Retracer l'activité d'un fichier au sein d'un système

Décembre 2016

Pour compléter cet article et approfondir les recherches sur la légitimité d'un fichier ou processus douteux, il est possible via des outils en ligne de retracer leurs comportements. Ces sites permettent de simuler virtuellement l'exécution d'un fichier suspect au sein d'un système, et d'en fournir un rapport détaillant les agissements de ce dernier. Comprendre et interpréter tous les résultats d'analyse demandera de solides connaissances du fonctionnement de Windows. Cependant ces outils en ligne restent autant accessibles aux personnes curieuses souhaitant avoir une vision d'ensemble sur l'action d'un exécutable, qu'à une personne avertie qui souhaite des renseignements plus pointus.

Dans la suite, nous nous proposons à titre d'exemple de décortiquer les résultats de l'analyse du fichier patch.exe sur le site Anubis, afin d'illustrer les diverses champs d'investigation que propose cet outil en ligne.

Remarque : ce site, comme un certain nombre d'autres outils en ligne, est en anglais ! ...


Exemple : résultats d'analyse du fichier patch.exe


1) Résumé-Summary :

En entête du rapport, nous avons un bref résumé de l'analyse, avec un code de couleur indiquant le niveau de dangerosité sur certaines modifications du système évaluées par le site.


Ici, nous avons dans l'ordre :
  • Changement des paramètres de sécurité d'IE: Ce changement de système a pu sérieusement affecter la sûreté du surf sur le net. Risque évalué : pastille orange.
  • Modification et destruction de dossier: L'exécutable modifie et détruit des dossiers qui ne sont pas temporaires. Risque évalué : pastille rouge.
  • Processus engendrés: L'exécutable crée des processus pendant son exécution. Risque évalué : pastille jaune.
  • Activité du registre: L'exécutable lit et modifie des valeurs du registre. Il peut également créer et surveiller des clefs du registre. Risque évalué : pastille jaune.


2) Tables des matières : nous avons ensuite la table des matières qui résume les actions listées du processus patch.exe, ainsi que les différents processus créés ou sollicités lors de son exécution


Dans notre exemple, la table des matières nous indique que l'exécution du fichier patch.exe a déclenché l'exécution de ces autres fichiers : evbmy.exe, oojrg.exe, wwry.exe, rssgwysf.exe, et cmd.exe.

3) Informations générales relatives à Anubis:

Dans cette partie, nous avons des informations générales relatives au site, à savoir ici dans l'ordre :
  • La durée qu'a demandé l'analyse du fichier.
  • La date et l'heure de la création du rapport.
  • La Raison invoquée pour terminer le scan.
  • La version du programme utilisée par le site.


4) Activité de réseau - Network Activity :


Cette partie du rapport nous renseigne sur les activités liées au réseau, ici Anubis détecte des tentatives de connexion au réseau sur le port 53.

5) 2. Patch.exe


Nous avons ici des informations relatives au fichier soumis à l'analyse, à savoir dans l'ordre :
  • Raison de l'analyse: fichier soumis à une analyse.
  • Nom du fichier: patche.exe
  • MD5: algorithme qui permet d'obtenir l'empreinte numérique caractéristique et unique d'une quantité fixée de données d'un fichier (fonction de hachage cryptographique).
  • SHA-1: autre fonction de hachage cryptographique.
  • Taille du fichier
  • Ligne de commande
  • État du fichier à la fin de la simulation: ici dead signifie que le fichier n'était plus actif, une fois son traçage terminé.
  • Code renvoyé de fin d'analyse


6) Chargement de liaison dynamique - Load-time Dlls
:


Ici, le rapport nous renseigne sur l'appel de fonctions de fichiers.dll fait par le système, qui seront nécessaires au fonctionnement du virus, appel de fonctions réalisé pendant la compilation du code de ce dernier.

7) Exécution de liaison dynamique - Run-time Dlls
:


A ce niveau, le rapport nous renseigne sur l'importation de fonctions de fichiers.dll par l'exécutable, autres fonctions dont il aura besoin pour son fonctionnement.

8) Module de balayage de l'antivirus d'Ikarus intégré à Anubis
:


Nous avons ici le résultat de l'analyse antivirus intégré au site Anubis.

9) 2.a) patch.exe - Activités du registre :

Les valeurs du registre modifiées:

Ici, le rapport nous renseigne sur les modifications réalisées par le virus dans la base de registre. A ce niveau, il faudra de solides connaissances en fonctionnement de la base de registre pour comprendre et faire la différence entre une clé ajoutée par le virus ou celle modifié visant à affecter les paramètres de sécurité du système par exemple.

Clés de registres lues:


Ici, le rapport nous indique les valeurs des clés lues par le virus.

Clés du registre surveillées :


Ici sont répertoriées toutes les clés ou valeurs du registres surveillées en temps réel par le virus.

10) 2.b) patch.exe - Activité du fichier


Fichiers créés: visibles ici dans les fichiers internet temporaires.


Fichiers lus:


Nous avons ici la liste des fichiers dont le virus aura exécutés ou lus le contenu, c'est-à-dire que l'on y trouvera autant de fichiers sains que de fichiers relatifs, nécessaires au processus d'infection.

Fichiers modifiés:


Nous avons à ce niveau des fichiers téléchargés par l'infection, que l'on retrouve ici dans fichiers Internet temporaires, d'où la mention « fichiers modifiés » des fichiers temporaires.

Dans la suite, nous avons trois modules nous renseignant sur d'autres fichiers ou drivers sollicités par le virus au cours de son exécution.

11) 2.c) patch.exe - Activités du processus
:  

Processus crées :


Ici sera listé les fichiers créés ou sollicités pour le fichier patch.exe

Dans la suite, le rapport fournit d'autres informations relatives aux actions des fichiers créés ou utilisés par patch.exe

12) 2.d) patch.exe - Activité de réseau:


Dans cette partie, le rapport indique tous les noms de domaine (contenu dans le code du virus) testés. Si la réponse est positive, le serveur DNS convertira alors ces noms de domaine en adresses IP, que le rapport mentionnera.

Connexion HTTP:


Ici, le virus vérifie si les pages sur lesquelles il va essayer de se connecter existent bien. Si les pages existent, et que la connexion s'est correctement établie, le virus pourra alors « tranquillement » commencer à télécharger de nouveaux fichiers infectés à l'insu de l'utilisateur.

Trafic TCP inconnu et Tentatives de raccordement TCP:


Après avoir mis en évidence un échange de données (ici des fichiers.exe) avec le réseau extérieur, Anubis fait le résumé des tentatives de connexions TCP sortantes sur le port 80.

13) 2.e) Patch.exe - Autres activités:

Mutexes crées:


Ici, sont listés les mutexes créés par le virus afin de « réguler » son activité et d'éviter que plusieurs de ses actions ne s'exécutent en même temps, ce qui pourrait nuire à son « bon fonctionnement » ou même "crasher" le système.


Cette partie correspond au résumé de la gestion des exceptions, autrement dit, des événements inattendus ou ceux pouvant perturber le déroulement normal d'un processus.

14) 3.Evbmy.exe : Nous passons, à présent, à la 2ème partie du rapport qui va nous renseigner sur les agissements des fichiers créés par le fichier patch.exe, tracés à leur tour.


Ici, nous retrouvons les informations générales relatives au fichier evbmy.exe :
  • Raison de l'analyse : processus démarré par le fichier patch.exe
  • Nom du fichier: evbmy.exe
  • État du fichier à la fin de la simulation: ici alive signifie que le processus était encore en cours d'exécution à la fin de l'analyse.
  • Code renvoyé de fin d'analyse.


Et rebelote ! Dans la suite, Anubis fournira les informations sur les fichiers fils basées sur les mêmes critères d'analyse.

Limites de ces outils en ligne


Ces outils en ligne, fournissant de précieuses informations sur les agissements d'un fichier, ne sont malheureusement pas sans failles, et pourront s'avérer totalement inefficaces sur certains fichiers infectés soumis à une analyse. En effet certains fichiers « immunisés » sont capables de déterminer s'ils sont exécutés dans un environnement virtuel et ou s'ils sont tracés, et dans ce cas, le rapport ne fournira aucune information pertinente.

Un exemple de fichier capable de contrer ce type d'analyse est illustré par le dropper de Virut :


Dans cet exemple, l'analyse n'aura pu être menée à son terme ; il sera donc parfois impossible de retracer le comportement de certains fichiers infectés.

Autres adresses


Voici une liste non exhaustive des sites offrant un service équivalent, fournissant des rapports plus ou moins détaillés et permettant d'analyser plusieurs types de fichiers :


Traduction française : green day

A voir également :

Ce document intitulé «  Retracer l'activité d'un fichier au sein d'un système  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.