[Revue sur les Malwares] Trojan.KillAV.RS vole les informations d 'identification des Gamers

Trojan.KillAV.RS commence par bloquer et supprimer le service de chiffrement de Microsoft (cryptsvc) de sorte que le système n’est plus en mesure de vérifier les signatures numériques et l’intégrité des fichiers.

 

De plus, Windows Update et la Protection des fichiers Windows cessent également de fonctionner sans ce service.

 

Le cheval de Troie enregistre ensuite le fichier %SysDir%\ksuser.dll d’origine dans %SysDir%\sksuser.dll et copie son propre fichier .dll dans %SysDir%\ksuser.dll. %SysDir%\ksuser.dll passe ainsi de 4096 à 8480 octets.

    

Une fois les outils malveillants prêts, Trojan.KillAV.RS recherche des répertoires d’installation de jeux sur chaque partition FAT32 ou NTFS. Tous les processus en cours d’exécution sont également analysés afin d’identifier l’ensemble des instances game.exe. Trojan.KillAV.RS inspecte le contenu de la clé de registre SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths à la recherche d’entrées contenant la chaîne game.exe. Le cheval de Troie se supprime lui-même au redémarrage suivant. 

 

Trojan.KillAV.RS dépose son fichier malveillant ksuser.dll dans tous les répertoires détectés au cours du processus d’analyse afin de le charger à chaque fois qu’un jeu est initialisé. L’overlay de 288 octets du fichier ksuser.dll infecté contient deux liens chiffrés : http://003[supprimé].cn/zhu/post.asp et http://003[supprimé].cn/008/post.asp.

 

L’objectif de Trojan.KillAV.RS est de recueillir des données d’identification telles que des noms d’utilisateurs et des mots de passe associés à certains jeux et de les envoyer à des URL comme celles indiquées ci-dessus. En plus de ces informations de connexion, le cheval de Troie effectue des captures d’écran du bureau du système infecté, d’Internet Explorer®, de Windows® Picture® ou de Fax Viewer®.

 

Les informations techniques contenues dans cet article sont disponibles avec la permission d’Andrea Takacs, chercheur en virus pour les Laboratoires BitDefender.

 

Tous les noms de produits et  d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.