Rapport hebdomadaire - De nouvelles menaces sur les jeux en ligne

Trojan.Downloader.JLQZ

Il s'agit d'un
véritable cheval de Troie téléchargeur. Une fois exécuté, il essaie de
télécharger un fichier à partir d'un site Internet. Si le téléchargement
réussit, il enregistre le fichier en tant que 
fichier système caché sous le nom de ”  install.exe ” dans le
même répertoire que celui à partir duquel il a été lancé..

Après le téléchargement du fichier, un fichier batch au nom aléatoire est
également créé. Son rôle est de supprimer le téléchargeur une fois la charge
utile exécutée.

 

Trojan.Downloader.Small.ABFV

 Ce cheval de Troie appartient à la catégorie des ” voleurs de mots de passe de jeux en
ligne “.

Le logiciel UPX qui
l'accompagne lui permet d'éviter d'être détecté par les produits de sécurité.
Une fois exécuté, il crée un fichier dll dans %system% qui sera injecté dans
chaque processus en cours d'exécution afin de trouver une application où voler
des informations. Dans notre cas, ce fut 
xy2.exe ou xy2_ex.exe appartenant au MMORPG chinois ”  Westward
Journey Online II “.

Il rassemble diverses informations telles que le nom d'utilisateur, le mot de
passe, le client utilisé, le serveur, les noms et les niveaux du personnage
etc. et les transmet à l'auteur du malware à travers différents scripts situés
aux adresses suivantes :

http://dh2.ac[removed].cn/ZONGXXXOUT/post.asp
http://dh2.ac[removed].cn/GGGZ/xiaochang/post.asp

Il crée différentes
clés de registre qui chargent ensuite la dll à chaque fois que le système démarre.

à la fin de son exécution, le malware crée un fichier batch qui supprime
l'exécutable initial, laissant uniquement la dll dans le système.

 Article réalisé gr?ce à l'aimable contribution de  Lutas Andrei Vlad et Dana Stanut,
spécialistes BitDefender des virus informatiques.