Tutoriel RogueKiller - Atelier informatique 87310
Transcription
Tutoriel RogueKiller - Atelier informatique 87310
RogueKiller est un logiciel chasseur de crapwares et d'autres malveillances, dans l'environnement Windows. Il peut être plus ou moins mis entre toutes les mains, sans nécessiter de connaissances particulières des arcanes de Windows. RogueKiller RogueKiller est un programme informatique, dans l'environnement Microsoft Windows, de type " logiciel de sécurité " (élimination de malveillances). RogueKiller est utilisé, entre autres, contre les crapwares (logiciels trompeurs appelés " rogues ", d'où le nom de RogueKiller). Les crapwares sont, essentiellement, les multitudes de faux logiciels de sécurité, faux antivirus, faux pare-feu, faux nettoyeurs, faux anti-spywares etc. ... Plus d'un millier d'entre eux sont répertoriés dans " La Crapthèque ". RogueKiller analyse les processus en cours d'exécution et tue ceux reconnus comme étant malicieux. RogueKiller est très rapide car il ne balaye pas les fichiers ou les processus pour voir s'ils constituent une menace mais, au contraire, cherche directement si les traces des menaces qu'il connait, et dont il connait les modes d'implantation, sont présentes (RogueKiller est un scanner d'emplacements privilégiés uniquement - il n'analyse aucun des fichiers et ne l'a jamais fait). RogueKiller s'exécute en deux temps : dès son lancement, il effectue une pré-analyse (un pré-scan) et tue, en mémoire, tout ce qui est en cours d'exécution et est hostile à son exécution et à l'exécution d'autres logiciels de sécurité. Après cette pré-analyse (ce pré-scan), on peut poursuivre avec une analyse (un scan) étendue, toujours par RogueKiller ou lancer l'exécution d'autres outils de sécurité et décontamination qui n'auraient pas pu se lancer. A l'issue de la seconde phase, étendue, de scan par RogueKiller, ce dernier signale les malveillances qu'il identifie, classées sous plusieurs onglets, dans son interface graphique (onglets Processus, Registre, Hosts, Proxy, DNS, Driver, Fichiers, MBR et Raccourcis). RogueKiller, à votre demande, va détruire ces malveillances. Attention à l'usage du bouton " Suppression " Attention - le bouton Suppression supprime simultanément tout ce qui est coché dans les onglets : " Processus ", " Registre ", " Driver " et " Fichiers ". Bien regarder ces quatre onglets avant de cliquer sur Suppression . RogueKiller Onglet " Processus " En principe, tout cocher et cliquer sur le bouton Suppression . RogueKiller Onglet " Registre " En principe, tout cocher et cliquer sur le bouton Suppression . Vous pouvez utiliser cette fonction de nettoyage du Registre Windows sans crainte. Ce nettoyage n'a rien à voir avec les crapwares de nettoyage du registre Windows que nous vous demandons de ne jamais utiliser. RogueKiller : fonctionnalités annexes RogueKiller possède des fonctionnalités annexes : RogueKiller Onglet " Hosts " Votre fichier Hosts, qui est un DNS local (un serveur de noms de domaine) peut contenir des altérations vous empêchant d'atteindre certains sites, en bloquant totalement l'accès à certains sites ou en redirigeant vers d'autres sites à la place de ceux recherchés. Hosts peut aussi contenir, selon les outils de sécurisation de la navigation que vous avez installés, des dizaines de milliers de noms de domaines totalement hostiles et qu'il faut bloquer. S'il s'avère que votre fichier hosts est pollué, cliquez sur le bouton Hosts RAZ (Remise à Zéro de Hosts). Vous pourrez, ensuite, réinstaller les listes de filtrage légitimes, si vous en aviez. RogueKiller Onglet " Proxy " Restauration des configurations Proxy si une configuration malveillante s'est implantée. Cliquez sur le bouton Proxy RAZ . RogueKiller Onglet " DNS " Restauration des DNS et vidage du cache DNS si une configuration malveillante s'est implantée ou si le cache DNS empêche d'accéder à un domaine qui aurait changé d'adresse IP (cas rares mais qui arrivent parfois et peuvent être irritants car le cache DNS, dans votre ordinateur, qui est un accélérateur (principe d'anticipation) n'est remis à jour automatiquement que toutes les 24 heures). Cliquez sur le bouton DNS RAZ . RogueKiller Onglet " Driver " Il n'y a pas que les drivers (pilotes) de votre imprimante, de votre scanner, etc. ... dans votre ordinateur. Certains s'interposent et sont hostiles. Regardez ceux listés ici, cochez très probablement toutes les cases et cliquez sur le bouton Suppression . RogueKiller Onglet " Fichiers " En principe, tout cocher et cliquer sur le bouton Suppression . RogueKiller Onglet " MBR " Lecture du MBR (Master Boot Record) du disque système (et des autres disques s'il y en a, y compris les cartes SD/MMC). Cette information peut vous être demandée par un analyste qui vous assiste, sur un forum d'entraide. Le démarrage d'un ordinateur se passe toujours en trois temps : Lors de la mise sous tension, le premier programme à s'exécuter et un micro programme, le BIOS, codé dans une mémoire non effaçable (une ROM) sur la carte mère. Après quelques tests et vérifications, le BIOS lance un second programme, le BootStrap, qui se trouve toujours piste 0, secteur 0 et 1, du disque système, dans une zone du disque de démarrage (disque désigné dans le BIOS), appelée MBR (Master Boot Record). Le MBR contient également la table des partitions avec les informations de taille et de localisation des différentes partitions logiques du volume physique. Le BootStrap va, à son tour, lancer le système d'exploitation lui-même. Il peut y avoir une étape intermédiaire additionnelle si le système est multiboot (par exemple, Windows et Linux sont installés) et vous demande sur quel système démarrer. Le programme écrit dans la MBR, le BootStrap, peut être corrompu par des malveillances qui s'assurent, ainsi, de toujours exécuter certains travaux avant que le système ne monte en mémoire, donc avant qu'une quelconque application de sécurité ne soit active. Même en cas de démarrage en mode sans échec, la malveillance s'exécutera. Ces malveillances s'appellent des BootKits. C'est le cas des malveillances TDSS, MaxSST ou Stoned, qui modifient soit le code du BootStrap pour lancer leurs propres composants, soit la table des partitions pour booter sur une partition fantôme. RogueKiller permet de détecter et supprimer les BootKits, même lorsqu'ils masquent leur présence. Plusieurs indicateurs montrent la légitimité d'un MBR : Le bootstrap est connu, et légitime. Ensuite, la lecture à différents niveaux d’abstraction retourne les mêmes résultats (ce qui signifie que le MBR n'est pas masqué). RogueKiller Onglet " Raccourcis " Tout cocher et cliquer sur le bouton Racc. RAZ . RogueKiller est capable d'analyser et supprimer les clés de registre malicieuses, mais aussi les processus malicieux qui s'inscrivent en taches planifiées afin d'être lancés régulièrement, les dossiers de démarrage automatique et les emplacements de fichiers suspects ou connus. RogueKiller dispose d'une interface graphique qui permet de choisir facilement les modes à utiliser, et décocher d'éventuels faux positifs avant suppression. RogueKiller détecte certains rootkits et leurs méthodes de contournement comme les hooks SSDT, Shadow SSDT, IRP, les processus cachés, les clés de registre cachées et les détournements du Master boot Record (MBR). RogueKiller permet aussi de rétablir un accès internet fonctionnel dans certains cas comme le détournement de configuration DNS, la mise en place d'un Proxy malicieux, ou un détournement de l'utilisation du fichier Hosts. RogueKiller permet de récupérer l'intégralité des fichiers / dossiers / raccourcis masqués par certains crapwares (appelés "rogues", d'où le nom de RogueKiller ) de type "Fake HDD" (System Check, System Restore, System Fix, .etc. ..). RogueKiller - Précautions d'utilisation Dans tous les cas, après avoir téléchargé RogueKiller, l'exécuter après un démarrage normal de Windows. Ne pas redémarrez en mode " Sans échec " avant de lancer RogueKiller. Compte tenu de son fonctionnement en analyseur (scanner) d'emplacement privilégiés et de processus actifs (et non pas en scanner de fichiers), RogueKiller, contrairement aux autres analyseurs, doit être exécuté après un démarrage normal de Windows, sinon, certains emplacements privilégiés analysés seraient vides et la malveillance ne serait pas débusquée. Si RogueKiller analyse la " Liste de démarrage " standard de Windows, il ne peut pas analyser la totalité des innombrables emplacements, dont certains, secrets et non documentés, où un processus peut se cacher pour être lancé automatiquement au démarrage de Windows. On peut se rendre compte du hiatus entre une " Liste de démarrage standard " et un travail de recherche approfondi, en regardant la manière dont les outils standard de construction de cette liste voient cette liste et la manière dont Autoruns (SysInternals) voit cette même liste : Sur la même machine, ces logiciels vont construire une liste de démarrage assez différente. Voici le nombre d'objets se lançant automatiquement au démarrage de Windows, détectés par divers outils, au même moment : Détectés par Revo Uninstaller : 5 objets Détectés par CCleaner : 6 objets Détectés par Starter (CodeStuff) : 8 objets Détectés par Spybot Search and Destroy : 15 objets Détectés par MSConfig : 21 objets (6 objets actifs et les objets désactivés) Détectés par System Ninja : 36 objets (5 objets actifs et les objets désactivés) Détectés pas Autoruns (SysInternals) : 475 objets Donc RogueKiller a plus de chance de mettre la main sur un processus hostile lorsque le processus hostile est actif (monté en mémoire) que lorsqu'il reste caché et dormant. Facile à utiliser mais bien suivre : 1. Le tutoriel officiel de RogueKiller. 2. Le tutoriel d'interprétation des résultats de RogueKiller. En cas de doute ou d'hésitation, demandez une assistance. Ne tentez rien dont vous ne comprenez pas les tenants et les aboutissants. Attention : Faux positifs possibles et arbitrages Attention! De par son design, RogueKiller peut mettre en évidence des processus totalement légitimes, mais qui s'exécutent avec des modes opératoires habituellement utilisés par des malveillances. Ces résultats erronés sont connus sous le terme de " faux positifs ". Tigzy a été amené à faire un choix entre : " Faible détection avec 0 faux positif " <> " Détection quasi systématique et quelques faux positifs " Tigzy a fait le choix du niveau de détection le plus élevé. En contrepartie, il faut bien regarder les clés de registre détectées (dans l'onglet "registre") et décocher celles que vous reconnaissez comme des programmes légitimes. En cas de doute ou d'hésitation, demandez une assistance. Ne tentez rien dont vous ne comprenez pas les tenants et les aboutissants. Une décision prise sans réflexion, au petit bonheur la chance, a toutes les chances de " planter " une application légitime, voire de planter l'ordinateur. D'autre part, vous aideriez Tigzy et, par conséquent, la communauté, en faisant remonter vers Tigzy les faux positifs produits par RogueKiller. Après analyse, une modification du code de RogueKiller, et/ou de sa liste blanche, permettra, dans les versions suivantes, de ne plus produire ce faux positif. Après utilisation, supprimez RogueKiller qui, demain, sera différent de celui d'aujourd'hui, Tigzy mettant son produit à jour en continu.