Revue hebdomadaire BitDefender - Comment peut débuter une infection par robot IRC

Trojan.JS.PYZ

Encore un autre JavaScript malveillant qui tente d'exploiter des vulnérabilités Adobe Acrobat Reader et Adobe Flash Player.

Lors de l'accès au site Internet spécialement conçu, le script lance deux objets ActiveX : AcroPDF.PDF ou PDF.PdfCtrl pour ouvrir un fichier pdf (readme.pdf) et ShockWaveFlash.ShpckwaveFlash pour ouvrir un fichier swf (flash.swf). Ces fichiers contiennent les exploits et, une fois ouverts, téléchargent un fichier exécutable sans que l'utilisateur n'intervienne.

L'URL de téléchargement a la forme suivante : http://sitesupports.cn/[removed]?id=0 et l'exécutable est détecté par BitDefender sous le nom de Backdoor.Zdoogu.F.

 

Backdoor.Zdoogu.F

Une fois exécuté, le backdoor se copie dans %windir%\system32\digiwet.dll et change l'extension et le type d'exécutable en DLL. Afin que cette copie s'exécute à chaque démarrage de Windows, des clés de registre spécifiques sont ajoutées.

Après cela, il lance une nouvelle instance de svchost.exe et écrase son image de la mémoire avec la charge utile.

Le fichier infecté svchost.exe crée un fichier nommé  wiaservim.log dans %windir% dans lequel il enregistre par la suite son activité. Il se connecte ensuite deux fois au serveur  78.109.29.112, la première fois pour télécharger plusieurs fichiers, puis pour transmettre d'autres données.

Les exécutables téléchargés appartiennent à la famille Backdoor.IRCBot, et permettent à un pirate de prendre le contrôle d'ordinateurs infectés via IRC (Internet Relay Chat). 

 

Win32.Delicium.A

Il s'agit d'un virus d'exécutable composé de deux éléments principaux :

1.    Le code injecté dans les fichiers .exe

2.    La DLL à l'origine des infectionsLorsqu'un fichier infecté est exécuté, le virus agit de la manière suivante :

– il dépose une DLL dans %windir%\system32\dotnetfx.dll

– il exécute la DLL en la passant comme argument vers rundll32.dll

– il passe l'exécution à l'hôte

Le fichier DLL est responsable des infections. Lorsqu'il est exécuté pour la première fois, il effectue des modifications dans le registre afin d'être exécuté au démarrage du système. Il ajoute ensuite une autre valeur de registre, A, qu'il augmente à chaque fois qu'il est exécuté. Lorsque la lettre arrive à Z, le virus lance la routine d'infection.

Le virus circule à travers les disques accessibles à la recherche de fichiers à infecter ou à supprimer. Il injecte du code uniquement dans les fichiers .exe et supprime tous les fichiers ayant les extensions suivantes : xls, mdb, doc, jpg, frm, wmv, mp3, sis, as, fla, APP, ppt, avi, mpg, 3gp, vb, jar, css, asp, aspx, jsp, java, pdf, psd, gif, cad, zip, rar ou 3ds.

Pour infecter un fichier, il lit d'abord les informations de l'en-tête et vérifie que le fichier n'est pas déjà infecté. Pour identifier les fichiers infectés, il écrit ”  PROZIUM32 ” dans l'offset physique 0x4E (78 en décimal) dans le fichier. Si le fichier n'est pas déjà infecté, il ajoute le code malveillant à la fin de l'exécutable et met à jour ses caractéristiques en recalculant la taille et les propriétés du fichier.

Il peut également créer un overlay à la longueur aléatoire, sans doute pour empêcher l'infection par d'autres virus. L'overlay a ses 4 derniers octets en caractères ASCII “.MTS”.

Article réalisé gr?ce à l'aimable contribution de  Balazs Biro et Lutas Andrei Vlad, spécialistes BitDefender des virus informatiques.