5/5 - (1 vote)

ZHPDiag – Module O69 (SBI)

ZHPDIAG – MODULE O69 (SBI)

Lié au module SBI (Search Browser Infection), le module O69 de ZHPDiag a pour objectif de rechercher les redirections des navigateurs internet.

Au début de la création du module, la recherche se limitait au navigateur Mozilla/Firefox. il avait pour but de vérifier la présence du moteur de recherche de Yoog dans le dossier ‘plugIn’ de l’utilisateur ainsi que dans son fichier de préférences ‘prefs.js’.

Par la suite, le module a changé de nom pour faire une recherche plus large en l’étendant à d’autres moteurs de recherche malwares.

Une recherche complémentaire est faite dans la clé “Internet Explorer\SearchScopes“. SearchScopes permet de spécifier les fournisseurs de recherche Internet. La donnée de la valeur “DefautScope” comporte le CLSID qui va pointer sur le fournisseur de recherche par défaut.

– Le fournisseur de recherche par défaut sera identifié dans la liste par la présence de la chaîne [DefaultScope] comme par exemple pour Google :
O69 – SBI: SearchScopes {6A1806CD-94D4-4689-BA73-E35EA1EA9990} [DefaultScope] – (Google) – https://www.google.com

– La recherche s’effectue dans les clés de Base de Registres :
[HKEY_CURRENT_USER\\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] 
[HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] 
[HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] 
[HKEY_CLASSES_ROOT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

– Il est aisé pour un pirate d’utiliser un programme ADM afin de créer un CLSID avec une valeur d’URL pointant vers son propre moteur de recherche et ensuite de modifier la donnée par défaut de la valeur “DefautScope“. Ce type de redirection est notamment utiliser par les moteurs connus comme cherche.us, Yoog ou Ask.com.

Aperçu ZHPDiag

—\\ Recherche Infection Yoog (SYI) (O69)
O69 – SYI: C:\Documents and Settings\{userName}\Application Data\Mozilla\Firefox\Profiles\{random}.default\searchplugins\Yoog Search.xml
O69 – SYI: C:\Users\{userName}\AppData\Roaming\Mozilla\Firefox\Profiles\{random}.default\searchplugins\Yoog Search.xml
O69 – SYI: prefs.js [{userName} – {random}.default] user_pref(“browser.search.selectedEngine”, “Yoog Search”);

–\\ Recherche Infection Navigateur (SBI) (O69) v1.25.1347
O69 – SBI: C:\Documents and Settings\{userName}\Application Data\Mozilla\Firefox\Profiles\{random}.default\searchplugins\askcom.xml
O69 – SBI: prefs.js [{userName} – {random}.default] user_pref(“browser.search.selectedEngine”, “Ask Search”);

—\\ Search Browser Infection (SBI) (O69) v1.26.18
O69 – SBI: SearchScopes {CF739809-1C6C-47C0-85B9-569DBB141420} – (Ask Search) – https://toolbar.ask.com
O69 – SBI: SearchScopes {67A2568C-7A0A-4EED-AECC-B5405DE63B64} [DefaultScope] – (Google) – https://www.google.com

O69 – SBI: SearchScopes {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] – (@ieframe.dll,-12512) – https://search.live.com

—\\ Search Browser Infection (SBI) (O69)
O69 – SBI: SearchScopes [HKCU] {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} – (WebSearch) – https://websearch.mocaflix.com
O69 – SBI: SearchScopes [HKCU] {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} [DefaultScope] – (WebSearch) – https://websearch.searchrocket.info
O69 – SBI: SearchScopes [HKCU] {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} [DefaultScope] – (WebSearch) – https://websearch.wisesearch.info

Equivalence MBAM

Elément(s) de données du Registre infecté(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (https://findgala.com/?&uid=1002&q={searchTerms}) Good: (https://www.Google.com/)

Exemples de détournement

La donnée de la valeur “DefautScope” comporte le CLSID qui va pointer sur le fournisseur de recherche par défaut ‘findgala.com’ qui est un site réputé dangereux.
O69 – SBI: SearchScopes {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] – (Bing) – https://findgala.com

Trojan: Troj/Zbot-JS
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}\
“URL”=”https://fastbrowsersearch.com/results/results.aspx?q={searchTerms}&c=web&s=DSP&v=9″

BrowserModifier:Win32/MindQuizSearch
Added value: “DisplayName”
With data: “Bing”
Added value: “FaviconURLFallback”
With data: https://www.bing.com/favicon.ico
Added value: “SuggestionsURLFallback”
With data: “https://api.bing.com/qsml.aspx?query={searchTerms}&market={Language}&form=IE8SSC&maxwidth={ie:maxWidth}&rowheight={ie:rowHeight}&sectionHeight={ie:sectionHeight}”
“URL”=”https://tmq.bingstart.com/s/?q={searchTerms}&iesrc=IE-SearchBox&site=Bing&cfg=2-168-0-1nUEv”
To subkey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E5F5D888-2587-E012-A817-7038F5690F26}

Action ZHPFix (Cas N°1)

O69 – SBI: SearchScopes [{RucheName}] {CLSIDKey} [DefaultScope] – () – {DataKey}

{RucheName} : Nom de la ruche (HKCU,HKCR,HKUS).
{Key} : Clé de Base de Registres [HKEY_USERS\…\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{CLSIDKey}]
{CLSIDKey} : Sous clé de {Key}
{DataKey} : Donnée de la valeur “URL” de la clé {CLSIDKey}.

1) Remplace la donnée {DataKey} par “https://www.Google.com/”
2) Supprime la clé {CLSIDKey} si malware.

Action ZHPFix (Cas N°2)

O69 – SBI: prefs.js [{userName} – {random}.default] user_pref( {Line} );

{Line} : Ligne du fichier de préférence.

1) La ligne {Line} est placée en commentaire et devient inactive lors du rechargement du fichier de préférences du navigateur.

Action ZHPFix (Cas N°3)

O69 – SBI: {FileName}

1) Supprime le fichier {FileName}

Rapport ZHPFix (Exemple)

Lignes saisies :
O69 – SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59} – (Web Search) – https://search.imesh.com
O69 – SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} – (Messenger Plus Live France Customized Web Search) – https://search.conduit.com

Rapport de ZHPFix v1.12.3143 par Nicolas Coolman, Update du 01/09/2010

========== Elément(s) de donnée du Registre ==========
O69 – SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59} – (Web Search) – https://search.imesh.com => Donnée remplacée avec succès
O69 – SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} – (Messenger Plus Live France Customized Web Search) – https://search.conduit.com => Donnée remplacée avec succès

========== Récapitulatif ==========
2 : Elément(s) de donnée du Registre

Liens

Microsoft : Comment créer des personnalisé fichiers .adm
Understanding and Working in Protected Mode Internet Explorer (Microsoft)
Adding Entries to the Standard Context Menu

A propos de l'auteur

Retour en haut