Revue hebdomadaire BitDefender - Les créateurs de malwares font preuve d'ingéniosité

Win32.Worm.Autorun.TF

 

Lorsque le ver s'exécute, il modifie le registre afin de s'assurer d'être exécuté à chaque démarrage système de la machine infectée. Il crée ensuite le fichier caché : ” C:\boot.ini.ini ” dans lequel il inscrit l'heure en cours et l'utilisateur connecté. Il crée ensuite une copie de lui-même dans le répertoire racine de chaque disque accessible sous le nom de  ” ntdetect.exe ” et un fichier autorun.inf pointant vers l'exécutable mentionné précédemment.

Afin de ne pas être détecté par les antivirus, il crée une autre copie de lui-même dans %windir%\system32\system.exe et continue à s'exécuter à partir de ce nouvel emplacement.

La nouvelle instance effectue les actions suivantes toutes les 125 ms :
–        elle réécrit la clé du registre de démarrage
–        elle vérifie qu'aucun de ses fichiers n'a été supprimé, auquel cas elle les crée de nouveau
–        elle fait de nouvelles copies d' autorun.inf, boot.ini.ini et de ntdetect.exe sur tous les disques
–        elle modifie le registre de sorte que les fichiers caché et les extensions de fichiers ne s'affichent pas, et que les répertoires du système ne puissent être recherchés avec Windows Explorer.

Si l'éditeur de registre ou le gestionnaire des t?ches sont lancés par l'utilisateur, le ver les tue immédiatement en recherchant tous les titres des fenêtres ouvertes contenant les expressions ” éditeur de registre ” ou ” gestionnaire des t?ches Windows “. Si une fenêtre avec des ” options du dossier ” est ouverte, elle sera réduite et son titre sera modifié par ” Erreur du Registre ! “.

Le ver se supprime ou interrompt son exécution d'une façon originale, qui demeure sans doute depuis le débuggage de son auteur. Il recherche les termes ” Exit ” ou ” Restore “. S'il les trouve,  il change ces titres de fenêtres pour ” Type Exit Password ” et ” Type Restore Password ” respectivement. Le ver attend ensuite que la fenêtre modifie son titre pour le mot de passe correct : ”  M13Exit ” pour arrêter l'exécution du ver et ”  M13Restore ” pour le désinstaller du système infecté.
 
Une autre commande qu'il peut comprendre via cette méthode est ” ! ShowUsers ” qui génère un fichier html contenant la liste des utilisateurs infectés jusqu'alors.

Trojan.Dialer.VYA

Le malware télécharge un fichier texte à partir de ” http://91.[removed].122/Dialer_Min/number.asp ” vers ” c:\windows\number.txt “.” number.txt ” contient simplement un numéro de téléphone surtaxé généré de façon aléatoire à partir d'une liste. Ce numéro est composé si un modem est connecté à votre ordinateur, faisant ainsi augmenter votre facture téléphonique.

Article réalisé gr?ce à l 'aimable contribution de Lutas Andrei Vlad et Horea Coroiu, spécialistes BitDefender des virus informatiques