Revue hebdomadaire BitDefender - Robots IRC et infecteurs de fichiers

Backdoor.IRCBot.ACTN

Ce ver est packé et crypté afin d 'éviter d 'être détecté par les antivirus et pour cacher ses intentions malveillantes. Lorsqu 'il s'exécute pour la première fois, il crée une copie de lui même dans %windir%, sous le nom de usb_magr.exe et modifie le registre afin de s'assurer que la copie sera exécutée à chaque démarrage du système.

Puis, il dépose un fichier nommé x.bat qui désactive le Centre de Sécurité. Une fois ce service désactivé, l'utilisateur n'est plus informé de l 'état de sa protection antivirus, de son pare-feu et des mises à jour automatiques. Ensuite, le fichier bat se détruit.

Le ver se diffuse sur des disques amovibles via la méthode autorun.inf. L 'exécutable est caché dans un dossier RECYCLER et s 'exécute à chaque accès au disque si la fonction autorun est activée.

Enfin, il essaie de se connecter à un serveur IRC en utilisant les données d 'authentification suivantes :

Utilisateur : MEAT* 0

Identifiant : {iNF-00-USA-<système d'exploitation>-<nom de l'ordinateur>-<nombre aléatoire>}

Mot de passe : prison

En ouvrant ce backdoor, l 'attaquant peut prendre le contrôle du système, télécharger d 'autres fichiers ou mettre à niveau la version du backdoor en exécutant des commandes IRC.

Win32.Tufik.M

Cet infecteur de fichiers se compose de deux éléments :

– d 'un petit code qui s 'exécute avant le fichier infecté et dépose le principal exécutable

– du principal fichier exécutable, chargé des autres actions malveillantes

Une fois exécuté, le principal exécutable réalise les actions suivantes :

– il crée un nouveau mutex :  BLACKSEEDER1.1, afin d 'éviter la présence de plusieurs instances du même exécutable
– il se copie dans ” %windir%\Downloaded Program Files ” sous le nom de xxxxxxxx.exe (où chaque x est un chiffre de 0 à 9 ou une lettre de A à F, par exemple 00094648.exe)  et continue à s'exécuter à partir de cet emplacement
– il dépose un petit fichier dll, xxxxxxxx.dat (le fichier .exe et .dat ont la même séquence de 8 caractères), qui est injecté dans chaque processus en cours d'exécution et n'a qu'un objectif, télécharger des fichiers à partir de l 'URL suivante : http://www.wangzhe[removed].com/girl/

– il infecte les fichiers .htm, .html, .php, .asp, .aspx en ajoutant une iframe invisible pointant vers : http://www.wangzhe[removed].com/girl/picture.htm

– il crée un fichier desktop.ini dans ce dossier, pour s 'assurer que les fichiers du malware ne sont pas visibles sous Explorer- il s 'assure d 'être lancé au démarrage en faisant les modifications nécessaires dans le registre
– il crée une copie de lui-même dans tous les dossiers root des disques accessibles
– il crée un fichier autorun.inf sur chaque disque accessible, pointant vers le fichier décrit ci-dessus

Il a également pour rôle de chercher et d 'infecter d 'autres fichiers ayant les extensions suivantes : .exe, .com, .bat, .scr, .cmd, s 'il s 'agit de fichiers PE (Portable Executable) valides. Le processus d 'infection est le suivant :
– l'exécutable vérifie que le fichier n 'est pas déjà infecté (que le nom de la dernière section n 'est pas BSDR1.1)
– il vérifie que le fichier n 'a pas de segment de recouvrement (sinon, il ne l 'infecte pas)
– Si le fichier n'est pas infecté, il crée une nouvelle section à la fin de l'exécutable, où il ajoute le code principal qui s'exécute dans l'hôte et dans le principal fichier exécutable.
– il modifie le point d 'entrée afin que le virus soit exécuté en premier
– il modifie les champs SizeOfImage et SizeOfCode dans les en-têtes afin de refléter les changements après l 'infection.

Le ” code viral ” (1436 B) s 'exécute dans le fichier infecté, avant l 'hôte (cela est possible après modification du point d'entrée de l'application infectée) et réalise les actions suivantes :
– il crée un nouveau mutex, BLACKSEEDER1.1, afin d 'éviter la présence de plusieurs instances
– il récupère les adresses de certaines fonctions API qu 'il utilise pas la suite
– il récupère le chemin du dossier temporaire
– il dépose et exécute le fichier exe principal (situé juste après le code viral), dans le dossier temporaire, sous le nom de BLACKSEEDER1.
– il retourne vers le code hôte

– Le ver tue également tout processus portant l'un des noms suivants :
vstskmgr.exe, naprdmgr.exe, updaterui.exe, tbmon.exe, scan32.exe, ravmond.exe, ccenter.exe, ravtask.exe, rav.exe, ravmon.exe, ravmond.exe, ravstub.exe, kvxp.kxp, kvmonxp.kxp, kvcenter.kxp, kvsrvxp.exe, kregex.exe, uihost.exe, trojdie.kxp, frogagent.exe, 360Safe.exe, AST.exe …

… et termine les services suivants, s 'ils sont présents sur le système :
kavsvc, AVP, AVPkavsvc, McAfeeFramework, McShield, McTaskManager, McAfeeFramework McShield, McTaskManager, navapsvc, KVWSC, KVSrvXP, Schedule, sharedaccess, RsCCenter, RsRavMon, RsCCenter, RsRavMon, wscsvc, KPfwSvc, SNDSrvc, ccProxy, ccEvtMgr, ccSetMgr, SPBBCSvc, Symantec, Core LC, NPFMntor, MskService, FireSvc, Alerter

Article réalisé gr?ce à l 'aimable contribution de Dana Stanut et Lutas Andrei Vlad, spécialistes BitDefender des virus informatiques.