Revue hebdomadaire BitDefender - Un petit aperçu du botnet Cutwail

Trojan.Downloader.JS.NN

Encore un Javascript utilisé pour exploiter l'une des vulnérabilités d'exécution de code dans Adobe Reader et Acrobat, présenté en détail ici : CVE-2008-2992 .

Si le fichier PDF malveillant est exécuté, le JavaScript qui se trouve à l'intérieur réalise les actions suivantes :

– il décrypte son corps crypté (première phase), chargé d'injecter un shellcode à une adresse spécifique dans le processus attaqué

– il place plusieurs instructions NOP (Aucune opération) au début du code pour s'assurer que l'exécution du codeshell démarrera au début.

Le shellcode (~450 B) décrypte d'abord le reste du code (deuxième phase), s'assure que certaines fonctions API sont disponibles pour lui, puis essaie de télécharger un fichier exécutable situé à l'adresse suivante : http://netcorb[removed]/load.php, lequel est enregistré dans le dossier actuel avec le nom “~.exe “.

Si le téléchargement réussit, le script lance l'exécutable.

Trojan.Dropper.Cutwail.AT

Ce cheval de Troie est une version du trojan Cutwail (Pushdo/Pandex) qui constitue le deuxième plus grand BotNet au monde, utilisé pour envoyer du spam (environ 7,7 milliards d'e-mails par jour).

Lorsqu'il est exécuté pour la première fois, le principal programme d'installation (qui n'est en fait qu'un téléchargeur) se décompresse en mémoire. Il fait ensuite une copie de l'original *.exe dans %userprofile%\%username%.exe et l'enregistre pour qu'il se lance à chaque démarrage du système, avant de supprimer le fichier original.

Afin de se protéger, il se lance continuellement, accomplit sa t?che, puis quitte. Cela le rend presque impossible à tuer en raison de la rapidité à laquelle son identifiant de processus change.

Son principal but est de télécharger les deux autres composants du cheval de Troie : le rootkit dropper et le spammeur.

S'il y parvient, il commence par exécuter le rootkit, enregistré dans %temp% sous le nom de BN[nombre].tmp. Ce fichier dépose un pilote dans %windir%\system32\drivers\[nom].sys où ” nom ” peut être : ntmd, fat16s, fat32s, pusi, gen_vok, ws2_32sik, netsik, port135sik, nicsk32, ksi32sk, systemntmi, securentm, fips32cup, ati64si, i386si, amd64si, acpi32.

Quel que soit le nom du fichier, le pilote crée un lien symbolique vers le fichier : ” ndis_ver2 “.

Si le pilote est déjà présent, il le met à jour avec la dernière version.Après ce processus, le fichier *.tmp est supprimé.

Le pilote contient une autre copie du téléchargeur d'origine et l'injecte dans services.exe à partir du mode noyau, afin de rendre la suppression encore plus difficile.

Une fois le pilote lancé, le composant spammeur suit. Il est injecté par le téléchargeur dans svchost.exe, ce qui transforme le système en un spam-bot (robot spammeur), envoyant des centaines d'e-mails indésirables par jour.

Article réalisé gr?ce à l'aimable contribution de Lutas Andrei Vlad et Balazs Biro, spécialistes BitDefender des virus informatiques.