Revue hebdomadaire sur les malwares - Trojan.Downloader.Bredolab.CJ

Découvert le 19 janvier, Trojan.Downloader.Bredolab.CJ est un code d 'environ 40 Ko au potentiel de destruction important. On peut reconnaître les systèmes infectés par la présence de %Programs%\Startup\rarype32.exe et %AppData%\avdrn.dat.

Trojan.Downloader.Bredolab.CJ prend l'apparence d'un document Word afin de tromper les utilisateurs et de les convaincre de le télécharger sur leur ordinateur. Une fois sur l'ordinateur, il se copie dans %Programs%\Startup\rarype32.exe, et supprime immédiatement le fichier à l'origine de l'infection pour effacer toute trace de sa présence.  Ce code malveillant consiste en deux composants : l'exécutable principal compacté et un téléchargeur qui est toujours injecté dans d'autres processus (y compris explorer.exe) plutôt qu'écrit sur le disque dur.

Ce malware est connu pour télécharger de fausses suites de sécurité (comme PC Antispyware 2010). Une fois installé, le logiciel génère des alertes avertissant de la présence de fausses infections et incitant les utilisateurs à corriger le problème. D'autres messages indiquent que, pour protéger son ordinateur contre toutes ces menaces, l'internaute doit acheter la licence d'un logiciel antivirus spécifique qui, bien sûr, ne résoudra en fait aucun des problèmes mentionnés.  

Bredolab.CJ utilise un composant téléchargeur pour réaliser des mises à jour et installer d'autres malwares sur les systèmes infectés. Ce composant essaie de se connecter à www.dollar[supprimé]m.ru où il recherche d'autres malwares à installer. Il est intéressant de remarquer que le serveur n'envoie pas de fichier binaire en clair mais un fichier crypté qui peut uniquement être décompacté par le composant téléchargeur. Ces nouveaux fichiers contiennent généralement d 'autres faux logiciels antivirus.

Article réalisé gr?ce à l'aimable contribution de Daniel Chipiristeanu, spécialiste BitDefender des virus informatiques.