Le détournement IFEO (Image File Execution Options)

Le module O50  traite de l’IFEO (Image File Execution Options). Il permet de lister toutes les sous-clés de registre des clés IFEO.

La clé de Base de Registres « HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options » est souvent utilisée par des processus malwares. La raison en est simple, il est possible de rediriger l’exécution de n’importe lequel des processus vers un processus de son choix.

Dans la pratique une nouvelle clé avec le nom d’un processus, généralement légitime et appartenant à un antivirus connu comme par exemple « GUARD.exe » ou bien un processus légitime de Windows comme par exemple « regedit.exe » ou « svchost.exe« . Ensuite on lui donne comme valeur ‘Debugger‘ et comme donnée le nom du processus malware avec son chemin complet comme par exemple « c:\windows\System32\regeedit.exe« .

Soit :
[HKLM\…\IFEO\regedit.exe]
Debugger= »c:\windows\System32\regeedit.exe »

– Ainsi lorsque sera sollicité sous debugger l’éditeur de Base De Registres « regedit » , c’est le processus malware « regeedit.exe » qui sera exécuté de façon totalement transparente pour l’utilisateur infecté.

– A côte de la valeur « Debugger« , il existe d’autres valeurs susceptibles de provoquer un dysfonctionnement. C’est le cas notamment de la valeur « BreakOnDllLoad » avec la donnée ‘1’ qui provoque un « break » de la ressource dynamique en cours de chargement. Plus récemment la création de la valeur « VerifierDlls » avec comme donnée la ressource dynamique « DoubleAgentDll.dll » qui permet de contourner les antivirus.

– Bien sûr il n’y a pas que les fichiers d’extension .exe ou .dll qui sont la cible de tels procédés.

– Certains précaunisent l’utilisation de la clé IFEO à des fins de vérouillage comme « Strip My Rights« . Je ne suis pas trop partisan d’une telle action, car à moins d’être un expert, à terme il n’est plus possible de savoir si l’on est à la source d’une telle modification ou bien si l’on est infecté.

– Comme par défaut sous XP/Vista il n’y a aucun processus sous la clé IFEO (sauf DllNXOptions, IEInstall.exe & MovieMaker.exe), il est plus prudent de supprimer tous le reste qui se trouve sous cette clé. Une exception toutefois si vous êtes sous Windows Server qui utilise la clé IEFO pour la gestion de ses processus légitimes comme STORE.EXE,MAD.EXE,INETINFO.EXE ou EMSMTA.EXE. Pour ce dernier cas il faudra bien étudier la valeur de l’entrée « PageHeapFlags ».

 Aperçu ZHPDiag

—\\ Image File Execution Options (4) – 1s
O50 – IFEO:C:\WINDOWS\System32\MRT.exe – (.Microsoft Corporation – Outil de suppression de logiciels malveilla.) [1\\CFGOptions]
O50 – IFEO:C:\WINDOWS\System32\NS.exe – (…) [DoubleAgentDll.dll\\VerifierDlls] {}
O50 – IFEO:C:\Windows\System32\msfeedssync.exe – (.Microsoft Corporation – Microsoft Feeds Synchronization.) [256\\MitigationOptions]
O50 – IFEO:C:\Windows\System32\mshta.exe – (.Microsoft Corporation – Hôte des applications HTML de Microsoft(R).) [256\\MitigationOptions]

 Aperçu ZHPCleaner

—\\ Base de Registres ( Clés, Valeurs, Données ). (2)
TROUVÉ donnée: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NS.exe\\VerifierDlls [Bad : DoubleAgentDll.dll]
SUPPRIMÉ donnée: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NS.exe\\VerifierDlls [Bad : DoubleAgentDll.dll]