Identification et nettoyage des malwares avec Process Explorer

Le par Claude L.  |  5 commentaire(s)
Article n° 171 - Identification et nettoyage des malwares avec Process Explorer (120*120)

Le mythe de l'informatique parfaite n'a jamais existé, surtout à notre époque, depuis que l'ADSL existe, nos ordinateurs sont beaucoup plus exposés qu'auparavant.Si vous constatez un comportement bizarre et inhabituel de votre Windows, il est peut être infecté par un de ces malwares. Il faut donc le rechercher, l'identifier et l'éliminer avec Process Explorer. Un petit bijou, mais qui demande un peu de savoir-faire pour l'utiliser convenablement.

Préambule

Identification et nettoyage des malwares avec Process Explorer


 ImageUn proverbe dit : " Il vaut mieux prévenir que guérir " et le mythe de l’informatique parfaite n’a jamais existé, surtout à notre époque, depuis que l’ADSL existe, nos PC sont beaucoup plus exposés qu’auparavant.

En respectant les quelques règles ci-dessous, vous serez quasi immunisé:

  • Chaque PC doit être équipé d’un firewall bien configuré et d’un anti-virus à jour. Un anti-spyware est le bienvenu aussi.
  • Pendant votre surf sur internet, réfléchissez avant de cliquer sur certains liens.
  • Quand vous recevez des mails de personnes inconnues, surtout s’ils contiennent des fichiers joints, supprimez-les sans les ouvrir. Utilisez les filtres de courriers et l’anti-spam.
  • Quand vous installez un programme, soyez attentif sur ce qu’il propose comme options à cocher ou décocher, parfois des choses complètement inutiles s’installent à l’insu de votre plein gré.
  • Utilisez Windows Update pour maintenir votre système à jour.
  • En résumé, servez-vous de votre bon sens.

Si vous constatez un comportement bizarre et inhabituel de votre Windows, il est peut être infecté par un de ces malwares. Il faut donc le rechercher, l’identifier et l’éliminer.

../..


Méthode Dr Watson

Méthode " Docteur Watson "

Méthode simple qui peut fonctionner pour des malwares gentils. Installer les utilitaires suivants:


  • Quitter et fermer toutes les applications en cours. Stopper les services qui tournent en tâches de fond du genre P2P ou autres, ceux en général qui se trouvent dans la systray, en bas à droite dans la barre de tâches.
  • Désactiver la Restauration système de Windows XP.
  • Vérifier si votre anti-virus est à jour et lancer une détection sur votre système.
  • Avec Spybot ou Ad-Aware faire une recherche, si le test est positif, sauvegarder dans un fichier tout ce qui a été trouvé et l'imprimer. Repérer les noms des fichiers exe et ou dll trouvés, ainsi que les endroits où ils nichaient dans le système. Cela pourrait servir plus tard.
  • Faire le nettoyage proposé avec ces outils.
  • Lancer CCleaner et faites un nettoyage de la base de registres pour supprimer les clés orphelines. Une sauvegarde avant le nettoyage n’est pas un luxe.
  • Supprimer les anciens points de la Restauration système et la réactiver.
  • Redémarrer Windows.
  • Après toutes ces opérations, il faut surveiller votre système pendant quelques temps car ces bestioles peuvent se réactiver, se dupliquer et / ou muter.

Vous pouvez lire des explications plus détaillées sur les points ci-dessus dans ce dossier, et éventuellement utiliser Hijackthis.

Si votre PC recommence son comportement douteux, seule solution, il faut passer à la méthode " Sherlock Holmes ", les outils cités ci-dessus ont prouvés leurs limites.

../..


Méthode Sherlock Holmes - Partie 1

Méthode " Sherlock Holmes ":

SysInternals nous propose une série d’outils très bien faits, la plupart étant des logiciels freeware et parmi eux Process Explorer. Un petit bijou, mais qui demande un peu de savoir-faire pour l’utiliser convenablement.


Installation et configuration

  • Installer Debuggings Tools comme tout autre programme Windows.
  • Dézipper l’archive de Process Explorer, il n’y a pas d’installation, déplacer le dossier dézippé dans C:\Program Files\.
  • Lors d’une nouvelle version, il suffira d’écraser les anciens fichiers avec les nouveaux dans le dossier de Process Explorer qui se trouve dans C:\Program Files\.
  • Télécharger et installer CCleaner, si ce n’est déjà fait.

Pré-requis :

  • Quitter et fermer toutes les applications en cours. Stopper les services qui tournent en tâches de fond du genre P2P ou autres, etc.
  • Désactiver la Restauration système de Windows XP.
  • Démarrer Process Explorer.

Lors de sa première utilisation, Process Explorer est configuré par défaut, il faut le modifier un peu pour plus de confort :



Faire un clic droit dans un en-tête de colonne et choisir Select columns, ensuite cocher comme dans les images ci-dessous :

Image Image


Valider les modifications par OK. Cliquer dans le menu View – Save columns Set, taper un nom et valider par OK.


Raisons de ces colonnes :

  • Process : nom du processus.
  • PID : identification du process.
  • CPU : charge cpu du process.
  • private bytes : espace mémoire dédié à ce process.
  • peak private bytes : pic constaté de la consommation mémoire du process.
  • path : chemin de localisation du fichier correspondant au process (TRES IMPORTANT).
  • command line : ligne de commande ayant lancé le process (TRES IMPORTANT).
  • version : version (quand c’est identifiable) du process.

../..


Méthode Sherlock Holmes - Partie 2

Méthodologie:

Pour ce dossier, comme exemple, j’utilise un process normal : wcescomm.exe, utilisé par ActivSink pour la connexion de mon PDA. Un process suspecté réclame une filature appropriée.


Dans un premier temps:
  • Dans la colonne Process, sélectionner par un clic droit  le process soupçonné et choisir Properties pour afficher sa carte d’identité et tout son pedigree :

Image

  • Nous connaissons son nom et son adresse (Path) et son parent éventuel (Parent). Vous pouvez aussi utiliser la colonne Path dans l’interface principale.
  • Il faut maintenant savoir si cet individu est fiché quelque part !!!
  • Soit vous allez sur GNT ici, tapez dans la zone Rechercher le nom complet du process et lancez la recherche. Avec mon exemple, la base de données de GNT me propose un lien, cliquez dessus pour avoir plus de détails. Si c’est un « personnage » dangereux c’est noté dans les rubriques : Spyware – Trojan – Virus.
  • Soit vous vous connectez chez Interpol, heu pardon !!! Chez Google, là aussi, il suffit de taper le nom du process (wcescomm.exe) et de lancer la truffe. Remarquez que quand vous faites clic droit sur le process pour choisir Properties, l’option Google est proposée.
  • Si votre process n’est pas fiché, recommencez une recherche avec un autre process jusqu'à ce qu’il soit identifié comme dangereux ou suspect.

Votre process est déclaré comme un dangereux fou-furieux:
  • Déplacez-vous en utilisant l’Explorateur Windows dans le dossier où se trouve le process en question, sélectionnez-le par un clic droit et renommez-le.
  • Si la modification de son nom ne fonctionne pas, il faut utiliser le logiciel Unlocker pour connaitre l'autre process qui verrouille le vôtre.
    • Re-sélectionner votre process par un clic droit et choisir Unlocker dans le menu contextuel. Une liste est affichée :
Image
    • Dans la photo ci-dessus, comme exemple, le fichier : ~WRL0731.tmp est verrouillé par le processus : WINWORD.EXE : le Père.
  • Retourner dans l’interface principale de Process Explorer, éliminer le Père, même si c'est explorer.exe, auquel cas votre PC est bien infecté !
  • Ensuite, détruire le process, par un clic droit dessus, choisir kill process, s'abstenir d’utiliser kill tree.

Regarder attentivement dans l’interface de Process Explorer ce qu’il s’y passe, deux cas de figure peuvent se présenter :


CAS n°1:

Le process ne se relance plus ! Dans ce cas, le malware était une petite frappe:
  • Détruiser alors le répertoire contenant ce malware si le répertoire est dédié (ne pas supprimer un dossier essentiel de Windows).
  • Ou virer le fichier du process à la main et vider la poubelle.
  • Supprimer les anciens points de la Restauration système et réactivez-là.
  • Passer ensuite un coup de CCleaner dans la base de registres (au moins deux fois).
  • Redémarrer Windows.
  • Après toutes ces opérations, il faut encore surveiller votre système pendant quelques temps.

CAS n°2:

Un autre process se relance, de nom identique mais de "path" différent ou de nom différent mais de path identique !

Dans ce cas-ci le malware est un chef de bande, plus malicieux et capable de reproduire des process, sans doute à partir d'un modèle caché quelque part :
  • Repérer le "path" du process qui vient de se lancer.
  • Repérer la ligne de commande qui a permis le lancement et agir alors dans le répertoire identifié dans cette ligne de commande.
  • Il est nécessaire de regarder attentivement ce qu’il se passe, car certains malwares se dupliquent en une trentaine de déclinaisons et se lançaient aléatoirement, souvent à cause d'un script dans Internet Explorer.
  • Eliminer tous ces truands comme expliqué plus haut.
  • Si plus aucun malware ne revient, fermer les outils.
  • Supprimer les anciens points de la Restauration système et la réactiver.
  • Lancer CCleaner et nettoyer la base de registres au moins deux fois (faire une sauvegarde avant les suppressions).
  • Redémarrer Windows.
  • Après toutes ces opérations, il faut encore surveiller votre système pendant quelques temps.
L'avantage de Process Explorer est qu'il permet de COMPRENDRE ce qu’il se passe, comment le malware agit et affiche les traces qu’il laisse dans son action.

Bien entendu, les ruses de Sioux de ceux qui réalisent ces machins bidules n'ont pas de limites. Cela peut être :
  • Une DLL chargée par rundll32.
  • Un programme installé dans C:\Windows ou C:\Windows\System32 ou C:\Program Files\Fichiers communs car ils savent que l'utilisateur n'y mettra pas les pieds volontiers.
  • Un nom dérivé d'un process légitime, par exemple : svchots.exe, très ressemblant à : svchost.exe (l’officiel), en lecture rapide je vous défie de le repérer !
  • etc.

../..


Bonus logiciels

Bonus de Process Explorer:

Un double clic sur un process ouvre la fenêtre Properties avec plusieurs onglets :
  • Image: on retrouve les mêmes informations que celles décrites la page précédente.
  • Performance: une vision très détaillée des ressources consommées par le process (aspects CPU, Virtual Memory, Physical Mémory, I/0, Handles), ceci permet une analyse assez fine du comportement du process quand il tourne.
  • Performance Graph: trois graphiques (à minima) : CPU, Private Bytes et I/O Bytes pour comprendre son comportement dans le temps.
  • Services: si le process en question est un service, on peut même l'arrêter ici, tout comme on le ferait avec la console services.msc de Windows XP.
  • Threads: en programmation, un thread est une routine appelée par un programme, suivant la programmation qui est faite, le programme principal peut activer des threads séquentiellement ou en parallèle. On identifie ici les routines appelées par le programme en double-cliquant sur chaque routine. On dispose ainsi du stack de chaque routine. A réserver aux " chercheurs ".
  • TCP/IP: pour un process qui établit une connexion sur le Net, du type " rapatrier " du code changeant, on voit ici les ports IN et OUT ouverts. En double-cliquant sur chaque ligne identifiée de connexion, on visualise le stack du programme en question; à réserver aux " initiés " aussi.
  • Security: cet onglet donne les droits concédés au process en question; on peut donc vérifier si ce process s'exécute dans un environnement " ouvert " ou " bridé ".
  • Environment: ce sont toutes les variables utilisées sur la machine pour la session en cours; il est possible que le process suspect génère des variables, on le verra ici en comparant avec le standard que l'on voit en analysant le poste de travail.
  • Strings: juste pour se faire peur. C'est tout ce qui est en mémoire et utilisé actuellement par tous les process qui tournent; on pourra y trouver des URLs, des identifiants... etc.

Bonus Unlocker:

Logiciel gratuit ( freeware ), en Français, Unlocker permet de manipuler tous les fichiers bloqués pour une raison ou une autre, pas uniquement les process.
Quand une boîte de message s’affiche sur le bureau de Windows indiquant ceci :
  • Ne peut pas supprimer le dossier, l'accès est refusé.
  • Il y a eu une violation de partage.
  • Le dossier source ou de destination est peut être utilisé.
  • Le dossier est utilisé par un autre programme ou un autre utilisateur.
  • Assurez-vous que le disque n'est pas plein ou protégé en écriture et que le dossier n'est pas actuellement utilisé.

Vous pouvez utilisez Unlocker pour vous dépanner, évidemment ne supprimer pas n’importe quoi. Parfois un simple reboot fait bien les choses et vous permettra de supprimer le fichier récalcitrant.


Bonus CCleaner:

Logiciel gratuit ( freeware ), en Français, CCleaner nettoie bien la base de registres mais possède aussi quelques outils de maintenance pour Windows XP :
  • Nettoyage des cookies.
  • Vidage des Caches d’Internet Explorer et de Firefox.
  • Nettoyage du dossier temporaire de Windows XP.
  • Agit sur différents dossiers d’XP.
  • Sur les « caches » de Windows : Menus, Systray, etc.
  • Désinstalle des programmes et supprime des programmes fantômes.
  • De le paramétrer à votre convenance.
  • Les mises à jour sont fréquentes.

Alors ne vous en privez pas.

Voilà, nous espérons que ce dossier ne servira pas souvent. Si vous suivez les conseils de la première page de ce dossier, vous devriez être à peu près serein…

../..


Identifier les processus

En complément de ces Bonus logiciels, une description des processus Windows présents sur votre système serait un atout supplémentaire pour vous aider dans vos investigations.


Identification des processus Windows sur GNT

Bien souvent, nous nous retrouvons face à des processus Windows ayant des noms peu parlants voire pas du tout, GNT a décidé d'offrir un service gratuit permettant aux plus néophytes mais aussi aux utilisateurs avertis, d'identifier rapidement la fonction qu'occupe un processus bien précis dans votre système. Bien évidemment notre base de données actuelle ne regroupe pas tous les processus qui existent (il y en a des milliers), mais les plus courants ont été traités, et nous continuons à compléter cette base.

Comment utiliser ce service ' Il suffit de se rendre sur cette page :




Indiquer dans la zone de recherche le nom d'un processus actif sur votre PC pour en obtenir le descriptif complet, par exemple pour savoir s'il s'agit d'un processus système et son rôle exact, ou tout simplement d'un virus ! Si le processus recherché n'est pas présent, vous pourrez nous soumettre votre requête et nous nous chargerons de l'ajouter dans notre base rapidement.


  • Partager ce contenu :
Vos commentaires
Trier par : date / pertinence
marsupilami54 offline Hors ligne Vétéran avatar 1353 points
Le #169842
bon dossier

il faut saluer le travail des gens qui essaient de désacraliser l'informatique et le rendre accessible, compréhensible . Je pense que beaucoup de gens ayant pas ou peu de connaissances en sécurité minimale seront bien avisés de lire ce dossier
Wadzar offline Hors ligne Vétéran avatar 2251 points
Le #169843
Je dirai même très bon dossier. Je suis déjà bien innitié à ça, mais ça servira à beaucoup de gens. Bravo...
ericle offline Hors ligne Vénéré avatar 2843 points
Le #169844
Oui, Excellent !

Malheureusement, beaucoup trop de gens ne font pas l'effort de LIRE ce qui est à porter de leur doigts ou de leurs yeux !

Et l'on est trop souvent obligé (en tant que technicien) de pratiquer des interventions digne de la vérification du niveau de lave glace ou de la pression des pneus.... avec un MCSA !
Colibri offline Hors ligne Héroïque avatar 753 points
Le #169845
Bravo sur ce dossier, moi qui utilise Process Explorer depuis un sacré temps, mais a quelque problème avec la langue anglophone, ben ce dossier m'a permis de mieux comprendre! cool à Alain et Claude
sicca-ameria offline Hors ligne Héroïque avatar 664 points
Le #170077
Super dossier, un petit plus intéressant que ne propose pas encore de site à mon goût serrai de faire un lien pour générer un pdf de ce dossier pour le garder au chaud... Merci
icone Suivre les commentaires
Poster un commentaire