ZHPDiag – Module O83 (SSS)

Certains malwares utilisent la fonctionnalité de  Svchost pour se cacher de certains outils de diagnostics. C’est le cas notamment du ver Conficker qui possède des fonctionnalités de porte dérobée de Cheval de Troie.

Tout d’abord il s’attaque aux protections du système en désactivant les logiciels de sécurité et leurs mises à jours. Il désactive aussi les mises à jours de Windows. Ensuite il établit une connexion à son serveur afin de prendre le contrôle à distance de la station. Enfin il télécharge et installe des programmes malwares.

Plus précisément le service malware s’insère en tant que donnée dans la liste multiple de la valeur « NetSvcs » comme dans l’exemple du service « nscpjapu » ci dessous :

AeLookupSvc,CertPropSvc,SCPolicySvc,lanmanserver,nscpjapu,gpsvc,IKEEXT,AudioSrv,…

Parallèlement le service malware est crée dans la clé de Base de Registres des services, et une ressource malware est affectée à sa valeur « ServiceDll » comme par exemple :
[HKLM\SYSTEM\CurrentControlSet\Services\nscpjapu\Parameters]
« ServiceDll »= »c:\windows\system32\chfywi.dll« 

Le module Search Svchost Services (SSS) permet de lister le groupe de services particuliers lancés par Svchost.exe. Ces services sont installés dans la donnée de la valeur de clé « NetSvcs » .

La recherche s’effectue dans la clé de Base de Registres : [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost].

– Chaque service de ce type est lancé par le biais de la commande « svchost.exe -k netsvcs« . Il exécute la donnée de la valeur « ServiceDll » de la clé :
[HKLM\SYSTEM\CurrentControlSet\Services\{NameService}\Parameters]


Cheval de Troie (Trojan)

Le rôle du trojan est de faire entrer ce parasite sur l'ordinateur et de l'y installer à l'insu de l'utilisateur. Le programme contenu est appelé la "charge utile". Il peut s'agir de n'importe quel type de parasite : virus, keylogger, logiciel espion... C'est ce parasite, et lui seul, qui va exécuter des actions au sein de l'ordinateur victime. Le cheval de Troie n'est rien d'autre que le véhicule, celui qui fait "entrer le loup dans la bergerie". Il n'est pas nuisible en lui-même car il n'exécute aucune action, si ce n'est celle de permettre l'installation du vrai parasite.

 

Aperçu ZHPDiag

—\\ Recherche des services démarrés par Svchost (SSS) (O83)
O83 – Search Svchost Services: AeLookupSvc (AeLookupSvc) . (.Microsoft Corporation – Service Expérience d’application.) — C:\Windows\System32\aelupsvc.dll
O83 – Search Svchost Services: lanmanserver (lanmanserver) . (.Microsoft Corporation – DLL du service Serveur.) — C:\Windows\system32\srvsvc.dll
O83 – Search Svchost Services: gpsvc (gpsvc) . (.Microsoft Corporation – Client de stratégie de groupe.) — C:\Windows\System32\gpsvc.dll

—\\ Recherche des services démarrés par Svchost (SSS) (O83)
O83 – Search Svchost Services: AeLookupSvc (AeLookupSvc) . (.Microsoft Corporation – Service Expérience d’application.) — C:\Windows\System32\aelupsvc.dll [62464]
O83 – Search Svchost Services: lanmanserver (lanmanserver) . (.Microsoft Corporation – DLL du service Serveur.) — C:\Windows\system32\srvsvc.dll [168448]
O83 – Search Svchost Services: gpsvc (gpsvc) . (.Microsoft Corporation – Client de stratégie de groupe.) — C:\Windows\System32\gpsvc.dll
[591360]

Exemple de détection

—\\ Recherche des services démarrés par Svchost (SSS) (O83) (Cas non signés)
O83 – Search Svchost Services: TrkServer (TrkServer) . (…) — C:\Windows\system32\chfywi.dll [14336] =>Trojan.Conficker
O83 – Search Svchost Services: SSHNAS (SSHNAS) . (…) — C:\WINDOWS\system32\sshnas21.dll [0] =>Trojan.Downloader
O83 – Search Svchost Services: fxuuamsy (fxuuamsy) . (…) — c:\windows\system32\uhxhdjn.dll [0] =>Trojan.Downloader
O83 – Search Svchost Services: kdjqggia (kdjqggia) . (…) — C:\WINDOWS\system32\bwuppbn.dll [0] =>Trojan.Vundo
O83 – Search Svchost Services: ygwhngul (ygwhngul) . (…) — C:\WINDOWS\system32\dteekyl.dll [0] =>Trojan.BHO.H

—\\ Recherche des services démarrés par Svchost (SSS) (O83) (Cas signés)
O83 – Search Svchost Services: SSHNAS (SSHNAS) . (.ApexDC++ Development Tea – Ape.) — C:\WINDOWS\system32\sshnas21.dll [247808] =>Trojan.Downloader

—\\ Recherche des services démarrés par Svchost (SSS) (O83) (Cas signés avec usurpation d’un nom de propriétaire légitime)
O83 – Search Svchost Services: SSHNAS (SSHNAS) . (.Electronic Arts – Command And Conquer Generals World Builder.) — C:\WINDOWS\system32\sshnas21.dll [242176] =>Trojan.Downloader
O83 – Search Svchost Services: nmkjifcz (nmkjifcz) . (.Microsoft Corporation – WPD Tracing.) — c:\windows\system32\wdaqqaa.dll [88576] =>Trojan.Conficker

Action ZHPFix

O83 – Search Svchost Services: {NameService} ( {KeyService} ) . (…) — {FileName}

{Key} : Clé de la Base de Registre [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
{NameService} : Donnée de la valeur de « NetSvcs » de la Clé {Key}.
{KeyService} : Sous clé de la clé [HKLM\System\CurrentControlSet\Services].
{FileName} : Donnée de la valeur « ServiceDll » de la clé [HKLM\System\ControlControlSet\Services\{KeyService}\Parameters].

1) L’outil supprime le service malware {KeyService}.
2) L’outil supprime le fichier {FileName}.

Rapport ZHPFix (Exemple)

Ligne saisie :
O83 – Search Svchost Services: SSHNAS (SSHNAS) . (.Electronic Arts – Command And Conquer Generals World Builder.) — C:\WINDOWS\system32\sshnas21.dll [242176]

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 02/08/2010

========== Clé(s) du Registre ==========
O83 – Search Svchost Services: SSHNAS (SSHNAS) . (.Electronic Arts – Command And Conquer Generals World Builder.) — C:\WINDOWS\system32\sshnas21.dll [242176] => Clé supprimée avec succès

========== Fichier(s) ==========
C:\WINDOWS\system32\sshnas21.dll => Supprimé et mis en quarantaine

========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Fichier(s)

Liens

* Comment supprimer le virus Conficker
* Downadup/ Conficker
* Comment les malwares se cachent en s’installant en service (Malekal)