|
|
HijackThis - Analyse des lignes F0, F1, F2, F3 - Autoloading programs
HijackThis - Analyse des lignes F0, F1, F2, F3 - Autoloading programs
Les lignes F0, F1, F2, F3
Les lignes F0, F1, F2, F3 d'une analyse HijackThis font ressortir les applications qui sont lancées automatiquement, au démarrage de Windows, depuis :
Lancements automatiques au démarrage de Windows |
Pour F0 |
L'instruction Shell= dans System.ini |
Pour F1 |
L'instruction Run= ou Load= dans win.ini |
Pour F2 |
L'emplacement HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini de la base de registre |
Pour F3 |
L'emplacement HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini de la base de registre |
- F0 correspond à l'instruction Shell= dans System.ini.
System.ini est un fichier impliqué dans le démarrage de Windows. Il est localisé dans le répertoire Windows. %Windir% est la variable d'environnement qui fait référence au répertoire d'installation de Windows. Par défaut, il s'agit de, selon votre système :
Ce fichier sert à préciser certains composants à utiliser pour configurer le système. System.ini peut être édité aisément avec msconfig.exe. Deux "sections" sont importantes en ce qui nous concerne et permettent le lancement d'applications.
- Section [boot]
L'instruction shell= dans la section [boot] du fichier system.ini est utilisée dans Windows 95/98/Me pour désigner le programme qui doit servir de shell (interpréteur de commandes / interface avec l'utilisateur) pour le système d'exploitation. Le "Shell" est un logiciel faisant partie des composants de base d'un système d'exploitation. Son rôle est de traiter les lignes de commande tapées au clavier, de les interpréter afin de réaliser telle ou telle tâche d'administration, ou de lancer l'exécution d'un logiciel... Dans l'usage quotidien d'un ordinateur, le shell est de plus en plus "camouflé" par des environnements et utilitares graphiques, des menus etc. ... qui rendent son usage convivial. Ainsi, l'Explorateur de Windows (Windows Explorer) est le shell utilisé actuellement par tous les environnements Windows. Il charge le bureau, gère les fenêtres, permet à l'utilisateur d'interagir avec le système grâce aux fonctions shell (ou shell API). Le shell d'origine peut parfaitement être remplacé par une alternative non Microsoft comme LiteStep.
Exemple de ligne de commande Shell dans un fichier system.ini |
[boot]
Shell = Explorer.exe
|
Tout programme listé après l'instruction shell= sera lancé automatiquement au démarrage de Windows et sera considéré shell par défaut.
- Command.com sous MS-DOS, est un shell
- Progman.exe est le shell graphique 16 bits de Windows 3.x (d'ailleurs utilisé par le composant WoW de Windows XP pour émuler les applications 16 bits)
- Explorer.exe est le shell de Windows 95/98/Me/2000/XP
- Cmd.exe est le shell sous Windows NT
- MSH est le shell sous .NET 2.0
Le risque de problème à surveiller est donc l'utilisation d'un shell exotique (parasité) mais aussi la présence, sur cette même ligne, d'autres programmes, simplement séparés par un espace, et qui seront lancés en même temps que le noyau du système d'exploitation lors du chargement de celui-ci.
Exemples de lignes de commande Shell parasitées dans un fichier system.ini |
[boot]
Shell = shell32.exe
ou
[boot]
Shell = explorer.exe parasite.exe
|
- Section [386Enh]
Dans cette section sont regroupés les lancements des pilotes (device drivers). Cette ligne peut être hijackée mais HijackThis ne l'analyse pas.
- F1 correspond aux éléments Run= ou Load= dans win.ini.
Win.ini est un fichier impliqué dans le démarrage de Windows. Tous les programmes inscrits derrière run= ou load= seront chargés lors du démarrage de Windows. Cette instruction était principalement utilisée à l'époque de Windows 3.1, 95, et 98, et est conservée à des fins de compatibilité avec d'anciens programmes. La plupart des programmes récents n'utilisent pas ce paramètre ini, et si vous n'utilisez pas de vieux programmes vous pouvez être à juste titre méfiant. L'instruction load= était utilisée pour charger des pilotes pour votre matériel.
- F2 est l'équivalent de F0 dans le registre, sous XP, 2000 et NT.
F3 est l'équivalent de F1 dans le registre, sous XP, 2000 et NT.
Ces versions de Windows n'utilisent généralement pas les fichiers system.ini et win.ini. Au lieu de conserver une rétro-compatibilité, ils utilisent une fonction nommée IniFileMapping. IniFileMapping place tout le contenu d'un fichier .ini dans le Registre, avec des clés pour y stocker chaque ligne trouvée dans le fichier .ini. Ensuite, lorsque vous lancez un programme qui normalement lit ses paramètres dans un fichier .ini, il commencera par vérifier si la clé de Registre: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping contient un mappage .ini, et s'il en trouve un il en extraira les paramètres. Vous pouvez voir que cette clé concerne le Registre car elle contient REG puis le fichier .ini auquel IniFileMapping se rapporte.
Un autre élément trouvé fréquemment dans les lignes F2 est l'élément UserInit qui correspond à la clé HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit que l'on trouve dans Windows NT, 2000, XP et 2003. Cette clé précise quel programme doit être lancé juste après qu'un utilisateur ait ouvert une session dans Windows. Le programme par défaut pour cette clé est C:\windows\system32\userinit.exe. Userinit.exe est un programme qui rétablit votre profil, vos polices, couleurs, etc. ... selon votre nom d'utilisateur. Il est possible d'ajouter des programmes supplémentaires qui se lanceront à partir de cette clé en séparant les programmes par une virgule. Par exemple: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\programmenuisible.exe. Ceci fera que les deux programmes se lanceront lorsque vous ouvrirez une session, et c'est un emplacement à partir duquel se lancent couramment les trojans, les pirates et le spyware.
Clés de Registre:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
Fichiers utilisés:
c:\windows\system.ini
c:\windows\win.ini
Exemple F0 - system.ini: Shell=Explorer.exe Something.exe
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
F2 - REG:system.ini: Shell=explorer.exe beta.exe
Dans une ligne F0 si vous voyez une expression comme Shell=Explorer.exe quelquechose.exe, vous devriez absolument la supprimer. En général vous pouvez supprimer ces éléments, mais il est préférable de consulter Google et les sites listés ci-dessous.
Pour les éléments F1, il faut chercher sur Google afin de déterminer s'il s'agit de programmes légitimes. Vous pouvez aussi rechercher ces éléments dans les sites listés ci-dessous pour voir ce qu'ils font.
Pour les éléments F2, si vous voyez UserInit=userinit.exe, avec ou sans nddeagnt.exe, comme dans l'exemple ci-dessus, vous pouvez laisser cet élément tranquille. Si vous voyez UserInit=userinit.exe (remarquez l'absence de virgule) c'est aussi correct, et vous pouvez laisser cette ligne tranquille. Si vous voyez un autre élément avec userinit.exe, il pourrait s'agir d'un trojan ou d'un autre malveillant (malware). Il en est de même pour F2 Shell =; si vous voyez explorer.exe tout seul, cela devrait être correct, sinon, comme dans l'exemple ci-dessus, il pourrait s'agir d'un trojan ou d'un malveillant (malware). Vous pouvez en général supprimer ces éléments, mais il est préférable de consulter Google ou les sites listés ci-dessous.
Veuillez noter que lorsque l'un de ces éléments est corrigé, HijackThis ne supprime pas le fichier associé. Vous devez le supprimer manuellement.
Sites à consulter pour vérifier ces éléments:
Bleeping Computer Startup Database
Answers that work
Greatis Startup Application Database
Pacman's Startup Programs List
Liste des programmes lancés au démarrage selon Pacman
Pacman's Startup Lists for Offline Reading
Liste des programmes lancés au démarrage selon Pacman (fichier d'aide CHM)
Kephyr File Database
Wintasks Process Library
- Exemple
F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched
F2 - (this type is not used by HijackThis yet)
F3 - (this type is not used by HijackThis yet)
- Que faire ?
Fixer toutes les lignes F0
Les lignes F0 sont toujours malveillantes donc "fixez-les".
Les lignes F1 sont généralement de très vieux programmes sains donc vous devriez faire des recherches complémentaires sur ce nom de fichier (dans Google par exemple) pour voir s'il est connu comme hostile ou légitime.
Les listes suivantes de procédures trouvées au démarrage (startup lists) peuvent vous aider à identifier ces items pour voir ce que c'est et si c'est légitime ou hostile ou inutile.
Information sur le document original :
|
© Pierre Pinard et Assiste.com - 1999 • 2006. Ce document, intitulé «
», dont l'url est «
», est extrait de l'encyclopédie de la sécurité informatique «http://assiste.com». Il est mis à votre disposition selon les termes de licence «Creative Commons» qui s'imposent à vous. Vous avez le droit de copier et modifier la copie de cette page dans les conditions fixées par cette licence et tant que cette note est reproduite intégralement et apparaît clairement dans la copie ou la copie modifiée. Lire les conditions de la licence.
|
Vie et maintenance du site
|
Vous avez trouvé de l'aide ? Ces pages vous ont été utiles ? Soutenez le site par une donation.
|
|
|
Historique des révisions |
|
Historique
|
|
|
|
|