1,1K
ZHPDiag, le logiciel permettant de diagnostiquer instantanément votre système, subit une importante mise à jour. Pour rappel, le programme est basé en partie sur le principe d’HijackThis : il analyse le registre et énumère les zones sensibles qui sont susceptibles d’être piratées.
Le nouvel opus, estampillé 1.25.14, voit la création de cinq nouveaux modules : une extension de l’entête du rapport avec “Security Center & Tools Informations” et quatre modules de base O67,O68,O69 et O80.
Voici la liste complète des nouveautés :
- Nouveau module O67/File Extensions Shell Spawning. Il permet d’énumérer les extensions de fichiers susceptibles d’être détournés par des malwares. Ce module s’intéresse particulièrement aux extensions de fichier capables de démarrer un processus comme par exemple les extensions “.com” ou “.exe”. Certains malwares détournent les extensions de fichiers vers leur propre processus malware. C’est le cas notamment de certains rogues qui remplacent la valeur par défaut ‘exefile’ de la clé de BDR au profit de leur propre valeur “{Random}file”. Ensuite une clé du même nom est crée afin de pointer vers l’exécution d’un processus malware par le biais d’un “ShellOpenCommand”. Ainsi l’utilisateur est systématiquement redirigé à chaque lancement d’une application.
- Nouveau module O68/Start Menu Internet. Il permet d’énumérer les navigateurs installés. Certains malwares détournent le lancement d’un navigateur internet afin de lancer leur propre processus malware. C’est le cas notamment de certains rogues qui remplacent la valeur par défaut de la clé de Base de Registres au profit de leur propre valeur afin de pouvoir lancer une commande de type “ShellOpenCommand”. Ainsi l’utilisateur est systématiquement redirigé à chaque lancement de son navigateur. C’est généralement Microsoft Internet Explorer qui en est la cible.
- Création en entête du rapport du module “Security Center & Tools Informations“. Le centre de sécurité de Windows, l’éditeur de Base de Registres (BDR) et le Gestionnaires des tâches sont souvent la cible de malwares qui cherchent à réduire la protection du système. Le premier objectif du malware est de modifier ou de créer de nombreuses clés de BDR à l’insu de l’utilisateur afin de supprimer ou de réduire les protections de l’antivirus et/ou du pare-feu. Ensuite il va s’efforcer d’empêcher le téléchargement et l’installation des mises à jour du système afin de pouvoir en exploiter les failles. Enfin le malware va s’attaquer à supprimer les accès au gestionnaire des tâches et à l’éditeur de Base De Registres. Afin de vérifier si le système subit une telle attaque, ZHPDiag énumère un ensemble de valeurs de BDR susceptibles d’être concernées. En fonction du cas, la valeur de clé portera la mention ‘OK’ ou ‘Modified’ dans le cas le l’action malware.
- Mise au format de processus de certaines lignes et modification du nombre d’évènements du module O66.
- Dépistage de lignes malwares dont le processus comporte un caractère caché.
- Ajout du contrôle d’active Desktop dans le module “Security Center & Tools Informations” (clé : PoliciesExplorer)
- Nouveau module O69/Recherche d’infection de navigateur internet (Yoog, Ask Search,…)
- Modification de la tableau du nombre de jours (Bouton Calendrier), ajout de 30 et 60 jours.
- Affichage de la taille des fichiers dans le module O61 et recherche du caractère caché (sur le principe des Process et du O44)
- Certains programmes malwares ne sont pas listés dans le module O42 qui se réfère aux clés de désinstallation logicielle enregistrées par le système. L’ ajout d’un module permettant d’énumérer les clés softwares système et utilisateurs va permettre de dépister plus efficacement ces programmes malwares.
- Passage de List_Kill’em en outils de nettoyage O63 pour le traitement par ZHPFix.
- Ajout dans de module d’entête de la détection Hijack.FolderOptions (modification de l’option des dossiers).
- Ajout de la ruche dans le module logiciel O42.
- Création d’un nouveau module O80/Master Boot Record (MBR). Certains malwares rootkits s’attaquent au MBR du disque système afin d’altérer ce programme et de rendre le disque illisible.
- Correctif dans le module O15 pour la reconnaissance des sites indésirables dans Internet Explorer.
- Intégration de la dernière version de l’outil ZHPFix.
Dernière mise à jour le 21 août 2018