Revue hebdomadaire BitDefender - Diffusion d'un ver Batch sur MSN

b2cblog

Mai 29, 2009

Promo Un seul produit pour protéger tous vos appareils, sans les ralentir.
Essai gratuit de 30 jours
Revue hebdomadaire BitDefender - Diffusion d'un ver Batch sur MSN

Rootkit.Indag.A

Il s 'agit d 'un pilote rootkit générique qui peut être inclus dans tout malware. Son objectif est de tuer les antivirus ne pouvant être tués en mode utilisateur (disposant d 'un pilote d 'auto-protection).

Le rootkit est un pilote, chargé en tant que dispositif sous le nom de ” GianDiao “. Toute application en mode utilisateur peut tuer les processus lorsque ce pilote est chargé.

Pour y parvenir, une application doit simplement émettre une requête DeviceIOControl en passant comme arguments, parmi d 'autres,  0x88888888 en tant que code contrôle I/O et le PID (identifiant du processus) du processus ciblé vers le pilote. Le rootkit recherche la structure EPROCESS du processus et, en utilisant une fonction du noyau non documentée (MmUnmapViewOfSection), il annule le mappage d 'une portion particulière de ntdll.dll à l 'intérieur du processus attaqué, le faisant quitter sans avertissements ou erreurs. 

 

Win32.Worm.Mafraz.A

Cette e-menace se trouve à l 'intérieur d 'un exécutable Delphi, un fichier généré par Quick Batch File compiler. QBF est utilisé pour ” compiler ” des fichiers Batch en exécutables. Il ne s 'agit pas vraiment d 'une ” compilation ” puisqu'il génère simplement un exécutable contenant le fichier Batch et exécute ce fichier Batch à partir du dossier %temp% .

Une fois exécuté, il dépose d 'abord un fichier Batch qui réalise les actions suivantes :

– il crée un dossier nommé ” Global ” à l 'intérieur du dossier root de chaque disque, et y copie le fichier exécutable sous le nom de ” Global.exe “

– il crée un fichier autorun.inf pour lequel il active l'attribut caché. Ce fichier lance ” Global.exe ” lors de chaque accès au disque si la fonction exécution automatique est activée.

– il désactive le Gestionnaire de T?ches en faisant des modifications de registre spécifiques.

– il fait une autre copie de l 'exécutable dans %windir%\system32\sistema\Global.exe ou %windir%\system32\Global.exe.

– il ajoute des entrées de registre pour pointer vers l 'un des fichiers ci-dessus afin qu 'il s 'exécute à chaque lancement du système.

– s 'il trouve winrar.exe, il archive le fichier ” Global.exe ” et l'enregistre dans %windir%\system32\Global\Fotos-Chaos-Global.rar.

– si MSN Messenger est installé, il crée un fichier JavaScript dans %programfiles%\Messenger Plus! Live\Scripts\MSN PLUS\MSN PLUS.js et ajoute le chemin vers une entrée de registre spécifique.

Le fichier est utilisé pour tenter d 'infecter d 'autres ordinateurs utilisant MSN Messenger. Le processus fonctionne comme suit :

– lorsqu 'une nouvelle fenêtre de conversation est ouverte, le fichier JavaScript s 'exécute

– le script envoie automatiquement le fichier archivé accompagné de texte aléatoire à la personne contactée. Le texte peut contenir les éléments suivants :

” En El 2009 Por El Calentamiento Global “” (-AZAFRAM-) “” Visita forolibre.com.ar y registrate “

Le fichier Batch réalise ensuite les actions suivantes :

– il se connecte à un serveur ftp (ftp.by[removed]3.com),  et ouvre une session avec un nom d'utilisateur et un mot de passe prédéfinis.

– il télécharge un fichier appelé %nomd'utilisateur%.txt  où %nomd'utilisateur% est le nom de l 'utilisateur sous lequel le fichier Batch s 'exécute. à l 'intérieur de ce fichier texte, il écrit des  informations hardware (la sortie de la commande systeminfo), la date et l 'heure précises de l 'infection et la configuration IP de l'ordinateur infecté.

– il remplace la page d 'accueil d 'Internet Explorer par http://f[removed]ibre.com.ar

– il définit l 'attribut caché pour les dossiers %windir% et %windir%\system32

– il ajoute des clés de registre pour marquer sa présence sur le système

Article réalisé gr?ce à l'aimable contribution de Lutas Andrei Vlad, spécialiste BitDefender des virus informatiques
 

tags


Auteur



Vous pourriez également aimer

Marque-pages


loader