Revue hebdomadaire BitDefender - Attention à vos mots de passe

Win32.Sality.PB

 

Une fois exécuté, le malware s'assure d 'abord qu 'il sera lancé à chaque démarrage du système en modifiant plusieurs clés du registre.

Il s 'introduit dans le pare-feu Windows pour passer inaperçu. Les créateurs de malwares ne veulent pas que leurs victimes détectent leur présence.

Il dépose ensuite un rootkit dans %windir%\system32\drivers\oqmihn.sys qui essaie de tuer plusieurs suites de sécurité. Il modifie également certaines clés du registre liées à ces malwares pour désactiver leurs services. Il désactive également le Gestionnaire de t?ches et l 'éditeur du registre.

Ensuite, il dépose et lance un keylogger dans %windir%\system32\28463\svchost.exe ; il est détecté sous le nom de Trojan.Keylog.Ardamax.NAL.

Il essaie également de se connecter à plusieurs URL, qui n 'étaient pas disponibles au moment de l 'analyse :

http://89.149.227.194

http://SOSiTE_AVERI_SOSiTEEE.haha

http://kjwre77638dfqwieuoi.info http://kukutrustnet777.info

http://pacwebco.com http://pacwebco.com

http://www.freewebtown.com

http://www.kjwre9fqwieluoi.info 

 

Worm.Jampork.A

Ce ver se diffuse par l 'intermédiaire de disques amovibles ou peut être téléchargé sur plusieurs sites Internet.

S 'il est exécuté, il crée une copie de lui-même dans %windir%\system32\explorer.exe. Si cette copie est exécutée, elle ouvre le véritable explorer.exe et poursuit ses intentions malveillantes. Le ver recherche un fichier appelé wscft.exe situé dans le même dossier que celui à partir duquel il a été lancé.  Si le fichier est trouvé, il sera également copié dans %windir%\system32.

Le ver modifie aussi plusieurs clés du registre afin de s 'assurer d 'être chargé au démarrage du système.

Ce ver recherche régulièrement des applications de jeux en ligne s'exécutant sur l'ordinateur et les termine. Les jeux recherchés sont les suivants :  Warcraft III, Counter-Strike, NFS Underground 2, Crazy Arcade, O2-JAM, PopKart Client, YB_OnlineClient, legend of mir2, CTRacer Client, Audition, Fly for Fun, QQGame.

Afin de se camoufler davantage, il utilise des informations de version du véritable explorer.exe du système infecté.

Article réalisé gr?ce à l 'aimable contribution de Dana Stanut et Ovidiu Visoiu, spécialistes BitDefender des virus informatiques