ZHPDiag – Module O68 (SMI)
Lié au module SMI (Start Menu Internet). Il permet d’énumérer les navigateurs installés. Certains malwares détournent le lancement d’un navigateur internet afin de lancer leur propre processus malware.
Lié au module SMI (Start Menu Internet). Il permet d’énumérer les navigateurs installés. Certains malwares détournent le lancement d’un navigateur internet afin de lancer leur propre processus malware.C’est le cas notamment de certains rogues qui remplacent la valeur par défaut de la clé de Base de Registres au profit de leur propre valeur afin de pouvoir lancer une commande de type “ShellOpenCommand“. Ainsi l’utilisateur est systématiquement redirigé à chaque lancement de son navigateur. C’est généralement Microsoft Internet Explorer qui en est la cible.
La recherche s’effectue sur la clé de Base de registres [HKLM\SOFTWARE\Clients\StartMenuInternet]. Une version complémentaire ajoute 3 nouvelles recherches sur les valeurs ShowIconsCommand, ReinstallCommand, HideIconsCommand.
Une infection montre que la Base de registre peut-être modifiée avec une redirection vers une adresse malware.
Aperçu ZHPDiag
—\\ Start Menu Internet (SMI) (O68)
O68 – StartMenuInternet: [[HKLM\..\Shell\open\Command] (.Microsoft Corporation – Internet Explorer.) — C:\Program Files\Internet Explorer\iexplore.exe
O68 – StartMenuInternet: [[HKLM\..\Shell\open\Command] (.Mozilla Corporation – Firefox.) — C:\Program Files\Mozilla Firefox\firefox.exe
O68 – StartMenuInternet: [[HKLM\..\Shell\open\Command] (.Google Inc. – Google Chrome.) — C:\Program Files\Google\Chrome\Application\chrome.exe
O68 – StartMenuInternet: [[HKLM\..\Shell\open\Command] (.Google Inc. – Google Chrome.) — C:\Program Files\Google\Chrome\Application\chrome.exe
O68 – StartMenuInternet: [[HKLM\..\Shell\open\Command] (.Opera Software – Opera Internet Browser.) — C:\Program Files\Opera\Opera.exe
—\\ Start Menu Internet (SMI) (O68) (v1.28.231)
O68 – StartMenuInternet: <>[HKLM\..\InstallInfo\ShowIconsCommand] (…) — C:\PROGRA~1\AOL9~1.0\accdef.exe
O68 – StartMenuInternet: <>[HKLM\..\InstallInfo\ReinstallCommand] (…) — C:\PROGRA~1\AOL9~1.0\accdef.exe
O68 – StartMenuInternet: <>[HKLM\..\InstallInfo\HideIconsCommand] (…) — C:\PROGRA~1\AOL9~1.0\accdef.exe
—\\ Start Menu Internet (SMI) (O68) (v1.3.5.100)
O68 – StartMenuInternet: [HKLM\..\Shell\open\Command] (.Mozilla Corporation – Firefox.) — C:\Program Files (x86)\Mozilla Firefox\firefox.exe https://www.22find.com
O68 – StartMenuInternet: [HKLM\..\Shell\open\Command] (.Microsoft Corporation – Internet Explorer.) — C:\Program Files (x86)\Internet Explorer\iexplore.exe https://www.22find.com
Equivalence MBAM
HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet)
-> Bad: (“C:\Documents and Settings\asus\Local Settings\Application Data\ave.exe” /START “C:\Program Files\Internet Explorer\iexplore.exe”)
-> Good: (iexplore.exe)
Action ZHPFix N°1
O68 – StartMenuInternet: < {KeyBrowser} > < {NameBrowser} >[[HKLM\..\Shell\open\Command] (…) — {FileName}
{Key} : Clé de la Base de Registre [HKLM\SOFTWARE\Clients\StartMenuInternet].
{KeyBrowser} : Sous-clé navigateur de la clé {Key} comme par exemple [HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE].
{NameBrowser} : Valeur par défaut de la clé {KeyBrowser}.
{FileName} : Valeur par défaut de la clé ‘Command‘, comme par exemple [HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\Shell\open\Command]
1) L’outil restaure la valeur par défaut de la clé {KeyBrowser}, à savoir {NameBrowser}
2) L’outil supprime le fichier {FileName}.
Action ZHPFix N°2
O68 – StartMenuInternet: < {KeyBrowser} > < {NameBrowser} >[[HKLM\..\InstallInfo\{CommandName}] (…) — {FileName}
{Key} : Clé de la Base de Registre [HKLM\SOFTWARE\Clients\StartMenuInternet].
{CommandName} : Valeur de la clé {KeyBrowser} comme par exemple ShowIconsCommand, ReinstallCommand ou HideIconsCommand.
{KeyBrowser} : Sous-clé navigateur de la clé {Key} comme par exemple [HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE].
{NameBrowser} : Valeur par défaut de la clé {KeyBrowser}.
{FileName} : Valeur de la clé {CommandName}, comme par exemple [HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\ShowIconsCommand]
1) L’outil supprime la donnée de la valeur {CommandName}
2) L’outil supprime le fichier {FileName}.
Exemple d’infection N°1
O68 – StartMenuInternet: [HKLM\..\Shell\open\Command] (.Pas de propriétaire – Pas de description.) — C:\Documents and Settings\MAIRIE\Local Settings\Application Data\av.exe (.not file.) =>Trojan.Sinkin
1) L’outil supprime la donnée de la valeur {CommandName}
2) L’outil supprime le fichier {FileName}.
Exemple d’infection N°2
OPT:O68 – StartMenuInternet: [HKLM\..\Shell\open\Command] (.Mozilla Corporation – Firefox.) — C:\Program Files (x86)\Mozilla Firefox\firefox.exe https://www.22find.com
OPT:O68 – StartMenuInternet: [HKLM\..\Shell\open\Command] (.Microsoft Corporation – Internet Explorer.) — C:\Program Files (x86)\Internet Explorer\iexplore.exe https://www.22find.com
1) L’outil supprime la donnée de la valeur {CommandName}
