Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Formation à l'analyse de rapports HijackThis HijackThis est un programme écrit

Formation à l'analyse de rapports HijackThis HijackThis est un programme écrit par Merijn Bellekom, étudiant Hollandais, développeur sur le forum SpyWareInfo, grand ennemi des malwares et des pirates. Ce programme est un Centre de Contrôle apportant une grande aide dans la détection et la suppression des malwares qui menacent nos ordinateurs. C'est un outil efficace de nettoyage d'un système infecté ! Mieux que le nettoyage, la protection permet de prévenir toute infection ! Avant de commencer Voici le plan... avec quelques paragraphes en amont et en aval de la partie Interprétation de rapport HijackThis proprement dite : - Généralités / Principes / Connaissances de base --- qu'est-ce qu'une infection ? --- les lois US sur les Spywares --- les organes importants de Windows --- les fonctions d'HJT --- la place d'HJT sur les forums sécurité --- les conditions de lancement d'HJT --- les principes d'une analyse --- les principes du nettoyage - Interprétation de rapport HijackThis --- les principes d'une analyse --- les soupçons d'infection --- les bases de données de référence --- les différentes sortes de rubriques --- rubrique par rubrique --- les forums spécialisés - Nettoyage du système après analyse rapport HijackThis --- les principes du nettoyage --- la méthode normale de nettoyage --- quelques outils spécialisés --- les sites/forums spécialisés --- nettoyage alternatif plus complet - Entraînement --- quelques infections typiques, leurs traces dans un rapport et les parades --- les premiers pas - Conclusions --- conclusions --- les opérations d'après HijackThis --- des modèles de réponses --- les réponses à une analyse --- ouvertures d'HJT --- la lutte antimalware dans le monde - Comment développer le forum Ce document a été développé pour le forum Sécurité de PC Astuces. Il a ensuite été porté sur ce site Web ainsi que sur Zebulon et Wikipedia. Merci à queruak, BipBip et did71 pour leur participation ! Les buts de ce développement sont nombreux et ambitieux : - point sur la lutte antimalware pour remettre les choses à leur place - amélioration du niveau des internautes non avertis pour arriver à une prudence souhaitable et une bonne prévention - guide pour que les internautes avertis diffusent les bons outils et les bons conseils autour d'eux ... un Internet sans malware ;-) un plaisir de surfer ! Certains seront déçus de ne pas attaquer bille en tête mais je pense indispensable de commencer par lesbases et certaines notions sur le système ! L'exposé correspond principalement à de l'auto-formation et ce côté théorique sera adouci par la partie "Entraînement" qui correspond à deux séries de commentaires de fichiers logs (une série facile et une série épineuse) ainsi que la résolution en live de certains logs (à venir sur notre forum) ! En aval, le plan va bien au delà de la simple analyse et aborde ce qui est présenté sur bien peu de sites : ce que les conseillers ont en mémoire : les soupçons d'infections qui les guident ! Généralités / Principes / Connaissances de base Qu'est-ce qu'une infection ? Il faut bien distinguer entre différents degrés d'infections : - un fichier infecté détecté par l'antiVirus dans "Temporary Internet Files" n'est pas une vraie infection car le fonctionnement du système n'est en rien altéré ; HijackThis ne le signalera, en général, même pas ; ce fichier a été téléchargé lors de l'affichage d'une page Web douteuse ; la maintenance régulière nécessaire du système l'éliminera sans problème - il en est de même si le fichier est dans la corbeille ou dans Temp sauf que là, le fichier est plus proche du coeur du système (avant d'être dans la corbeille, il était ailleurs !) ; l'entretien régulier éliminera le malware - un fichier infecté situé dans la zone de quarantaine de l'AV ou dans la zone de restauration d'XP ou ME n'infectera pas votre système sauf restauration (ce fichier a été précédemment stocké dans un répertoire plus au coeur du système) ; il faut employer une procédure particulière pour l'éliminer (suppression du contenu de la zone de quarantaine ou désactivation du système de restauration) - une vraie infection correspond à : --- implantation sur le disque, d'un ou plusieurs fichiers, dans un dossier système, généralement system32 ; des fichiers installés dans Program Files correspondent à des organismes qui se prétendent non infectieux (cf ci-dessous "les lois US...") et leur élimination peut passer par Ajout- Suppression de programmes ; un fichier dans un dossier système permet de ne pas indiquer tout le chemin et ainsi, d'être plus discret --- une activation (lancement au démarrage de Windows) d'un des fichiers qui devient alors résident ; un malware actif est présent en mémoire c'est à dire dans les processus ; l'activation est souvent faite par les services, le dossier démarrage ou les clés Run de la base de registres, parfois par d'autres moyens plus sophistiqués (voir "autres emplacements...") --- un système de réinfection au reboot en cas d'élimination seulement partielle des conséquences (par exemple pages de démarrage Rx) ; des systèmes de réinfection sophistiqués ont parfois été mis en place à partir du processus (réinfection quelques secondes après la suppression en base de registres... impressionnant !) --- un dysfonctionnement du système : c'est ce dysfonctionnement qui souvent, amène un utilisateur infecté à poster sur le forum ; le dysfonctionnement n'est pas toujours évident --- récap : au minimum, un processus, une activation (service, dossier Démarrage, clé Run ou autres) etdes fichiers sur le disque. Définition de "malware" : Ce terme est employé comme mot générique pour désigner toutes ces menaces logicielles qui visent nos systèmes informatiques. - virus (Américain virus, pluriel viruses) - c'est un objet informatique capable de se reproduire ; un vrai virus se greffe sur un fichier existant et ce fichier doit donc être désinfecté pour retrouver le fichier d'origine d'où les fonctions de "Désinfection" des antivirus. Plusieurs sortes de virus mais on s'en fiche... les virus semblent ne plus intéresser les pirates parce que, certainement non rentables ! Un virus est contré par un antivirus (résident) tel que Avast. "Virus" est le terme souvent employé par les éditeurs pour désigner toutes les sortes de parasites. Les autres sortes de malwares ci-dessous, n'altèrent pas de fichier existant si bien que la "Désinfection" est inutile et ces malwares sont tout simplement à supprimer. - ver (Am. worm) - un ver est un programme qui se propage sur un réseau généralement par les failles de sécurité du système d'exploitation et on s'en prémunit par Windows Update (monopole de Microsoft) ! Un ver n'est pas stoppé par un antivirus ni par un pare-feu, c'est là son grand intérêt pour les pirates : il s'introduit dans un système non à jour ! Attention qu'un ver n'est pas une fin en soi et qu'il télécharge généralement les autres sortes de malwares en s'installant tranquillement au fur et à mesure des redémarrages (voir Blaster, Agobot, etc.) ! - cheval de Troie (Am. trojan) - il s'agit d'un programme qui ouvre des ports de sécurité pour préparer une intrusion ou du moins une communication avec son donneur d'ordre ! Un cheval de Troie est techniquement très redoutable car difficile à détecter visuellement (pas de gros dysfonctionnements !), attendant patiemment le moment opportun. On élimine un cheval de Troie avec un antitroyen tel que A-Squared. "Trojan" est un terme employé par certains éditeurs pour désigner toutes les sortes de parasites. - spyware (Am. spyware) - c'est un programme autorisé, sous conditions, par les lois US et qui enregistre les habitudes de comportement des internautes pour les transmettre à des régies marketing, lesquelles ont tôt fait de les transformer en adwares qui cette fois, proposent des popups publicitaires ciblées et insistantes ! Un spyware se nettoie avec un antispyware comme Ad-Aware ou Spybot Search and Destroy. Techniquement parlant, un spyware/adware est un cheval de Troie et pourrait faire beaucoup de dégâts... c'est suivant ce que demande le commanditaire à son fournisseur, le pirate qui exploite des millions d'ordinateurs zombies de par le monde. Les spywares, très rentables sur le plan financier, constituent la très grande majorité des malwares (80 %). - il y a beaucoup d'autres sortes de malwares qui sont apparentés aux troyens ou aux spywares comme les keyloggers, les dialers, etc. D'autres menaces heureusement moins fréquentes mais tout aussi redoutables atteignent nos ordinateurs : le spam, le phishing, les menaces infantiles, la pédophilie, les hoax, etc. Les lois US sur les Spywares Nous vivons dans un environnement commercial et les malwares sont là pour une raison de gros sous ! Une organisation est en place pour une bonne efficacité à laquelle prennent part : - une régie publicitaire qui est au centre du dispositif - un donneur d'ordre qui est le client de la régie et qui passe commande de la publicité à diffuser - un pirate qui implante les malwares et tient à disposition une collection de machines zombies ; c'est le fournisseur de la régie - des organisations disparates qui collectent des adresses de messageries qui constituent autant de prospects - des organismes mafieux tentent de uploads/s1/ formation-hijackthis.pdf