Identification et nettoyage des malwares avec Process Explorer

Le par  |  5 commentaire(s)
Méthodologie:

Pour ce dossier, comme exemple, j’utilise un process normal : wcescomm.exe, utilisé par ActivSink pour la connexion de mon PDA. Un process suspecté réclame une filature appropriée.


Dans un premier temps:
  • Dans la colonne Process, sélectionner par un clic droit  le process soupçonné et choisir Properties pour afficher sa carte d’identité et tout son pedigree :

Image

  • Nous connaissons son nom et son adresse (Path) et son parent éventuel (Parent). Vous pouvez aussi utiliser la colonne Path dans l’interface principale.
  • Il faut maintenant savoir si cet individu est fiché quelque part !!!
  • Soit vous allez sur GNT ici, tapez dans la zone Rechercher le nom complet du process et lancez la recherche. Avec mon exemple, la base de données de GNT me propose un lien, cliquez dessus pour avoir plus de détails. Si c’est un « personnage » dangereux c’est noté dans les rubriques : Spyware – Trojan – Virus.
  • Soit vous vous connectez chez Interpol, heu pardon !!! Chez Google, là aussi, il suffit de taper le nom du process (wcescomm.exe) et de lancer la truffe. Remarquez que quand vous faites clic droit sur le process pour choisir Properties, l’option Google est proposée.
  • Si votre process n’est pas fiché, recommencez une recherche avec un autre process jusqu'à ce qu’il soit identifié comme dangereux ou suspect.

Votre process est déclaré comme un dangereux fou-furieux:
  • Déplacez-vous en utilisant l’Explorateur Windows dans le dossier où se trouve le process en question, sélectionnez-le par un clic droit et renommez-le.
  • Si la modification de son nom ne fonctionne pas, il faut utiliser le logiciel Unlocker pour connaitre l'autre process qui verrouille le vôtre.
    • Re-sélectionner votre process par un clic droit et choisir Unlocker dans le menu contextuel. Une liste est affichée :
Image
    • Dans la photo ci-dessus, comme exemple, le fichier : ~WRL0731.tmp est verrouillé par le processus : WINWORD.EXE : le Père.
  • Retourner dans l’interface principale de Process Explorer, éliminer le Père, même si c'est explorer.exe, auquel cas votre PC est bien infecté !
  • Ensuite, détruire le process, par un clic droit dessus, choisir kill process, s'abstenir d’utiliser kill tree.

Regarder attentivement dans l’interface de Process Explorer ce qu’il s’y passe, deux cas de figure peuvent se présenter :


CAS n°1:

Le process ne se relance plus ! Dans ce cas, le malware était une petite frappe:
  • Détruiser alors le répertoire contenant ce malware si le répertoire est dédié (ne pas supprimer un dossier essentiel de Windows).
  • Ou virer le fichier du process à la main et vider la poubelle.
  • Supprimer les anciens points de la Restauration système et réactivez-là.
  • Passer ensuite un coup de CCleaner dans la base de registres (au moins deux fois).
  • Redémarrer Windows.
  • Après toutes ces opérations, il faut encore surveiller votre système pendant quelques temps.

CAS n°2:

Un autre process se relance, de nom identique mais de "path" différent ou de nom différent mais de path identique !

Dans ce cas-ci le malware est un chef de bande, plus malicieux et capable de reproduire des process, sans doute à partir d'un modèle caché quelque part :
  • Repérer le "path" du process qui vient de se lancer.
  • Repérer la ligne de commande qui a permis le lancement et agir alors dans le répertoire identifié dans cette ligne de commande.
  • Il est nécessaire de regarder attentivement ce qu’il se passe, car certains malwares se dupliquent en une trentaine de déclinaisons et se lançaient aléatoirement, souvent à cause d'un script dans Internet Explorer.
  • Eliminer tous ces truands comme expliqué plus haut.
  • Si plus aucun malware ne revient, fermer les outils.
  • Supprimer les anciens points de la Restauration système et la réactiver.
  • Lancer CCleaner et nettoyer la base de registres au moins deux fois (faire une sauvegarde avant les suppressions).
  • Redémarrer Windows.
  • Après toutes ces opérations, il faut encore surveiller votre système pendant quelques temps.
L'avantage de Process Explorer est qu'il permet de COMPRENDRE ce qu’il se passe, comment le malware agit et affiche les traces qu’il laisse dans son action.

Bien entendu, les ruses de Sioux de ceux qui réalisent ces machins bidules n'ont pas de limites. Cela peut être :
  • Une DLL chargée par rundll32.
  • Un programme installé dans C:\Windows ou C:\Windows\System32 ou C:\Program Files\Fichiers communs car ils savent que l'utilisateur n'y mettra pas les pieds volontiers.
  • Un nom dérivé d'un process légitime, par exemple : svchots.exe, très ressemblant à : svchost.exe (l’officiel), en lecture rapide je vous défie de le repérer !
  • etc.

../..
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos commentaires
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #169842
bon dossier

il faut saluer le travail des gens qui essaient de désacraliser l'informatique et le rendre accessible, compréhensible . Je pense que beaucoup de gens ayant pas ou peu de connaissances en sécurité minimale seront bien avisés de lire ce dossier
Le #169843
Je dirai même très bon dossier. Je suis déjà bien innitié à ça, mais ça servira à beaucoup de gens. Bravo...
Le #169844
Oui, Excellent !

Malheureusement, beaucoup trop de gens ne font pas l'effort de LIRE ce qui est à porter de leur doigts ou de leurs yeux !

Et l'on est trop souvent obligé (en tant que technicien) de pratiquer des interventions digne de la vérification du niveau de lave glace ou de la pression des pneus.... avec un MCSA !
Le #169845
Bravo sur ce dossier, moi qui utilise Process Explorer depuis un sacré temps, mais a quelque problème avec la langue anglophone, ben ce dossier m'a permis de mieux comprendre! cool à Alain et Claude
Le #170077
Super dossier, un petit plus intéressant que ne propose pas encore de site à mon goût serrai de faire un lien pour générer un pdf de ce dossier pour le garder au chaud... Merci
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]