Revue hebdomadaire sur les malwares : C 'est en forgeant qu 'on devient forgeron

Worm.P2P.Palevo.BS

Découvert début avril, ce digne représentant de la famille Palevo a hérité des gènes malveillants de son clan

Disposant d 'un système de diffusion extrêmement bien conçu, Worm.Pt2P.Palevo.BS exploite les applications populaires de partage de fichier, tout support amovible USB connecté à une machine déjà infectée ou même, des disques réseau connectés en local.
Une fois exécuté, Worm.P2P.Palevo.BS commence par injecter son code déchiffré dans Explorer.exe. Le premier processus se termine, et d 'autres actions malveillantes sont lancées dans le fichier explorer.exe. Le ver crée un mutex nommé aljsughu55, afin de marquer le système comme étant infecté et d 'éviter de lancer plusieurs instances de lui-même.
Afin de s 'assurer d 'être lancé au prochain démarrage du système, il ajoute la clé de registre suivante : KEY_LOCAL_MACHINE\Microsoft\WindowsNT\CurrentVersion\ Winlogon\Taskman pointant vers un fichier infecté dans Recycler\S-1-5-21-0839346990-6652710400-120536083-0614\nissan.exe.

S 'il détecte que l 'application MSN Messenger® est installée sur le système compromis, il commence à envoyer des liens vers des sites Internet hébergeant des malwares. De cette façon, les contacts naïfs des personnes infectées installent le ver à distance.
Malheureusement, ce ver ne se contente pas d 'infecter divers systèmes. Il dérobe également des mots de passe et des données sensibles saisis et enregistrés dans Mozilla Firefox® et Microsoft Internet Explorer®, menaçant les personnes effectuant des achats sur Internet et utilisant des services bancaires en ligne.
De plus, son composant backdoor extrêmement dangereux permet aux attaquants de prendre le contrôle à distance de la machine compromise et de l 'utiliser à des fins illégales. Ce malware ” tout-en-un ” dispose également d 'un composant ” bot “,  qui lui permet de se connecter à plusieurs serveurs de commande et de contrôle du botnet Mariposa, et d 'attendre d 'autres instructions.

Trojan.Agent.APDA

Trojan.Agent.APDA, nouveau membre de la famille Oficla également connue sous le nom de Sasfis, a été découvert le 2 avril et est compressé par le logiciel libre et gratuit UPX.
Ce malware s 'accompagne d 'une icône destinée à faire croire aux utilisateurs qu 'il s 'agit d 'un document Word. Une fois exécuté, le code malveillant dépose un nouveau fichier à l 'intérieur du dossier %temp% nommé ” [2 chiffres alétaoires].tmp “, un fichier .dll (bibliothèque de liens dynamiques) qui sera injecté par la suite dans une nouvelle instance de svchost.exe.
Une autre copie de ce fichier .dll est déposée à l 'intérieur du répertoire  %system% sous le nom de ” lgou.rlo “. Cette instance sera également enregistrée pour démarrer avec Windows®, et la valeur du registre HKEY_LOCAL_MACHINE\Microsoft\Windows NT\Winlogon\shell modifiée pour pointer vers ” rundll32.exe lgou.rlo mrtiyyb “. Une fois ces fichiers déposés à leur emplacement, Trojan.Agent.APDA supprime son fichier exécutable afin d 'effacer les traces de sa présence.
La charge utile (payload) est en fait un téléchargeur, détecté sous le nom de Trojan.Downloader.Agent.ABBL, dont l 'objectif est de télécharger et d 'exécuter des fichiers à partir de http://post[supprimé].ru et de réaliser d 'autres t?ches malveillantes.
Article réalisé gr?ce à l 'aimable contribution de Vlad Lutas, spécialiste BitDefender des virus informatiques.