Il s'agit d 'un Script Visual Basic crypté avec un algorithme simple afin de cacher ses intentions. Il commence par décrypter le corps du script contenu dans une variable de chaîne.
Une fois le décryptage effectué, le ver réalise les actions suivantes :
– il modifie les valeurs de DisplayLogo et de Timeout de Windows Script Host afin de camoufler son exécution
– il modifie le registre afin que celui-ci affiche 2 nouvelles options dans le menu contextuel si l'utilisateur fait un double-clic droit sur un fichier exécutable : ” Analyse antivirus ” et ” Ouvrir l 'application “. La première exécute une copie du ver dans %windir%\system32\regedit.sys, la seconde exécute %windir%\win.exe (présenté par la suite)
– il modifie le registre afin d 'empêcher l 'exécution de plusieurs applications de sécurité informatique, des écrans de veille et d 'autres applications commerciales ainsi que d 'outils système et de débogage comme : drwtsn32.exe, taskmgr.exe, regedit.exe, rstrui.exe. Au lieu de ces applications, c 'est sa copie située dans %windir%\system32\regedit.sys qui est lancée.
Le ver supprime également plusieurs backdoors et d'autres malwares de l 'ordinateur infecté afin de s 'assurer d 'être le seul présent sur le PC.
Il crée un fichier autorun.inf sur chaque disque amovible qui s 'exécute lors de l'accès au disque. Le fichier %windir%\win.exe est un backdoor déposé par le ver permettant un accès à distance au pirate.
Le ver vérifie ensuite le registre et s 'assure que Windows Scripting Host n 'est pas désactivé, que les fichiers système et cachés ne sont pas visibles dans l 'Explorateur, que les extensions de fichiers sont cachées et que la fonction autorun est activée.
Ce cheval de Troie est composé de 2 éléments :
1. le principal exécutable écrit en Delphi
2. l 'exécutable secondaire écrit en VisualC qui se trouve dans la section ressource de l 'exécutable principal
Une fois exécuté, le programme principal lance une seconde instance du même exécutable, laquelle décompresse l 'exécutable crypté situé dans la section .rsrc et l 'injecte dans son espace de mémoire virtuel avant de le terminer.
Le code décrypté s 'injecte dans un thread séparé d 'explorer.exe puis quitte. Ce thread crée une copie de lui-même dans des répertoires comme %SystemDrive%\Recycler\[dirname]\bfrss.exe. [dirname] a par exemple une structure similaire à S-1-5-21-1582865268-5844291516-424947749-0960. Outre l 'exécutable, il crée un fichier Desktop.ini dans ces répertoires, qui a pour rôle de cacher la présence du fichier du malware.
Le code injecté s 'assure de sa diffusion dans tous les disques amovibles (clés USB) en créant une copie de lui-même dans le répertoire racine du disque sous le nom de usbcheck.exe. Un fichier autorun.inf garantit l'exécution du fichier.
Une fois exécuté, ce cheval de Troie crée une copie de lui-même dans %windir%\system32\tray.exe et l 'enregistre afin qu 'elle s'exécute à chaque démarrage du système.
Lorsque cette copie est lancée, elle essaie de se connecter à un serveur IRC appelé warraca.elcrazyfrog.com. Elle peut télécharger et exécuter d 'autres fichiers (sans doute des malwares) si la commande est passée par le pirate via le réseau IRC.
Le cheval de Troie recherche également des données sensibles dans des fichiers liés au navigateur comme : profiles.ini, signons.txt.
Article réalisé gr?ce à l'aimable contribution de Lutas Andrei Vlad et Ovidiu Visoiu, spécialistes BitDefender des virus informatiques.
tags
Juillet 01, 2024
Juin 10, 2024
Juin 03, 2024
Mai 16, 2024