ZHPDiag – Module O10 (LSP)

Winsock est une Bibliothèque logicielle pour Windows dont le but est d’implémenter une « Interface de programmation inspirée de Berkeley sockets. Elle prend notamment en charge l’envoi et la réception des paquets de données sur des réseaux TCP/IP. (Wikipedia).

Les pirates utilisent Winsock pour charger des ressources de noms aléatoires comme « SecureAssist.dll »,  « zdengine.dll » ou encore « OptimizerMonitor.dll ».

Origine

– Le module O10 (LSP) a été crée le 20 mai 2008.

Caractéristiques

– Ce module liste toutes les ressources se trouvant dans les sous-clés Winsock2. L’analyseur de ZHP permet de définir la légitimité ou la nocivité des ressources.

Aperçu ZHPDiag

—\\ Winsock hijacker (Layered Service Provider) (O10)
O10 – WLSP:\000000000004\Winsock LSP File – C:\Windows\system32\pnrpnsp.dll

—\\ Winsock hijacker (Layered Service Provider) (O10) v1.25.02
O10 – WLSP:\000000000004\Winsock LSP File . (.Microsoft Corporation – Fournisseur d’espace de noms PNRP.) — C:\Windows\system32\pnrpnsp.dll
O10 – Broken Internet access because of LSP provider (.no file.) — C:\WINDOWS\system32\winrnr.dll

Exemple d’infection

—\\ Pirate de Winsock (Layered Service Provider) (O10)
O10 – Protocol_Catalog9\Catalog_Entries\000000000001 – C:\Windows\System32\SecureAssist.dll
O10 – Protocol_Catalog9\Catalog_Entries\000000000002 – C:\Windows\System32\SecureAssist.dll
O10 – Protocol_Catalog9\Catalog_Entries\000000000003 – C:\Windows\System32\SecureAssist.dll
O10 – Protocol_Catalog9\Catalog_Entries\000000000004 – C:\Windows\System32\SecureAssist.dll
O10 – Protocol_Catalog9\Catalog_Entries\000000000025 – C:\Windows\System32\SecureAssist.dll