Cuckoo – Traiter le résultat avec Gephi 2

Posted on by

Dans le précédent post on a vu comment construire un graphique à partir de l’analyse d’un lot de malwares. Le résultat est plutôt sympathique, mais pas si concluant que ça.

Pour obtenir des choses plus intéressantes il va falloir sélectionner, supprimer, filtrer des choses, je ne vais pas détailler cela ici mais simplement vous proposer des résultats.

Malwares – Malwares

Ce graphique ne se compose que de malwares, mais les liens entre eux montrent les comportements qu’ils ont en communs.

Cuckoo - Gephi malwares

On voit que certaines catégories sont absentes ou peu présentes. C’est sans doute dû à la base comportementale qui n’est pas forcement adaptée à certains types de malwares (les vers, les virus ou les adwares par exemple).

PDF

Comportements – Comportements

L’échantillon de malwares prit n’est pas vraiment représentatif de l’ensemble des infections, mais il peut être intéressant de voir quels sont les comportements les plus centraux de ces malwares. On va séparer entre comportements au niveau des fichiers, du registre et l’API.

Cuckoo - Gephi comportements fichiers

PDF

Cuckoo - Gephi comportements registre

PDF

Cuckoo - Gephi comportements api

PDF

Mauvaises détections

Pour chacun de nos malwares, nous avons des taux de détection à notre disposition. Essayons de voir comment s’organise notre graphique pour les malwares mal détectés (on choisit pour cela une valeur un peu arbitraire : moins de 7 détections).

Cuckoo - Gephi Mauvaises detections

Si l’on considère que les anti-virus se servent en partie des comportements des malwares pour décider du caractère infectieux ou non de ceux-ci (ce qui est bien sur à vérifier), les comportements les plus visibles ici sont donc peu pris en compte par ces sociétés.

PDF

Détections heuristiques

Les anti-virus embarquent souvent un moteur de détection heuristique. En l’absence de signature connue, en analysant le comportement d’un fichier ils peuvent dire (avec une certaine incertitude) si celui-ci est infectieux ou non.
On ne va donc garder que les malwares dont le nom est précédé d’un “HEUR:“, “suspicious“, etc.
Voyons quels comportements font tilter nos anti-virus.

Gephi - cuckoo heuristique

PDF

La suite ici.

Pour toutes questions ou commentaires, vous pouvez aller sur le forum. ici

Cuckoo – Traiter le résultat avec Gephi

Posted on by

Vous avez installé cuckoo et analysé plein de malwares. C’est sympa tout ça, mais vous n’avez peut-être pas envie de lire tous les rapports ?

Dans ce post, on va créer un rendu visuel de ces analyses, duquel on pourra extraire des informations pertinentes grâce au logiciel Gephi !

L’idée

Le but du traitement à réaliser est de trouver un moyen pour regrouper/classer les fichiers analysés. Dans les rapports, on va trouver pour chaque malwares plein d’indications, je vais appeler ça des comportements.

L’idée de départ était de regrouper les malwares étudiés entre-eux en fonction de leur comportement observé. Pour cela, chaque comportement partagé entre deux malwares donne un lien entre eux deux. Par conséquent, plus il existe de lien entre les malwares, plus leur comportement global est proche.

Cette idée pose deux problèmes majeurs :

  • En faisant comme ça on ne voit que les liens entre les malwares, c’est un peu pauvre, on veut aussi s’intéresser aux comportements.
  • C’est très lourd, ça implique de parcourir tous les rapports plusieurs fois, il faut aussi créer des algorithmes complexes pour identifier tous ces comportements (on ne peut pas se contenter de comparer chaque lignes)

Traitement

Pour résoudre ce problème, on va l’attaquer autrement. Les comportements seront prédéfinis (base comportementale) et correspondront chacun à un nœud. Les malwares qui auront ce comportement auront un lien avec lui. On aura donc un graphique bipartite (malwares et comportements ensembles).

Construire une base comportementale ça prend du temps, celle que je vous propose est donc loin d’être exhaustive et peut posséder des erreurs.
Voici un exemple de comportement :

SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Drivers32
2
Lancement automatique (Drivers32)

La première ligne désigne ce qu’il faut rechercher dans le rapport. La seconde pour le type (2 = clé de registre) et la troisième est une explication courte.

Base comportementale : base_comportement base_comportement_details

Maintenant il ne reste plus qu’à parcourir les résultats.
On met le contenu du répertoire storage/analyses dans un dossier à part avec les bases et le programme de traitement.

Ce programme a été écrit en C, c’est pas très jolie, c’est lourd, mais ça fait son travail.

Code : main.c

En sortie on aura 2 fichiers GDF (un format compréhensible par Gephi), l’un contiendra les nœuds, l’autre les liens.

s256, ,malware,'Trojan-FakeAV.Win32.SmartFortress2012.acxa',12

Voilà un exemple de nœud, c’est un malware détecté en tant que “Trojan-FakeAV.Win32.SmartFortress2012.acxa” par 12 antivirus.

Quand on assemble les deux fichiers on obtient un fichier GDF prêt à être chargé sur Gephi : result.gdf.

Gephi

Gephi est un logiciel open-source multiplate-forme de visualisation développé en Java.

Télécharger Gephi.

On charge le fichier GDF, il faut supprimer les nœuds orphelins si il y en a.

Dans l’onglet Laboratoire de données on retrouve nos nœuds et liens. La partie Vue d’ensemble nous permet de modifier notre graphique, on peut commencer par lui appliquer un algorithme de spatialisation comme le Force Atlas 2.

Graphique bipartite gephi

On obtient un (beau) graphique. On peut l’exporter au format pdf par exemple : gephi_bipartite_1.pdf

Graphique bipartite résultat

Un cluster bipartite 1

Un cluster bipartite 2

La suite par ici.

Pour toutes questions ou commentaires, vous pouvez aller sur le forum. ici

Cuckoo – Analyser un lot de malwares

Posted on by

Avec Cuckoo Sandbox, vous allez voir qu’il est très simple d’analyser tout un lot de malwares.

Il est recommandé d’avoir un PC puissant, une quantité suffisante de mémoire, et un peu de place sur son disque dur.

Ce post fait suite à celui détaillant l’installation de cuckoo.

Dans un premier temps, nous allons optimiser un peu l’analyse.

Paralléliser l’analyse

Cuckoo c’est bien, mais ce n’est pas ce qu’il y a de plus rapide, on se rend vite compte que l’analyse d’un seul fichier peut durer plusieurs minutes.
Il est donc intéressant d’utiliser plusieurs machines virtuelles.

Relancez virtualbox, pour rappel il suffit de faire :

sudo chroot /srv/chroot/cuckoo_chroot
su cuckoo
virtualbox&

Faites un clique droit sur votre machine puis clôner. Clône intégral de l’état actuel.

Démarrer votre nouvelle machine, puis modifier son adresse IP en 192.168.56.102. (changer le dernier octet pour chaque machine)

Configuration réseau clone machine virtuelle

Enfin, redémarrez votre machine virtuelle puis prenez un instantané.

Recommencez cette manipulation pour chaque nouvelles machines.

Maintenant, éditons le fichier virtualbox.conf situé dans le dossier conf de cuckoo.

Ajoutez vos machines :

machines = cuckoo1,cuckoo2,cuckoo3,cuckoo4

Pour chacune, créez une section :

[cuckoo2]
# Specify the label name of the current machine as specified in your
# VirtualBox configuration.
label = cuckoo2

# Specify the operating system platform used by current machine
# [windows/darwin/linux].
platform = windows

# Specify the IP address of the current machine. Make sure that the IP address
# is valid and that the host machine is able to reach it. If not, the analysis
# will fail.
ip = 192.168.56.102

Analyse

Il vous faut maintenant récupérer des fichiers à analyser et les mettre dans le répertoire de l’utilisateur cuckoo (en faisant toujours attention aux droits, ne pas hésiter à utiliser la commande chown).

Avant de commencer, si votre PC a tendance à chauffer, il peut être bon de limiter cuckoo et virtualbox (en terme de ressources utilisées). On peut utiliser cpulimit pour ça. Les commandes sont à adapter à votre configuration (voir explications)

cpulimit --path=/usr/bin/python --limit 15&
cpulimit --path=/usr/bin/virtualbox --limit 15&

Nous sommes prêt, allez dans le répertoire de cuckoo.
Si vous avez déjà lancé des analyses, vous pouvez les effacer avec la commande :

./utils/clean.sh

Pour lancer l’analyse :

python cuckoo.py&
./utils/submit.py /dossier/avec/vos/malware

Les fichiers sont ajoutés à une file d’attente, les machines virtuelles se lancent et s’éteignent automatiquement.

Cuckoo file d'attente

Cuckoo fonctionnement normal

Et le résultat final.

Dossier résultat analyse lot de malware

Il ne vous reste plus qu’à analyser tous ces rapports 🙂

Pour toutes questions ou commentaires, vous pouvez aller sur le forum. ici

Cuckoo Sandbox – Installation

Posted on by

Dans ce post je vais expliquer pas à pas comment installer Cuckoo Sandbox.

N’oubliez pas que l’analyse de malware peut être dangereuse, je vous conseille de prendre toutes les précautions qui s’imposent avant de commencer. Il est possible que certaines manipulations expliquées ici soient dangereuses.

L’installation sera effectuée sur une machine Debian “testing” sur une architecture amd64.

On l’installera dans un chroot, en faisant ainsi on l’isolera du reste du système (change root – changer la racine). Cuckoo sera lancé depuis un utilisateur aux droits limités dans ce chroot afin de limiter les risques pour le système hôte si un malware arrive à “s’échapper” de la machine virtuelle.

Si vous souhaitez installer cuckoo directement sur votre système vous pouvez simplement suivre la documentation.

Création du chroot

On installe les logiciels nécessaires et on crée le répertoire de notre chroot.

sudo apt-get install binutils debootstrap
sudo mkdir -p /srv/chroot/cuckoo_chroot

La commande debootstrap permet d’installer un système debian dans le sous-répertoire d’un autre système.
Veillez à choisir la même architecture que votre système.

sudo debootstrap --arch amd64 testing /srv/chroot/cuckoo_chroot http://http.debian.net/debian

Le chroot sera donc situé dans notre cas dans /srv/chroot/cuckoo_chroot.

L’installation se lance, cela peut prendre plusieurs minutes.

Pour plus d’information sur les chroot ou en cas de problème : https://wiki.debian.org/fr/Chroot

Entrons y :

sudo chroot /srv/chroot/cuckoo_chroot

Si tout va bien, quelque chose comme ça s’affiche :

root@debian:/#

Dans la suite de ce post, on va distinguer les commandes à taper sur le système principal de celles à entrer sur le chroot par un code de couleur (couleur des encadrés).

Sur le système principal
Dans le chroot en tant qu'utilisateur root
Dans le chroot en tant qu'utilisateur cuckoo

Il faut ensuite installer le logiciel de virtualisation dans lequel les malwares seront exécutés, nous utiliserons virtualbox mais vous pouvez prendre n’importe quel autre (KVM, VMware, …).

Installation de Virtualbox

Commencez par éditer le fichier /etc/apt/sources.list, ajoutez y la ligne :

deb http://http.debian.net/debian testing contrib non-free

Puis installez :

apt-get install virtualbox

Il est possible de rencontrer des problèmes à l’installation de virtualbox, c’est récurrent. Pour les résoudre je vous conseille de copier le message d’erreur sur un moteur de recherche, de nombreux sujets sur des forums existent. La Documentation debian donne aussi des solutions.

Erreurs courantes :

The character device /dev/vboxdrv does not exist.

Solution :

modprobe vboxdrv
VBoxNetAdpCtl: Error while adding new interface: failed to open /dev/vboxnetctl: No such file or directory

Solution :

modprobe vboxnetadp

Installation de Cuckoo

Un certain nombre de dépendances sont nécessaires, il faut aussi que tcpdump puisse se lancer avec des droits de super-utilisateur (pour capturer le trafic).

apt-get install python python-sqlalchemy python-dpkt python-jinja2 python-magic python-pymongo python-libvirt python-bottle python-pefile tcpdump libcap2-bin
setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump

On crée un utilisateur,

adduser cuckoo
usermod -G vboxusers cuckoo

Il faut maintenant télécharger cuckoo : ici
On extrait le contenu du fichier cuckoo-current.tar.gz téléchargé dans notre chroot.

sudo tar xzfv cuckoo-current.tar.gz -C /srv/chroot/cuckoo_chroot/home/cuckoo/

Cuckoo est installé.
Attention aux droits, exécutez la commande suivante dans le dossier de l’utilisateur cuckoo pour qu’il soit propriétaire des fichiers (change the owner).

chown cuckoo * -R

Configuration de Virtualbox

xhost +

Cela vous permettra de lancer des applications graphiques depuis le chroot.

En utilisant le compte que l’on a créé, on va pouvoir lancer virtualbox.

su cuckoo
virtualbox&

A vous maintenant de créer une machine virtuelle, j’ai choisi d’utiliser Windows XP SP3 (si vous avez déjà une machine virtuelle de créée, vous pouvez l’importer dans le chroot) mais libre à vous de prendre un autre système (Vista, 7, 8, …).

Sur la machine virtuelle, désactiver le pare-feu et les mises à jour automatiques. Puis installer python : http://www.python.org/getit/

Sur Virtualbox allez dans Machine -> Configuration -> Dossiers partagés -> Ajouter un dossier partagé. Ajouter le dossier /home/cuckoo/cuckoo/agent et cocher montage automatique.

Virtualbox création dossier partagé

Redémarrez la machine. Depuis le dossier monté, placer le fichier agent.py dans le dossier de démarrage automatique de Windows et le renommer en agent.pyw.

Dossier démarrage machine virtuelle

Passons maintenant à la configuration réseau, éteignez la VM. Dans la fenêtre principale de virtualbox aller dans Fichier -> Paramètres -> Réseau -> Ajouter réseau privé hôte. (il est possible que vous soyez obligés d’effectuer cette manipulation après chaque redémarrage)

Dans la configuration de la machine, sur l’onglet Réseau choisissez le mode d’accès réseau privé hôte.

Virtualbox créer réseau privé

Allumez votre machine virtuelle, elle fait maintenant parti d’un réseau privé qui lui permettra de communiquer avec cuckoo. On va lui attribuer une adresse IP fixe. Dans les options internet, vous pouvez lui donner l’adresse 192.168.56.101.

Configuration réseau machine virtuelle

La configuration de la machine virtuelle est terminée, assurez vous qu’aucun programme parasite ne se lance, prenez ensuite un instantané de la machine après son démarrage (une fois que tout est bien chargé). Vous pouvez fermer virtualbox.

On n’oubliera pas d’autoriser cuckoo et la machine virtuelle à communiquer. Cette commande n’est pas permanente, il faudra l’ajouter à votre script de configuration d’iptables ou la retaper à chaque utilisation de cuckoo.

sudo iptables -A INPUT -i vboxnet0 -j ACCEPT

Configuration de Cuckoo

Aller dans le dossier de cuckoo puis dans conf. On y trouve plusieurs fichiers .conf avec des explications.

Modifier le fichier virtualbox.conf pour y indiquer votre machine virtuelle.

label = nom_de_votre_machine_virtuelle

Dans le fichier reporting.conf vous pouvez choisir quels types de rapports seront générés.

Maintenant, lançons cuckoo.

python cuckoo.py&

Démarrage cuckoo

Voilà ce que vous devriez avoir si tout va bien !

Pour analyser un fichier, il vous suffit de faire :

./utils/submit.py chemin_vers_le_fichier

Ou bien :

./utils/submit.py --url http://www.malware.com

Cuckoo fonctionnement

Les rapports d’analyses sont situés dans storage/analyses.

Cuckoo résultat html

Cuckoo résultat json

Dans les rapports on trouvera par exemple :

  • Les appels à l’API Win32
  • Les fichiers créés, supprimés ou téléchargés
  • La capture du trafic réseau
  • Les clés de registre crées, supprimées ou modifiées
  • Des captures d’écran de la machine
  • Une analyse Virustotal

Si vous souhaitez analyser de nombreux malwares, vous pouvez lire le billet suivant : Analyser un lot de malwares.

Bien d’autres possibilités existent, vous trouverez tout une documentation dans le dossier cuckoo/docs/book.
Vous pouvez par exemple donner à la machine virtuelle un accès à internet et ainsi capturer le trafic, demander à cuckoo de faire un dump mémoire, …

Pour toutes questions ou commentaires, vous pouvez aller sur le forum. ici

Analyse de malwares avec Cuckoo

Posted on by

Cuckoo Sandbox est un logiciel permettant d’analyser rapidement des malwares.

Codé en python, il génère des rapports détaillés sur le fichier analysé.

Je vais présenter rapidement cuckoo, puis dans une série de posts, je vais vous expliquer comment l’installer, nous verrons ensuite une application possible de ces analyses.

Exécuter un malware dans une machine virtuelle est un moyen simple de l’étudier, mais cela nécessite d’utiliser de nombreux outils et peut prendre du temps. Cuckoo va effectuer la même chose automatiquement et générer un rapport.

Pour ce faire, on installe un petit module sur une machine virtuelle qui va exécuter le malware, récupérer des informations sur le système et les transmettre à cuckoo.

On saura donc rapidement quelle incidence le malware a eu sur le système (fichiers créés, clés de registre modifiées, …).

Il est possible d’utiliser cuckoo sans installation, le site malwr.com permet d’analyser un fichier en ligne.

Merci à tout ceux qui m’ont fait découvrir cuckoo et aidé dans ce projet, en particulier igor51.

Pour toutes questions ou commentaires, vous pouvez aller sur le forum. ici

Mise à jour des plugins et logiciels critiques

Posted on by

* Une nouvelle version Java 7 Update 45 est disponible : http://www.java.com/fr/download/

Pensez à décocher la barre Ask :

Image Ask

* Une nouvelle version Adobe Reader 11.0.5
Site d’Adobe

La page de téléchargement n’a pas été encore actualisée par Adobe.
Lien direct pour la dernière version 11.0.5 ->

Le bulletin de sécurité :
Bulletin de sécurité

* Nouvelle version de Adobe Flash Player 11.9.900.117 : Lien Flash

MBRScan

Posted on by

MBRScan est un outil qui va vous permettre de détecter une modification de votre MBR. ([url=http://fr.wikipedia.org/wiki/Master_boot_record]Master Boot Record[/url])
([i]Bootkit : TDL4/MaxSS, etc …[/i])

[center][color=red][i]/!\ Les résultats marquant “Unknown MBR code” ne signifient pas obligatoirement une infection, certains constructeurs de PC ont leurs propres MBR par exemple, légèrement différent d’un OS classique, soyez prudent et ne faite pas de manœuvres inconsidérées sous peine de ne plus pouvoir lancer votre système d’exploitation ! /!\ [/i][/color][/center]

[i]Info : certains antivirus peuvent détecter cet outil comme dangereux, désactivez alors leur protection le temps du scan.[/i]

[size=12pt]Télécharger [b][url=http://tools.security-x.fr/download.php?f=MbrScan.exe]MBRScan[/url][/b] de [i]Eric_71[/i][/size]

([url=http://eric71.geekstogo.com/tools/MbrScan.exe]Lien alternatif G2G[/url] )

[size=12pt][color=blue][b]Scan du MBR[/b][/color] [/size]

Double-cliquer sur l’icône : [img]http://security-x.fr/img/public/MBRScan/icone.jpeg[/img]

Cliquer sur [b]Scan[/b] pour lancer une analyse de votre MBR.

[center][img]http://security-x.fr/img/public/MBRScan/mbr1.JPG[/img][/center]

Vous obtiendrez un résultat comme ceci :

[center][img]http://security-x.fr/img/public/MBRScan/mbr2.JPG[/img][/center]

Si vous avez une infection, l’outil vous le montrera comme ceci :

[center][img]http://security-x.fr/img/public/MBRScan/mbr1_infect.jpg[/img][/center]

Si vous avez un pc avec plusieurs OS (MultiBoot, DualBoot, etc …), vous obtiendrez un résultat comme cela :

[center][img]http://security-x.fr/img/public/MBRScan/mbrx.jpeg[/img][/center]

[size=12pt][color=blue][b]DUMP du MBR[/b][/color] [/size]

Vous pouvez aussi faire un [b]dump de votre MBR[/b] pour l’analyser sur [url=https://www.virustotal.com/fr/]VirusTotal[/url] par exemple, pour se faire, il suffit de cliquer sur [b]Dump[/b] et de sélectionner le bon disque.
Vous obtiendrez un fichier [b]mbr.bin[/b]

[center][img]http://security-x.fr/img/public/MBRScan/mbr3.JPG[/img][/center]

L’outil propose d’autres options comme l’analyse du VBR (Volume Boot Record : zone d’amorçage du volume), des autres secteurs.

[center][img]http://security-x.fr/img/public//MBRScan/mbr4.JPG[/img][/center]

[size=12pt][color=blue][b]Analyse d’un DUMP du MBR[/b][/color] [/size]

On peut aussi analyser des dumps de MBR ([b]Fichier .bin[/b], fait par exemple avec d’autres outils, comme OTL, etc …) en faisant un [b]glisser-déposer du dump sur l’icône de l’outil[/b].

[center][img]http://security-x.fr/img/public/MBRScan/mbr5.JPG[/img][/center]

[center][img]http://security-x.fr/img/public/MBRScan/mbr6.JPG[/img][/center]

[center][img]http://security-x.fr/img/public/MBRScan/mbr7.JPG[/img][/center]

[i]Note : en modifiant ou en ajoutant l’extension [b].asm[/b] à ce fichier .bin, et en faisant la même manœuvre de glisser-déposer, vous obtiendrez le code assembleur 16bits du MBR[/i]

Lien utile :

Analyser un fichier avec VirusTotal

Pour toute question ou demande d’aide concernant ce tutoriel, vous pouvez créer un sujet dans [url=http://forum.security-x.fr/securite-generale/ ] Sécurité Générale [/url] ou dans [url=http://forum.security-x.fr/desinfections/ ] Désinfections [/url]

Les commentaires sur cet article peuvent être faits ici [url=http://forum.security-x.fr/blog-sx/tutoriel-mbrscan-9748/msg95868/#msg95868]sur le forum[/url]

Analyse d’un ransomware avec Volatility

Posted on by

Volatility est un framework d’analyse de dump mémoire; Il permet de parcourir la mémoire à la recherche de divers éléments.

Ce framework est écrit en python et offre la possibilité d’ajouter des plugins (donc quelque part, scriptable).

Pour récupérer le code et en savoir plus : [url=http://code.google.com/p/volatility/source/checkout] SVN [/url]

Je vais présenter l’outil sur une analyse rapide de LokoMoto, un ransomware.

Volatility va aller lire un dump mémoire. Pour cela, il faut donc dumper la mémoire dans un fichier pour qu’elle soit lisible. Pour que ce soit plus simple, j’utilise les dumps de Virtualbox que je fais ainsi :

[code]
vboxmanage debugvm WindowsHoneyPot dumpguestcore –filename test.elf
[/code]

WindowsHoneyPot est le nom de la VM et test.elf sera notre dump mémoire.

Le problème, c’est que ce dump n’est pas lisible directement par Volatility, car il ne contient pas qu’un dump mémoire, mais aussi des informations sur les registres du processeur (entre autre).

Il existe un plugin qui permet d’aider Volatility à la lire ce dump. : http://code.google.com/p/volatility/source/browse/branches/scudette/volatility/plugins/addrspaces/vboxelf.py?r=1950

Il faudra penser à ajouter cette option à chaque fois pour que Volatility puisse interpréter nos commandes.

Ok, tout est ok, commençons notre petite analyse. Le malware a été exécuté dans la VM, et nous avons un dump de sa mémoire faire avec la commande ci-dessus.

[code]
igor51@debian-laptop:~/volatility-2.2% python vol.py –plugins=contrib/plugins/vboxelf.zip -f test.elf imageinfo
[/code]

[quote]
Determining profile based on KDBG search…

Suggested Profile(s) : Win7SP0x86, Win7SP1x86
AS Layer1 : JKIA32PagedMemoryPae (Kernel AS)
AS Layer2 : VirtualBoxCoreDumpElf64 (/home/igor51/volatility-2.2/test.elf)
AS Layer3 : FileAddressSpace (/home/igor51/volatility-2.2/test.elf)
PAE type : PAE
DTB : 0x185000L
KDBG : 0x82731c28
Number of Processors : 1
Image Type (Service Pack) : 0
KPCR for CPU 0 : 0x82732c00
KUSER_SHARED_DATA : 0xffdf0000
Image date and time : 2013-03-01 20:42:33 UTC+0000
Image local date and time : 2013-03-01 21:42:33 +0100

[/quote]

On obtient le type de notre VM, le plus important est de connaître le profile pour aider Volatility à trouver les éléments.

On liste les processus en cours :
[code]
igor51@debian-laptop:~/volatility-2.2% python vol.py –plugins=contrib/plugins/vboxelf.zip -f test.elf –profile=Win7SP0x86 pslist
[/code]

On obtient :
[quote]

Offset(V) Name PID PPID Thds Hnds Sess Wow64 Start Exit
———- ——————– —— —— —— ——– —— —— ——————– ——————–
0x84ecab10 System 4 0 84 488 —— 0 2013-03-01 20:41:57
0x85ed23b0 smss.exe 264 4 4 29 —— 0 2013-03-01 20:41:57
0x85e5dc20 csrss.exe 336 328 8 368 0 0 2013-03-01 20:42:00
0x84f50110 wininit.exe 384 328 7 83 0 0 2013-03-01 20:42:00
0x85e599d8 csrss.exe 396 376 7 99 1 0 2013-03-01 20:42:00
0x85e376d0 winlogon.exe 436 376 6 137 1 0 2013-03-01 20:42:00
0x86544660 services.exe 484 384 22 212 0 0 2013-03-01 20:42:01
0x865545b0 lsass.exe 492 384 11 485 0 0 2013-03-01 20:42:01
0x8655b960 lsm.exe 500 384 10 141 0 0 2013-03-01 20:42:01
0x867b4470 svchost.exe 608 484 15 350 0 0 2013-03-01 20:42:12
0x867d3b68 VBoxService.ex 672 484 11 110 0 0 2013-03-01 20:42:12
0x867e1758 svchost.exe 724 484 10 198 0 0 2013-03-01 20:42:12
0x865e9bf8 svchost.exe 772 484 21 402 0 0 2013-03-01 20:42:12
0x86825030 svchost.exe 896 484 21 322 0 0 2013-03-01 20:42:13
0x86829458 svchost.exe 928 484 59 811 0 0 2013-03-01 20:42:13
0x86829030 audiodg.exe 984 772 5 78 0 0 2013-03-01 20:42:13
0x86850a90 svchost.exe 1068 484 15 276 0 0 2013-03-01 20:42:13
0x8685eb78 svchost.exe 1140 484 21 369 0 0 2013-03-01 20:42:14
0x8689fd40 spoolsv.exe 1296 484 15 297 0 0 2013-03-01 20:42:15
0x868b9030 svchost.exe 1324 484 22 320 0 0 2013-03-01 20:42:15
0x868d3658 armsvc.exe 1456 484 5 62 0 0 2013-03-01 20:42:15
0x868e4940 svchost.exe 1516 484 14 171 0 0 2013-03-01 20:42:15
0x8692c5e8 taskhost.exe 1692 484 10 167 1 0 2013-03-01 20:42:16
0x869c7340 userinit.exe 312 436 3 48 1 0 2013-03-01 20:42:19
0x868f0d40 dwm.exe 320 896 3 68 1 0 2013-03-01 20:42:19
0x869eb4f0 797faaaf50a012 552 340 1 48 1 0 2013-03-01 20:42:20
0x868fd488 WmiPrvSE.exe 1640 608 8 114 0 0 2013-03-01 20:42:23
[/quote]

Le processus qui nous intéresse est clairement celui-la :

[quote]0x869eb4f0 797faaaf50a012 552 340 1 48 1 0 2013-03-01 20:42:20 [/quote]

On continue l’analyse pour savoir qui a lancé notre processus :

[code]
igor51@debian-laptop:~/volatility-2.2% python vol.py –plugins=contrib/plugins/vboxelf.zip -f test.elf –profile=Win7SP0x86 pstree
[/code]

[quote]
Name Pid PPid Thds Hnds Time
————————————————– —— —— —— —— ——————–
0x84f50110:wininit.exe 384 328 7 83 2013-03-01 20:42:00
. 0x8655b960:lsm.exe 500 384 10 141 2013-03-01 20:42:01
. 0x86544660:services.exe 484 384 22 212 2013-03-01 20:42:01
.. 0x86825030:svchost.exe 896 484 21 322 2013-03-01 20:42:13
… 0x868f0d40:dwm.exe 320 896 3 68 2013-03-01 20:42:19
.. 0x868b9030:svchost.exe 1324 484 22 320 2013-03-01 20:42:15
.. 0x8689fd40:spoolsv.exe 1296 484 15 297 2013-03-01 20:42:15
.. 0x865e9bf8:svchost.exe 772 484 21 402 2013-03-01 20:42:12
… 0x86829030:audiodg.exe 984 772 5 78 2013-03-01 20:42:13
.. 0x8692c5e8:taskhost.exe 1692 484 10 167 2013-03-01 20:42:16
.. 0x86829458:svchost.exe 928 484 59 811 2013-03-01 20:42:13
.. 0x86850a90:svchost.exe 1068 484 15 276 2013-03-01 20:42:13
.. 0x868d3658:armsvc.exe 1456 484 5 62 2013-03-01 20:42:15
.. 0x867d3b68:VBoxService.ex 672 484 11 110 2013-03-01 20:42:12
.. 0x867e1758:svchost.exe 724 484 10 198 2013-03-01 20:42:12
.. 0x868e4940:svchost.exe 1516 484 14 171 2013-03-01 20:42:15
.. 0x867b4470:svchost.exe 608 484 15 350 2013-03-01 20:42:12
… 0x868fd488:WmiPrvSE.exe 1640 608 8 114 2013-03-01 20:42:23
.. 0x8685eb78:svchost.exe 1140 484 21 369 2013-03-01 20:42:14
. 0x865545b0:lsass.exe 492 384 11 485 2013-03-01 20:42:01
0x85e5dc20:csrss.exe 336 328 8 368 2013-03-01 20:42:00
0x84ecab10:System 4 0 84 488 2013-03-01 20:41:57
. 0x85ed23b0:smss.exe 264 4 4 29 2013-03-01 20:41:57
0x85e599d8:csrss.exe 396 376 7 99 2013-03-01 20:42:00
0x85e376d0:winlogon.exe 436 376 6 137 2013-03-01 20:42:00
. 0x869c7340:userinit.exe 312 436 3 48 2013-03-01 20:42:19
0x869eb4f0:797faaaf50a012 552 340 1 48 2013-03-01 20:42:20
[/quote]

On note qu’il n’a pas de père (j’ai redémarré la VM pour être sûr que l’infection fonctionnait). Le PPID 340 ne renvoie sur aucun processus en cours.

Cherchons comment est lancé le processus. Les ruches du registre sont actuellement chargées en mémoire. Mais avant de pouvoir les interroger, il faut savoir où elles sont. Pour cela, on exécute cette commande :

[code]
igor51@debian-laptop:~/volatility-2.2% python vol.py –plugins=contrib/plugins/vboxelf.zip -f test.elf –profile=Win7SP0x86 hivelist
[/code]

Ce qui donne :

[quote]
Virtual Physical Name
———- ———- —-
0x823499d0 0x81b759d0 \??\C:\Users\toto\ntuser.dat
0x8234f5e8 0x8158d5e8 \??\C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
0x823da008 0x80f5c008 \??\C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
0x8cc0c008 0x8a579008 [no name]
0x8cc1a360 0x8b0c5360 \REGISTRY\MACHINE\SYSTEM
0x8cc429d0 0x8a5ef9d0 \REGISTRY\MACHINE\HARDWARE
0x8ccc8008 0x88e96008 \SystemRoot\System32\Config\SECURITY
0x8cccf450 0x892ae450 \SystemRoot\System32\Config\SOFTWARE
0x8db33650 0x7cf46650 \??\C:\Users\toto\AppData\Local\Microsoft\Windows\UsrClass.dat
0x90c92008 0x8929e008 \SystemRoot\System32\Config\SAM
0x90d20550 0x897e5550 \SystemRoot\System32\Config\DEFAULT
0x974a65c8 0xd93e45c8 \Device\HarddiskVolume1\Boot\BCD
0x9ae259d0 0x74f3b9d0 \??\C:\System Volume Information\Syscache.hve
0x82973140 0x02973140 [no name]

[/quote]
Après, c’est de la recherche et la connaissance du registre qui fait le reste.

Essayons le cas le plus simple : HKLM\Software\Microsoft\Windows\CurrentVersion\Run. On utilisera l’option pintkey avec, comme option, l’adresse virtuelle (VA) du chargement de la hive et la sous-clé interrogée.

[code]
igor51@debian-laptop:~/volatility-2.2% python vol.py –plugins=contrib/plugins/vboxelf.zip -f test.elf –profile=Win7SP0x86 printkey -o 0x8cccf450 -K “Microsoft\Windows\CurrentVersion\Run”
[/code]

[quote]
Volatile Systems Volatility Framework 2.2
Legend: (S) = Stable (V) = Volatile

—————————-
Registry: User Specified
Key name: Run (S)
Last updated: 2012-10-11 13:44:21

Subkeys:

Values:
REG_SZ Adobe ARM : (S) “C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe”
REG_SZ SunJavaUpdateSched : (S) “C:\Program Files\Common Files\Java\Java Update\jusched.exe”
REG_SZ VBoxTray : (S) C:\Windows\system32\VBoxTray.exe

[/quote]

Ok loupé. Essayons dans HKCU. Notons que l’on a modifié la VA.

[code]
igor51@debian-laptop:~/volatility-2.2% python vol.py –plugins=contrib/plugins/vboxelf.zip -f test.elf –profile=Win7SP0x86 printkey -o 0x823499d0 -K “Software\Microsoft\Windows\CurrentVersion\Run”
[/code]

[quote]
Volatile Systems Volatility Framework 2.2
Legend: (S) = Stable (V) = Volatile

—————————-
Registry: User Specified
Key name: Run (S)
Last updated: 2013-03-01 20:35:43

Subkeys:

Values:
REG_SZ c:\users\toto\desktop\797faaaf50a01276a084a871e3be708773c213d8.exe : (S) c:\users\toto\desktop\797faaaf50a01276a084a871e3be708773c213d8.exe
[/quote]

On a donc trouvé son point de chargement.

Après, pour analyser plus en détail le processus cible, on peut le dumper :

[code]
igor51@debian-laptop:~/volatility-2.2% python vol.py –plugins=contrib/plugins/vboxelf.zip -f test.elf –profile=Win7SP0x86 procmemdump -D /tmp/ -p 552
[/code]

[quote]
Volatile Systems Volatility Framework 2.2
Process(V) ImageBase Name Result
———- ———- ——————– ——
0x869eb4f0 0x00400000 797faaaf50a012 OK: executable.552.exe

[/quote]

On obtient ici un binaire non-packé que l’on peut analyser (RE).

Une dernière chose que l’on peut regarder, ce sont les injections de code

[code]
igor51@debian-laptop:~/volatility-2.2% python vol.py –plugins=contrib/plugins/vboxelf.zip -f test.elf –profile=Win7SP0x86 malfind
[/code]

[quote]

Process: 797faaaf50a012 Pid: 552 Address: 0x400000
Vad Tag: VadS Protection: PAGE_EXECUTE_READWRITE
Flags: CommitCharge: 38, MemCommit: 1, PrivateMemory: 1, Protection: 6

0x00400000 4d 5a 50 00 02 00 00 00 04 00 0f 00 ff ff 00 00 MZP………….
0x00400010 b8 00 00 00 00 00 00 00 40 00 1a 00 00 00 00 00 ……..@…….
0x00400020 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 …………….
0x00400030 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 …………….

0x400000 4d DEC EBP
0x400001 5a POP EDX
0x400002 50 PUSH EAX
0x400003 0002 ADD [EDX], AL
0x400005 0000 ADD [EAX], AL
0x400007 000400 ADD [EAX+EAX], AL
0x40000a 0f DB 0xf
0x40000b 00ff ADD BH, BH
0x40000d ff00 INC DWORD [EAX]
0x40000f 00b800000000 ADD [EAX+0x0], BH
0x400015 0000 ADD [EAX], AL
0x400017 004000 ADD [EAX+0x0], AL
0x40001a 1a00 SBB AL, [EAX]
0x40001c 0000 ADD [EAX], AL
0x40001e 0000 ADD [EAX], AL
0x400020 0000 ADD [EAX], AL
0x400022 0000 ADD [EAX], AL
0x400024 0000 ADD [EAX], AL
0x400026 0000 ADD [EAX], AL
0x400028 0000 ADD [EAX], AL
0x40002a 0000 ADD [EAX], AL
0x40002c 0000 ADD [EAX], AL
0x40002e 0000 ADD [EAX], AL
0x400030 0000 ADD [EAX], AL
0x400032 0000 ADD [EAX], AL
0x400034 0000 ADD [EAX], AL
0x400036 0000 ADD [EAX], AL
0x400038 0000 ADD [EAX], AL
0x40003a 0000 ADD [EAX], AL
0x40003c 0001 ADD [ECX], AL
0x40003e 0000 ADD [EAX], AL
[/quote]

Voila une première analyse de malware avec Volatility.

Pour toutes questions ou remarques, vous pouvez le faire sur le forum ici

Réparer Windows avec Windows Repair (All in One)

Posted on by

[color=purple]Windows Repair (All in One) est un utilitaire développé par [b]Tweaking.com[/b] qui permet de résoudre de nombreux problèmes sur Windows XP, Vista et 7 (32 et 64 bits), principalement rencontrées après des infections[/color]

Il existe en version [b]installable[/b] ou [b]portable[/b] (sans installation), nous utiliserons cette dernière.

[color=#FF8000][b]Télécharger [url=http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio.zip]Windows Repair[/url] (de [i]Tweaking.com[/i]) sur votre bureau.[/b][/color]

[i]Note : [url=http://www.tweaking.com/files/setups/tweaking.com_windows_repair_aio_setup.exe]la version installable se trouve ici[/url][/i]

[b]Décompresser l’archive[/b] (clic-droit -> extraire tout… )
Cliquer sur l’icône [b]Repair_Windows.exe[/b] [img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair.png[/img]
[color=#FF0000]([i]Utilisateur de Vista/Windows 7 faites un clic droit -> “Exécuter en tant qu’administrateur”[/i])[/color]

L’outil s’ouvre sur ce premier écran de présentation.

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair1.png[/img]

La navigation se fait par étape, [b]aucune n’est obligatoire, mais certaines sont importantes avant d’entamer les réparations[/b]. Vous pouvez passer à la suivante avec les boutons “[b]Next[/b]” ou en cliquant sur [b]l’onglet[/b] désiré directement en haut.

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair2.png[/img]

Cette première étape vous incite à prioritairement [b]désinfecter votre pc[/b] avec divers outils si vous rencontrez certains problèmes.
Nous vous conseillons plutôt dans ces cas là de venir ouvrir un sujet dans le forum de désinfection pour une prise en charge ([i]certains outils étant puissants ou spécifiques[/i])

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair3.png[/img]

Cette seconde étape est importante si vous rencontrez des [b]erreurs d’accès aux fichiers[/b] (problèmes de permission, etc …), elle lancera l'[b]outil de vérification des disques[/b] pour réparer au besoin les erreurs avant d’aller plus loin.
Si vous choisissez cette étape, cliquer sur “[b]Do It[/b]”, l’ordinateur demandera à redémarrer, accepter, puis un scan s’effectuera au démarrage.

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair4.png[/img]

Pour la troisième étape, l’outil vous propose de lancer une [b]vérification des fichiers système[/b] (le fameux SFC), il permet de vérifier l'[b]intégrité des fichiers[/b] essentiels du système. [b]Cette étape est primordiale avant de passer à certaines réparations[/b] (service manquant, parfeu HS, etc …)
Pour lancer, cliquer sur “[b]Do It[/b]”, sur XP, le cd original de Windows pourrait vous être demander, ce ne sera pas le cas sous Vista et 7.
Il faut ensuite impérativement [b]redémarrer le pc[/b] avant de continuer.

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair5.png[/img]

L’étape 4 permet de créer [b]un point de restauration système[/b] et une [b]sauvegarde du registre[/b].
Il est intéressant de le faire car les réparations peuvent dans certains cas provoquer des anomalies.
L’outil vous demandera de toute manière de les faire avant d’entamer la dernière étape si vous ne le faite pas à ce point.
Vous pouvez créer un point de restauration système en cliquant sur “[b]Create[/b]”, et une sauvegarde du registre en cliquant sur “[b]BackUp[/b]”
Vous pouvez aussi lancer l’outil de restauration système en cas de problème avec le bouton “[b]Restore[/b]”, et de même, restaurer la sauvegarde du registre avec “[b]Restore[/b]”

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair11.png[/img]

Le dernier onglet, nommé “[b]Settings[/b]”, permet de personnaliser l’emplacement du dossier où seront conservé les rapports de réparation.
Par défaut il créera un dossier “Log” dans le dossier où se situe l’outil.
Si vous désirez modifier cela, vous pouvez le changer ici

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair6.png[/img]

Une fois ces étapes réalisées, vous pouvez vous diriger vers l’onglet “[b]Start Repairs[/b]”, si vous êtes prêt à commencer les réparations, cliquer sur “[b]Start[/b]”

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair7.png[/img]

[b]Si vous n’aviez pas créé un point de restauration et une sauvegarde du registre[/b], l’outil vous propose alors de les faire, si vous êtes d’accord, cliquer sur “[b]Oui[/b]”, si vous voulez continuer sans les faire, cliquer sur “[b]Non[/b]”

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair8.png[/img]

Vous voici arrivé sur l’écran principal des réparations.
Vous pouvez retrouver un descriptif de chaque option de réparation en cliquant sur l’onglet “[b]Repair info[/b]” à droite, puis en sélectionnant une des options de réparation à gauche.

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair9.png[/img]

Par défaut l’outil vous affiche une sélection de réparations possible déjà pré-cochée.
Vous pouvez les dé-sélectionner une par une ou entièrement avec le bouton “[b]UnselectAll[/b]”, et inversement avec “[b]SelectAll[/b]”
N’oubliez pas de cocher l’option “[b]Restart/Shutdown pc when finished[/b]”
Une fois le ou les options choisies, cliquez sur “[b]Start[/b]” à droite.
Les réparations se dérouleront dans le fenêtre “[b]log[/b]” au dessus (vous pouvez en copier une partie si on vous le demande)

[i]Note : certaines réparations demandent beaucoup de temps, soyez patient ! [color=red]Certaines réparation demande le lancement d’autres processus, acceptez-les ![/color][/i]

Une fois terminée, [b]l’ordinateur redémarrera automatiquement[/b] ([i]sauf si vous n’avez pas coché l’option “Restart/Shutdown pc when finished”[/i]) pour que certaines réparations soient prises en compte.

L’outil [b]crée alors un rapport texte[/b] dans le dossier “Log” dans le même répertoire que celui de lancement de l’outil, sous cette forme :
[b]_Windows_Repair_Log.txt[/b]
Vous pouvez y retrouver le déroulement des réparations (ce qu’on voit dans l’onglet “log” de l’outil)

[b][u]Voici un descriptif rapide des options de réparation disponible à ce jour :[/u][/b] (dans l’ordre)

[li]Remettre les permissions du registre par défaut[/li]
[li]Remettre les permissions des fichiers par défaut[/li]
[li]Ré-enregistrer les fichiers systèmes[/li]
[li]Réparer le WMI (Windows Management Instrumentation : gestion du système)[/li]
[li]Réparer le parefeu Windows[/li]
[li]Réparer Internet Explorer[/li]
[li]Réparer le MDAC (Microsoft Data Access Components) et Microsoft Jet[/li]
[li]Réparer le fichier Hosts[/li]
[li]Supprimer les restrictions systèmes mises par certaines infections (regedit, taskmanager, etc)[/li]
[li]Réparer les icônes du menu Démarrer enlevé par certaines infections[/li]
[li]Réparer les icônes (affichage bureau, etc …)[/li]
[li]Réparer Winsock et le cache DNS (problème connexion)[/li]
[li]Supprimer les fichiers temporaires[/li]
[li]Réparer les paramètres Proxy (problème connexion)[/li]
[li]Ré-afficher les fichiers non système (Attribut “fichiers cachés” appliqué par certaines infections)[/li]
[li]Réparer Windows Update[/li]
[li]Réparer les problèmes ou l’absence de reconnaissance des lecteurs CD/DVD[/li]
[li]Réparer le service des clichés instantanés système (Restauration système et “version précédentes” des fichiers)[/li]
[li]Réparer les Gadgets Windows et la Sidebar[/li]
[li]Remettre les services Windows à leur démarrage par défault[/li]
[li]Réparer MSI (Windows Installer)[/li]
[li]Réparer l’Outil Capture de Windows (capture d’écran)[/li]
[li]Réparer des associations de fichiers (à choisir)[/li]
[li]Réparer le mode sans échec (via clé de registre)[/li]
[li]Réparer le service d’impression (en cas de problème avec certaines imprimantes)[/li]
[li]Restaurer certains services important de Windows (généralement lié à l’infection zeroaccess)[/li]

[color=red][i][b]Cas de l’infection du rootkit ZeroAccess[/b][/i][/color]

[img]http://security-x.fr/img/public/Windowsrepair/Windowsrepair10.png[/img]

Voici un exemple de [b]choix d’options[/b] à faire pour réparer les dégâts provoqué par une des variantes de ce rootkit
Il faudra au préalable aussi avoir effectué une [b]vérification des fichiers systèmes[/b] ([b]step 3[/b])

Pour toutes questions, venez les poser sur le forum. ici

Scanner son ordinateur avec Malwarebytes

Posted on by

Avant de commencer le scan, il convient de paramétrer [b]Malwarebytes Anti-Malware[/b] pour qu’il soit le plus efficace possible.

  1. Si vous avez opté pour l’essai de la version pro, assurez-vous que la protection est bien activée.

    2. [img]http://security-x.fr/img/public/MBAM/mbam-18.jpg[/img]

  2. Dans les paramètres d’examen, il faudra modifier pour que les Pup (programmes potentiellement indésirables” soient recherchés puis pré-cochés avant suppression.

    3. [img]http://security-x.fr/img/public/MBAM/mbam-19.jpg[/img]

  3. Choisir un [b]examen complet[/b] et cliquer sur Recherche.

    4. [img]http://security-x.fr/img/public/MBAM/mbam-20.jpg[/img]

  4. Choisir le ou les disque(s) que vous souhaiter scanner et dérouler la procédure.

    5. [img]http://security-x.fr/img/public/MBAM/mbam-21.jpg[/img]

    [img]http://security-x.fr/img/public/MBAM/mbam-22.jpg[/img]

  5. Une fois le scan terminé, une fenêtre s’ouvre, il faut cliquer sur [b]OK[/b]. Puis sur [b]Afficher les résultats[/b].

    6. [img]http://security-x.fr/img/public/MBAM/mbam-23.jpg[/img]

    Deux possibilités s’offrent alors :

    ~ Si le programme n’a rien trouvé, appuyer sur [b]OK[/b].

    ~~ Si des infections sont présentes:

  6. Il faut cliquer sur [color=red][b] “[i]Supprimer la sélection[/i]”. [/b][/color]

    7. [img]http://security-x.fr/img/public/MBAM/mbam-24.jpg[/img]

    [size=10pt][color=red][b]REMARQUE IMPORTANTE[/b][/color][/size] : Si [b]Malwarebytes Anti-Malware[/b] a besoin de redémarrer pour terminer la suppression, accepter en cliquant sur [b]Ok[/b].

    [img]http://security-x.fr/img/public/MBAM/mbam-25.jpg[/img]

    [b][u]Remarque[/u][/b]: Si vous effectuez cette procédure à la demande d’un Helper, vous pouvez accéder au rapport de scan dans l’onglet [b]Rapports/logs[/b]. Choisir le rapport en question puis l'[b]ouvrir[/b] afin de le copier/coller sur le forum.

    [img]http://security-x.fr/img/public/MBAM/mbam26.png[/img]

[center][size=14pt][color=blue]Toujours infecté ? Une question avant de faire des manipulations ?[/color][/size][/center]

Venez poster un nouveau sujet dans ce forum :ici en prenant soin de suivre la procédure Procédure préliminaire