• Résumé : shareaza - installation avec recherche d'implants malveillants type spywares, adwares, keylogger, backdoor et autres espions fréquents dans les clients p2p.

• Mots clé : shareaza, spyware, adware, keylogger, backdoor

Shareaza - installation avec recherche d'implants malveillants

• Tests du 23 juin 2003 sur la 1.9 beta
  La machine de test :
  • Le système est un Windows XP Pro légal full patch au jour du test.
  • Le navigateur est Mozilla 1.3 US
  • Zone Alarm Pro activé :
    • svchost.exe (Generic Host Process for Win32 Services) accède uniquement aux serveurs DNS sur le port 53, protocole UDP et TCP. Les droits serveurs ne sont pas accordés.
    • Mozilla accède uniquement aux serveurs pop, imap et smtp, aux serveurs de news, aux serveurs dhcp, aux dns, aux ftp et web. Les droits serveurs ne sont pas accordés.
  • Norton antivirus est activé.
  • PestPatrol MemCheck est activé.
  • PestPatrol CookiePatrol est activé.
  • PestPatrol KeyPatrol est activé.
  • SpyBlocker est activé.
  • StartUpMonitor est activé.
  • StartPage Guard est activé.
  • Liaison Adsl 512
• Le système est testé avec Norton et PestPatrol et est propre.
• Download de Shareaza 1.9 beta depuis un mirroir disponible sur http://www.kiwiuk.net/shareaza/Shareaza1890.exe
• Récupéré un fichier .exe de 2.005 KO (l'explorateur de Windows signale 2.005 KO)
• Coupure de la liaison Internet et ZoneAlarm Pro est paramétré pour signaler toutes les alertes.
• Analyse du fichier avec PestPatrol à jour - rien
• Analyse du fichier avec Norton Antivirus 2003 à jour - rien
• Double Clic sur l'exe récupéré. Si l'on en croit le log d'installation, celle-ci copie uniquement des fichiers dans la directory de destination et crée quelques racourcis, c'est tout. Il n'y a besoin d'aucun utilitaire de décompression.
  
  
  
  
• Analyse de tous les fichiers installés avec PestPatrol à jour - rien
• Analyse de tous les fichiers installés avec Norton Antivirus 2003 à jour - rien
• Sur le bureau, une icône "Start Shareaza" a été installée. Double clic dessus. Shareaza tente aussitôt une connexion mais, mon firewall ne connaissant pas ce programme, me demande aussitôt quelle est ma position vis à vis de ce programme. Sachant que je n'ai pas de connexionn établie, je donne les autorisations à mon firewall pour voir comment le programme se déclare.
  
  
  
  
  
  Et je regarde dans ZoneAlarm Pro. Shareaza à des droits d'accès à tous les ports dans tous les protocoles. Donc, pour l'instant, je supprime Shareaza de la liste des programmes reconnus dans mon firewall, histoire de voir, plus tard, ce qu'il va me demander.
  
• Le choix de la langue est proposé. Va pour le français.
  
  
  
  
• Puis suit une séquence de fenêtre de paramétrage de base.
  
  
  Clic sur suivant.
  
  
  Choisir "Interface tablée" si vous débutez. C'est plus simple et plus proche de ce que l'on trouve dans les interfaces des autres clients p2p. Il sera toujours possible de basculer de l'un à l'autre plus tard.
  
  
  Tiens - tout n'est pas encore traduit en français. Ici, j'ai choisi de répondre que j'utilise Internet "At home" - sous-entendez, par là, que je ne l'utilise pas dans le cadre d'un réseau. Oui, j'utilise un firewall qui bloquera tout, donc je donnerais les droits nécessaires et suffisants à Shareaza pour qu'il passe au travers de mon firewall et, enfin, je déclare être en liaison ADSL.
  
  
  Shareaza me demande d'accepter du traffic selon le protocole TCP sur le port 6346. Je pourrais le faire maintenant mais je préfère, pour les besoins du test, différer cette autorisation. Donc je continue le paramétrage tout en laissant mon firewall bloqué.
  
  
  
  Par défaut, c'est le sous répertoire Downloads, dans le répertoire où est installé Shareaza, qui est proposé pour le partage. Acceptez. Vous pouvez, éventuellement, ajouter d'autres répertoires se trouvant sur vos supports. Soyez extrêmement prudent avec les répertoires partagés, sachant que tous les sous-répertoires d'un répertoire partagé sont accessibles. Il est préférable de ne donner que des hiérarchies du plus bas niveau (le répertoire ne comporte pas de sous répertoire).
  
  
  Un bref balayage des répertoires - tout est à zéro chez moi, pour l'instant.
  
  
  Ici, commence, en anglais, un interrogatoire en règle sur vous même.
  NE DONNER AUCUNE INFORMATION mis à part un pseudo (screen name) et, éventuellement, le pays (qui, de toutes manière, peut être déduit facilement par votre adresse IP)
  .
  
  Tout en blanc mis à part le pseudo.
  
  
  Tout en blanc.
  
  
  Tout en blanc mis à part le pays.
  
  
  Tout en blanc.
  
  
  Tout en blanc.
  
  
  Tout en blanc.
  
  
  Tout en blanc.
  
  
  Ah, que c'est beau. Voici un GUID. Je vous recommande de lire la page sur les GUID. Pas possible de le contourner donc je vous recommande d'en changer souvent en relançant la procédure d'installation de Shareaza (chaque jour par exemple - c'est très rapide - vos paramètres étant mémorisés - il suffit de cliquer sur "générer" et il est recalculé).
  
  
  En gourmand que je suis, je choisi d'accéder à tous les réseaux simultanément.
  
  
  Retour à la langue de Molière. Je choisi de ne pas lancer Shareaza au démarrage de Windows.
  
  
  La fenêtre d'accueil de Shareaza se découvre. Je ferme Shareaza, reboote ma machine et lance les tests.
  
  
• Analyse complète du système avec Norton Antivirus dans le mode le plus dur. Rien trouvé.
• Analyse complète du système avec PestPatrol dans le mode le plus dur.
  
  
  Pas d'affolement. Pour PestPatrol, un outil professionnel utilisé en environnement professionnel (en entreprise), les clients p2p font partie des implants malveillants sur un ordinateur. Ils sont consommateurs d'une très grande partie de la bande passante, utilisent de très grands volumes de stockage et peuvent créer des failles de sécurité puisque des personnes de l'extérieur ont accès aux fichiers internes. Leur classement des URIs Magnet en adware de type SaveNow est incompréhensible (e-mail de consultation envoyé) et leur assimilation à un autre client p2p Gnutella (Xolox) est aproximatif (mais, pour eux, tous les clients P2P sont quasiment à mettre dans le même sac).
  
  
• Contenu des clés signalées par PestPatrol
  
  
  • Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\magnet\DefaultIcon
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : "D:\média\p2p\Shareaza\Shareaza.exe",-128
    
    Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\magnet\shell
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\magnet\shell\open
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\magnet\shell\open\command
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : "D:\média\p2p\Shareaza\Shareaza.exe" "%L"
    
    Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\magnet\shell\open\ddeexec
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : %1
    
    Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\magnet\shell\open\ddeexec\Application
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : Shareaza
    
    Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\magnet\shell\open\ddeexec\Topic
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : URL
    
    
    
  • Nom de la clé : HKEY_CLASSES_ROOT\gnutella
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : URL:Gnutella Protocol
    Valeur 1
    Nom : URL Protocol
    Type : REG_SZ
    Données :
    
    Nom de la clé : HKEY_CLASSES_ROOT\gnutella\DefaultIcon
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : "D:\média\p2p\Shareaza\Shareaza.exe",-128
    
    Nom de la clé : HKEY_CLASSES_ROOT\gnutella\shell
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Nom de la clé : HKEY_CLASSES_ROOT\gnutella\shell\open
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Nom de la clé : HKEY_CLASSES_ROOT\gnutella\shell\open\command
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : "D:\média\p2p\Shareaza\Shareaza.exe" "%L"
    
    Nom de la clé : HKEY_CLASSES_ROOT\gnutella\shell\open\ddeexec
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : %1
    
    Nom de la clé : HKEY_CLASSES_ROOT\gnutella\shell\open\ddeexec\Application
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : Shareaza
    
    Nom de la clé : HKEY_CLASSES_ROOT\gnutella\shell\open\ddeexec\Topic
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : URL
    
    
    
  • Nom de la clé : HKEY_CLASSES_ROOT\magnet
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : URL:Magnet Protocol
    Valeur 1
    Nom : URL Protocol
    Type : REG_SZ
    Données :
    
    Nom de la clé : HKEY_CLASSES_ROOT\magnet\DefaultIcon
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : "D:\média\p2p\Shareaza\Shareaza.exe",-128
    
    Nom de la clé : HKEY_CLASSES_ROOT\magnet\shell
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Nom de la clé : HKEY_CLASSES_ROOT\magnet\shell\open
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Nom de la clé : HKEY_CLASSES_ROOT\magnet\shell\open\command
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : "D:\média\p2p\Shareaza\Shareaza.exe" "%L"
    
    Nom de la clé : HKEY_CLASSES_ROOT\magnet\shell\open\ddeexec
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : %1
    
    Nom de la clé : HKEY_CLASSES_ROOT\magnet\shell\open\ddeexec\Application
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : Shareaza
    
    Nom de la clé : HKEY_CLASSES_ROOT\magnet\shell\open\ddeexec\Topic
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : URL
    
    
  • Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\gnutella
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : URL:Gnutella Protocol
    Valeur 1
    Nom : URL Protocol
    Type : REG_SZ
    Données :
    
    Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\gnutella\DefaultIcon
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : "D:\média\p2p\Shareaza\Shareaza.exe",-128
    
    Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\gnutella\shell
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\gnutella\shell\open
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\gnutella\shell\open\command
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : "D:\média\p2p\Shareaza\Shareaza.exe" "%L"
    
    Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\gnutella\shell\open\ddeexec
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : %1
    
    Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\gnutella\shell\open\ddeexec\Application
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : Shareaza
    
    Nom de la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\gnutella\shell\open\ddeexec\Topic
    Nom de la classe : <Sans classe>
    Heure de dernière écriture : 23/06/2003 - 16:08
    Valeur 0
    Nom : <SANS NOM>
    Type : REG_SZ
    Données : URL
    
    
    
• Là, j'en profite pour confronter Ad-aware et SpyBot Search and Destroy à PestPatrol.
  
  
  • Etablissement d'une connexion
    
    
  • Ad-aware
    • Chargement
    • Récupération de la dernière mise à jour (OR 148 du 23.06.2003)
    • Paramétrage d'un scan approfondi. Ad-aware ne signale pas la présence d'un client p2p (normal).
      
      
  • SpyBot Search and Destroy
    • Chargement de SpyBot en mode "avancé"
    • Vérification de sa mise à jour - ok.
    • Le scan dure 151 secondes et SpyBot ne signale rien - la présence d'un client p2p n'est pas son affaire - normal.
      
      
• Lancement de Shareaza
  
  
• Shareaza demande à mon firewall une autorisation d'agir en tant que serveur et précise qu'il souhaite accéder au port 6346. Je lui répond que "oui" puis vais aussitôt dans mon firewall préciser la règle pour Shareaza car, actuellement, le firewall l'a autorisé à agir en tant que serveur (et client) sur tous les ports et dans tous les protocoles. Ses droits doivent être limités au protocole TCP sur le port 6346.
  
  
  
  
  
  
• Clic sur le bouton "Se connecter" puis sur le lien "Click here to start". Ca ne fonctionne pas. Je remarque dans le log Shareaza qu'il tente d'écouter les datagrammes avec le protocole UDP sur le port 6346, donc je lui ajoute ce droit, ce qui ne change rien au fait que "rien ne se passe".
  
  
• Après quelques tatonnements et consultations de sites et de forums, je lui ajoute :
  • Autorisation de protocole TCP sur le port 80
  • Autorisation de protocole UDP sur le port 41170
    
    
• Recherche d'une source et download. Ce n'est pas rapide. En sus Shareaza consomme énormément de ressources machine et de ressources réseau. Son IHM (Interface Homme / Machine) est d'une incroyable complexité et il est globalement très désagréable à utiliser. C'est très fouilli avec la volonté apparente d'en mettre le plus possible mais sans savoir où le mettre.
  
  
• Après ce download et après l'avoir laissé 2 jours ouvert, scan approfondi avec PestPatrol. Rien trouvé.
  
  
• Scan approfondi avec Norton Antivirus. Rien trouvé.
  
  

Conclusions

• Shareaza 1.9 beta est totalement "propre" (sous réserve de la réponse en attente de PestPatrol à propos de SaveNow - question posée le 7 juillet 03 - en général ils me répondent sous 24 à 48 heures sur des formulaires très "pro" avec passage et dispatch dans les différents services - suivi etc. ... une grosse société bien cloisonnée).