ZHPDiag – Module O34 – BootExecute (BEX)
Pour son fonctionnement, Microsoft Windows NT utilise au démarrage une session manager (Session Manager).
Certains logiciels sains utilisent cette fonctionnalité pour exécuter des opérations spécifiques comme par exemple une défragmentation des disques, c’est le cas par exemple d’O&O Software (O&O Defrag) ou de Raxco Software (PerfectDisk Boot Time Defragmentation). D’autres logiciels permettent d’effectuer un nettoyage, c’est le cas par exemple de Lavasoft AB (Ad-Aware Boot Cleaner) ou de SurfRight B.V. (Hitman BootDelete)
Toutefois, une utilisation abusive de cette vulnérabilité permet l’exécution d’un programme malware lors du démarrage du système.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager], avec insertion de données dans la valeur Bootexecute.
Aperçu ZHPDiag
—\\ BootExecute (O34)
O34 – HKLM BootExecute: (autocheck autochk *) – File not found
O34 – HKLM BootExecute: (OODBS) (.O&O Software GmbH – O&O BootTimeDefrag.) — C:\Windows\system32\OODBS.exe
Action ZHPFix
O34 – HKLM BootExecute: ( {DataName} )- (…) — {FileName}
{Key} : Clé de la Base de Registres [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
{DataName} : Donnée de la valeur de la clé ‘BootExecute »
1) L’outil supprime le fichier {FileName}
Exemple de détection
O34 – HKLM BootExecute: (1028560) (…) — C:\Windows\system32\1028560.exe
Liens
* Local Security Authority Subsystem Service
* LSA Authentication (Microsoft)
* LSA Secrets