Revue hebdomadaire BitDefender - Programmes rogues et malwares voleurs d 'informations

Trojan.FakeAV.SQ

 
Cette menace est un malware très connu et largement diffusé. Les faux antivirus ou programmes de sécurité ” rogues ” ont été présentés à plusieurs reprises sur notre site. Veuillez vous reporter aux articles publiés sur ce sujet pour plus d 'informations.

Comme à l 'ordinaire, ce programme rogue détecte des infections, lesquelles sont en réalité inexistantes, sur des PC et propose aux victimes d 'acheter un produit pour  s 'en débarrasser. Mais il télécharge également d 'autres malwares sur l 'ordinateur.

Le message de confirmation s 'affichant avant l 'installation est le suivant : ” Ce programme va télécharger et installer Total Security sur votre PC.”

Le malware effectue des modifications dans le registre pour s 'exécuter à chaque démarrage du système. Afin d 'éviter d 'être détecté par les nombreux outils utilisés pour lutter contre les malwares, il recherche régulièrement dans la liste des processus en cours d 'exécution certains noms de fenêtres. Si l 'un des processus recherchés est détecté, il est tué, un message d 'erreur est envoyé à l 'utilisateur et son fichier est supprimé.

Le rogue ” Total Security ” appartient à la famille ” XP Antivirus  “. 

Worm.Generic.88465

Une fois exécuté, le malware se copie sous le nom de ” herss.exe ” et dépose ” cvasds[chiffre].exe ” dans le répertoire %temp% de la victime ([nombre] correspond habituellement à 0, par exemple : ” cvasds0.dll “). Il injecte ensuite la dll déposée dans l 'espace mémoire d 'explorer.exe, et dans tous les processus ayant explorer.exe comme parent.

Il crée ensuite une nouvelle entrée dans le registre à ” HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “, appelée ” cdoosoft ” et définit sa valeur sur ” %temp%\herss.exe “, s 'assurant que le malware s 'exécutera à chaque démarrage de l 'ordinateur.

La dll injectée surveille l 'activité de l 'utilisateur et vole des informations sensibles à partir de jeux massivement multi-joueurs. Les informations dérobées sont envoyées à différents serveurs. Le malware copie également ” %temp%\herss.exe ” sous le nom de ” lhh3v.exe ” et crée un fichier ” autorun.inf ” dans le dossier racine de chaque disque, y compris les périphériques amovibles. Le fichier ” autorun.inf ” est chargé d 'exécuter ” lhh3v.exe ” lorsque le disque est ouvert par Explorer. Une fois que le malware a exécuté son code malveillant, il ouvre le dossier demandé par l 'utilisateur pour éviter toute suspicion.

La dll injectée contient une autre dll qui pourrait désactiver le service de mise à jour de plusieurs produits antivirus, rendant la victime vulnérable aux autres virus.

Trojan.PWS.OnlineGames.KCVU

Cette e-menace est directement liée au cheval de Troie Trojan.PWS.OnlineGames.KCVU décrit la semaine dernière.

Article réalisé gr?ce à l 'aimable contribution de Daniel Chipiristeanu et George Cabau, spécialistes BitDefender des virus informatiques