Revue hebdomadaire sur les malwares : C 'est en forgeant qu 'on devient forgeron

b2cblog

Avril 08, 2010

Promo Un seul produit pour protéger tous vos appareils, sans les ralentir.
Essai gratuit de 30 jours
Revue hebdomadaire sur les malwares : C 'est en forgeant qu 'on devient forgeron

Worm.P2P.Palevo.BS

Découvert début avril, ce digne représentant de la famille Palevo a hérité des gènes malveillants de son clan

Disposant d 'un système de diffusion extrêmement bien conçu, Worm.Pt2P.Palevo.BS exploite les applications populaires de partage de fichier, tout support amovible USB connecté à une machine déjà infectée ou même, des disques réseau connectés en local.
Une fois exécuté, Worm.P2P.Palevo.BS commence par injecter son code déchiffré dans Explorer.exe. Le premier processus se termine, et d 'autres actions malveillantes sont lancées dans le fichier explorer.exe. Le ver crée un mutex nommé aljsughu55, afin de marquer le système comme étant infecté et d 'éviter de lancer plusieurs instances de lui-même.
Afin de s 'assurer d 'être lancé au prochain démarrage du système, il ajoute la clé de registre suivante : KEY_LOCAL_MACHINE\Microsoft\WindowsNT\CurrentVersion\ Winlogon\Taskman pointant vers un fichier infecté dans Recycler\S-1-5-21-0839346990-6652710400-120536083-0614\nissan.exe.

S 'il détecte que l 'application MSN Messenger® est installée sur le système compromis, il commence à envoyer des liens vers des sites Internet hébergeant des malwares. De cette façon, les contacts naïfs des personnes infectées installent le ver à distance.
Malheureusement, ce ver ne se contente pas d 'infecter divers systèmes. Il dérobe également des mots de passe et des données sensibles saisis et enregistrés dans Mozilla Firefox® et Microsoft Internet Explorer®, menaçant les personnes effectuant des achats sur Internet et utilisant des services bancaires en ligne.
De plus, son composant backdoor extrêmement dangereux permet aux attaquants de prendre le contrôle à distance de la machine compromise et de l 'utiliser à des fins illégales. Ce malware ” tout-en-un ” dispose également d 'un composant ” bot “,  qui lui permet de se connecter à plusieurs serveurs de commande et de contrôle du botnet Mariposa, et d 'attendre d 'autres instructions.

Trojan.Agent.APDA

Trojan.Agent.APDA, nouveau membre de la famille Oficla également connue sous le nom de Sasfis, a été découvert le 2 avril et est compressé par le logiciel libre et gratuit UPX.
Ce malware s 'accompagne d 'une icône destinée à faire croire aux utilisateurs qu 'il s 'agit d 'un document Word. Une fois exécuté, le code malveillant dépose un nouveau fichier à l 'intérieur du dossier %temp% nommé ” [2 chiffres alétaoires].tmp “, un fichier .dll (bibliothèque de liens dynamiques) qui sera injecté par la suite dans une nouvelle instance de svchost.exe.
Une autre copie de ce fichier .dll est déposée à l 'intérieur du répertoire  %system% sous le nom de ” lgou.rlo “. Cette instance sera également enregistrée pour démarrer avec Windows®, et la valeur du registre HKEY_LOCAL_MACHINE\Microsoft\Windows NT\Winlogon\shell modifiée pour pointer vers ” rundll32.exe lgou.rlo mrtiyyb “. Une fois ces fichiers déposés à leur emplacement, Trojan.Agent.APDA supprime son fichier exécutable afin d 'effacer les traces de sa présence.
La charge utile (payload) est en fait un téléchargeur, détecté sous le nom de Trojan.Downloader.Agent.ABBL, dont l 'objectif est de télécharger et d 'exécuter des fichiers à partir de http://post[supprimé].ru et de réaliser d 'autres t?ches malveillantes.
Article réalisé gr?ce à l 'aimable contribution de Vlad Lutas, spécialiste BitDefender des virus informatiques.

tags


Auteur



Vous pourriez également aimer

Marque-pages


loader