Alerte : Backdoor.Yonsole.A -Le nouveau Zimuse avec Contrôle à Distance

publié par Bogdan Botezatu, le 21 June 2010

Les vers de secteur d 'amorçage ont connu leur Бge d 'or il y a environ 20 ans, mais la tendance semble revenir avec l 'apparition d 'une autre menace s 'attaquant au MBR.

Nommée Backdoor.Yonsole, cette nouvelle e-menace se décline en deux variantes (A et B) et s 'inscrit dans la lignée d 'un autre malware attaquant la zone d 'amorçage du disque dur : le ver Zimuse.

Détecté pour la première fois samedi, Backdoor.Yonsole est empaqueté avec plusieurs applications, y compris avec une fausse " mise à jour critique de Microsoft® Windows® ". Une analyse préliminaire a révélé que ses deux variantes avaient la même fonctionnalité, bien qu 'elles soient quelque peu différentes quant à la structure des fichiers.

Si l 'infection réussit, Yonsole dépose un fichier DLL nommé comres.dll dans %windir% (la variante A) ou dans %programfiles%\Internet Explorer\ (la variante B). De plus, la variante A dépose également une seconde instance du backdoor,  nommée f[chaîne aléatoire]k.cmd, dans %windir%\system32. Alors que la variante B du malware tente de s 'injecter dans l 'espace mémoire d 'Internet  Explorer® (iexplore.exe) afin de cacher son processus et d 'empêcher sa suppression, la variante A s 'injecte dans svchost.exe en tant que module et s 'enregistre en tant que service Windows à lancer à chaque démarrage. Afin d 'éviter d 'infecter de nouveau un système déjà infecté, Backdoor.Yonsole crée un objet mutex nommé gh0stQQ:376111502.

Le service Windows nommé aléatoire est en fait le composant backdoor, qui écoute sur le port 8 000 afin de recevoir les éventuelles instructions d 'un attaquant à distance. Une analyse appronfonie a révélé que Backdoor.Yonsole pouvait réaliser les actions suivantes, en fonction de la commande émise par l 'attaquant à distance :

1.    La fonctionnalité la plus dangereuse est assurément le fait que le malware puisse écraser la zone d 'amorçage du disque dur avec 512 octets de code, empêchant ainsi le système de démarrer. Dès que le MBR a été endommagé et que le (re)démarrage suivant est réalisé, le système d 'exploitation affiche une série de 24 signes ⌠=■ (écrits par le code ci-dessus) et se fige. En résumé, l 'attaque peut rendre votre ordinateur inutilisable, à distance, en envoyant simplement une commande au backdoor.
 

 
Le code qui écrase le MBR.
Il s 'agit d 'un morceau de code 16 bits.
La " charge utile " affichée au démarrage
 
2.     Yonsole apporte également un ensemble de modifications au Registre afin de faciliter la connexion du backdoor à Windows Terminal Service sur le port 61.

2.3.     Le backdoor est aussi capable de télécharger et d 'exécuter un fichier hébergé à distance, dont le lien est fourni par l 'attaquant en tant que commande backdoor.

2.4.     Une fois le malware déployé, les Journaux d 'événements sont automatiquement supprimés, pour éviter que l 'utilisateur ne remarque les nombreux journaux créés par le malware.

2.5.     Le backdoor recueille également des informations détaillées sur le système infecté, telles que le nombre de processeurs installés sur la machine ou la quantité d 'espace libre disponible sur le disque dur.

2.6.     Enfin, l 'attaquant distant peut éteindre la machine une fois le MBR endommagé. Si le système est redémarré, il ne pourra plus démarrer Windows normalement.

Informations complémentaires :

Si vous craignez que votre système ne soit infecté, nous vous conseillons d 'exécuter cet outil de désinfection. Si le MBR n 'a pas encore été écrasé, l 'outil de désinfection nettoiera le système et effectuera un redémarrage.
 
L 'antivirus BitDefender a également été mis à jour avec des signatures permettant de bloquer et de supprimer les deux versions de Backdoor.Yonsole.
 
Si BitDefender est déjà installé sur votre ordinateur, vous n 'avez pas besoin d 'exécuter l 'outil de désinfection.

En cas de système compromis, vous pouvez espérer récupérer votre installation Windows® en exécutant la commande fixmbr (pour les systèmes avec Windows XP) ou en utilisant les commandes bootrec.exe /fixmbr et bootrec.exe /fixboot (sous Vista ou Windows 7), mais vous devrez démarrer à partir du CD /DVD d 'installation de Windows®.

Article réalisé grБce à l 'aimable contribution de Daniel Chipiristeanu, spécialiste BitDefender des malwares.
 
Tous les noms de produits et  d 'entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.


Bogdan Botezatu

Bogdan ne croit que ce qu'il peut démonter en petites pièces et inspecter minutieusement. Sa passion pour l'écriture et son obsession du détail font partie des ses plus grandes qualités.