5/5 - (1 vote)

ZHPDIAG – MODULE O18 (PAPP)

L’installation d’un gestionnaire de protocole implique la copie de la ou des dll à un emplacement approprié dans le répertoire %ProgramFiles%, puis l’enregistrement du gestionnaire de protocole via le registre.

L’application d’installation peut également ajouter une racine de recherche et des règles d’étendue pour définir une étendue d’analyse par défaut pour la source de données Shell.

L’interface IProtocolHandlerSite est utilisée pour instancier un gestionnaire de filtre, qui est hébergé dans un processus isolé. Le gestionnaire de filtres approprié est obtenu pour un identificateur de classe persistant (CLSID), une classe de stockage de documents ou une extension de nom de fichier spécifiés. L’avantage de demander au processus hôte de se lier à IFilter est que le processus hôte peut gérer le processus de localisation d’un gestionnaire de filtre approprié et contrôler la sécurité impliquée dans l’appel du gestionnaire.

Ce module recense les modifications des protocoles par défaut pour pister les connexions extra protocoles et pirates de protocoles.

Les sous-clés “Filter” et “Handler” de la clé “Protocoles” sont souvent utilisées par les malwares pour démarrer automatiquement des ressources dynamiques. Une technique largement utilisée par les Logiciels Potentiellement Indésirables (LPI/PUP).

La recherche s’effectue sur certaines clés de Base de Registres comme par exemple :
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\deflate]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\gzip] (Depuis Vista)

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msnim]

Aperçu ZHPDiag

—\\ Protocole additionnel et piratage de protocole (O18)
O18 – Filter: text/html – {950238FB-C706-4791-8674-4D429F85897E} – (no file)
O18 – Protocol: msnim – {008030A1-22C1-4009-854F-8E305202313F} – “C:\PROGRA~1\MSNMES~1\msgrapp.dll”

—\\ Protocole additionnel et piratage de protocole (O18)
O18 – Filter: deflate – {8f6b0360-b80d-11d0-a9b3-006097942311} – C:\Windows\system32\urlmon.dll
O18 – Filter : gzip – {8f6b0360-b80d-11d0-a9b3-006097942311} – C:\Windows\system32\urlmon.dll

—\\ Protocole additionnel et piratage de protocole (O18)
O18 – Handler: cdl – {3dd53d40-7b8b-11D0-b013-00aa0059ce02} . (.Microsoft Corporation – Extensions OLE32 pour Win32.) — C:\Windows\system32\urlmon.dll

Action ZHPFix

O18 – {SubBey}: {ValueKey} – {KeyCLSID} . (…) — {FileName}

{Key} : Clé de la Base de registres [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS]
{SubKey} : Sous-clé de la clé {Key} comme par exemple “Handler” ou “Filter
{KeyCLSID} : Donnée de la valeur “CLSID” de la clé {SubKey}
{FileName} : Valeur par défaut de la clé [HKLM\SOFTWARE\Classes\CLSID\ {KeyCLSID} \InprocServer32]

1) L’outil supprime {KeyCLSID}
2) L’outil supprime la clé [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CLSIDKey}]
3) L’outil supprime la clé [HKEY_CLASSES_ROOT\CLSID\{CLSIDKey}]
4) L’outil supprime le fichier {FileName}

Exemple de détection

O18 – Handler: base64 – {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} . (.Blabbers Communications Ltd – Blabbers data protacol for IE w/c.) — C:\Program Files\BrowserCompanion\tdataprotocol.dll
O18 – Handler: chrome – {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} . (.Blabbers Communications Ltd – Blabbers data protacol for IE w/c.) — C:\Program Files\BrowserCompanion\tdataprotocol.dll

Liens

Installing and Registering Protocol Handlers

A propos de l'auteur

Retour en haut