Revue hebdomadaire BitDefender -Voleurs de mots de passes et relais à spam

Trojan.Autorun.ALG

L 'objectif de ce cheval de Troie est de voler des informations de connexion à des jeux de rôle en ligne massivement multijoueurs (MMORPG). Une fois exécuté, le malware crée deux fichiers à l 'intérieur de %temp% : herss.exe (une copie de lui-même) et cvasds0.dll, qui sera injecté dans chaque processus en cours d 'exécution.

Il crée également ” 3c.exe ” et un fichier autorun.inf pointant vers l 'exécutable, dans chaque dossier racine des disques accessibles. Ainsi, le cheval de Troie s 'exécutera lors de l 'accès aux disques.

Il modifie aussi le registre afin de s 'assurer que le fichier herss.exe s 'exécutera à chaque redémarrage. L 'affichage des fichiers et dossiers est désactivé en modifiant le registre.

Le fichier DLL infecté est chargé du vol de comptes.

Trojan.Tofsee.AM

Lorsque le malware est exécuté, le programme fait deux copies de lui-même dans %windir%\system32\[random-name].exe et %userprofile%\[random-name2].exe. Elles seront aussi ajoutées au registre afin d 'être exécutées à chaque démarrage du système.

Ensuite, %windir%\system32\[nom aléatoire].exe est exécuté et le fichier d 'origine est supprimé en utilisant un fichier bat. Cet exécutable modifie les paramètres de sécurité d 'Internet Explorer et s 'ajoute à la liste des applications de confiance du Pare-feu Windows.

Puis le malware essaie de se connecter aux serveurs suivants pour obtenir de nouvelles instructions : 193.27.246.157, 212.95.32.52, 89.107.104.110, 213.155.7.242.

Enfin, l 'ordinateur infecté est transformé en relai à spam : un serveur smtp et un générateur d 'e-mails sont insérés dans le malware.

Article réalisé gr?ce à l 'aimable contribution de Lutas Andrei Vlad et Ovidiu Visoiu, spécialistes BitDefender des virus informatiques