ZHPDiag – Module O83 (SSS)

/ Modules / Par / 4 minutes de lecture
223
5/5 - (1 vote)

ZHPDiag – Module O83 (SSS)

Certains malwares utilisent la fonctionnalité de  Svchost pour se cacher de certains outils de diagnostics. C’est le cas notamment du ver Conficker qui possède des fonctionnalités de porte dérobée de Cheval de Troie.

Tout d’abord il s’attaque aux protections du système en désactivant les logiciels de sécurité et leurs mises à jours. Il désactive aussi les mises à jours de Windows. Ensuite il établit une connexion à son serveur afin de prendre le contrôle à distance de la station. Enfin il télécharge et installe des programmes malwares.

Plus précisément le service malware s’insère en tant que donnée dans la liste multiple de la valeur “NetSvcs” comme dans l’exemple du service “nscpjapu” ci dessous :

AeLookupSvc,CertPropSvc,SCPolicySvc,lanmanserver,nscpjapu,gpsvc,IKEEXT,AudioSrv,…

Parallèlement le service malware est crée dans la clé de Base de Registres des services, et une ressource malware est affectée à sa valeur “ServiceDll” comme par exemple :
[HKLM\SYSTEM\CurrentControlSet\Services\nscpjapu\Parameters]
ServiceDll”=”c:\windows\system32\chfywi.dll

Le module Search Svchost Services (SSS) permet de lister le groupe de services particuliers lancés par Svchost.exe. Ces services sont installés dans la donnée de la valeur de clé “NetSvcs” .

La recherche s’effectue dans la clé de Base de Registres : [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost].

– Chaque service de ce type est lancé par le biais de la commande “svchost.exe -k netsvcs“. Il exécute la donnée de la valeur “ServiceDll” de la clé :
[HKLM\SYSTEM\CurrentControlSet\Services\{NameService}\Parameters]


Le rôle du Cheval de Troie (Trojan) est de faire entrer ce parasite sur l'ordinateur et de l'y installer à l'insu de l'utilisateur. Le programme contenu est appelé la "charge utile". Il peut s'agir de n'importe quel type de parasite : virus, keylogger, logiciel espion. C'est ce parasite, et lui seul, qui va exécuter des actions au sein de l'ordinateur victime. Le cheval de Troie n'est rien d'autre que le véhicule, celui qui fait "entrer le loup dans la bergerie". Il n'est pas nuisible en lui-même car il n'exécute aucune action, si ce n'est celle de permettre l'installation du vrai parasite.

 

Aperçu ZHPDiag

—\\ Recherche des services démarrés par Svchost (SSS) (O83)
O83 – Search Svchost Services: AeLookupSvc (AeLookupSvc) . (.Microsoft Corporation – Service Expérience d’application.) — C:\Windows\System32\aelupsvc.dll
O83 – Search Svchost Services: lanmanserver (lanmanserver) . (.Microsoft Corporation – DLL du service Serveur.) — C:\Windows\system32\srvsvc.dll
O83 – Search Svchost Services: gpsvc (gpsvc) . (.Microsoft Corporation – Client de stratégie de groupe.) — C:\Windows\System32\gpsvc.dll

—\\ Recherche des services démarrés par Svchost (SSS) (O83)
O83 – Search Svchost Services: AeLookupSvc (AeLookupSvc) . (.Microsoft Corporation – Service Expérience d’application.) — C:\Windows\System32\aelupsvc.dll [62464]
O83 – Search Svchost Services: lanmanserver (lanmanserver) . (.Microsoft Corporation – DLL du service Serveur.) — C:\Windows\system32\srvsvc.dll [168448]
O83 – Search Svchost Services: gpsvc (gpsvc) . (.Microsoft Corporation – Client de stratégie de groupe.) — C:\Windows\System32\gpsvc.dll [591360]

Exemple de détection

—\\ Recherche des services démarrés par Svchost (SSS) (O83) (Cas non signés)
O83 – Search Svchost Services: TrkServer (TrkServer) . (…) — C:\Windows\system32\chfywi.dll [14336] =>Trojan.Conficker
O83 – Search Svchost Services: SSHNAS (SSHNAS) . (…) — C:\WINDOWS\system32\sshnas21.dll [0] =>Trojan.Downloader
O83 – Search Svchost Services: fxuuamsy (fxuuamsy) . (…) — c:\windows\system32\uhxhdjn.dll [0] =>Trojan.Downloader
O83 – Search Svchost Services: kdjqggia (kdjqggia) . (…) — C:\WINDOWS\system32\bwuppbn.dll [0] =>Trojan.Vundo
O83 – Search Svchost Services: ygwhngul (ygwhngul) . (…) — C:\WINDOWS\system32\dteekyl.dll [0] =>Trojan.BHO.H

—\\ Recherche des services démarrés par Svchost (SSS) (O83) (Cas signés)
O83 – Search Svchost Services: SSHNAS (SSHNAS) . (.ApexDC++ Development Tea – Ape.) — C:\WINDOWS\system32\sshnas21.dll [247808] =>Trojan.Downloader

—\\ Recherche des services démarrés par Svchost (SSS) (O83) (Cas signés avec usurpation d’un nom de propriétaire légitime)
O83 – Search Svchost Services: SSHNAS (SSHNAS) . (.Electronic Arts – Command And Conquer Generals World Builder.) — C:\WINDOWS\system32\sshnas21.dll [242176] =>Trojan.Downloader
O83 – Search Svchost Services: nmkjifcz (nmkjifcz) . (.Microsoft Corporation – WPD Tracing.) — c:\windows\system32\wdaqqaa.dll [88576] =>Trojan.Conficker

Action ZHPFix

O83 – Search Svchost Services: {NameService} ( {KeyService} ) . (…) — {FileName}

{Key} : Clé de la Base de Registre [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
{NameService} : Donnée de la valeur de “NetSvcs” de la Clé {Key}.
{KeyService} : Sous clé de la clé [HKLM\System\CurrentControlSet\Services].
{FileName} : Donnée de la valeur “ServiceDll” de la clé [HKLM\System\ControlControlSet\Services\{KeyService}\Parameters].

1) L’outil supprime le service malware {KeyService}.
2) L’outil supprime le fichier {FileName}.

Rapport ZHPFix (Exemple)

Ligne saisie :
O83 – Search Svchost Services: SSHNAS (SSHNAS) . (.Electronic Arts – Command And Conquer Generals World Builder.) — C:\WINDOWS\system32\sshnas21.dll [242176]

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 02/08/2010

========== Clé(s) du Registre ==========
O83 – Search Svchost Services: SSHNAS (SSHNAS) . (.Electronic Arts – Command And Conquer Generals World Builder.) — C:\WINDOWS\system32\sshnas21.dll [242176] => Clé supprimée avec succès

========== Fichier(s) ==========
C:\WINDOWS\system32\sshnas21.dll => Supprimé et mis en quarantaine

========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Fichier(s)

Liens

* Comment supprimer le virus Conficker
* Downadup/ Conficker
* Comment les malwares se cachent en s’installant en service (Malekal)

Share
Tweet
whatsapp
Share
Pin it

A propos de l'auteur

Nicolas Coolman est un expert en informatique et en sécurité informatique français diplômé en ingénierie logicielle. Il est spécialisé dans l'analyse et la désinfection de logiciels malveillants, notamment les adwares, les ransomwares, les chevaux de Troie et autres types de logiciels indésirables. Nicolas Coolman est également le créateur de plusieurs outils de sécurité informatique, tels que "ZHPCleaner" et "ZHPDiag", qui sont largement utilisés par les utilisateurs pour analyser et nettoyer des logiciels malveillants de leurs systèmes d'exploitation Windows . Nicolas Coolman est très actif dans la communauté de la sécurité informatique et partage régulièrement ses connaissances et ses découvertes sur son site Web et sur les forums dédiés à la sécurité. Son expertise est reconnue par de nombreux utilisateurs et professionnels de l'informatique, et il est considéré comme une référence dans le domaine de la lutte contre les logiciels malveillants.

Publications similaires

Retour en haut