Revue hebdomadaire BitDefender - Des documents Word trompeurs

Trojan.Downloader.Bredolab.AM

 

Le malware a l'apparence d'un Document Microsoft Office Word, l'icône de son fichier exécutable ayant été modifiée, afin d 'inciter les utilisateurs à le lancer.

Une fois exécuté, il dépose un fichier DLL dans %windir%\system32 ayant un nom aléatoire composé de 9 lettres (par exemple : frjacnwrm.dll). Le fichier est enregistré comme objet d'aide à la navigation (BHO, de l'anglais Browser Helper Object) en modifiant certaines valeurs du registre affectant le comportement d'Internet Explorer.

Le téléchargeur dépose ensuite un fichier batch, sys.bat, qu'il utilise pour se détruire.

L'objet d'aide à la navigation sert à surveiller la navigation des utilisateurs et les données recueillies sont envoyées à un domaine similaire à : http://[removed]idbredov.ru 

Trojan.PWS.OnlineGames.KCVU

Une fois exécuté, ce voleur de mots de passe effectue les actions suivantes :
–        il se copie sous le nom de ” herss.exe ” dans %temp%
–        il dépose un fichier nommé ” cvasds0.dll ” dans %temp%
–        il modifie le registre afin que la copie soit exécutée à chaque démarrage du système

Après l'” installation “, le Cheval de Troie injecte le fichier DLL déposé dans chaque processus en cours d'exécution et fait d'autres copies de lui-même dans le dossier racine de chaque disque amovible. Ces copies sont appelées bychft.exe et un fichier autorun.inf pointe vers elles afin de s'assurer qu'elles s'exécuteront à chaque accès au disque, si la fonction autorun (exécution automatique) de Windows est activée.

La DLL injectée est responsable du vol de mots de passe. Elle vérifie les processus de MapleStory, AgeOfConan, Le Seigneur des Anneaux Online, Knight Online, Metin 2 et FlyFF. Si des informations de connexion valides figurent dans l'un de ces jeux, le cheval de Troie les envoie à un grand nombre d'ordinateurs compromis qu'il conserve sous la forme d'une liste d'adresses IP codées en dur.

Article réalisé gr?ce à l 'aimable contribution de Dana Stanut et Lutas Andrei Vlad, spécialiste BitDefender des virus informatiques.