Revue hebdomadaire BitDefender - Programmes rogues et malwares voleurs d 'informations

publié par Bitdefender Security Specialists, le 05 octobre 2009

Nous recommandons aux adeptes de Flyff, Mentin2, Age of Conan, Runewaker, Le Seigneur des Anneaux Online, Knight Online, WoW, Cabal Online et MapleStory de faire preuve de prudence lorsqu 'ils se connectent pour jouer car une nouvelle version du voleur de mots de passe présenté au cours des dernières semaines fait des ravages.

Trojan.FakeAV.SQ


 
Cette menace est un malware très connu et largement diffusé. Les faux antivirus ou programmes de sécurité " rogues " ont été présentés à plusieurs reprises sur notre site. Veuillez vous reporter aux articles publiés sur ce sujet pour plus d 'informations.

Comme à l 'ordinaire, ce programme rogue détecte des infections, lesquelles sont en réalité inexistantes, sur des PC et propose aux victimes d 'acheter un produit pour  s 'en débarrasser. Mais il télécharge également d 'autres malwares sur l 'ordinateur.

Le message de confirmation s 'affichant avant l 'installation est le suivant : " Ce programme va télécharger et installer Total Security sur votre PC."

Le malware effectue des modifications dans le registre pour s 'exécuter à chaque démarrage du système. Afin d 'éviter d 'être détecté par les nombreux outils utilisés pour lutter contre les malwares, il recherche régulièrement dans la liste des processus en cours d 'exécution certains noms de fenêtres. Si l 'un des processus recherchés est détecté, il est tué, un message d 'erreur est envoyé à l 'utilisateur et son fichier est supprimé.

Le rogue " Total Security " appartient à la famille " XP Antivirus  ". 

Worm.Generic.88465

Une fois exécuté, le malware se copie sous le nom de " herss.exe " et dépose " cvasds[chiffre].exe " dans le répertoire %temp% de la victime ([nombre] correspond habituellement à 0, par exemple : " cvasds0.dll "). Il injecte ensuite la dll déposée dans l 'espace mémoire d 'explorer.exe, et dans tous les processus ayant explorer.exe comme parent.

Il crée ensuite une nouvelle entrée dans le registre à " HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run ", appelée " cdoosoft " et définit sa valeur sur " %temp%\\herss.exe ", s 'assurant que le malware s 'exécutera à chaque démarrage de l 'ordinateur.

La dll injectée surveille l 'activité de l 'utilisateur et vole des informations sensibles à partir de jeux massivement multi-joueurs. Les informations dérobées sont envoyées à différents serveurs. Le malware copie également " %temp%\\herss.exe " sous le nom de " lhh3v.exe " et crée un fichier " autorun.inf " dans le dossier racine de chaque disque, y compris les périphériques amovibles. Le fichier " autorun.inf " est chargé d 'exécuter " lhh3v.exe " lorsque le disque est ouvert par Explorer. Une fois que le malware a exécuté son code malveillant, il ouvre le dossier demandé par l 'utilisateur pour éviter toute suspicion.

La dll injectée contient une autre dll qui pourrait désactiver le service de mise à jour de plusieurs produits antivirus, rendant la victime vulnérable aux autres virus.

Trojan.PWS.OnlineGames.KCVU

Cette e-menace est directement liée au cheval de Troie Trojan.PWS.OnlineGames.KCVU décrit la semaine dernière.

Article réalisé grБce à l 'aimable contribution de Daniel Chipiristeanu et George Cabau, spécialistes BitDefender des virus informatiques

Bitdefender Security Specialists

Bitdefender Labs