ZHPDiag – Module O10 (LSP)
Winsock est une Bibliothèque logicielle pour Windows dont le but est d’implémenter une « Interface de programmation inspirée de Berkeley sockets. Elle prend notamment en charge l’envoi et la réception des paquets de données sur des réseaux TCP/IP. (Wikipedia).
Les pirates utilisent Winsock pour charger des ressources de noms aléatoires comme « SecureAssist.dll », « zdengine.dll » ou encore « OptimizerMonitor.dll ».
Origine
– Le module O10 (LSP) a été crée le 20 mai 2008.
Caractéristiques
– Ce module liste toutes les ressources se trouvant dans les sous-clés Winsock2. L’analyseur de ZHP permet de définir la légitimité ou la nocivité des ressources.
Aperçu ZHPDiag
—\\ Winsock hijacker (Layered Service Provider) (O10)
O10 – WLSP:\000000000004\Winsock LSP File – C:\Windows\system32\pnrpnsp.dll
—\\ Winsock hijacker (Layered Service Provider) (O10) v1.25.02
O10 – WLSP:\000000000004\Winsock LSP File . (.Microsoft Corporation – Fournisseur d’espace de noms PNRP.) — C:\Windows\system32\pnrpnsp.dll
O10 – Broken Internet access because of LSP provider (.no file.) — C:\WINDOWS\system32\winrnr.dll
Exemple d’infection
—\\ Pirate de Winsock (Layered Service Provider) (O10)
O10 – Protocol_Catalog9\Catalog_Entries\000000000001 – C:\Windows\System32\SecureAssist.dll
O10 – Protocol_Catalog9\Catalog_Entries\000000000002 – C:\Windows\System32\SecureAssist.dll
O10 – Protocol_Catalog9\Catalog_Entries\000000000003 – C:\Windows\System32\SecureAssist.dll
O10 – Protocol_Catalog9\Catalog_Entries\000000000004 – C:\Windows\System32\SecureAssist.dll
O10 – Protocol_Catalog9\Catalog_Entries\000000000025 – C:\Windows\System32\SecureAssist.dll