Il s'agit d'une variante du kit bot Butterfly, vendu sur bfse[supprimé].net pour environ 900 $.
Ce ver utilise trois vecteurs principaux pour se diffuser : MSN Messenger, des disques amovibles et des applications P2P.
Si un disque externe X est détecté, le fichier X:\autorun.inf est créé, lequel pointe vers une copie du malware, X:\folder.tmp\tmp.exe. Lorsque le disque est inséré sur un autre ordinateur, le ver s'exécute automatiquement si la fonction autorun (exécution automatique) est activée.
Il se copie également dans les dossiers partagés d'applications P2P comme : Ares, BearShare, iMesh, Shareaza, Kazaa, DC++, eMule, eMule+ et LimeWire.
Afin de se diffuser via MSN, il patche l'application en mémoire et remplace les liens envoyés par l'utilisateur par les siens.
Pour se protéger, le ver interrompt son exécution si une machine virtuelle, un sandbox (bac à sable) ou un logiciel de débogage est détecté.
Palevo.J se connecte au botnet Mariposa sur l'une des URL suivantes : butterfly.BigM[supprimé].biz:5907, butterfly.si[supprimé].es:5907, qwertasdfg.si[supprimé].es:5907 et attend de recevoir d 'autres instructions. Le ver peut également voler des mots de passe stockés par Firefox ou Internet Explorer et générer un SYN flood TCP/UDP pour réaliser des attaques de déni de service distribué.
Une fois exécuté, Palevo.J se copie dans ” X:\RECYCLER\$RecyclerDir\sysdate.exe ” où X est le disque d'installation Windows et $RecyclerDir est un nom aléatoire tel que : S-1-5-21-3195918175-0516443723-305921711-2405. Il crée aussi un fichier Desktop.ini au même emplacement pour se présenter comme un dossier Corbeille ordinaire (contenant des fichiers cachés à explorer.exe).
Le ver ajoute également certaines clés au registre afin de s'assurer d'être exécuté à chaque démarrage du système.
L'” installation ” se termine lorsqu'il injecte du code dans explorer.exe et dans le processus ayant le plus petit PID, code responsable de toutes les actions présentées ci-dessus. L'injection s'accompagne de la création d'un mutex utilisé pour vérifier que le ver a été injecté (afin d'éviter l'exécution sur de multiples instances).
Cette e-menace est en fait un ver. Une fois exécuté, il réalise les actions suivantes :
– il crée une copie de lui-même dans %windir%, sous le nom de ” regsvr.exe “
– il crée une copie de lui-même dans %windir%\system32, sous le nom de ” regsvr.exe “
– il crée une copie de lui-même dans %windir%\system32, sous le nom de ” svchost .exe “
– il s'enregistre au démarrage à de nombreux emplacements du registre
– il désactive le gestionnaire des t?ches, les outils du registre et les options du dossier en modifiant le registre
– il crée une t?che planifiée en utilisant la commande AT de Windows permettant de planifier des t?ches, afin d'exécuter ” %windir%\System32\svchost .exe “,(une copie du malware) tous les jours à 9 heures. Il supprime également la limite concernant la durée pendant laquelle les t?ches sont actives en apportant d'autres modifications au registre
– il désactive Internet Explorer pour démarrer en mode hors connexion
– il crée une entrée de registre spécifique afin que sa copie soit partagée
S'il détecte des disques partagés, il se copie sous le nom de ” New Folder.exe ”
Il se diffuse via des disques partagés, des disques amovibles et yahoo messenger.
Article réalisé gr?ce à l 'aimable contribution de Horea Coroiu et George Cabau, spécialistes BitDefender des virus informatiques.
tags
Juillet 01, 2024
Juin 10, 2024
Juin 03, 2024
Mai 16, 2024