Just another WordPress weblog
Un jour, une amie, de celles qui collectionnent les blagues TéléZ, m’a dit :
“I spoke tonight to the spider on my pillow and it told me not to worry about life, because life is like a web. a wide wild web, full of surprises. You’re stuck in it, you just have to hold on. Because of its wise ideas, I decided not to squash it. And I dreamt I was a fly. But that is not true, we are spiders.”
- ce midi il ne pleuvait pas et c’était bien parce que je n’avais qu’un pull sur moi et ca m’a ainsi éviter de me retrouver trempé comme
j’avais pu l’être ce matin.
- j’ai vu le profile facebook d’une copine que je ne vois plus trop, tout comme avant, elle a toujours le sourire et dans l’instant, c’est communicatif.:)
- après avoir un peu attendu et n’apercevoir aucun bus venant dans ma direction, je commençais à revenir doucement en centre ville
à pied, puis finalement un bus est arrivé derrière moi l’arrêt suivant n’était que quelques mètres devant moi, je n’ai eu qu’a courir un
peu, ça m’a évité une demi-heure de marche.
- le chauffeur du bus n’était pas antipathique , lorsque je lui ai sorti toutes mes pieces de 5 centimes pour lui payer mon ticket il a
juste fait des blagues gentille tel que “la prochaine fois, faudrait me mettre des pieces de collection ce serait plus intéressant”
- dans le bus, il y avait une jolie fille à quelques mètres de moi, mon regard s’est perdu une seconde vers elle, elle a regardé a souris
et a détourné le regard timidement.
- ce soir , j’ai retrouvé greg, chez lui, en débarquant à l’improviste. Il a le don de savoir décorer son appart d’une manière qui le rend
rassurant, du moins pour moi.
-nos communication avec greg sont des mélanges de phrases, silence et regard, on se connait pour échanger entre nous des
remarques ironiques qui restent sur un ton sérieux , pourtant on se retourne parfois pour se le confirmer, ou voir simplement à
l’expression de l’autre s’il a réussi à garder complètement son sérieux
- chez greg je m’assoie paisiblement sur son canapé ou son fauteuil tout en écoutant une musique calme orienté trip-hop comme
“the avalanche” ou “portishead”, greg me fait écouter ses dernières compo, on se satisfait de ce moment ou l’on ne fait que profiter
de cette musique que l’on partage et rien d’autre.
- je retrouve une copine au mail , il est déjà 19h40 et pourtant on remarque agréablement qu’il fait encore jour et que le ciel est
dégagé.
-plus tard dans la soirée lorsqu’elle me raconte qu’elle a fait un tennis dernièrement avec quelqu’un, je devine à la manière confuse qu’elle a de donner les explications sur comment ils se connaissent qu’elle sort tres certainement avec, plus tard après la soirée elle me le confirme par sms, c’est marrant de voir qu’on a su lire à travers les mots.
- le film de Michel Gondry , “be kind rewind” est à la fois drôle et triste, c’est sans conteste un bon film.
- en revenant du cinéma, on s’arrête un instant à la fontaine du mail , je n’ai pas que des bons souvenirs de cet endroit, il fait assez frais mais malgré cela, je n’ai pas froid et l’éclairage de la fontaine la rend magnifique.
Il y a quelque temps déjà, 2 de mes contacts ce sont mis au même moment à m’envoyer un lien du genre “http://msn.images.isuisse.com/?photo=votre_pseudo”
précisant que ma photo y était, surpris et/ou amusé je décide d’aller prospecter pour les aider à se débarrasser de cet affreux malware et aussi satisfaire ma curiosité.
J’ai commencé par télécharger le binaire du site en question puis je l’ai ouvert avec ida, pour voir un peu quelles fonctions il appelait et avoir une idée de ce qu’il pouvait faire d’autre que d’envoyer des messages ennuyeux sur msn. Sans trop grande surprise, le fichier était packer, je me suis donc précipité à lancer peid dessus pour savoir comment. Sans faire attention, j’ai cliqué sur “find oep pointer” ce qui a eu pour effet de lancer le malware sur ma machine, malin. Mais rien de si inquiétant c’était l’occasion de vraiment savoir ce que le malware faisait pour le coup :).
J’ai commencé par fermer msn, pour ne pas polluer mes contacts, puis j’ai démarré d’une manière habituelle les très bons outils de Marc Russinovitch que sont “Process explorer” et “autoruns“. Assez surpris, alors que j’avais repéré l’exécution d’une dll dans un sous dossier windows, Process explorer était incapable de voir la thread associée. Le malware se masquait du résultat de la fonction d’api win32 utilisée par Process explorer, rien d’extraordinaire mais ça le place déjà dans la catégorie des malwares un peu plus ennuyeux que la moyenne.
J’ai découvert alors les 2 très bon soft que sont gmer et darkspy. Gmer est vraiment très pratique parce qu’il a été capable de détecter les processus masqué au niveau du noyau, mais également parce qu’il permet en un *click* de fermer tout les processus non critique pour l’utilisation de l’os.
Ca permet d’empecher par exemple 2 dll d’assurer l’exécution du malware en s’injectant mutuellement dans les processus du système, et surtout de supprimer les fichiers du malware puisqu’ils ne sont plus utilisés. Une clé du registre supprimée et 2/3 fichiers et il n’y avait plus de trace de l’ennemi.
J’ai surement gagné un temps précieux de reverse engineering en exécutant directement le malware sur mon système, mais il n’empêche que vu le niveau grandissant des malware, et des techniques de rootkit qu’ils emploient, il y a de quoi être inquiet de la bienséance de son système après ça.
J’ai donc poursuivi un peu mes recherches pour avoir plus d’information. En me faisant la remarque du temps gagné par l’exécution je me suis dit qu’il serait intéressant de garder une machine virtuelle de coté la prochaine fois. J’ai alors fait la découverte de anubis : http://anubis.iseclab.org/features.php qui remplit très bien ce rôle, et m’a permis de m’assurer que j’avais bien supprimé tout ce qu’il fallait mais également de découvrir qu’il s’agissait en plus d’un botnet.
Par ailleurs, on m’a fait découvrir le forum mad avec un thread qui traitait justement du malware en question.
Enfin, j’ai découvert une analyse déjà bien réalisée, faites en 2 parties, d’un malware qui semble assez proche sur le blog d’0vercl0k’s et que je vous recommande.
merci à Ivanlefou de m’avoir faite découvrir Gmer, ainsi qu’à l’une des victimes qui m’a aussi servi de cobaye, et qui se reconnaitra si elle me lit 
en cette heure plus qu’éthanolée, et au risque d’en choquer certain, je ne peux qu’exprimer “un peu plus de son, un peu plus d’alcool un peu plus de philosophie ne peux faire que du bien à mon avis”
bonne nuit.
Les questions les plus importantes de la vie ne sont pour la plupart
que des problèmes de probabilité.
(Pierre Simon de Laplace)
J’aime pas les probas.
Un post court et concis pour dire que oui, j’ai ajouté ( avec pas mal de retard ) une baniere pour exprimer un soutient virtuel au presse-citron.
(ca c’est fait)
