ZHPDiag – Module O17 (MDAD)

Le Domain Name System (ou DNS, système de noms de domaine) est un service permettant de traduire un nom de domaine en informations de plusieurs types qui y sont associées, notamment en adresses IP de la machine portant ce nom.

À la demande de la DARPA (Defense Advanced Research Projects Agency, « Agence pour les projets de recherche avancée de défense ») américaine, Jon Postel et Paul Mockapetris ont conçu le « Domain Name System » en 1983 et en ont rédigé la première réalisation. [Wikipedia]

Origine

– Le module O17 (MDAD) a été crée le 05 juin 2008.

Caractéristiques

– Ce module liste les modifications des serveurs DNS qui peuvent permettre une redirection vers un site malveillant.

– La recherche s’effectue sur la valeur « NameServer » au niveau des clés de Base de Registres suivantes :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSetXX\Services\Tcpip\Parameters\Interfaces]
(XX étant un nombre entier, 01,02,03,…)

– Ajout d’une recherche complémentaire sur les valeurs de clé « Domain« , « NameServer« , « SearchList » de la clé :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] v1.26.30

– La valeur de Base de Registre « DhcpNameServer » est la cible de serveurs Ukrainiens « Promnet » d’adresse IP 93.188.1XX.XXX. Ajout d’une recherche complémentaire sur les valeurs de clé « DhcpNameServer » et « DhcpServer de la clé : [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] v1.26.39

Aperçu ZHPDiag

—\\ Modification Domaine/Adresses DNS (3) – 0s
O17 – HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = gla.ac.uk
O17 – HKLM\System\CCS\Services\Tcpip\Parameters: Domain = W21944.find-quick.com
O17 – HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 69.57.146.14,69.57.147.175

O17 – HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 93.188.166.105

Exemples d’infections

O17 – HKLM\System\CCS\Services\Tcpip\..\{04F87BC5-7D49-4D5C-A720-07BA8A9A8C0B}: NameServer = 93.188.162.230,93.188.166.210
O17 – HKLM\System\CCS\Services\Tcpip\..\{E9C44116-C989-402F-BA29-44D3E9BDD13C}: NameServer = 93.188.162.230,93.188.166.210
O17 – HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.230,93.188.166.210
O17 – HKLM\System\CS1\Services\Tcpip\..\{04F87BC5-7D49-4D5C-A720-07BA8A9A8C0B}: NameServer = 93.188.162.230,93.188.166.210
O17 – HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.230,93.188.166.210
O17 – HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 93.188.162.230,93.188.166.210

PUP.Optional.DNSKeeper.A
O17 – HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 82.163.143.164,82.163.142.166
O17 – HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 82.163.143.164,82.163.142.166
O17 – HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 82.163.143.164,82.163.142.166
—> DNS Israel Azor Xglobe Online Ltd

Action ZHPFix (Cas N°1)

O17 – DNS:Diversion Of DNS – HKLM\System\ {KeyCurrent} \Services\Tcpip\..\ {KeyCLSID} \ {ValueKey} = {NameServer}

{Key} : Clé de la Base de registres [HKLM\SYSTEM\ {KeyCurrent} \Services\Tcpip\Parameters\Interfaces]
{KeyCurrent} : Nom du Control comme par exemple « CCS » (CurrentControlSet) ou « CS1″ (ControlSet01),…
{KeyCLSID} : Sous-clé CLSID de la clé {Key}
{NameServer} : Donnée de la valeur {ValueKey} de la clé {KeyCLSID}
{ValueKey} : Valeur de la clé {KeyCLSID}

1) L’outil modifie la donnée de la valeur {ValueKey}.
– Pour les valeurs « DhcpServer » et « DhcpNameServer », la donnée est remplacée par l’adresse IP locale « 192.168.0.1 ».
– Pour les autres valeurs », la donnée est effacée.

Action ZHPFix (Cas N°2)

O17 – DNS:Diversion Of DNS – HKLM\System\ {KeyCurrent} \Services\Tcpip\Parameters: {ValueKey}= {NameServer}

{Key} : Clé de la Base de registres [HKLM\SYSTEM\ {KeyCurrent} \Services\Tcpip\Parameters]
{KeyCurrent} : Nom du Control comme par exemple « CCS » (CurrentControlSet) ou « CS1″ (ControlSet01),…
{NameServer} : Donnée de la valeur {ValueKey} de la clé {Key}
{ValueKey} : Valeur de la clé {Key}

1) L’outil modifie la donnée de la valeur {ValueKey}.
– Pour les valeurs « DhcpServer » et « DhcpNameServer », la donnée est remplacée par l’adresse IP locale « 192.168.0.1 ».
– Pour les autres valeurs », la donnée est effacée.

Rapport ZHPFix (Cas d’une redirection vers un serveur lettonien)

Lignes saisies :
O17 – HKLM\System\CS2\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8
O17 – HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 213.109.64.7 213.109.72.139 1.1.1.1

Rapport de ZHPFix v1.12.3132 par Nicolas Coolman, Update du 02/08/2010

========== Elément(s) de donnée du Registre ==========
O17 – HKLM\System\CS2\Services\Tcpip\..\{E01879DB-8975-443B-84BF-E0A72F6E0AB1}: NameServer = 91.188.60.223,8.8.8.8 => Donnée supprimée avec succès
O17 – HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 213.109.64.7 213.109.72.139 1.1.1.1 => Donnée supprimée avec succès

========== Récapitulatif ==========
2 : Elément(s) de donnée du Registre

Liens

* Lop.com domain hijackers (Assiste.com)
* Détournement DNS (Web Tranquille)
* Supprimer Trojan-DNS (Malekal)
* Connectivité limitée ou inexistante