Dès qu’il s’insère dans un nouveau système,
Trojan.PWS.KATES crée une copie de lui-même et la déplace vers
% USERPROFILE% \ Templates \ memory.tmp. Une fois cette première tâche terminée, le fichier original est supprimé.
Ensuite, le fichier malveillant crée le sous-répertoire "Windows Server" dans Local Settings \ Application Data \ et crée un 3KB. Dll appelé pwfsdy.dll.
L’accès, la création et l’écriture de fichiers sont remplacés par ceux du fichier user32.dll.
Afin que le fichier .dll s’exécute automatiquement à chaque fois qu’un programme se lance pour la première fois, une clé de registre est écrite sous SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\AppSecDll. Cela signifie que tous les programmes que l’utilisateur installera, lanceront également ce malware.
Par la suite, les données binaires chargées dans la clé de Registre HKEY_CURRENT_USER \ SOFTWARE \ lbtppwfsdy lbtppwfsdy seront exécutées par le fichier pwfsdy.dll.
L’action se déclenche une fois que le cheval de Troie est lancé via le navigateur utilisé par le propriétaire de l’ordinateur pour surfer sur Internet.
Qu’il s’agisse de Firefox®, d’Opera® ou d’Internet Explorer®,
Trojan.PWS.KATES piratera les fonctions de transferts de données via la connexion Internet.
Les pages ressemblant à des résultats de moteur de recherche seront filtrées, et le trojan remplacera aléatoirement les urls des résultats avec de nouvelles URL qui redirigent l’internaute vers des pages pour le moins exotiques : faux antivirus en ligne ou sites internet proposant du contenu pornographique.
Outre la surveillance en continu de la navigation en ligne de l’utilisateur, Trojan.PWS.KATES épie également les mots de passe et toutes les autres données sensibles qu’il peut fournir sur Internet, acheminant l’ensemble vers les serveurs du pirate.
Les informations techniques contenues dans cet article sont disponibles avec la permission de Voicu Hodrea, chercheur en virus pour les Laboratoires BitDefender.