Revue sur les malwares : Trojan.Renos.PGZ, petite merveille multifonction

Cette stratégie multit?che semble être une approche couramment adoptée par les cybercriminels actuellement, puisqu 'elle génère bien plus de revenus qu 'un malware ciblé.

 

Le Cheval de Troie, membre de la famille Renos, se connecte à certains  sites web afin de télécharger et d 'exécuter des fichiers malveillants sur l 'ordinateur compromis.

 

Et par code malveillant, j 'entends les chevaux de Troie, les adwares, les spywares, les faux antivirus, les vers, c 'est-à-dire toute charge utile connue.

Mais commençons par le commencement : Trojan.Renos.PGZ se propage sur l 'ordinateur des victimes en créant des processus ” inhabituels ” tels que kgl.exe, kgj.exe, kgk.exe qui peuvent apparaître dans le Gestionnaire des t?ches.

 

De plus, les modifications de fichiers et du registre suivantes ont lieu :

• Trois fichiers créés de façon aléatoire dans %TEMP% et nommés [3 lettres aléatoires].exe ;
• Deux fichiers de t?ches dans C:\Windows\dossier Tasks ({8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job et {35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job) qui exécuteront les chevaux de Troie téléchargés à chaque démarrage de Windows
• Ajout des fichiers suivants au Registre Windows qui s 'assureront que le malware commencera à ” fonctionner ” à chaque démarrage du système : c:\Windows\system32\sshnas21.dll, HKLM\SYSTEM\ControlSet001\Services\SSHNAS\Parameters\ServiceDll-> C:\WINDOWS\system32\sshnas21.dll, HKCU\Software\Microsoft\Windows\CurrentVersion\Run\[10 lettres et chiffres aléatoires] -> %TEMP%\[3 lettres aléatoires].exe.

Les paramètres de sécurité d 'Internet Explorer® sont également changés, facilitant ainsi l 'accès du code malveillant à l 'ordinateur compromis.

Les valeurs suivantes du registre sont modifiées afin de contourner le pare-feu :

• HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet -> 0x00000001
• HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect -> 0x00000001
• HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass -> 0x00000001
• HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName -> 0x00000001

Les domaines auxquels ce cheval de Troie se connecte afin de récupérer du code malveillant utilisent des mots-clés de films, d 'arts, d 'achats et de sports.

 

Soyez donc particulièrement attentifs lorsque vous faites pointer votre navigateur vers de telles destinations et, surtout, veillez à disposer d 'une suite de sécurité à jour.

Article réalisé gr?ce aux découvertes du spécialiste BitDefender des virus informatiques, Andrea Takacs.