Tutoriel RogueKiller - Atelier informatique 87310

Commentaires

Transcription

Tutoriel RogueKiller - Atelier informatique 87310
RogueKiller est un logiciel chasseur de crapwares et d'autres malveillances, dans l'environnement Windows. Il
peut être plus ou moins mis entre toutes les mains, sans nécessiter de connaissances particulières des arcanes
de Windows.
RogueKiller
RogueKiller est un programme informatique, dans l'environnement Microsoft Windows, de type " logiciel de
sécurité " (élimination de malveillances).
RogueKiller est utilisé, entre autres, contre les crapwares (logiciels trompeurs appelés " rogues ", d'où le nom
de RogueKiller). Les crapwares sont, essentiellement, les multitudes de faux logiciels de sécurité, faux
antivirus, faux pare-feu, faux nettoyeurs, faux anti-spywares etc. ... Plus d'un millier d'entre eux sont
répertoriés dans " La Crapthèque ".
RogueKiller analyse les processus en cours d'exécution et tue ceux reconnus comme étant malicieux.
RogueKiller est très rapide car il ne balaye pas les fichiers ou les processus pour voir s'ils constituent une
menace mais, au contraire, cherche directement si les traces des menaces qu'il connait, et dont il connait les
modes d'implantation, sont présentes (RogueKiller est un scanner d'emplacements privilégiés uniquement - il
n'analyse aucun des fichiers et ne l'a jamais fait).
RogueKiller s'exécute en deux temps : dès son lancement, il effectue une pré-analyse (un pré-scan) et tue, en
mémoire, tout ce qui est en cours d'exécution et est hostile à son exécution et à l'exécution d'autres logiciels
de sécurité. Après cette pré-analyse (ce pré-scan), on peut poursuivre avec une analyse (un scan) étendue,
toujours par RogueKiller ou lancer l'exécution d'autres outils de sécurité et décontamination qui n'auraient
pas pu se lancer.
A l'issue de la seconde phase, étendue, de scan par RogueKiller, ce dernier signale les malveillances qu'il
identifie, classées sous plusieurs onglets, dans son interface graphique (onglets Processus, Registre, Hosts,
Proxy, DNS, Driver, Fichiers, MBR et Raccourcis).
RogueKiller, à votre demande, va détruire ces malveillances.
Attention à l'usage du bouton " Suppression "
Attention - le bouton Suppression supprime simultanément tout ce qui est coché dans les onglets :
" Processus ", " Registre ", " Driver " et " Fichiers ".
Bien regarder ces quatre onglets avant de cliquer sur Suppression .
RogueKiller Onglet " Processus "
En principe, tout cocher et cliquer sur le bouton Suppression .
RogueKiller Onglet " Registre "
En principe, tout cocher et cliquer sur le bouton Suppression .
Vous pouvez utiliser cette fonction de nettoyage du Registre
Windows sans crainte. Ce nettoyage n'a rien à voir avec les crapwares
de nettoyage du registre Windows que nous vous demandons de ne
jamais utiliser.
RogueKiller : fonctionnalités annexes
RogueKiller possède des fonctionnalités annexes :
RogueKiller Onglet " Hosts "
Votre fichier Hosts, qui est un DNS local (un serveur de noms de
domaine) peut contenir des altérations vous empêchant d'atteindre
certains sites, en bloquant totalement l'accès à certains sites ou en redirigeant vers d'autres sites à la place de
ceux recherchés. Hosts peut aussi contenir, selon les outils de sécurisation de la navigation que vous avez
installés, des dizaines de milliers de noms de domaines totalement hostiles et qu'il faut bloquer. S'il s'avère
que votre fichier hosts est pollué, cliquez sur le bouton Hosts RAZ (Remise à Zéro de Hosts). Vous pourrez,
ensuite, réinstaller les listes de filtrage légitimes, si vous en aviez.
RogueKiller Onglet " Proxy "
Restauration des configurations Proxy si une configuration
malveillante s'est implantée. Cliquez sur le bouton Proxy RAZ .
RogueKiller Onglet " DNS "
Restauration des DNS et vidage du cache DNS si une configuration
malveillante s'est implantée ou si le cache DNS empêche d'accéder à
un domaine qui aurait changé d'adresse IP (cas rares mais qui arrivent
parfois et peuvent être irritants car le cache DNS, dans votre
ordinateur, qui est un accélérateur (principe d'anticipation) n'est
remis à jour automatiquement que toutes les 24 heures). Cliquez sur
le bouton DNS RAZ .
RogueKiller Onglet " Driver "
Il n'y a pas que les drivers (pilotes) de votre imprimante, de votre
scanner, etc. ... dans votre ordinateur. Certains s'interposent et sont
hostiles. Regardez ceux listés ici, cochez très probablement toutes les
cases et cliquez sur le bouton Suppression .
RogueKiller Onglet " Fichiers "
En principe, tout cocher et cliquer sur le bouton Suppression .
RogueKiller Onglet " MBR "
Lecture du MBR (Master Boot Record) du disque système (et des
autres disques s'il y en a, y compris les cartes SD/MMC). Cette
information peut vous être demandée par un analyste qui vous
assiste, sur un forum d'entraide.
Le démarrage d'un ordinateur se passe toujours en trois temps :
Lors de la mise sous tension, le premier programme à s'exécuter et un micro programme, le BIOS, codé dans
une mémoire non effaçable (une ROM) sur la carte mère.
Après quelques tests et vérifications, le BIOS lance un second programme, le BootStrap, qui se trouve
toujours piste 0, secteur 0 et 1, du disque système, dans une zone du disque de démarrage (disque désigné
dans le BIOS), appelée MBR (Master Boot Record). Le MBR contient également la table des partitions avec les
informations de taille et de localisation des différentes partitions logiques du volume physique.
Le BootStrap va, à son tour, lancer le système d'exploitation lui-même. Il peut y avoir une étape intermédiaire
additionnelle si le système est multiboot (par exemple, Windows et Linux sont installés) et vous demande sur
quel système démarrer.
Le programme écrit dans la MBR, le BootStrap, peut être corrompu par des malveillances qui s'assurent, ainsi,
de toujours exécuter certains travaux avant que le système ne monte en mémoire, donc avant qu'une
quelconque application de sécurité ne soit active. Même en cas de démarrage en mode sans échec, la
malveillance s'exécutera.
Ces malveillances s'appellent des BootKits. C'est le cas des malveillances TDSS, MaxSST ou Stoned, qui
modifient soit le code du BootStrap pour lancer leurs propres composants, soit la table des partitions pour
booter sur une partition fantôme.
RogueKiller permet de détecter et supprimer les BootKits, même lorsqu'ils masquent leur présence. Plusieurs
indicateurs montrent la légitimité d'un MBR : Le bootstrap est connu, et légitime. Ensuite, la lecture à
différents niveaux d’abstraction retourne les mêmes résultats (ce qui signifie que le MBR n'est pas masqué).
RogueKiller Onglet " Raccourcis "
Tout cocher et cliquer sur le bouton Racc. RAZ .
RogueKiller est capable d'analyser et supprimer les clés de registre
malicieuses, mais aussi les processus malicieux qui s'inscrivent en
taches planifiées afin d'être lancés régulièrement, les dossiers de
démarrage automatique et les emplacements de fichiers suspects ou
connus.
RogueKiller dispose d'une interface graphique qui permet de choisir facilement les modes à utiliser, et
décocher d'éventuels faux positifs avant suppression.
RogueKiller détecte certains rootkits et leurs méthodes de contournement comme les hooks SSDT, Shadow
SSDT, IRP, les processus cachés, les clés de registre cachées et les détournements du Master boot Record
(MBR).
RogueKiller permet aussi de rétablir un accès internet fonctionnel dans certains cas comme le détournement
de configuration DNS, la mise en place d'un Proxy malicieux, ou un détournement de l'utilisation du fichier
Hosts.
RogueKiller permet de récupérer l'intégralité des fichiers / dossiers / raccourcis masqués par certains
crapwares (appelés "rogues", d'où le nom de RogueKiller ) de type "Fake HDD" (System Check, System
Restore, System Fix, .etc. ..).
RogueKiller - Précautions d'utilisation
Dans tous les cas, après avoir téléchargé RogueKiller, l'exécuter après un démarrage normal de Windows.
Ne pas redémarrez en mode " Sans échec " avant de lancer RogueKiller.
Compte tenu de son fonctionnement en analyseur (scanner) d'emplacement privilégiés et de processus actifs
(et non pas en scanner de fichiers), RogueKiller, contrairement aux autres analyseurs, doit être exécuté après
un démarrage normal de Windows, sinon, certains emplacements privilégiés analysés seraient vides et la
malveillance ne serait pas débusquée.
Si RogueKiller analyse la " Liste de démarrage " standard de Windows, il ne peut pas analyser la totalité des
innombrables emplacements, dont certains, secrets et non documentés, où un processus peut se cacher pour
être lancé automatiquement au démarrage de Windows. On peut se rendre compte du hiatus entre une
" Liste de démarrage standard " et un travail de recherche approfondi, en regardant la manière dont les outils
standard de construction de cette liste voient cette liste et la manière dont Autoruns (SysInternals) voit cette
même liste :
Sur la même machine, ces logiciels vont construire une liste de démarrage assez différente. Voici le nombre
d'objets se lançant automatiquement au démarrage de Windows, détectés par divers outils, au même
moment :







Détectés par Revo Uninstaller : 5 objets
Détectés par CCleaner : 6 objets
Détectés par Starter (CodeStuff) : 8 objets
Détectés par Spybot Search and Destroy : 15 objets
Détectés par MSConfig : 21 objets (6 objets actifs et les objets désactivés)
Détectés par System Ninja : 36 objets (5 objets actifs et les objets désactivés)
Détectés pas Autoruns (SysInternals) : 475 objets
Donc RogueKiller a plus de chance de mettre la main sur un processus hostile lorsque le processus hostile est
actif (monté en mémoire) que lorsqu'il reste caché et dormant.
Facile à utiliser mais bien suivre :
1. Le tutoriel officiel de RogueKiller.
2. Le tutoriel d'interprétation des résultats de RogueKiller.
En cas de doute ou d'hésitation, demandez une assistance. Ne tentez rien dont vous ne comprenez pas les
tenants et les aboutissants.
Attention : Faux positifs possibles et arbitrages
Attention! De par son design, RogueKiller peut mettre en évidence des processus totalement légitimes, mais
qui s'exécutent avec des modes opératoires habituellement utilisés par des malveillances. Ces résultats
erronés sont connus sous le terme de " faux positifs ".
Tigzy a été amené à faire un choix entre :
" Faible détection avec 0 faux positif " <> " Détection quasi systématique et quelques faux positifs "
Tigzy a fait le choix du niveau de détection le plus élevé. En contrepartie, il faut bien regarder les clés de
registre détectées (dans l'onglet "registre") et décocher celles que vous reconnaissez comme des
programmes légitimes. En cas de doute ou d'hésitation, demandez une assistance. Ne tentez rien dont vous
ne comprenez pas les tenants et les aboutissants. Une décision prise sans réflexion, au petit bonheur la
chance, a toutes les chances de " planter " une application légitime, voire de planter l'ordinateur.
D'autre part, vous aideriez Tigzy et, par conséquent, la communauté, en faisant remonter vers Tigzy les faux
positifs produits par RogueKiller. Après analyse, une modification du code de RogueKiller, et/ou de sa liste
blanche, permettra, dans les versions suivantes, de ne plus produire ce faux positif.
Après utilisation, supprimez RogueKiller qui, demain, sera différent de celui d'aujourd'hui, Tigzy mettant son
produit à jour en continu.