Malware utilise plusieurs astuces pour cacher son processus, RunPE est l'un des exemples courants de la même chose. La technique consiste essentiellement à démarrer un processus connu et fiable peut être Explorer.exe dans un état suspendu. Ensuite, il remplace son code par le propre code du malware. Et enfin, le démarre. L'exécution d'outils tels que l'Explorateur de processus peut ne pas toujours réussir à détecter le processus malveillant. Phrozen RunPE Detector est un logiciel gratuit spécialement conçu pour détecter et contrer des processus suspects de ce type.
Détecteur RunPE pour Windows
Ce que c'est
En termes simples, Phrozen RunPE Detector peut être utilisé pour détecter les programmes malveillants sans fil, les fichiers RAT, les chevaux de Troie, les cryptographes Backdoors, les programmes de compression et les logiciels malveillants résidents de la mémoire sur les ordinateurs Windows. Il analyse en gros les en-têtes de vos processus en mémoire, puis les compare à leurs images de disque. Le truc peut sembler trop simple à croire, mais ça marche. Si un processus a été exploité par RunPE, il devrait y avoir une différence et vous verriez une alerte.
Comment ça marche
Le détecteur RunPE détecte et annule les attaques de piratage utilisant les techniques RunPE pour infecter votre système de l'une des manières suivantes:
- Contournement du pare-feu: cette technique contourne ou désactive vos règles de pare-feu ou de pare-feu d'applications.
- Emballeur de logiciels malveillants ou crypteur: cette technique est utilisée pour décompresser ou décrypter le logiciel malveillant en mémoire et pour le placer dans un processus authentique sans l'écrire sur le disque, où il peut être découvert et bloqué.
Ce qu'il fait
Phrozen RunPE Detector analyse les en-têtes PE pour chaque processus, puis compare les en-têtes PE en mémoire aux en-têtes PE du chemin de l'image de processus. Selon les développeurs, il s’agit d’une méthode très simple et efficace. Il existe de nombreux programmes antivirus commerciaux, capables d’effectuer ce type d’analyse, mais Phrozen’s RunPE Detector est un outil autonome permettant d’effectuer ces analyses manuellement. Ce programme de sécurité a été testé contre de nombreux types de logiciels malveillants couramment utilisés et les taux de détection sont extrêmement précis.
Peut-il être utilisé pour supprimer les logiciels malveillants?
Ce programme offre aux utilisateurs la possibilité de supprimer tout programme malveillant détecté. Même s'il est conseillé de ne pas s'en remettre complètement. Si vous rencontrez un problème, il serait judicieux d'utiliser un moteur antivirus complet. Cela pourrait être très utile pour détecter les logiciels malveillants résidant en mémoire, tels que les logiciels malveillants sans fil.
Ce qu'il ne fait pas
RunPE Detector identifie facilement les processus piratés en analysant tous les fichiers d'application du système, puis compare leurs en-têtes PE à un processus en cours d'exécution pour détecter le point d'infection. Mais il n'identifie pas les emplacements des hôtes lorsque le code malveillant est chargé avec un programme de compression de logiciels malveillants ou un crypteur. C'est l'une des raisons pour lesquelles les développeurs de Phrozen ont recommandé l'utilisation d'une solution antivirus commerciale pour supprimer les logiciels malveillants.
Verdict final
Étant donné que la technique RunPE est si couramment utilisée avec les fichiers RAT, les chevaux de Troie, les chiffreurs de porte dérobée et les emballeurs utilisant RunPE Detector, cette approche intelligente permet de garantir que votre système est exempt des types de programmes malveillants les plus destructeurs.
RunPE est toujours un type d'attaque courant et Phrozen RunPE Detector est une solution compacte, portable et sans chaînes. Donc, nous vous recommandons prendre une copie de cette boîte à outils de sécurité.
Phrozen RunPE Detector détecte les processus compromis par RunPE uniquement s’ils sont 32 bits. Il est compatible avec les systèmes 64 bits, mais il ne peut pas exécuter d'analyses pour le moment. Apparemment, l'analyse en 64 bits sera bientôt disponible.