Forums


#1 07/03/2005 18:29:53

cyberdetective
Membre
Lieu: Cannes
Date d'inscription: 07/03/2005
Messages: 1
Site web

Activation automatique d'un virus : ou chercher dans les fichiers ?

Pour être activés à chaque démarrage de la machine, les virus et troyens doivent inscrire une routine.

On peut en trouver une trace dans la base de registre, dans la rubrique RUN.

Y'a-t-il d'autres endroits ?


Alain STEVENS
Consultant en Sécurité Informatique
Auteur du Guide du Cyberdétective, paru aux Editions Chiron

Hors ligne

 

#2 07/03/2005 20:26:02

Grégory
Administrateur
Lieu: Sophia-Antipolis
Date d'inscription: 17/01/2005
Messages: 80
Site web

Re: Activation automatique d'un virus : ou chercher dans les fichiers ?

Bonjour cyberdetective et bienvenue sur les forums VirusTraQ,

Il existe plusieurs moyens d'exécuter un programme au démarrage de l'ordinateur (dans ton cas un programme malveillant).

Lorsque l'on souhaite enlever ce type de programme du démarrage, la première chose à faire est de regarder dans Démarrer > Programmes > Démarrage afin de vérifier sa présence ou non.

Si il n'est pas caché là dedans, on peut regarder dans la base de registre.

Il existe plusieurs clés pour exécuter un programme au démarrage, en voici la liste (si quelqu'un en voit d'autres) :

Code:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Il est également possible que le programme décide de s'exécuter à un endroit plus discret...

Il faut donc vérifier dans le fichier win.ini

Si il existe les lignes suivantes :

[windows]
load = nom_du_prog.exe
run = nom_du_prog.exe

Encore plus vicieux :

Dans le fichier system.ini:

[boot]
Shell = Explorer.exe nom_du_prog.exe

La encore plus vicieux !!

Toujours dans le fichier system.ini

[386Enh]
device = nom_du_prog.exe

(Permet d'exécuter le programme au démarrage en tant que pilote virtuel de périphérique...)

Je pense qu'il existe encore d'autres moyens encore plus sournois, mais c'est essentiellement par ces méthodes que les virus s'exécutent au démarrage.

J'espère avoir répondu à ta question...

Hors ligne

 

#3 23/09/2005 20:45:50

polo62
Moderateur
Date d'inscription: 17/09/2005
Messages: 197
Site web

Re: Activation automatique d'un virus : ou chercher dans les fichiers ?

Bonjour,

Si cela interesse quelqu'un il existe un script qui permet de lister les fichiers lancés au démarrage d'un ordinateur par un moyen détourné qui n'est autre que silentrunners http://www.silentrunners.org/

Il suffit d'enregistrer ce fichier sur le disque dur et le lancer, ce script générera un fichier texte ou il y sera listé tout les fichiers lancés au demarrage de manière "silencieuse" utilisé en complément d'hijacthis il est censé permettre la détection de tous fichiers ou services lancés.

à priori les cles de registre concernées sont

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

HKLM\Software\Microsoft\Active Setup\Installed Components\

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

HKLM\Software\Classes\PROTOCOLS\Filter\

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\

Ceci dit cela concerne aussi certaines composantes d'internet explorer qui seraient succeptibles d'autoriser le lancement d'une application (malicieuse).


Polo62 ou !aur3n7

Hors ligne

 

Pied de page du Forum