Trojan.Dropper.Oficla.O se diffuse généralement via une pièce jointe d 'e-mail se faisant passer pour un document Word de Microsoft® Office® Word pour ne pas éveiller de soupçons. Une fois exécuté, Trojan.Dropper.Oficla.O dépose un fichier dll (bibliothèque de liens dynamiques) dans le dossier %temp% qui sera ensuite également copié dans le dossier %system% sous un nom aléatoire tel que pgsb.lto (détecté sous le nom de Gen:Variant.Oficla.2).
L 'injection de la dll dans le processus svchost.exe est suivie de la suppression du
cheval de Troie . Afin de s 'assurer d 'être lancé à chaque démarrage du système, le cheval de Troie modifie la clé de registre suivante : [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell = Explorer.exe rundll32.exe random_dll random_api – où
random_dll et
random_api se présentent sous la forme d 'une chaîne aléatoire de caractères telle que pgsb.lto csxyfxr.
Le composant de téléchargement est sa charge utile : l 'injecteur de dll tente de se connecter à une liste spécifique d 'URL, généralement hébergées en Russie, à partir d 'où il récupère et installe automatiquement un deuxième malware – Trojan.Downloader.ABBL. Dès que le nouveau téléchargeur est parvenu à infecter le système, il ouvre la porte à une fausse solution de sécurité présentée comme étant Security Essentials 2010 et détectée par BitDefender® sous le nom de Trojan.FakeAV.KZD.
Une fois que le faux logiciel antivirus a bien été installé, d 'autres modifications sont apportées au registre afin que le filtre anti-
phishing d 'Internet Explorer et que le Gestionnaire des t?ches de Windows soient désactivés (afin d 'éviter que l 'utilisateur ne tue le processus). De plus, le rogue s 'exécute automatiquement à chaque démarrage de Windows.
Pour profiter d 'Internet en toute sécurité, BitDefender vous recommande de télécharger, d 'installer et de mettre à jour régulièrement une suite antimalware complète avec des modules antivirus, antispam, antiphishing et pare-feu. Soyez également méfiants lorsqu 'on vous demande d 'ouvrir des fichiers provenant d 'emplacements inconnus.
Informations de cet article disponibles gr?ce à l'aimable contribution d 'Ovidiu Vişoiu, spécialiste BitDefender des
virus informatiques.