Revue hebdomadaire BitDefender - L'habit ne fait pas le moine

Backdoor.SDBot.DGBR

Le backdoor (porte dérobée) essaie de tromper les utilisateurs en affichant une icône identique à celle de flash player. Si l'utilisateur clique dessus, l'application crée une copie d'elle-même sous %windir%\fxinstaller.exe. Cette copie s'exécute juste après.

La copie dépose un petit fichier batch appelé  removeMeXXXX.bat (où chaque X est un nombre aléatoire) qui supprime l'exécutable d'origine.

La copie a une taille de 166912 octets, est codée en Delphi, et n'est ni packée ni cryptée. La véritable menace est une zone d'environ 13 Ko dans la section ressource, qui est packée. L'objectif de cet exécutable est de décompresser ce code, de l'injecter dans son espace mémoire virtuel et de lui passer le contrôle. Ce code réalise les actions suivantes :

– il se connecte à un canal IRC

– il écoute les commandes spécifiques de l'attaquant

Les instructions peuvent lui demander de :

– se diffuser via MSN

– se mettre à jour sur Internet en téléchargeant de nouvelles versions à partir d'emplacements spécifiés

– télécharger et exécuter des fichiers à partir de l'ordinateur de l'attaquant

– récupérer plusieurs informations concernant l'ordinateur infecté : son adresse IP, son nom d'hôte, la version de son système d'exploitation, le client de messagerie instantanée utilisé, les processus actifs, les threads en cours d'exécution

Dans certaines circonstances, le robot renvoie des messages à l'attaquant :

” !!!Security!!!. Lamer detected. coming back next reboot, cya “

” !!!Security!!!. Lamer detected. Comming back in 24hrs, download and update disabled. “

Le backdoor informe l'attaquant de toutes les actions qu'il réalise. Par exemple, s'il tente de se diffuser via MSN, il indique à l'attaquant le nombre total de messages et de fichiers envoyés avec succès.

Win32.Worm.NUD

Ce Script Visual Basic utilise la même méthode pour inciter les utilisateurs à l'exécuter, mais l'icône est celle d'un dossier cette fois-ci. Afin d'agir comme un véritable dossier, il ouvre ” %windir%\Web\Wallpaper “.Il dépose ensuite un fichier ”  wav.wav ” dans ” %windir%\Fonts “, une copie du son d'erreur par défaut de  Windows XP.
Il crée de nombreuses copies de lui-même dans plusieurs dossiers système :
“%windir%\Fonts\Fonts.exe”
“%windir%\pchealt\helpctr\binaries\HelpHost.com”
“%windir%\pchealt\Global.exe” 
“%windir%\system32\drivers\drivers\drivers.cab.exe”
… etc.

Il crée également un autre script VBS lequel ajoute certaines entrées de registre qui lancent le ver au redémarrage de l'ordinateur.

Trois copies de lui-même sont toujours en cours d'exécution, formant une chaîne protectrice. Chacune empêche les deux autres d'être tuées.

Le ver se répand via le réseau et les disques amovibles en créant une copie de lui-même et un fichier autorun.inf. Si l'option autorun (exécution automatique) des disques est activée, la copie s'exécute lors de l'accès à ces dispositifs ou de leur connexion.

Article réalisé gr?ce à l'aimable contribution de Lutas Andrei Vlad et d'Ovidiu Visoiu,spécialistes BitDefender des virus informatiques.