2 replies to this topic

[Txon]

Suite de ... "Alertes ... vrais/faux positifs"

Même si cela semble mineur, les faux positifs peuvent être une véritable nuisance :

• Les ressources système sont sollicitées pour scanner et reporter le supposé code malicieux
• Temps perdu par l'utilisateur à chercher et arrêter le soi-disant virus
• Les emails de retard que l'utilisateur ne peut pas lire pendant que l'antivirus tente de stopper le virus
• Temps perdu à des tentatives futiles de désinfecter des fichiers infectés ainsi que les backups qui sont également marqués comme " infecté ".
• 
  En bref, les faux positifs sont des nuisances coûteuses.

Comme les anti-spams-spywares-virus, les anti-rootkits ne peuvent pas toujours être infaillibles. Quel que soit le moyen de défense choisi pour la détection des intrusions dans votre système Windows, il y aura toujours des doutes concernant certaines d'entre elles. Sont-elles ou non nuisibles ?

Il n'y a pas de certitude absolue. Seules des bases de données pourraient nous renseigner. Les informations fournies ne sont pas toujours suffisantes.

Comme nous l'avons déjà vu, beaucoup d'outils de détection font leur travail en listant tout ce qui s'active dans l'ordinateur et signalent plus particulièrement, souvent en rouge, en surbrillance ou par des messages d'alerte, les processus, services ou pilotes qui « crochètent » les API pour s'en servir.

Dans beaucoup de cas, les listes qu'ils fournissent comprennent des extensions de programmes utiles et même nécessaires au bon fonctionnement du système ou des applications. Parmi celles-ci, certaines utilisent les techniques des rootkits pour améliorer leur efficacité ou cacher des fonctions ou fichiers dont l'utilisateur n'a pas à se soucier. Au contraire, certains rootkits le font pour cacher leurs méfaits.

Bien sûr, lorsqu'une alerte intervient au moment de l'installation d'un nouveau logiciel désiré, la tendance logique sera à penser qu'il s'agit d'un module sain qu'il met en place. Cependant, certains logiciels pourraient ne pas être complètement utilisés dès l'installation et certaines fonctionnalités ne se déclencher qu'en fonction des besoins. Parmi elles pourquoi pas une "fonction rootkit", intrusive et/ou de camouflage ?

Certains logiciels de sécurité ne disposent pas de pré-paramétrage. Il ne savent pas identifier toute la base de Windows. Certains "H-IPS" tout particulièrement ne doivent être installés que sur des bases "saines" et "apprendre" avant d'être complètement activés.
Autrement ils lancent de très nombreuses "demandes d'autorisation", ces alertes très particulières auxquelles les usagers ne savent pas toujours quoi répondre.

... ... ...

Comment distinguer ce qui doit être interdit et éliminé du reste ?
Certaines techniques de détection sont réputées plus performantes que d'autres. Exemples ...

• comparaison entre les fonctions essentielles du système trouvées sur un disque encore sain et la mémoire ou elles s'exécutent,
• prévention basée sur une analyse comportementale qui requiert une connaissance des méthodes d’attaque pour identifier les nouvelles menaces indépendamment du nombre et de la forme de leurs variantes.

Le contrôle précis et total de toutes les communications avec l'extérieur du PC et d'autres procédés peuvent également être cités, mais aucun ne suffit à lui seul pour tous les cas de figure. Les maliciels ont de plus en plus de tours dans leur sac.

.../...

[Txon]

...\...


Processus et drivers « génériques » utiles ou indispensables

• Exemples pour Windows, parmi les plus courants ...
  • C:\WINDOWS\explorer.exe
  • C:\WINDOWS\system32\lsass.exe
  • C:\WINDOWS\system32\services.exe
  • C:\WINDOWS\System32\smss.exe
  • C:\WINDOWS\system32\spoolsv.exe
  • C:\WINDOWS\System32\svchost.exe
  • C:\WINDOWS\system32\winlogon.exe
  • C:\Program Files\Messenger\msmsgs.exe
• csrss.exe (Client/Server Runtime Subsystem) ... processus système critique de Windows NT/2000/XP – gestion des fenêtres et des éléments graphiques de Windows – ne peut être arrêté.
• CascSvc.exe ... service NT, il est copié dans le répertoire système pour y être exécuté comme service.
• nvsvc32.exe ... processus du pilote de la carte graphique Nvidia.
• wdfmgr.exe ... service de Windows Media Player 10 (Windows User Mode Driver Framework)

En principe, ils n"ont pas un comportement « anormal » et les logiciels de détection ne devraient pas déclencher d'alerte.

Lorsque cela arrive, on doit craindre, suivant les cas ...

• Un dysfonctionnement du système,
• La présence d'un « malware » qui porte le même nom,
• Le « crochetage » de l'extension originale de Windows par un rootkit pour injecter son propre code.

Dans l'exemple ci-dessous, c"est l'explorer.exe de Windows qui est la victime d'un rootkit de démonstration ...

... ... ...

Quelques contrôles
Aucune technique de détection ne permet de distinguer de manière absolue ce qui est nuisible de ce qui ne l'est pas. Les recherches sur Google ou Yahoo peuvent vous aider mais il y a d'autres solutions ...

• Il est important de disposer d'une base de connaissance pour s"aider à trier le bon grain de l'ivraie. Exemples ...
  • Pour les "dll" de Windows ...
    • -> windows dll archive,
    • -> dll-files,
    • -> dll dump,
    • -> dll downloads
  • pour les processus et services de Windows ..
    • -> Processus Windows,
    • -> Windows XP Services,
    • -> WinTasks Process Library
  • pour un peu de tout ...
    • -> Processus Windows et logiciels courants,
    • -> Services Guide,
    • -> Task List Programs,
    • -> Sécurité internet : processus
  Il y en a beaucoup d'autres mais aucune de ces bases de données n"est parfaite pour l'identification détaillée des rootkits sous Windows et guère plus pour celle des "faux positifs".
• Vous pouvez aussi utiliser les services du site ProgramChecker
  • Dans la fenêtre de « Search our Database » tapez le nom du fichier soupçonné (ex. shimeng.dll) puis cliquez sur « Go »
  • Il s'ouvre alors une nouvelle page web dans laquelle se trouvent des indications sur le fichier (nombre de versions existantes, auteur), s'il est connu . Cliquez alors sur le fichier « File » normalement souligné en jaune.
  • Si tout est au mieux, vous devriez recevoir un message d'authentification du fichier ... « This version of (nom du fichier) has been authenticated and has no reported problems ». Dans le cas contraire il y a lieu de s'interroger davantage sur le fichier en question.
• L'identification de l'auteur du logiciel (ou de son extension) est une première indication que certains utilitaires peuvent vous donner. Il faut se méfier plus particulièrement des provenances inconnues, mais ce n"est pas toujours suffisant.
  
• Un contrôle de la signature du logiciel (ou de son extension) pourra ôter un doute quand celle de l'original est connue.
  • ->winMd5Sum -> explications (en français).
  • -> MD5summer -> explications (en français).
  Notez cependant que la signature "MD5" est sans aucun doute la plus connue, mais qu"elle n"est pas infaillible.

.../...

[Txon]

...\...

Fichiers « ambigus » mais généralement sains ...
Certains logiciels comme le firewall Jetico, SEEm, les produits de Kaspersky ou de Symantec et autres, ont des activités « anormales » dans la mesure ou ils « crochètent » le noyau de Windows pour un fonctionnement plus efficace, pour cacher leurs fichiers de travail etc. Mais attention, les logiciels en question peuvent eux aussi être la cible de maliciels agressifs qui pourraient utiliser leurs noms et, dans ce cas, les alertes seraient justifiées.

Quelques exemples de "drivers" ...

• a347bus.sys / a347scsi.sys ... de alcohol120%
• bfcdi.sys ... du firewall Jetico
• cmdmon.sys ... du firewall Comodo
• d346bus.sys ... de Daemon Tools qui crée les "CD/DVD Drives" virtuels.
  "Des malwares prennent aussi ce nom et se camouflent dans %SystemRoot% ou %SystemRoot%\system32"
• dtd.sys ... de Arovax Shield
• filtnt.sys ... du firewall Outpost
• guard.sys ... de Ewido
• klif.sys & kl1.sys... de l'antivirus KAV ... Kaspersky AntiVirus "klif.sys" ... kl1.sys
• fwdrv.sys ... du firewall Kerio
• procguard.sys ... de ProcessGuard.
• pxfsf.sys ... de PrevX (Prevx Home Intrusion Prevention)
• savedump.exe ... processus de NT memory dump
• sanbox.sys ... du firewall Outpost
• sptd.sys et les sptdxxx.sys (xxx = un numéro aléatoire) ... de Daemon Tools
• ssmypics.scr ... Microsoft "slide show" screen saver
• vsdatant.sys ... "TrueVector Device Driver" de Zone Alarm

Ils peuvent déclencher des alertes, jugées par certains abusives, mais qui ne sont en fait que des précautions. Avec IceSword ou RkUnhooker, on les trouve le plus souvent (mais pas toujours) dans le module [SSDT] où sont signalés les services qui accèdent au tableau utilisé par Windows pour diriger des appels de système vers un traitement approprié.
Un contrôle ne coûte que peu de temps.

Ils ne sont pas inquiétants sauf si ...

• vous n"avez pas le logiciel correspondant,
• le logiciel correspondant ne fonctionne plus correctement,
• l'emplacement sur le disque n'est pas habituel,
• le contrôle de signature n'est pas satisfaisant.

/!\ Attention /!\ Il ne faut pas confondre les "faux positifs" avec les vrais. Exemple ...

• Le logiciel antispyware Spycatcher 2006 utilise un processus protector.exe situé dans "%programpath%\spycatcher 2006\"
• Le cheval de Troie Trojan-Proxy.Win32.Wopla.ac utilise un processus caché protector.exe situé dans "%SystemRoot%\system32"

Vous pouvez aider à compléter la liste ci-dessus grâce à votre propre expérience.
N"hésitez pas à signaler les résultats douteux des scans réalisés par vos utilitaires, et en particulier les alertes dont l'origine est un logiciel volontairement installés.

Un screenshot de l'évènement est le bienvenu. Vous pouvez l'héberger par exemple selon les préconisations d'Infomars ou sur -> ImageShack ...

... et en poster ici l'adresse dans ce site.

Merci d'avance !!!

*-*-*-*-*-*-* *-*-*-*-*-*-* *-*-*-*-*-*-* *-*-*-*-*-*-*

Fin provisoire ...
Ce dossier sera complété en fonction de vos demandes de précisons ou de l'évolution des logiciels disponibles gratuitement. En cas de doute en ce qui concerne la signification d'un mot ou d'une expression, vérifiez s'il existe une explication dans le lexique des mots et expressions utilisés dans l'environnement des rootkits et des ARKs.
Veuillez faire part de vos réflexions et poser vos questions dans le sujet réservé à cet effet ...

>>> ICI <<<

@+