Formation à l’analyse de rapports HijackThis

Conclusions

Conclusions
Récapitulons !
Ainsi donc, concernant le traitement d’une attaque/infection par un malware par HijackThis, les opérations suivantes ont été effectuées :
– opérations préalables à l’examen HJT
— nettoyage du système (maintenance normale c’est à dire suppression des fichiers inutiles, nettoyage de la base de registres)
— examens anti-XXX (anti-virus, anti-spywares, anti-trojan, etc.)
– examen du système par HijackThis et établissement de la liste
– interprétation de la liste HJT et directives de nettoyage
– nettoyage des lignes du rapport HJT (base de registres)
– nettoyage des fichiers sur disque manuellement et/ou avec des outils annexes
– examen visuel et nettoyage manuel pour tous les fichiers installés en même temps que les malwares

Les opérations d’après HijackThis
Certaines opérations ne doivent être réalisées que lorsque le système a été nettoyé.
– opérations terminales lorsque le système est bien propre
— épuration de la zone de restauration système (désactivation/ré-activation)
— suppression des fichiers en quarantaine
— nettoyage de la base de registres
— défragmentation
– discours sur la prévention.

Ces opérations ont été la réponse à une infection malware !

HijackThis, Centre de Contrôle du système peut être utilisé de manière améliorée… voir plus bas dans ce chapitre.

Des modèles de réponses
La culture Américaine sous-entend un grand sérieux dans les opérations importantes et une bonne dose de pragmatisme si bien que c’est avec un quasi-professionnalisme que les experts traitent le problème de la lutte antimalware.
De manière à procurer une réponse claire, précise, complète avec des erreurs minimales, les conseillers utilisent des “Canned Speeches” (des discours en boîte) bien au point… ces modèles sont copiés-collés puis adaptés au cas précis ; en voici une liste à adapter et compléter (vous reconnaîtrez certains de mes posts) :

Préavis Réponse scan HJT Nettoyage initial Poster rapport HJT Nettoyage après Protection —– Préavis Je te souhaite la bienvenue sur Zebulon.fr ! ;-)Je démarre une analyse de ton rapport HijackThis… réponse d’ici 15-20 minutes ! —– Réponse scan HJT : Rebonjour , rebonjour à tous,Stoppe les processus suivants dans le Gestionnaire des tâches : Désinstalle ces applications (si tu trouves) dans Ajout-Suppression de programmes : Il se peut que certaines des lignes n’apparaissent plus du fait du nettoyage déjà effectué. Relance un scan HijackThis et coche les lignes en gras ci-dessous : Ferme toutes les fenêtres sauf HijackThis et “Fix Checked“. Redémarre l’ordinateur en mode sans échec. Supprime les fichiers/dossiers incriminés (s’ils existent encore) : (je reviens te donner les détails) (supprime le dossier) (recherche sur le disque, probablement dans System32, quelle est sa date de dernière maj ?) Renomme les fichiers suivants ! Je te les fais renommer car ils me sont inconnus et je ne veux pas les perdre, juste les rendre inactifs (pour le moment) ; je te conseille de mettre un nom reprenant le nom-tiret-l’extension.anc : – Si tout est bon dans 2 jours, tu les supprimeras. Redémarre l’ordinateur en mode normal et poste un nouveau rapport HijackThis à titre de vérification. —– Nettoyage initial : Commence par faire un peu de ménage dans ton système : – fermeture de tous les programmes – suppression des fichiers inutiles par Démarrer / Exécuter / tape CleanMgr et clique sur OK / OK pour accepter l’examen du disque C: / coche toutes les cases et clique sur OK / OK pour confirmer la suppression des fichiers inutiles Lancement de l’Explorateur Windows : supprimer le contenu de C:\Temp et C:\Windows (ou WinNT)\Temp – suppression des fichiers inutiles par EasyCleaner-Inutile(s) de Toni Helenius sur //personal.inet.fi/business/toniarts/ecleane.htm – vidage des zones de quarantaine éventuelles – nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur //personal.inet.fi/business/toniarts/ecleane.htm – examen antivirus en ligne par HouseCall de Trend Micro sur secuser.com/antivirus/ ; note le nom du virus et le chemin+nom du fichier infecté ; sélectionne toutes les lignes affichées et clique sur Clean puis sur Delete pour toutes celles qui restent – examen antitrojan par A² sur emsisoft.net/fr/software/free/ ; il est nécessaire de s’enregistrer pour utiliser A² ; mets bien à jour ; supprime tout ce qu’il trouve – examen antispyware par Ad-Aware SE 1.05 sur lavasoft.de/support/download/#free ; mets bien à jour ; supprime tout ce qu’il trouve – examen antispyware par Spybot Search and Destroy 1.3 sur safer-networking.org/?page=download ; mets bien à jour ; supprime tout ce qu’il trouve.Les malwares ordinaires ne devraient pas survivre à ce premier traitement ! —– Poster rapport HJT : – télécharger HijackThis (https://telechargement.zebulon.fr/hijackthis.html ou merijn.org/files/hijackthis.zip). (Foire Aux Questions / Frequently Asked Questions sur //russelltexas.com/malware/faqhijackthis.htm) – l’installer dans un répertoire spécifique (peu importe où mais pas sur le bureau ni dans le répertoire Temp ; instructions sur //russelltexas.com/malware/createhjtfolder.htm). – il est très important d’avoir la toute dernière version du logiciel. – fermer toutes les fenêtres. – lancer HJT et cliquer sur “Config“, s’assurer que “Make backups before fixing items” est activé. – cliquer sur ‘Scan‘, l’affichage est instantané. – à la fin du Scan, cliquer sur ‘Save log‘, indiquer le répertoire dans lequel enregistrer le résultat et cliquer sur OK. – une fenêtre Bloc-notes s’ouvre : Ctrl-A pour sélectionner tout le texte, Ctrl-C pour le copier dans le presse papier. – mettre le texte dans un post ci-dessous (Ctrl-V) de manière à ce que nous te disions ce qu’il faut faire. – fermer la fenêtre du Bloc-notes ; fermer la fenêtre HijackThis. – attendre l’analyse et la réponse. —– Nettoyage après : Maintenant que le rapport HJT a été exploité, nous allons terminer le nettoyage du système : – nettoyage de la base de registres par EasyCleaner-Registre de Toni Helenius sur //personal.inet.fi/business/toniarts/ecleane.htm – Examen du disque (Scandisk) – Défragmentation – Désactivation du système de restauration de Windows XP ou Millenium : — clic droit sur Poste de travail / Propriétés / onglet Système de restauration — coche la case “Désactiver le système de restauration…” — redémarrer l’ordinateur – après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration — décoche la case “Désactiver le système de restauration…” pour remettre les choses en place. —– Protection : Par contre, je vais t’ennuyer maintenant ! LOL Ton système a été infecté… je suppose que çà ne t’a pas amusé ! Si tu as été infecté, c’est parce qu’il y a des faiblesses dans la protection de ton système et il est important que tu l’améliores de manière à ce que çà n’arrive plus !Protection minimale : – système parfaitement tenu à jour pour les éléments de catégorie critique, Service Packs et Service Releases (//windowsupdate.microsoft.com/) (catég.3-paramétrage) – pare-feu bien paramétré, gratuit par exemple Zone Alarm (zonelabs.com/) (catég.2-résident) – antivirus résident bien paramétré et mis à jour régulièrement (quotidiennement s’il le faut) avec un scan complet régulier (journalier s’il le faut), gratuit par exemple AVAST Home Edition FREE (télécharger sur zebulon ou sur site éditeur) avec souscription obligatoire (catég.2-résident) – antitroyen gratuit passé périodiquement, par exemple A² (emsisoft.net/fr/software/free/) avec souscription obligatoire (catég.1ter-maintenance) – antispywares/antiadwares gratuits passés périodiquement, par exemple Ad-Aware SE 1.05 (télécharger Ad Aware sur zebulon ou sur lavasoftusa.com/) et Spybot Search and Destroy 1.3 (télécharger Spybot Search and Destroy sur zebulon ou sur security.kolla.de/) (catég.1ter-maintenance) – comportement prudent vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe…) et vis à vis de la messagerie (fichiers joints aux messages scannés avant d’être ouverts) (catég.3-paramétrage) – attitude vigilante quant aux dysfonctionnements de ton système (catég.3-paramétrage). – maintenance hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag) (tous ces programmes parfaitement mis à jour avant chaque utilisation). Pour plus de précisions, je te conseille de lire la page Web “Lutte AntiMalware -prévention“ Lutte AntiMalware -prévention -1- Jeter Internet Explorer -2- Mettre à jour le navigateur et le système -3- Régler le système d’exploitation -4- Remplacer Microsoft Java VM par Sun Java -5- Régler Internet Explorer et Outlook -6- Installer des utilitaires résidents -7- IE-SPYAD -8- Fichier Hosts -9- Lancer des utilitaires non résidents -10- Adopter une attitude prudente -11- Tenir prêts, URLs et outils de réparation -12- Liens Sur les forums zebulon et PCA-Sécurité, nous faisons de gros efforts pour aider avec de plus en plus d’efficacité et nous voulons lutter contre les malwares pour qu’enfin tout le monde puisse surfer tranquille ! Avec un peu de prévention, il est possible d’être à l’abri des menaces ! S’il te plaît, fais passer le mot autour de toi ! S’il te plaît, s’il y a des internautes infectés autour de toi, envoie les nous sur ce forum ! Une bonne protection permet d’être à abri ! L’ennuyeux est que la protection vaut ce que vaut le maillon le plus faible et donc, il ne faut rien oublier !

Il est conseillé de garder ainsi sous le coude, bien d’autres modèles : pas de faute d’orthographe, pas d’approximation, etc.

Les réponses à une analyse
Outre les Canned Speeches, les experts poussent plus loin leur professionnalisme ; en voici quelques exemples :
– bien lire les demandes ; accueillir et déstresser ; utiliser un langage correct ; donner crédit aux créateurs de programmes et des posts que vous empruntez ; répondre quitte à annoncer que la réponse aux questions posées, est reportée à plus tard
– optimisation des réponses par un système de “jeton” : information que l’analyse est en cours de manière à ce que d’autres conseillers ne perdent pas leur temps par une analyse multiple inutile (en même temps que troublante pour l’utilisateur et pour les conseillers qui s’y perdent dans leur raisonnement)
– priorité à un conseiller plus qualifié disponible
– utilisation de “Canned Speeches” de manière à fournir une réponse complète et validée (exploitable par tout utilisateur)
– la restauration de base de registre à une date antérieure à l’hijacking est une solution possible même si elle n’est pas prestigieuse
– pas d’opération inutile qui trouble l’utilisateur
– indication de toutes explications sur la méthode de nettoyage en même temps qu’indication des liens justificatifs (la seule indication des liens présente le risque que l’utilisateur ne lise que mal -perdu par des détails inutiles- ces explications)
– liens indiqués entièrement de manière à ce qu’ils soient visibles à l’impression-papier
– ne pas perdre inutilement les points de restauration et attendre la fin du nettoyage

Modus Operandi –
– Introduction : rappeler que l’élimination de certains spys peut être contraire aux conditions d’utilisation de certains programmes ou mener à ce que des freewares ne fonctionnent plus ; conseil d’impression des instructions
– avant HJT : télécharger, installer, configurer, mettre à jour, lancer l’exécution, corriger, compléter en manuel et en mode sans échec
– HJT
– poursuivre le nettoyage en mode sans échec, supprimer les fichiers néfastes du disque (en plus des clés de BdR) et nettoyer complètement le système
– éléments optionnels (optimisation)
– éléments alternatifs
– réviser les protections

Ouvertures d’HijackThis
Nettoyer le système victime d’un Hijacking est une excellente chose mais ne pas perdre de vue que la chose doit aller jusqu’à et y compris l’amélioration de la protection de ce système jusqu’à une vraie prévention !

HijackThis, Centre de Contrôle du système peut être utilisé de manière améliorée.
Le rapport HJT liste les processus, les points clés de la base de registres pour le lancement d’un module au démarrage de Windows et les services.

Avec ces éléments, on peut réaliser une réponse à plusieurs niveaux (mais en des temps différents) :
– traitement d’un Hijacking (suppression clés BdR et disque des éléments néfastes) avec indication des justificatifs
– optimisation du système (suppression des éléments inutiles au démarrage qui ralentissent le système) avec indication des justificatifs. Attention que la notion d’inutilité est toute relative et qu’il convient aussi de prendre en compte la facilité et le “confort” d’utilisation de l’ordinateur.
– proposition d’alternatives pour les logiciels à risques, lorsqu’il y a des éléments douteux et qu’il y a moyen de faire mieux (ex. Kazaa alors qu’il y a KazaaLite ; désinstallation-réinstallation sans outils annexes pour Messenger Plus)
– “enseignement” ; feedback pour mise en place d’une vraie prévention !
– invitation d’un max de membres des forums à se former y compris auprès des experts US pour contrer cette restriction des libertés et des joies de l’Internet ! Nécessité d’aide de bon niveau sur les forums nationaux.

Quelques concurrents, quelques alternatives à HijackThis :
– a-squared HiJackFree -> hijackfree.net/fr/
– X-RayPc -> x-raypc.com/
– StartDreck -> niksoft.at/download/startdreck.htm

Quelques robots d’analyse de fichiers log HJT :
– HijackThis.de – hijackthis.de/ (robot d’interprétation en ligne)
– HJTDetective – help2go.com/modules.php?name=HJTDetective (robot d’interprétation en ligne)
– Iamnotageek – //hjt.iamnotageek.com/ (robot d’interprétation en ligne)
Attention : ces robots sont utiles aux conseillers qui sont capables de garder un esprit critique mais néfastes si utilisés “au pied de la lettre” !

La lutte antimalware dans le monde
Une fois encore, je donnerai ce lien -> //gerard.melone.free.fr/IT/IT-HJT.html#HJT6 vers mon site Web !
Ce paragraphe rapporte l’adresse d’excellents forums/sites de par le monde avec leurs meilleurs conseillers, avec les plus grands noms de la lutte antispyware !
Je ne sais pas si vous êtes comme moi mais j’en ai marre de voir ces menaces sur nos ordinateurs ! J’en ai marre de penser que nos amis, nos voisins, nos parents, nos enfants sont en danger et ne peuvent pas profiter à plein d’un Internet tel que je l’ai connu à ses débuts ! Marre ! En Australien, maintenant : Bugger! Bugger! Bugger!
Je veux participer moi aussi et me ranger aux côtés de ces experts mondiaux pour aider dans la lutte antimalware !

Je reproduis ici les résultats d’une recherche que j’avais faite il y a peu :
Au début étaient des sites/forums indépendants et concurrents quasi exclusivement aux US.
Les spécialistes US étaient très performants et les pirates ont eu la mauvaise idée de lancer des attaques en DDoS contre l’ensemble des sites ! Ceci a abouti à un rapprochement et à l’organisation de la lutte antispyware avec création de l’ASAP !
Jusqu’à encore récemment, il y avait un groupe d’experts autour des sites US (principalement) de l’ASAPet parmi ces experts, beaucoup d’Européens : Patrick Kolla, Merijn Bellekom, TonyKlein, Pieter Arntz, FBJ, etc. !
En parallèle, il y avait des centres d’expertises nationaux isolés dans les pays d’Europe (malgré leurs cerveaux principalement sur les forums US)…
On assiste à un rééquilibrage et les groupes Européens (pas fédérés) font parler d’eux et notamment les Allemands qui sont ultra actifs !
Mais il faut aussi compter avec les Belges, les Danois, les Hollandais.
Ce qui est nouveau est que ces groupes nationaux Européens font parler d’eux aux US ! StartDreck, eScan, SpHjfix, etc. sans parler de SpyBot Search and Destroy, CWShredder, HijackThis, etc.
Ce qui n’est pas nouveau, c’est que les Anglais sont bons mais qu’ils travaillent la main dans la main avec les Américains.
Ce qui n’est pas nouveau, c’est que la France est à la traîne !!! Le plus actif y étant Pierre Pinard (Assiste.com) qui fait partie de l’ASAP et qui bosse super dur ! Il y a aussi Jean Bal (WebSec) qui travaille beaucoup avec Jacques “Jack” Calicis, Belge, expert en Sécurité et MS-MVP.
Ne parlons pas des autres pays du Sud : Espagne, Italie, etc. J’ai eu à intervenir en Espagne, ils savent à peine se débrouiller pour les antivirus ; les sites spécialisés dans l’informatique proposent -sur le même plan- des utilitaires de sécurité (antivirus, antitroyens, etc.) et des utilitaires de cracks de mot de passe !… je veux dire qu’il n’ont pas de recul sur la chose… quelques années de retard !

Ma liste des forums reflète mal tout le foisonnement Belge, Danois et Hollandais !
Dernières nouvelles : l’Espagne est aujourd’hui, beaucoup plus dynamique, l’Italie… pas encore ! 🙁