ZHPDiag – Module O43 – (Common File Directory) (CFD)

Le module O43 de ZHPDiag est lié au module CFD (Common File Directory). Il permet de lister certains dossiers communs (publics) et particuliers aux utilisateurs d’un ordinateur.

ZHPDiag recherche la qualification d’une ligne en analysant les fichiers exécutables qui sont présents dans le dossier concerné. Cette action permet de détecter si un malware n’usurpe pas un nom de répertoire légitime.

Aperçu ZHPDiag

—\\ Contenu des dossiers Programmes (288) – 7s
O43 – CFD: 22/03/2017 – [] AD — C:\Program Files\7-Zip =>.Igor Pavlov
O43 – CFD: 25/10/2017 – [] AD — C:\Program Files (x86)\Apoint2K =>.ALPS ELECTRIC CO., LTD.®
O43 – CFD: 14/12/2016 – [] AD — C:\Program Files\Bonjour =>.Apple Inc.

Exemples de détection

—\\ Contenu des dossiers ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 07/01/2011 – 22:36:30 —-D- C:\Users\Coolman\AppData\Roaming\OfferBox =>PUP.Optional.OfferBox
O43 – CFD: 08/01/2011 – 15:29:46 —-D- C:\Users\Coolman\AppData\Roaming\Drivers =>Worm.Bagle
O43 – CFD: 25/01/2010 – 20:21:48 —-D- c:\WINDOWS\system32\config\systemprofile\start menu\Programs\total security =>SUP.TotalSecurity