Revue hebdomadaire BitDefender - Vundo diffusé par un ver

Trojan.PWS.OnlineGames.KCPG

Une fois exécuté, ce cheval de Troie crée une copie de lui même dans %temp%  sous le nom de uret463.exe. Il dépose ensuite lhgiyi[x]dll dans le même dossier (où [x] correspond à n 'importe quel nombre) et l 'injecte dans tout processus démarrant avec explorer.exe.

La DLL réalise les actions suivantes :

– elle crée une autre copie du cheval de Troie dans chaque dossier racine du disque sous le nom de : gx.bat

– elle crée un fichier autorun.inf ciblant le fichier bat créé précédemment et s 'assure que la fonction autorun (exécution automatique) est activée

– elle dépose un pilote (rootkit) dans %windir%\system32 qu 'elle nomme cdaudio.sys, actuellement détecté par BitDefender sous le nom de Rootkit.OnlineGames.CQ, lequel cache certains fichiers.

Le cheval de Troie vole des informations de connexion de jeux comme : TwelveSky, MapleStory, World of Warcraft et de certains processus liés à coc.exe, fj.exe, ybclient.exe, gameclient.exe et game.exe

Il essaie également de voler des informations dans les fichiers suivants, s 'ils sont présents sur le système :  wool.dat, Online.dat, aaa.dat, config.wtf et currentserver.ini

Les informations recueillies sont envoyées à un grand nombre d 'adresses IP codées en dur dans la menace.

 

Win32.Worm.Fujacks.DE

Pour se répandre, ce ver crée des copies de lui-même dans les sous-dossiers de %programfiles% et les nomme différemment. Voici quelques exemples des noms générés :  ”  windows 2008 keygen and activator.exe “, ” microsoft office 2007 keygen.exe “, ” bitdefender antivirus 2008 keygen.exe ” etc. Il crée également des copies de lui-même sur les disques réseau connectés et sur des supports amovibles. Le ver crée un fichier autorun.inf dans chaque dossier racine des disques infectés pour s'assurer d'être exécuté par le système lors du prochain accès au disque.

Il utilise également une méthode plus complexe pour se diffuser en analysant les adresses e-mails de certains fichiers de clients de messagerie. Il envoie ensuite un message à toutes les adresses e-mail recueillies ayant le sujet suivant :  ” You have got an e-card from your friend! ” (Vous avez reçu une carte de la part d 'un ami) et contenant une version zippée de lui-même en pièce jointe.

Afin de se protéger, il bloque plusieurs services de sécurité informatique connus comme : avg8wd, vsserv, mcshield, WinDefend.

Il ouvre également un backdoor sur un port spécifique de la machine infectée. Pour trouver son adresse IP il vérifie www.whatismyip.com/automation/n09230945

Il dépose deux fichiers dans le dossier %windir%\system32

– javasec2 ou javasec3, détecté sous le nom de Trojan.Downloader.Loadadv.ACB

– [nom aléatoire].dll détecté sous le nom de Trojan.Vundo.GNN

Afin de marquer sa présence, il crée le mutex suivant dans le système infecté : 7kk7Buzx

Article réalisé gr?ce à l 'aimable contribution de Dana Stanut et Ovidiu Visoiu, spécialistes BitDefender des virus informatiques