Caractéristiques :
La clé « AppCertDlls » est utilsée pour la gestion des sessions (Session Manager) , elle est fréquemment utilisée par les malwares pour rediriger une ressource ou pour provoquer une erreur de chargement.
Généralement cette clé comporte deux valeurs pour un traitement en fonction de l’architecture du système. La valeur X86 pour les OS 32 bits et la valeur X64 pour les OS 64 bits.
La donnée de ces valeurs de clé contient le nom de la ressource qui sera chargée.
Voilà ce que donne le rapport de ZHPDiag :
—\ Session Manager AppCertDlls Key (AppCertDlls,KnownDLLs) (O36)
O36 – AppCertDlls: (x86) . (…) — C:Program Files (x86)Movies ToolbarSafetyNutsafetycrt.dll =>PUP.MoviesToolbar
O36 – AppCertDlls: (x64) . (…) — C:Program Files (x86)Movies ToolbarSafetyNutx64safetycrt.dll =>PUP.MoviesToolbar
La redirection
La clé AppCertDlls est importante dans la mesure où elle exécute sa ressource au démarrage de chaque application.
Par exemple si vous avez la ressource « safetycrt.dll dans la valeur « X64 », et que vous lancez le navigateur « Opera », celle-ci sera exécutée au préalable et cela de façon totalement transparente pour l’utilisateur.
Une fois la ressource chargée, le malware peut utiliser toutes ses fonctions pour exécuter du code.
L’erreur de chargement
Il y a aussi le cas intéressant où une ressource est stockée pour donner une erreur de chargement Windows au lancement de n’importe quelle application.
Par exemple vous copiez une ressource légitime et vous la placez dans un autre dossier et vous servez la donnée de la valeur « X64 » avec ce nouveau chemin.
Vous aurez inévitablement une erreur de chargement pour chaque application exécutée. Aussi vous aurez tendance à penser que la ressource qui s’affiche dans le message d’erreur de Windows provient de la ressource légitime, mais il n’en est rien !
Conclusion :
Il est primordial d’analyser la clé AppCertDlls afin déviter les redirections ou les erreurs de chargement de ressources.
ZHPcleaner prend en charge la modification de ces données :
– Il modifie la donnée de la valeur « x86 » ou « x64 »,
– Il supprime la ressource malware.
Voici un aperçu du rapport de réparation de ZHPCleaner :
~ ZHPCleaner v2015.1.21.30 by Nicolas Coolman (21/01/2015)
~ Run by Colman (Administrator) (21/01/2015 11:36:26)
~ Windows 8, 64-bit (Build 9200)—\ Explorateur ( Dossiers, Fichiers ). (1)
DEPLACÉ fichier* : C:Program Files (x86)Movies ToolbarDatamngrapcrtldr.dll […] (PUP.MoviesToolbar)—\ Base de Registres ( Clés, Valeurs, Données ). (2)
SUPPRIMÉ donnée: HKLMSYSTEMCurrentControlSetControlSession ManagerAppCertDlls\x64 (PUP.MoviesToolbar)
SUPPRIMÉ donnée: HKLMSYSTEMCurrentControlSetControlSession ManagerAppCertDlls\x86 (PUP.MoviesToolbar)
Logiciels concernés :
ZHPCleaner
ZHPDiag
