Revue hebdomadaire BitDefender - La Roumanie dans le monde des malwares

Le site Internet contient des informations sur la femme politique roumaine, Elena Udrea, d'où le nom du backdoor : Udrea – Ardu (udrea à l'envers sans le e). Un commentaire à l'intérieur du code du backdoor montre également l'origine roumaine de l'auteur du malware. Il s'agit de : ” link important de tinut sus ” qui signifie ” lien important à placer en ligne “.
 

Trojan.Downloader.VBS.DA

 

Ce petit téléchargeur est écrit en VBS et se trouve dans des sites Internet afin d'infecter les utilisateurs. Lorsqu'il en reçoit la commande, il tente de télécharger 4 fichiers à partir de l'emplacement suivant : http://love[removed].org/css. Les fichiers téléchargés sont les suivants :

– AutoCfg.exe – infecté, détecté par BitDefender sous le nom de Backdoor.Ardu.A

– Instexnt.exe, Autoexnt.exe, Servmess.dll – des fichiers sains, utilisés pour exécuter des scripts avant qu'un utilisateur se connecte.

Une fois ces fichiers téléchargés, il tente d'installer le service AutoExNT et crée le fichier AutoExNT.bat, où l'application infectée (AutoCfg.exe) apparaîtra. De cette façon, le malware s'exécutera après chaque redémarrage, même si aucun utilisateur ne s'est connecté à cet ordinateur.

Backdoor.Ardu.A

 

Ce backdoor apparaît le plus souvent sur un système après avoir été téléchargé par d'autres malwares (par exemple : Trojan.Downloader.VBS.DA) sous le nom de %windir%\system32\AutoCfg.exe.

Ce n'est qu'un gros exécutable qui contient dans son overlay un interpréteur Ruby ainsi que plusieurs bibliothèques d'exécutions dont il a besoin pour exécuter le script infecté. Une fois exécuté, il dépose tous ces fichiers dans %temp% et les exécute. Le script réalise ensuite les actions suivantes :

– il récupère le nom de l'ordinateur local
– il récupère le nom de l'utilisateur local
– il récupère l'adresse IP de la victime
– il récupère le fichier (ip.txt) à partir de l'URL suivante : http://www.run[removed].com/examples/ip.txt, qui contient (comme son nom l'indique) une adresse IP
– il se connecte à l'adresse IP sur le port 2009
– il envoie les données recueillies sur la victime (adresse IP, nom de l'ordinateur, nom de l'utilisateur)
– il écoute les commandes susceptibles d'être envoyées par un attaquant ; si la commande contient le mot ” Goodbye “, la session sera fermée. Toute autre commande sera ajoutée au fichier %windir%\system32\AutoCfg.bat (créé par le malware)
 Le fichier bat et l'exécutable du backdoor sont enregistrés pour être exécutés à chaque démarrage du système.

Article réalisé gr?ce à l'aimable contribution de Lutas Andrei Vlad, spécialiste BitDefender des virus informatiques.