Revue hebdomadaire BitDefender no 38

Worm.Generic.95776

L 'objectif de ce malware est de voler les identifiants et les mots de passe utilisés pour se connecter à des jeux massivement multijoueurs en ligne. Une fois exécuté, il réalise une copie de lui-même dans %temp%, sous le nom de herss.exe, et dépose un fichier *.DLL cvasds0.dll au même endroit.

La dll est injectée dans explorer.exe. Une fois exécuté à partir de cet espace mémoire le malware réalise une autre copie de herss.exe dans le dossier root du disque système. Le nom donné au nouvel exécutable est wcgswa.exe et un fichier autorun.inf pointe vers lui afin qu 'il soit exécuté lors de chaque accès au disque avec l 'explorateur.

Il ajoute ensuite herss.exe à une clé de registre afin d 'être exécuté au démarrage et désactive l 'option ” Afficher les fichiers et dossiers cachés ” dans Options des dossiers → Affichage.

Le fichier dans lequel la dll a été injectée est chargé du vol des mots de passe et cible les jeux en ligne suivants : Metin2, FlyFF, Maple Story, Age of Conan, Knight Online.

Trojan.FakeAlert.BKD

 

Le nom du malware constitue déjà un indice de sa nature. Il s 'agit d 'un autre faux antivirus qui, cette fois-ci, s 'appelle ” Total Security ” et est particulièrement violent.

Une fois exécuté, il se copie dans %systemdrive%\Documents and Settings\All Users\Application Data\[nombre aléatoire].exe et crée un autre fichier pc[nombre aléatoire]ins dans le même dossier. Il supprime ensuite le fichier d 'origine et réalise plusieurs modifications au registre qui assurent l 'exécution des e-menaces à chaque démarrage du système.

L 'application ” analyse ” l 'ordinateur des victimes et annonce une multitude d 'infections. Toutes sont bien sûr fausses. Cette version ferme également toutes les applications lancées, à l 'exception d 'Internet Explorer, pour forcer l 'utilisateur à acheter le ” programme “. Il affiche un message d 'avertissement à chaque fois qu 'il ferme une application : ” L 'application ne peut pas être exécutée. Le fichier [fichier de l 'application] est infecté. Veuillez activer votre logiciel antivirus. ” 

Il modifie aussi le fond d 'écran des utilisateurs pour être remarqué facilement.

Win32.Worm.Koobface.ALX

 

L 'objectif de ce ver est de dérober des informations sensibles et de surveiller l 'activité du navigateur. Pour réaliser cela sans être détecté, il est capable de désactiver certains logiciels antivirus (par exemple : Norton, Kaspersky, McAfee).

Une fois exécuté, il crée une autre copie de lui-même à l 'intérieur du dossier dans lequel il se trouve. Le nom demeure inchangé avec l 'ajout de la terminaison ” exe “.

Il exécute ensuite cette nouvelle copie avec le paramètre ” /res > %temp%\fio.bat ” et crée un fichier *.DLL à l 'intérieur de %windir%\syst, appelé fio.dll.

Un pilote est déposé dans %windir%\system32\drivers sous le nom de fio.sys. Ce pilote se charge de désactiver les suites de sécurité, s 'il y en a sur la machine.

Le fichier fio.bat créé termine l 'exécution initiale des applications et effectue plusieurs modifications au système :

–        il ajoute une exception au pare-feu appelée ” fio32 “, pour le processus ” svchost.exe ”
–        il ajoute une exception au pare-feu pour le port TCP 8085
–        il crée et lance un nouveau service appelé ” fioo32 ” pour le fichier ” fio32.dll “
–        il supprime la copie du malware

Ensuite, le fichier fio.bat se supprime également.

Article réalisé gr?ce à l 'aimable contribution de Lutas Andrei Vlad, Stefan Catalin Hanu et George Cabau, spécialistes BitDefender des virus informatiques.