Projet AntiMalware

Tutorial DropMyRights : Comment surfer sans les droits administrateurs

Si vous avez lu la partie "Pourquoi et comment je me fais infecter?" sur le forum; vous avez pu y apprendre que surfer avec les droits administrateur rend votre ordinateur très vulnérable à l'installation de Malwares.

Sur le site vous pouvez trouver le tutorial La gestion des utilisateurs : Pourquoi ne faut-il pas surfer en étant administrateur qui explique comment créer plusieurs utilisateurs sous Windows. Un utilisateur administrateur pour installer/désinstaller des applications, un utilisateur sans droit que vous utilisez pour vos tâches courantes (surfer, lire vos mails, regarder un film, faire du traitement de texte etc..).
Seulement ce tutorial demande certaines connaissances pour être mis en application. De plus, cela demande de jongler d'un utilisateur à l'autre lorsque vous voulez surfer ou installer de nouvelles applications.. ce qui peut être contraignant.

DropMyRights est un programme qui permet d'exécuter des applications sans les droits administrateur ni obligé de modifier les utilisateurs Windows.
Ainsi, vous pouvez lancer votre navigateur WEB sans les droits administrateur tout en gardant un utilisateur administrateur afin d'installer de nouvelles applications comme vous le faites tous les jours.

PrivBar est le compagnon idéal de DropMyRight.
PrivBar est une barre informative qui s'ajoute sur Internet Explorer, elle vous informe si l'application a été lancée afin les droits administrateurs ou non.

Installation de DropMyRights et PrivBar

Voici un lien à partir duquel vous pouvez télécharger DropMyRights : Télécharger DropMyRights
  • Double-cliquez sur le fichier téléchargé..
  • La fenêtre d'installation s'ouvre alors
  • Cliquez sur le bouton Next pour passer à l'étape suivante
Tutorial DropMyRights

  • Vous devez ensuite accepter la licence de spybot, en cochant I Agree
  • Cliquez sur le bouton Next pour passer à l'étape suivante
Tutorial DropMyRights
  • Vous devez indiquer le chemin d'installation dans le champ Folder, saisissez C:\DropMyRights\
  • Cochez l'option Everyone en bas de la fenêtre
  • Cliquez sur le bouton Next pour passer à l'étape suivante
Tutorial DropMyRights
  • La copie de fichiers s'effectue alors...
Tutorial DropMyRights
  • Le message Installation Complete apparaît..
  • Cliquez sur le bouton Close pour fermer l'installation.
Tutorial DropMyRights

Nous venons d'installer DropMyRights, nous pouvons maintenant installer PrivBar.
Vous pouvez télécharger PrivBar depuis ce lien : Télécharger PrivBar.zip
Téléchargez-le dans le dossier C:\DropMyRights

Ouvre le dossier pour cela :
  • Double-cliquez sur le poste de travail
  • Double-cliquez sur le disque C
  • Double-cliquez sur le dossier DropMyRights
  • Le fichier PrivBar.zip doit apparaitre, faites un clic droit dessus puis Décompressez ici (ou Extract here en anglais)
  • Deux fichiers ont été créés : PrivBarReg.reg et PrivBar.dll
Nous devons ensuite enregistrer le programme au sain du système, pour cela :
  • Ouvrez le menu Démarrer puis Exécuter
  • Tapez : regsvr32 C:\DropMyRights\PrivBar.dll
  • Cliquez sur OK.
  • Un message doit vous signaler que l'opération a réussi, cliquez sur OK.
Tutorial DropMyRights
  • Double-cliquez ensuite sur le fichier PrivBarReg.reg
  • Acceptez l'inscription des informations.
  • Cliquez sur OK sur le message disant que l'opération a réussi.
Tutorial DropMyRights
PrivBar est maintenant installé.

DropMyRights utilise la syntaxe suivante :
DropMyRights {path} [N|C|U]

où :
Patch est le chemin et le nom de l'application à lancer.
  • N signifie que l'application sera lancée avec les droits d'un utilisateur normal (défaut)
  • C signifie que l'application sera lancée avec les droits d'un utilisateur restreint
  • U signifie que l'application sera lancée avec les droits d'un utilisateur non confiance (ceci peut faire crasher des applications).
Par exemple, si vous souhaitez l'application Internet Explorer (qui démarre à partir du fichier iexplorer.exe), vous devez saisir la commande :
C:\DropMyRights\DropMyRights "C:\Program Files\Internet Explorer\iexplore.exe" (mettez bien les ")
Ceci peut être lancé à partir du Menu Démarrer / exécuter mais on peut aussi faire un raccourci comme ceci :
  • Sur votre fond d'écran, faites un clic droit puis Nouveau --> Créer un raccourci
  • Dans la nouvelle fenêtre, saisissez : C:\DropMyRights\DropMyRights "C:\Program Files\Internet Explorer\iexplore.exe"
  • Cliquez sur le bouton Suivant
Tutorial DropMyRights
  • Dans le nom de l'application, saisissez Internet Explorer (sécurisé)
Une nouvelle icône est alors créé.. Celle-ci doit être blanche.. mais vous pouvez la personnaliser, pour cela :
  • Faites un clic droit sur cette nouvelle icône puis dans le menu déroulant sélectionnez propriétés.
  • Cliquez en haut sur l'onglet raccourci
  • Cliquez en bas sur Changer d'icône
  • Dans la nouvelle fenêtre, cliquez en haut à droite sur Parcourir
  • Naviguez dans vos dossiers et sélectionnez le fichier C:\Program Files\Internet Explorer\iexplore.exe
  • Les icônes d'Internet Explorer doivent apparaître, sélectionnez celle avec le E bleu.
  • Cliquez sur OK sur toutes les fenêtres.
Tutorial DropMyRights
Maintenant vous possédez deux icônes Internet Explorer celle habituelle puis celle intitulée "Internet Explorer (Sécurisé)
  • L'icone "normale" d'Internet Explorer démarre ce dernier avec les droits administrateurs
  • L'icône Internet Explorer (Sécurisé) démarre ce dernier avec des droits restreints
Lorsque vous lancez Internet Explorer (Sécurisé).. vous pouvez voir en haut à droite le nom de l'utilisateur et un cercle vert. Le cercle vert signifie qu'Internet Explorer a été démarré avec des droits restreints.
Tutorial DropMyRights
Internet Explorer "normal" vous donne un cercle rouge avec Administrators.. ce qui signifie qu'Internet Explorer a été démarré avec les droits administrateur.
Tutorial DropMyRights

Il est tout à fait possible de démarrer Firefox ou votre client mail avec DropMyRights.. Pour cela créez un raccourci comme vous venez le de faire.

DropMyRights et Firefox

En suivant la page Sécuriser le navigateur WEB Firefox, vous pouvez arriver à un très bon niveau de sécurité avec Firefox.
Il est néanmoins possible de faire tourner Firefox sans les droits administrateur.
Il suffit de créer un raccourci avec comme cible : C:\DropMyRights\DropMyRights.exe "C:\Program Files\firefox\firefox.exe"
Enfin, l'addon IsAdmin permet de vérifier si Firefox est executé avec ou sans les droits administrateur : https://addons.mozilla.org/fr/firefox/addon/4259

DropMyRights en pratique...

Voici une petit démonstration des effets de DropMyRight à savoir, consulter un site WEB exploitant une faille de sécurité sur le navigateur WEB afin d'infecter un ordinateur.
Nous allons lancer en premier Internet Explorer avec les droits administrateur pour que vous puissiez juger des effets des failles de sécurité sur les droits administrateur.
Ensuite, Internet Explorer toujours sur le même site avec des droits restreints.
Internet Explorer avec les droits Administrateurs
On retourne sur le site... comme vous pouvez le voir en haut à droite, le fond jaune et le rond rouge nous montrent qu'internet explorer a été lancé avec les droits admnistrateur

On voit le dropper xxx1232255.exe dans le gestionnaire de tâches...

Tutorial DropMyRights

Quelques secondes après... le gestionnaire de tâches est rempli de processus.. qui sont bien sûr infectieux..
Vous pouvez aussi voir en fond que le site a changé.. un faux scan nous explique que notre ordinateur est infecté.. afin de nous faire télécharger un faux antispyware.
Notez aussi en bas à droite, l'icône affichant une alerte, toujours pour vous faire télécharger un faux antispyware.

Pour plus d'informations sur ces alertes.. vous pouvez consulter la page du forum : Les fausses alertes indiquant que vous êtes infecté

Tutorial DropMyRights

Admirez cette belle liste de processus.. l'utilisation processeur qui est à 90%
Une bonne partie de ces fichiers (vexg4am1et2.exe, max1d164v.exe --> Virus:Trj/Gagar.DN)

L'infection est décrite sur cette page : http://www.malekal.com/Win32.Packed.Tibs.R.php
Cette infection installe aussi un rogue, toujours dans le but de vous le faire acheter, du nom de BraveSentry (on voit le BraveSentry.exe dans le gestionnaire de tâches).. une capture du rogue en bas à droite.
Vous pouvez aussi consulter cette page qui parle de ce rogue : http://www.malekal.com/BraveSentry.html

A ce stade là, la machine est donc infectée. Pour information, il y avait 5 rootkits... En sachant que les antivirus ne sont en général pas capable de les détecter (et je parle pas de les supprimer). Je vous laisse juge des effets de surfer avec les droits administrateur.

Tutorial DropMyRightsTutorial DropMyRights

Internet Explorer avec les droits restreints
Nous lançons donc Internet Explorer avec des droits restreints.. le cercle vert en haut à droite nous le confirmes.

Nous arrivons sur le site.. comme vous pouvez le voir une petit publicité pour le rogue : WinAntivirus Pro
Nous retrouvons le dropper xx1232255.exe..

Tutorial DropMyRights

Après une popup nous invitant à installer un rogue.. nous arrivons sur le second site avec le faux scan en ligne.
Comme vous pouvez le constater, le gestionnaire de tâches est terriblement vide.

DropMyRights a rempli son rôle.. en lançant Internet Explorer avec des droits restreints.. le dropper téléchargé et exécuté via la faille de sécurité a hérité des mêmes droits qu'Internet Explorer.. il est donc exécuté avec des droits restreints empêchant l'installation de l'infection sur le système.

Cela permet donc de sécuriser votre ordinateur plus efficacement, bien entendu, il ne faut pas supprimer votre antivirus et antispyware.
Cela ne doit pas non plus enlever toute vigilance et vous donner l'occasion de consulter n'importe quel site.

Tutorial DropMyRights

Liens

Sécuriser son ordinateur et connaître les menaces
Guide de suppressions des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)
Les outils de suppressions de Spywares/Malwares spécifiques
Autres tutorials anti-spywares

Retour à la page d'accueil