Ce cheval de Troie est utilisé pour voler des informations sensibles à partir de jeux. à chaque fois que le malware est exécuté, il dépose une application saine nommée rxcf-green.exe et un fichier malware appelé xq.exe dans %userprofile%\local settings\temp et les exécute tous les deux.
Le malware (xq.exe) crée une dll malveillante nommée [aléatoire].dll dans %windir%\system32 et crée certaines entrées de registre pour s 'assurer qu 'elle sera chargée à chaque démarrage du système.
Le fichier dll créé a un nom aléatoire de 8 caractères, une taille différente et un overlay différent à chaque fois.
Il est injecté dans l 'espace mémoire d 'explorer.exe et dans toutes les autres applications ayant explorer.exe comme parent.
Enfin, xq.exe utilise un script batch pour se supprimer du disque.
Ce ver essaie de se diffuser via MSN et des périphériques amovibles USB.
Lorsqu 'il s 'exécute pour la première fois, il vérifie son propre nom de fichier et s 'il ne s 'agit pas de ” sysdate.exe “, il crée un dossier dans \RECYCLER avec un nom commençant par ” S-1-5-21 ” et y fait une copie de lui-même. Ensuite, il crée un fichier Desktop.ini pour cacher l 'exécutable à explorer.exe. Si le nom du fichier est ” sysdate.exe “, il vérifie que le fichier Desktop.ini est caché et poursuit son exécution.
Sysdate.exe apporte certaines modifications au registre afin d 'être exécuté à chaque démarrage du système puis réalise une injection de code dans l 'espace mémoire d 'explorer.exe qui garantit que ” sysdate.exe ” et ” Desktop.ini ” s 'affichent en lecture seule.
Si une clé USB est insérée dans un ordinateur infecté, le ver crée un nouveau dossier appelé ” temp ” dans le dossier racine du disque et s 'y copie sous le nom ” winsetup.exe “. Il cache ensuite le dossier temporaire en créant un autre fichier ” Desktop.ini “, avec des instructions spéciales à l 'intérieur. Il crée aussi un fichier autorun.inf qui exécutera la copie à partir du disque flash s 'il est inséré dans un système ayant la fonction ” autorun ” (exécution automatique) activée.
Article réalisé gr?ce à l 'aimable contribution de Geroge Cabau, spécialiste BitDefender des virus informatiques
tags
Juillet 01, 2024
Juin 10, 2024
Juin 03, 2024
Mai 16, 2024