples de nuisibles utilisant cette méthode:

TrojanDropper:Win32/Lolyda.F
Infostealer.Jianghu
WORM_KORGO.AB
Troj/SpyTool-GK



38. La valeur chaîne "Taskman" dans la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (Windows NT 4.0/2000/XP/Vista/7)

Cette valeur, non installée par défaut, peut être utilisée pour lancer le Gestionnaire de tâches, voir ici: Have Ctrl-Esc Start Task Manager

Vous pouvez remplacer Taskman.exe par n'importe quelle application, et celle-ci sera exécutée au démarrage!

Exemples de nuisibles utilisant cette méthode de démarrage automatique:

Trojan:Win32/Rimecud.A
Troj/Agent-OLS
W32.Pilleuz.B
W32/IRCbot.gen.aj



39. La clé de Registre HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager

Le Gestionnaire d'utilitaires peut être configuré de façon à ce qu'il lance des programmes relatifs à l'accessibilité au démarrage de Windows. Un cheval de Troie pourrait se glisser ici en modifiant l'élément "Application Path" et en paramétrant le champ "Start with...". L'exemple ci-dessous montre l'inscription d'une application légitime comme Magnify.exe (la loupe de Windows):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\Magnifier
"Application path"="Magnify.exe"
"Application type"=dword:00000001
"Start with Utility Manager"=dword:00000001
"Start with Windows"=dword:00000001

Exemple de nuisible utilisant cette méthode de lancement:

TROJ_DLOADER.QRQ


Dans Windows Vista+ la clé suivante est utilisée:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Accessibility\Configuration



40. ColumnHandlers (gestionnaires de colonnes)

HKEY_CLASSES_ROOT\Folder\shellex\ColumnHandlers
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ColumnHandlers
HKEY_CURRENT_USER\SOFTWARE\Classes\Folder\shellex\ColumnHandlers

En fait c'est un gestionnaire d'extension du Shell appelé par l'Explorateur pour augmenter la vue "Détails" d'un dossier de fichiers. Lire l'article technique de Microsoft à ce sujet ici.

Toutefois, c'est devenu dernièrement un nouveau moyen de lancement pour les nuisibles, notamment certaines variantes récentes du cheval de Troie Qoologic.
Il y a ajout d'une sous-clé dont la valeur par défaut pointe vers la DLL crapuleuse.

Voir ici: Troj/Qoolaid-AN


41. La valeur UseAlternateShell dans la sous-clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Option (Win ME/NT/2000/XP/Vista)

Au démarrage, UserInit.exe vérifie la sous-clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Option.

S'il trouve une valeur UseAlternateShell dont la donnée est "1", Userinit lance comme interpréteur de commandes (shell) de l'utilisateur le programme indiqué dans la valeur AlternateShell de la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot au lieu de lancer Explorer.exe
Par conséquent, si un nuisible crée cette valeur UseAlternateShell et la paramètre sur "1", il peut modifier la valeur AlternateShell afin de lancer n'importe quel programme au démarrage.

Lorsque ce programme est exécuté, il peut lancer explorer.exe afin de charger l'interpréteur de commandes (shell) habituel, et l'utilisateur ignorera la présence du cheval de Troie.

Exemples de nuisibles utilisant cette méthode:

W32.Rahiwi.B
W32.Baki.C
W32/Hansah.worm.a



42. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders (toutes versions de Windows)

TOUTES les DLLs listées dans la valeur chaîne SecurityProviders de cette clé sont chargées par Windows au démarrage!


Un exemple de nuisible utilisant cette méthode:

TROJ_AGENT.OC



43. Fichiers Autorun.inf

Bien que la majorité des mémoires Flash ("clés USB") ne démarre pas automatiquement dès l'insertion, l'ajout d'un fichier autorun.inf peut entraîner la propagation d'une infection lors de leur utilisation. Accèder à une clé USB infectée via le Poste de travail (en cliquant sur le lecteur) provoquera l'exécution de ce fichier autorun.inf.

Si le autorun.inf est écrit d'une certaine façon, lorsque l'écran d'exécution automatique apparaît après l'insertion, l'utilisateur peut être trompé et incité à lancer un fichier néfaste. En cliquant sur une icône dans la boîte de dialogue "Choisissez le programme à utiliser pour ouvrir ce fichier", un programme illégitime ajouté au fichier autorun.inf sur ce disque peut être lancé:

shell\open\command=trojan.exe

De manière aussi insidieuse, certains nuisibles ajoutent des fichiers autorun.inf à la racine de tous les disques logiques.

Exemples de nuisibles utilisant ces méthodes:

W32.Hitapop
VBS_RESULOWS.A
W32.Fujacks.D
W32.Wantok
WORM_RJUMP.A

Parfois (le nuisible Virus.Win32.Small.k alias W32/Autom-A Worm en est un cas d'espèce), les sous-clés "MountPoints" sont compromises:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints (Windows 9x, Windows 2000)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 (Windows XP)

Exemple trouvé dans un Registre infecté:

HKEY_CURRENT_USER\...\MountPoints\{36e87055-e94f-11d9-8331-806d6172696f}\Shell\AutoRun\command
@="C:\\"

HKEY_CURRENT_USER\...\MountPoints\{36e87055-e94f-11d9-8331-806d6172696f}\Shell\explore\Command
@="WScript.exe .\\autorun.vbs"

HKEY_CURRENT_USER\...\MountPoints\{36e87055-e94f-11d9-8331-806d6172696f}\Shell\open\Command
@="WScript.exe .\\autorun.vbs"


Dans ce cas, un fichier infectant (Autorun.vbs) est placé à la racine du disque C, et ce fichier sera exécuté à chaque fois que l'utilisateur fait un double clic sur le lecteur C, ou fait un clic droit sur le lecteur puis choisit "Explorer"

Un autre exemple: Trojan.Win32.Diamin.jn



44. App Paths

Un des objectifs principaux de la clé de Registre "App Paths" est de lier le nom du fichier exécutable d'une application et le chemin d'accès complet à ce fichier.

La sous-clé App Paths d'une application donnée (dans la cas présent iexplore.exe) ressemblera à peu près à ceci:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\IEXPLORE.EXE
@="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"
"Path"="C:\\Program Files\\Internet Explorer;"

En conséquence on peut taper iexplore dans la boîte de dialogue "Exécuter" sans mentionner le chemin d'accès complet, et une instance d'Internet Explorer sera lancée.

Un nuisible peut modifier le chemin d'accès au fichier en le faisant pointer sur lui-même, de façon à ce que "trojan.exe" soit exécuté au lieu de l'application d'origine!

Exemples de nuisibles utilisant cette méthode:

W32.Mobler.A
Troj/Bckdr-PUQ



45. Print Monitors (tous systèmes d'exploitation)

La valeur chaîne "Driver" dans une sous-clé de la clé de Registre ci-dessous définit le nom d'une DLL pour le contrôleur d'impression correspondant:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors

Ceci peut aussi être un point de lancement d'un nuisible.

Exemple:

ADW_BETTERINT.A



46. LSA Authentication, Notification et Security Packages (Win ME/NT/2000/XP/Vista)

Lsass.exe, le "Local Security Authority Subsystem Service" (LSASS fournit une interface servant à gérer les processus de sécurité locale, d’authentification de domaines et d’Active Directory), génère le processus chargé de l'authentification des utilisateurs pour le service Winlogon.
Au démarrage du système, la LSA va charger les DLLs du package d'authentification référencées dans la valeur de Registre ci-dessous:

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
"Authentication Packages"


Une variante récente du nuisible Virtumonde/Vundo ajoute un élément à cette valeur du Registre afin de charger une DLL en mémoire:

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\nnlli.dll


D'autres valeurs de type REG_MULTI_SZ qu'il faut surveiller dans cette clé de Registre sont:

- Notification Packages, qui précise quelles DLLs sont chargées ou appelées lors de l'enregistrement ou de la modification de mots de passe.

Une fois de plus, utilisé actuellement par une variante de Vundo:

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
"Notification Packages"= scecli qxjpszou.dll wlwlthwh.dll yjcsmsha.dll agpyeoqv.dll yedgjtvy.dll ivbreraq.dll


- Security Packages, qui contient le chemin d'accès vers la DLL du package de sécurité chargée en mémoire.



47. Valeur chaîne "UIHost" dans la clé HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Cette valeur précise le chemin d'accès vers le programme qui met en oeuvre l'écran de Bienvenue (interface graphique d'ouverture de session), la valeur par défaut est logonui.exe

Une application crapuleuse pourrait le remplacer.



48. La clé de Registre AeDebug (Windows NT/2000/XP/Vista/7)

La clé "AeDebug" permet de désigner un débogueur indépendant qui sera appelé en cas de plantage système:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug
"auto"="1"
"debugger"="fichier.exe"

Plusieurs nuisibles modifient cette clé pour inscrire le nom d'un exécutable crapuleux en tant que débogueur:

Trojan.Voterai
W32/Brontok-BO
W32.SillyFDC.BBS



49. Session Manager\SubSystems (Windows NT/2000/XP/Vista/7)

Au cours du processus de démarrage smss.exe, le gestionnaire de session (Session Manager), entre autres choses, charge les sous-systèmes définis dans la clé de Registre ci-dessous:

HKEY_Local_Machine\System\CurrentControlSet\Control\Session Manager\SubSystems

Les données normales et habituelles pour la valeur de Registre (de type REG_EXPAND_SZ) "Windows" dans cette clé sont:

Code: Tout sélectionner
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16


Récemment sont apparus des nuisibles qui remplacent les valeurs par défaut basesrv.dll server dll afin de charger en mémoire une DLL crapuleuse:

Troj/Agent-GJS

Voir aussi ici (en anglais)



50. ShellIconOverlayIdentifiers (Windows 98/ME/NT/2000/XP/Vista/7)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers

Des logiciels légitimes peuvent créer à cet endroit une sous-clé afin de mettre en oeuvre un identificateur de recouvrement d'icône du shell (shell icon overlay identifier - qui gère l'affichage de la petite icône qui identifie le type de fichier).

Des nuisibles peuvent bien sûr faire la même chose, par exemple:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\Malware
@={11111111-1234-1234-1234-111111111111}

Les données par défaut de la valeur HKEY_CLASSES_ROOT\CLSID\{11111111-1234-1234-1234-111111111111}\InProcServer32 pourraient alors pointer vers une DLL crapuleuse qui sera chargée en mémoire

Exemple de nuisible utilisant ce point de lancement:

CoreFlood.dll / Win32.Afcore



51. Drivers32/Codecs Audio et Vidéo (Windows NT/2000/XP/Vista/7)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
"midi1"=
"midi2"=
"wave1"=
"wave2"=
"mixer1"=
"mixer2"=
"aux1"=
"aux2"=

Des valeurs chaîne dans cette clé de Registre définissent les DLLs relatives aux codecs audio et vidéo, un mécanisme qui a de plus en plus la cote auprès des nuisibles afin d'obtenir une exécution automatique.

Spy-Agent.cm
Trojan.Silentbanker
Infostealer.Daonol

Voir également ce rapport ThreatExpert.



52. BootVerificationProgram (Windows NT/2000/XP/Vista/7)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BootVerificationProgram
"ImagePath"=

La sous-clé BootVerificationProgram stocke des données relatives à des programmes personnalisés de vérification lors du démarrage, voir ici (en anglais)

Il est possible d'y créer une valeur "ImagePath" de type REG_EXPAND_SZ qui peut indiquer le chemin d'un exécutable crapuleux.



53. Chemin des applications de sauvegarde, vérification des erreurs disque, nettoyage de disque, et défragmentation de disque (Windows NT/2000/XP/Vista+)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\BackupPath ("chemin sauvegarde")
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\ChkDskPath ("chemin vérification des erreurs disque")
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\cleanuppath ("chemin nettoyage de disque")
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\DefragPath ("chemin défragmentation de disque")

La valeur par défaut dans chacune de ces clés de Registre contient le chemin d'accès des applications que Windows utilise par défaut pour effectuer l'action en question. Ces valeurs pourraient être remplacées par des applications crapuleuses.


54. Credential Providers (Fournisseurs d'informations d'identification) (Vista/7)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider Filters
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers

Peut être utilisé pour déployer un fournisseur d'informations d'identification personnalisé. Voir Custom Login Experiences: Credential Providers in Windows Vista, ou en français, Personnalisez les accès à l'aide de fournisseurs d'informations d'identification pour Windows Vista



55. Autoplay Handlers (gestionnaires d'exécution automatique) (XP/Vista/7)

Des gestionnaires d'exécution automatique (AutoPlay Handlers) pour divers événements, comme par exemple faire un clic droit sur un lecteur de CD ou un lecteur amovible, se trouvent dans:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers

Exemple de nuisible ayant détourné cette clé de Registre:

WinAntiVirusPro



56. Service Control Manager Extension (Win7)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceControlManagerExtension (Merci, Andrew Aronoff de Silent Runners)



57. AppCertDlls (Windows NT/2000/XP/Vista/7)

Une DLL enregistrée dans la sous-clé AppCertDlls de HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager sera chargée dans n'importe quel processus dès qu'il essaie de lancer un autre processus en utilisant la fonction API kernel32!CreateProcess().

Exemples de nuisibles écrivant dans cette clé:

TrojanSpy:Win32/Ursnif.gen!I
TR/Spy.Browse.A



Salut,
Dernière édition par nickW le 27 Nov 2010, 16:03, édité 11 fois.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 20 Avr 2008, 11:09

Bonjour,

20/04/2008: Ajout des paragraphes 5c, 52 et 53.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 09 Mar 2009, 23:05

Bonsoir,

09/03/2009: Mise à jour.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 02 Mar 2010, 14:43

Bonjour,

02/03/2010: Mise à jour.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede nickW » 24 Nov 2010, 02:13

Bonjour,

Mise à jour 23/11/2010

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités