Les cartes de vœux ont toujours été exploitées par les auteurs de malwares pour diffuser des programmes malveillants. Et tout comme Win32.Worm.Waledac, qui envoie lui aussi de fausses cartes électroniques, Win32.Worm.Prolaco se retrouve dans les boîtes de réception des utilisateurs à l’occasion des différentes fêtes de l’année. Cette version du ver Prolaco ouvre la voie à Halloween et il y a de bonnes raisons d’avoir peur.
Le mécanisme de diffusion de Win32.Worm.Prolaco
Comme nous l’avons mentionné précédemment, Prolaco se diffuse via des e-mails contenant des pièces jointes avec des fichiers exécutables se faisant passer pour une extension .doc, .chm, .pdf, .jpg, ou .htm. Ils sont nommés « card.pdf.exe », « document.chm.exe », raison pour laquelle ils sont difficiles à détecter lorsque le système d’exploitation est paramétré pour ne pas afficher les types de fichiers connus.
Prolaco peut également se diffuser via des périphériques amovibles USB et des réseaux de partage de fichiers peer-to-peer. Ce ver crée un fichier autorun.inf pointant vers un fichier exe, identifié actuellement sous le nom de « redmond.exe », bien que cela puisse changer dans les versions les plus récentes.
Prolaco fait plusieurs copies de lui-même : l’une, masquée, sera ajoutée au dossier système sous les noms de « wmimngr.exe », « jusched.exe » ou « wfmngr.exe », alors que d’autres seront « diffusées » via les sites de partage de fichiers, où elles se font passer pour des « cracks » ou « générateurs de clés » de différents programmes commerciaux.
La préparation du terrain de jeux
Si le fichier zip est ouvert, Prolaco envahit l’ordinateur et est prêt à commencer son travail malveillant. Win32.Worm.Prolaco effectue plusieurs modifications au Registre Windows afin de se lancer automatiquement à chaque démarrage de Windows et à chaque ouverture de session utilisateur, et d’ouvrir un canal de communication dans le Pare-Feu Windows.
Il abaisse également les paramètres locaux de sécurité en désactivant les notifications lorsque les programmes essaient d’installer des logiciels et de désactiver l’option « Contrôle de Compte Utilisateur » dans Windows Vista ® ou Windows 7 ®. Une fois le problème de la sécurité réglé, Prolaco injecte du code malveillant dans le processus « iexplore.exe » et se comporte comme un keylogger, enregistrant toutes les frappes au clavier dans un fichier nommé « lsm.dll », situé dans le dossier Windows.
La charge utile
Cette petite merveille « tout-en-un » se comporte comme un backdoor lorsqu’elle se connecte à [supprimé]hop.net pour recevoir des commandes de l’hôte. En fonction des instructions qu’elle reçoit, elle est capable de modifier les entrées de registre ou la configuration graphique (résolution, fréquence), de démarrer ou de tuer des processus, d’accéder à des disques, d’analyser des ports, de télécharger/d’exécuter des fichiers vers ou à partir de la mémoire, de terminer des processus antivirus, de dérober des mots de passe mémorisés par les navigateurs et de comptes de réseaux sociaux. Elle peut également voler des cookies, se connecter à des serveurs ftp, télécharger des données vers des serveurs ftp, modifier les paramètres de service ou surveiller le port USB afin de se diffuser plus facilement.
Le ver est plus dangereux qu’il n’y paraît à première vue. Son objectif est l’installation d’un outil d’accès à distance qui permet à un attaquant de prendre le contrôle d’une machine infectée et de disposer des données qui y sont stockées comme bon lui semble.
En période de fêtes, il est impératif que les utilisateurs soient prudents lorsqu’ils envoient ou reçoivent des cartes de vœux, certaines véhiculant des malwares.
Article réalisé grâce aux informations techniques fournies par Cristina Vatamanu, spécialiste BitDefender des virus informatiques.
Note : Tous les noms de produits ou d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.