Cette version du bot Zeus essaie de pousser l 'utilisateur à l 'exécuter en affichant une icône *.chm (Microsoft Compiled Help File) comme étant le sien. Le fichier est généralement envoyé par des messages spam contenant divers contenus (pornographie, événements catastrophiques, etc.).
Après décryptage, les moteurs BitDefender détectent le fichier sous le nom Trojan.Spy.Zeus.C. Sa première action est d 'injecter du code dans ” winlogon.exe “, lui permettant de s 'exécuter et de manipuler le fichier système non détecté.
Il se copie vers ?%windir%\system32\sdra64.exe? avec une taille différente et crée un dossier ” lowsec ” dans lequel il dépose 3 fichiers contenant des données cryptées. Tous les fichiers sont cachés de l 'explorateur Windows.
Trojan.Spy.Zeus.W créent également des clés de registre afin qu 'il soit exécuté à chaque démarrage de la machine ainsi qu 'un mutex afin de marquer sa présence.
La famille des malwares Zeus a la capacité d 'être utilisée pour dérober des informations (la plupart du temps, des informations d 'identification à son compte bancaire en ligne), contrôler un ordinateur à distance ou envoyer du spam.
Ce dérobeur de mot de passe arrive à l 'intérieur d 'une autre application utilisée pour supprimer certaines fonctionnalités liées à la sécurité. Détecté comme PWS.OnlineGames.KBZA, le malware va suite à son exécution copier ?%windir%\system32\sfc_os.dll? (utilisé par Windows pour protéger les fichiers) dans ?%windir%\system32\mmsfc1.dll?. Il appelle ensuite une certaine fonction à partir de ?mmsfc1.dll? afin d 'écraser ?%windir%\system32\comres.dll? par son propre dll crypté (le récupérateur de mot de passe). Le ?comres.dll? sera sauvegardé dans ?%windir%\system32\sysGHT.dll?.
Le nouveau ?comres.dll? sera injecté dans chaque processus ouvert et surveillera les frappes de clavier et les mouvements de souris de l 'utilisateur. L 'objectif final étant de récupérer les informations d 'identification de connexion à QQ (programme de messagerie instantanée chinois), Dungeon and Figher and Tenio.
Une copie du récupérateur de mot de passé (le nouveau comres.dll) sera également créée dans ?%windir%\fOntS? et sera intégré dans tous les processus lors de la première infection du PC. Après redémarrage, le nouveau ” comres.dll ” sera lancé automatiquement par le système.
L 'élément responsable d 'envoyer les informations rassemblées est également déposé dans ?%windir%\fOntS? sous la forme GHT60366.ttf, détecté par BitDefender sous le nom Trojan.PWS.OnlineGames.KBXJ.
Les noms d 'utilisateurs, mots de passe, serveur, monnaie utilisée dans le jeu, équipement, etc. seront envoyés vers des pages Internet situés sur :
http://www.wg210.com/mail.asp
http://www.wg210.com/mibao.asp
http://1.qq594358080.cn/kanxin/004/mail.asp
Après avoir réussi son infection, le malware s 'auto-supprime.
Article réalisé gr?ce à l'aimable contribution de Stefan Catalin Hanu et Dana Stanut, spécialistes BitDefender des virus informatiques.
tags
Juillet 01, 2024
Juin 10, 2024
Juin 03, 2024
Mai 16, 2024