• Résumé : emule - installation avec recherche d'implants malveillants type spywares, adwares, keylogger, backdoor et autres espions fréquents dans les clients p2p.

• Mots clé : emule, spyware, adware, keylogger, backdoor

Emule - installation avec recherche d'implants malveillants

• Tests du 21 juin 2003 sur le 0.29a
• Tests du 23 juin 2003 sur la 0.29b
• La machine de test :
  • Le système est un Windows XP Pro légal full patch au jour du test.
  • Le navigateur est Mozilla 1.3 US
  • Zone Alarm Pro activé :
    • svchost.exe (Generic Host Process for Win32 Services) accède uniquement aux serveurs DNS sur le port 53, protocole UDP et TCP. Les droits serveurs ne sont pas accordés.
    • Mozilla accède uniquement aux serveurs pop, imap et smtp, aux serveurs de news, aux serveurs dhcp, aux dns, aux ftp et web. Les droits serveurs ne sont pas accordés.
  • Norton antivirus est activé.
  • PestPatrol MemCheck est activé.
  • PestPatrol CookiePatrol est activé.
  • PestPatrol KeyPatrol est activé.
  • SpyBlocker est activé.
  • StartUpMonitor est activé.
  • StartPage Guard est activé.
  • Liaison Adsl 512
• Le système est testé avec Norton et PestPatrol et est propre.
  • (Archives
    Download de eMule0.29a.zip du 3 juin 2003 depuis un mirroir disponible sur http://prdownloads.sourceforge.net/sourceforge/emule/)
• Download de eMule0.29b.zip du 22 juin 2003 depuis un mirroir disponible sur http://prdownloads.sourceforge.net/sourceforge/emule/
  • Archives
    Récupéré un fichier .zip de 1277KO (l'explorateur de Windows signale 1278 KO)
• Récupéré un fichier .zip de 1463KO (l'explorateur de Windows signale 1463 KO)
• Coupure de la liaison Internet et ZoneAlarm Pro est paramétré pour signaler toutes les alertes.
• Analyse du fichier zippé avec PestPatrol à jour - rien
• Analyse du fichier zippé avec Norton Antivirus 2003 à jour - rien
• Unzip directement dans la directory d'installation - remarque : le fichier downloadé ne comporte pas de procédure d'installation. eMule s'installant exclusivement dans sa directory de destination sans rien écrire ailleurs sur les disques, il n'est pas du tout nécessaire de passer par une procédure d'installation - toutefois il faut avoir un utilitaire de décompression de fichiers zippés (XP sait le faire sinon télécharger et installer Unzip).
• Analyse de tous les fichiers dézippés avec PestPatrol à jour - rien
• Analyse de tous les fichiers dézippés avec Norton Antivirus 2003 à jour - rien
• Contrairement à ce qui est annoncé, un petit fichier server.met (petite liste de ce qui est appelé improprement "serveurs") est installé avec 4 "serveurs" dedans (probablement des "serveurs" reconnus stables). Donc il n'est pas nécessaire d'en télécharger un - celui-ci sera mis à jour automatiquement un peu plus tard. Double clic sur emule.exe pour lancer emule pour la première fois.
  
  
• 
  
  
• Immédiatement, le firewall demande l'autorisation de laisser eMule accéder à Internet et d'y agir en tant que serveur. Lui donner les droits nécessaires.
• 
• 
  
  
• 
  
  
• 
  
  
• 
  
  
• 
  
  
• 
  
  
• 
  
  
• 
  
  
• 
  
  
• Fin du paramétrage. La page d'accueil d'eMule apparaît. Pas connecté.
• 
  
  
• Analyse complète du système avec Norton Antivirus dans le mode le plus dur. Rien trouvé.
• Analyse complète du système avec PestPatrol dans le mode le plus dur. Trouve 2 clés de registre signalant la présence d'un outil de p2p. Cest normal de la part de PestPatrol dont l'utilisation professionnelle en environnement professionnel se doit de considérer les outils de p2p comme des agressions dans une entreprise. Petit bug sans importance : PestPatrol prétend qu'il s'agit de BearShare, un autre client p2p !!! e-Mail immédiat à PestPatrol (on est un vendredi soir / samedi matin 21 juin 03 vers 2 heures du matin): on va voir en combien de temps ils répondent et réagissent
  
  
  
  
  
• La clé HKEY_CLASSES_ROOT\ed2k contient
  • Nom de la clé : HKEY_CLASSES_ROOT\ed2k
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 20/06/2003 - 19:19
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : URL: ed2k Protocol
    
  • Valeur 1
    Nom : URL Protocol
    Type : REG_SZ
    Données :
    
    
  • Nom de la clé : HKEY_CLASSES_ROOT\ed2k\DefaultIcon
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 20/06/2003 - 19:19
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : D:\média\p2p\emule\emule.exe
    
    
  • Nom de la clé : HKEY_CLASSES_ROOT\ed2k\shell
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 20/06/2003 - 19:19
    
    
  • Nom de la clé : HKEY_CLASSES_ROOT\ed2k\shell\open
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 20/06/2003 - 19:19
    
    
  • Nom de la clé : HKEY_CLASSES_ROOT\ed2k\shell\open\command
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 20/06/2003 - 19:31
    Valeur 0
    Nom : OldDefault
    Type : REG_SZ
    Données :
    
  • Valeur 1
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : "D:\média\p2p\emule\emule.exe" "%1"
    
    
• La clé HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ed2k contiend
  • Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ed2k
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 20/06/2003 - 19:19
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : URL: ed2k Protocol
    
  • Valeur 1
    Nom : URL Protocol
    Type : REG_SZ
    Données :
    
  • Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ed2k\DefaultIcon
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 20/06/2003 - 19:19
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : D:\média\p2p\emule\emule.exe
  • Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ed2k\shell
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 20/06/2003 - 19:19
    
  • Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ed2k\shell\open
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 20/06/2003 - 19:19
    
  • Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ed2k\shell\open\command
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 20/06/2003 - 19:31
    Valeur 0
    Nom : OldDefault
    Type : REG_SZ
    Données :
    
  • Valeur 1
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : "D:\média\p2p\emule\emule.exe" "%1"
    
    
    
• Là, j'en profite pour confronter Ad-aware et SpyBot Search and Destroy à PestPatrol.
  
  
• Ad-aware
  • Chargement
  • Récupération de la dernière mise à jour (OR 147 du 12.06.2003)
  • L'état interne d'Ad-aware s'obstinant à me donner les références de la précédente mise à jour (encore un bug), je quitte Ad-aware et le recharge. Etat ok sur la dernière mise à jour.
  • Paramétrage d'un scan approfondi. Ad-aware ne signale pas la présence d'un client p2p (normal). Par contre, ce logiciel que je déteste fait toujours la course au plus grand nombre d'implants trouvés, quite à se comporter imbécilement, et me signale avoir découvert Gator ?!? Je me précipite pour m'appercevoir qu'en fait il me signale la présence d'un répertoire vide !!!
    
    
• SpyBot Search and Destroy
  • Chargement de SpyBot en mode "avancé"
  • Récupération de la dernière mise à jour (04.06.03 - Patrick Kolla, son auteur, un étudiant allemand, doit être en période d'examens actuellement car les mises à jour s'espacent un peu)
  • Le scan dure 147 secondes et SpyBot ne signale rien - la présence d'un client p2p n'est pas son affaire - normal.
    
    
• Clic sur connexion - instantanément la connexion est établie et la liste des "serveurs" est mise à jour.
  
  
• Je choisis aussitôt de télécharger une autre liste de serveurs depuis http://www.emule-france.com/download_emule.php. Quelques nouveaux "serveurs" sont reçus. Je saute ensuite de serveurs en serveurs (double clic sur quelques "gros" serveurs) jusqu'à avoir une "bonne" liste de serveurs (ce qui m'étonne d'ailleurs car il me semblerait normal que les serveurs s'interconnectent, formant ainsi un super node virtuel et qu'ainsi, la totalité des serveurs soit disponible quelque soit celui sur lequel je me connecte).
  
  
• Je lance une recherche (méthode Jigle) sur "Bro Gozh ma zadou" (hymne de tous les Bretons - totalement confidentiel) et j'en trouve 2 !!! Incroyable. Alors je lance une recherche sur "Logivy de la mer" (encore plus confidentiel, triste et nostalgique) - bon, là il ne trouve rien.
  
  
• Download quasi immédiat alors que je n'ai rien mis en partage. Aucune règle n'à encore était vérouillée au niveau du firewall.
  
  
• Scan approfondi avec PestPatrol. Rien trouvé.
  
  
• Scan approfondi avec Norton Antivirus. Rien trouvé.
  
  

Conclusions

• eMule 0.29b est totalement "propre". J'avais déjà fait ces recherches, sans les publier, sur la 0.21, la 0.26 et la 0.27, avec les mêmes résultats. On peut donc en conclure qu'eMule, sur la durée, est un client p2p propre (open source oblige).