" Cherchez les 7 différences " et trouvez un cheval de Troie !

Les jeux en ligne « cherchez les erreurs », particulièrement appréciés des enfants, mettent les internautes au défi de trouver de minuscules différences entre deux images quasi identiques. Mais nous avons trouvé une grosse différence dans un jeu Flash en langue chinoise : un cheval de Troie. Il joue avec votre ordinateur pendant que vous amusez à scruter les images en comparant des moustaches, des coccinelles et l’emplacement des ombres.

Fig. 1 Deux exemples du même jeu Flash diffusant discrètement un cheval de Troie

En premier lieu, le malware se connecte à un site depuis lequel il télécharge un fichier de configuration XML. Le fichier contient  des instructions, incluant les prochaines actions à mener sur l’ordinateur de la victime. Comme demandé dans ce fichier, il écrase le fichier « %SystemRoot%\system32\drivers\etc\hosts » pour bloquer une série de sites qui peuvent  offrir des services de recherche de contenu Flash. En outre, la page de démarrage du navigateur est piratée et ses signets écrasés par une quantité de pages distribuant publicités et malwares à tout va.

A chaque fois qu’une nouvelle machine est infectée, elle reçoit un identifiant unique stocké dans le Registre envoyé au pirate à chaque fois que le cheval de Troie se connecte à l’adresse indiquée. Cette identification est probablement utilisée pour mesurer le taux d’infection et tester « l’efficacité » de chaque ordinateur corrompu.

A l’arrêt du jeu, l’activité malveillante s’interrompt aussi. A chaque fois que le jeu est lancé, le malware met à jour les paramètres en lisant à distance le fichier XML, et en lui ajoutant de nouveaux domaines tout en éliminant ceux qui ont été temporairement exclus pour abus entre les lancements. Tant que le jeu n’est pas démarré, les paramètres restent inchangés. De cette manière, l’utilisateur ne soupçonnera jamais que le jeu est la source d’un trafic dangereux.

Nous avons remarqué une particularité de Trojan.PWS.Game.D, en ce sens qu’il n’est pas conçu pour s’ajouter de lui-même au démarrage comme le font la plupart des malwares. Est-ce parce que le cybercriminel était certain que les utilisateurs souhaiteraient jouer plus d’une fois à ce jeu ? Ou s’agit-il d’une négligence de sa part ? Donnez-nous vos impressions en commentaires, ci-dessous.

Cet article est basé sur les informations techniques fournies par Doina Cosovan, Analyste antivirus de Bitdefender.

Tous les noms de produits et de sociétés cités dans ce texte ne le sont qu’à titre informatif et appartiennent à, ou peuvent être des marques déposées de, leurs propriétaires respectifs.